Взять интервью у Андрея оказалось несколько сложнее, чем я себе это представлял. Но в итоге оно получилось интересным и большим. Первая часть интервью полностью посвящена безопасности Windows 8 — антивирусной защите, UAC и интеграции с облаком.
В первую очередь я хочу искренне поблагодарить всех 53 читателей, приславших свои вопросы Андрею. Да, какие-то из них повторялись, а другие не укладывались в формат интервью. Но в результате удалось отобрать достаточно вопросов, которые хорошо отражают интересы читателей блога.
Я также хочу подчеркнуть, что сотрудникам Microsoft строго-настрого запрещено делиться любой информацией о Windows 8, за исключением той, что опубликована в блоге разработчиков, на сайте конференции Build и в MSDN. По словам Андрея, ему приходилось согласовывать с PR-службой все ответы, касающиеся новой операционной системы.
Но прежде чем перейти к ответам, я хочу поближе познакомить вас с гостем моего блога.
Досье
Андрей Бешков
- В 1999 году закончил Ростовский Государственный Педагогический Университет. Во время обучения 3,5 года работал ведущим инженером в управлении МВД Северо-Кавказского округа, поддерживая сетевую инфраструктуру.
- С 1999 по 2003 год трудился на должности старшего системного администратора в фирме Регата.
- С 2003 по 2005 год управлял ИТ-проектами в компании Мобиком-Кавказ, занимая должность ведущего инженера.
- С 2005 по 2006 год работал системным архитектором в компании Иннотерра.
- С 2006 по 2007 год являлся в компании ISG ведущим консультантом отдела систем поддержки бизнеса и операций, анализируя бизнес-процессы и инфраструктуру телекоммуникационных и ИТ-компаний.
- В 2007 году пришел в Microsoft на позицию евангелиста, работающего с ИТ-специалистами. На протяжении 3,5 лет развивал отношения компании с ИТ-сообществом.
- В 2010 году стал руководителем программы безопасности в российском отделении Microsoft.
Андрей женат и воспитывает сына.
Он ведет блог, но пишет туда редко. Намного больше активности @abeshkov проявляет в Twitter.
Я взял на себя смелость сформулировать и задать самые популярные вопросы от своего имени, наряду с имевшимися у меня. У всех остальных вопросов в скобках указано имя автора.
В первой части интервью:
- Защита от вредоносных программ в Windows 8
- Контроль учетных записей (UAC) в Windows 8
- Интеграция Windows 8 с облаком
Защита от вредоносных программ в Windows 8
Андрей, для домашних пользователей безопасность ПК ассоциируется в первую очередь с защитой от вирусов. Очень многих читателей моего блога интересует, какие нововведения Windows 8 обеспечат им более надежную защиту от вредоносных программ.
Как у Microsoft обстоят дела на антивирусном фронте?
На данный момент защитник Windows (Windows Defender), входящий в состав системы, защищает только от широко распространённого известного шпионского ПО. Он не защищает от вирусов, червей и троянов. Предполагается что для надежной защиты от этих угроз пользователи будут применять антивирус. Например, такой как Microsoft Security Essentials (MSE).
В дальнейшем Windows Defender превратится в полноценный антивирус, защищающий от вирусов, червей, троянов, руткитов и буткитов. Он будет поставляться по умолчанию в составе Windows 8.
Защитник Windows превратится в полноценный антивирус или все-таки под этим названием в Windows 8 будет встроен MSE? Как я понимаю, второй вариант мы имеем сейчас.
Предполагается, что возможности из MSE будет добавлены в защитника. Насколько я знаю, на данный момент окончательное название для получившегося антивирусного продукта еще не определено. Поэтому предполагаем, что останется Защитник Windows (Windows Defender). Впрочем, ждать осталось недолго. В конце февраля уже выйдет бета Windows 8.
А как ты сам относишься к этой маркетинговой чехарде с названиями, когда на защиту новой ОС отряжают продукт, который воспринимается большинством пользователей как неполноценное защитное решение?
