Компьютерра - Компьютерра PDA 10.07.2010-16.07.2010

Низкоуровневые технологии защиты встроены в саму операционную систему. Речь идёт о DEP (NX) и ASLR. Data Execution Prevention предотвращает исполнение кода из области памяти, помеченной как "только для данных". DEP предотвращает атаки, связанные с переполнением буфера. Похожим образом работает технология NX, только реализована она на аппаратном уровне. ASLR (Address Space Layout Randomization) случайным образом распределяет данные в памяти, что затрудняет выполнение некоторых видов атак. Эти механизмы не видны обычному пользователю, но именно они препятствуют большинству проникновений в систему.

По традиции Internet Explorer хорошо интегрируется с другими продуктами Microsoft. Для системных администраторов есть удобная поддержка групповых политик, которые представляют собой широкий набор настроек браузера для большого количества компьютеров. С помощью инструмента IEAK можно создать собственную сборку Internet Explorer 8 с предустановленными дополнениями и различными настройками.

В целом, Internet Explorer можно назвать современным безопасным браузером. Как и у любого продукта, в нём есть некоторые уязвимости. На недавно прошедшей хакерской конференции Pwn2Own специалистом из голландской фирмы Vreugdenhil Research был взломан ноутбук с Internet Explorer 8 и Windows 7. Справедливости ради надо отметить, что эта атака была названа "технически впечатляющей", так как удалось обойти DEP и ASLR. Тем не менее, Internet Explorer 8 всё ещё остаётся одним из наиболее защищённых браузеров, а согласно исследованием, даже самым защищённым (см, отчёты Cenzicи NSS Labsза 2009 год, PDF). Даже если вы не планируете его использовать, то всё равно было бы неплохо обновиться до восьмой версии.

Автор: Ника Парамонова

Опубликовано 16 июля 2010 года

Недавно корпорация Microsoft выпустила новую версию Microsoft Desktop Optimization Pack 2010 (MDOP). Инструментарий предназначенный для упрощения развертывания и эксплуатации программного обеспечения в корпоративных сетях доступен подписчикам Software Assurance, новая версия пакета поддерживает Windows 7. По замыслу разработчиков, это настольное решение сокращает расходы на развертывание программ и позволяет работать с приложениями как с сервисами. MDOP дает компании возможность более эффективно контролировать корпоративную ИТ-инфраструктуру.

Microsoft Desktop Optimization Pack состоит из шести компонентов. Одной из самых важных и востребованных частей MDOP является Microsoft Application Virtualization (App-V). Программное решение для виртуализации приложений позволяет запускать на клиентском устройстве собранные в специальный пакет программы. Для этого используется виртуальное окружение: на рабочем месте пользователя нужен только клиент App-V (Microsoft App-V Application Virtualization for Desktops), а все программы находятся на сервере приложений Microsoft Systems Center Virtual Application Server. Они не требуют установки и работают независимо друг от друга (клиентская часть App-V позволяет одновременно запустить даже разные версии одной программы). Последняя составляющая решения: App-V Management Console - инструмент для администрирования сервера App-V. Он может быть использован для определения политики использования приложений, а также для создания, обновления и репликации виртуальных пакетов прикладных программ. В MDOP 2010 включили пакет Microsoft App-V 4.6, полностью поддерживающий 64-разрядную платформу (на стороне клиента и сервера), а также позволяющий запускать 64-разрядные приложения в виртуальном окружении.

Следующий продукт из состава MDOP - Microsoft Enterprise Desktop Virtualization (MED-V) предназначен для виртуализации настольных систем при помощи специальной редакции Virtual PC. Кроме того, он позволяет автоматизировать администрирование образов виртуальных машин, их хранение и доставку на рабочие станции. Основное предназначение MED-V: решение проблем совместимости существующего ПО при переходе на новые версии Windows - программы можно запускать в контексте виртуальной машины. В отличие от обычной редакции Virtual PC они доставляются пользователю безшовно - здесь нет окна виртуального рабочего стола. Пользователь не видит, какие программы работают локально, а какие - в контексте Virtual PC. Есть и недостатки: в качестве гостевых ОС можно использовать только Windows (по крайней мере, другие системы официально не поддерживаются). Кроме того, накладные расходы на виртуализацию довольно высоки, а гостевые ОС запускаются не на выделенном сервере, а на компьютере пользователя. Впрочем, последнюю особенность нельзя считать недостатком - она может помочь оптимально использовать вычислительные мощности рабочих станций. Центральная часть MED-V: сервер управления (Management server) и хранилище образов (Image repository). На компьютеры пользователей устанавливается клиентская часть продукта, а кроме того, существует специальное ПО для управления - Management console. Главное преимущество новой версии - поддержка Windows 7. Microsoft MED-V представляет собой аналог VMware ACE.

Системные администраторы Windows часто используют консоль управления политикой группы (Group Policy Management Console). Еще одно клиент-серверное приложение из состава MDOP дополняет ее возможности. Расширенное управление груповыми политиками Active Directory (Advanced Group Policy Management) позволяет редактировать объекты групповой политики (GPO) в автономном режиме, осуществлять контроль версий объектов, а также автоматическое резервное копирование в случае их изменений. С помощью этого решения можно делегировать редактирование GPO кому угодно - изменения не повлияют на компьютеры пользователей, пока имеющих права на установку администратор их не утвердит. На сервере AGPM необходимо установить соответствующую службу и организовать специальный архив для хранения управляемых объектов. Клиент AGPM - это компьютер системного администратора с оснасткой AGPM для консоли управления групповыми политиками (GPMC). Установка дополнительного ПО на пользовательские компьютеры не требуется. По сути дела, AGPM добавляет в популярный инструмент функции, необходимые администраторам больших корпоративных сетей.

Microsoft Asset Inventory Service (AIS) предназначен для аудита установленного на компьютерах программного обеспечения. Он состоит из двух частей: вебсервиса и небольшого агента, устанавливаемого на клиентские ПК. Агент проводит инвентаризацию установленных программ и передает данные сервису. Результаты инвентаризации постоянно обновляются и доступны через системы отчетов. Microsoft Asset Inventory Service распознает продукты различных производителей (в базе данных есть описания сотен тысяч программ) и позволяет, в частности, сопоставить установленные копии продуктов с имеющимися у компании лицензиями.

Microsoft Diagnostics and Recovery Toolset (DaRT) - набор инструментов для поиска и устранения проблем с программным обеспечением на компьютерах, работающих под управлением Windows. Он состоит из двух частей. Мастер анализа сбоев (Crash Analyzer) работает с файлом аварийного дампа Windows и позволяет определить неполадку, которая привела к сбою системы. ERD Commander включает служебные программы и мастера для диагностики системы. Сюда также входят средства аварийного восстановления, которые могут помочь администратору даже в том случае, если компьютер не загружается. Кроме того, с помощью DaRT можно восстанавливать удаленные файлы, а также удалять вирусы и шпионское ПО. ERD - это сокращение от "emergency recovery disk", это обычный загрузочный диск с набором "аварийных" инструментов.