Конечно, я считаю, что лучше иметь один продукт, который будет защищать пользователя от всех напастей. И предполагаю, что переименовывать его нужно только в крайнем случае.
В последнее время Microsoft стала уделять повышенное внимание борьбе с мошенничеством. Как вы планируете задействовать фильтр SmartScreen для укрепления безопасности Windows 8?
Сейчас SmartScreen интегрирован только в IE и защищает пользователя при скачивании файлов через этот браузер. В Windows 8 он будет проверять все файлы которые пользователь попытается запустить.
Допустим, человек скачал файл в Chrome — неужели SmartScreen его тоже проверит?
Конечно, проверит. SmartScreen проверяет репутацию файлов при первой попытке запуска, вне зависимости от того, как они попали в систему. В то же время, стоит отметить, что при желании данную возможность можно будет отключить в панели управления и/или в свойствах папки.
(Константин Алгаш, safezone.cc) На примере руткита Alureon мы наблюдали гонку вооружений. Microsoft выпускала исправления безопасности, а создатели руткита обновляли его, вновь обходя защиту. Известно, что TDL 4 (TDSS и Alureon) стал первым руткитом, способным «поражать» 64-разрядные версии Windows.
Какие изменения в систему защиты операционной системы Windows 8 внедряет или будет внедрять компания, чтобы не допустить заражения системы?
Для борьбы с руткитами и буткитами кроме антивируса Windows 8 будет использовать UEFI и механизм защищенной загрузки Secure Boot. Это позволит быть уверенным, что на предварительных этапах загрузки ОС соблюдались необходимые политики безопасности. Например, запускался только подписанный код. В то же время стоит понимать, что такой режим загрузки ОС потребует, чтобы в ПК вместо BIOS использовалась система UEFI.
Предполагается, что на момент выхода Windows 8 не все ПК будут оборудованы UEFI. Поэтому Windows 8 сможет работать и с унаследованными ПК на основе BIOS без использования Secure Boot. Стоит отметить, что данная мера защиты будет применяться опционально, и владелец ПК сможет ее отключать. Подробности есть в блоге разработчиков Windows 8.
(Иван Осипов) Многих специалистов по безопасности промышленных IT-систем (АСУТП, АСУУП) в связи с недавним обнаружением червя Stuxnet, интересует вопрос: планирует ли корпорация Microsoft предложить какие-либо решения для безопасной работы в SCADA («урезанные» версии ОС Windows, изолированная среда для запуска приложений такого рода и т.д.)?
На данный момент о планах по выпуску урезанных версий Windows говорить рано. В то же время мы идем по пути деления ОС на все большее количество компонентов. Убедиться в этом можно на примере Windows Server Core. Это позволит устанавливать минимальный необходимый набор компонентов.
В Windows 8 данное движение будет продолжено. Благодаря применению методологии Software Development Lifecycle (SDL) количество уязвимостей в продуктах Microsoft за последние годы сильно снизилось. Это привело к тому, что по данным Secunia, по количеству уязвимостей на данный момент лидируют продукты SUN и Apple (см. график на стр.5).
Также мы продолжаем совершенствовать защиту от распространенных методов атак с помощью механизмов DEP, ASLR, SEHOP, BUR. Сейчас есть бесплатная утилита EMET позволяющая включить эти и многие другие механизмы защиты для приложений и компонентов системы. Подробнее о том, как применять EMET.
В Windows 8 механизмы защиты, используемые EMET, будут применяться еще шире, чем в Windows 7.
Все вышеперечисленные методы защиты можно применять практически к любым приложениям, не исключая и SCADA. Также для улучшения систем защиты от новых и существующих атак мы объявили конкурс с призовым фондом в $250 000. Любой специалист может бесплатно принять участие в конкурсе, предложив свои разработки в области защиты.
Контроль учетных записей (UAC) в Windows 8
По UAC тоже поступило много вопросов, но я начну со своего. В опросе форума Windows 7 на OSZone приняло участие более 200 человек, и лишь 45% работали с включенным UAC. Я думаю, что для большой картины эти данные даже слишком оптимистичны, учитывая более высокий технический уровень посетителей форума по сравнению с общей массой пользователей Windows.
В отчетах по безопасности Microsoft содержится самая разнообразная статистика. Но я не припоминаю, чтобы там приводился расклад по использованию UAC. Есть ли у тебя такие данные и готов ли ты ими поделиться?
Нет официальных данных о том, сколько процентов пользователей оставляют UAC включенным. Microsoft не может это отслеживать т.к. пользователи не давали своего согласия на это. Но судя по отзывам пользователей в открытых источниках и данным кейсов технической поддержки на Windows 7, работающих с UAC людей значительно больше, чем на Vista. Думаю, это связано с более интеллектуальным поведением UAC в Windows 7.
(Антон Плескановский) Улучшится ли в Windows 8 дружественность UAC к рядовому пользователю? Иными словами, возможно ли на сегодняшний день сделать так, чтобы ИТ-специалисты обходились без многочасовых объяснений, почему это (UAC) не стоит отключать и чем он может оказаться полезным.
Возможно ли сделать контроль учетных записей и работу с ограниченными правами такой же простой и интуитивной, как использование ремней безопасности в авто?
Мне кажется, что в корпоративной среде необученный пользователь вообще не должен иметь права выключать UAC или менять его настройки. У него не должно быть необходимости в совершении действий вызывающих отображение UAC. То есть, он не должен запускать приложения с правами администратора, устанавливать приложения и драйвера, вносить изменения в компоненты ОС.
Если же говорить о домашних пользователях, то мне кажется что единственный путь — это обучение. Если воспользоваться вашей аналогией, то вы увидите что и ремень безопасности, несмотря на всю его простоту, многие не используют по разным причинам. В пропаганду ремней безопасности вкладываются достаточно большие средства, государство наказывает тех, кто не пользуется ремнями, но как вы можете заметить, поголовного использования ремней все равно нет.
Мы считаем, что расширение функций SmartScreen снизит количество зловредного ПО, запускаемого пользователем, а значит и количество запросов UAC. В то же время, предполагаю, что отключающие UAC люди продолжат это делать.
Microsoft работает над тем, чтобы сделать UAC еще более интеллектуальным и гораздо более простым, хотя и сейчас он прост донельзя. Но все равно найдется множество людей, которые не будут его использовать по тем или иным причинам.
Если честно, я пока не заметил кардинальных изменений в UAC. Разве что новый диспетчер задач сразу запускается с высоким уровнем целостности.
(Константин Алгаш, safezone.cc) Наиболее простым методом обхода защиты UAC является циклический запуск зловреда, когда пользователя забрасывают запросами. И в итоге часть пользователей рано или поздно разрешат выполнение файла с повышенными привилегиями.
Планируется ли вводить в будущем систему ограничивающую количество запросов «от одного файла»? Будет ли в UAC не просто система отказа в запуске, а полноценная блокировка подозрительных программ?
Задача защиты от ошибочных действий пользователя, обладающего административными привилегиями, в принципе не решаема без создания искусственного интеллекта. В соответствии с десятью непреложными законами безопасности, если пользователь запустил зловредный код в своей системе, значит, эта система ему более не принадлежит.
Теоретически, зловредный код может воспользоваться какой-либо уязвимостью для локального повышения привилегий. Таким образом, зловредному коду не нужно будет вызывать UAC. Если ввести лимит на количество запросов UAC от приложения, то можно получить банальную атаку на отказ в обслуживании.
Блокировкой злонамеренного ПО могут выступать SRP или AppLocker, позволяющие настроить запуск строго ограниченного набора ПО, подписанного сертификатом доверенного производителя или совпадающего с эталонной контрольной суммой.
Также в Windows 8 предполагается расширить функционал фильтра SmartScreen, ныне встроенный в IE. Это позволит блокировать файлы, не имеющие репутации или имеющие плохую репутацию не только при скачивании из Интернета, но и при попытке запуска с локальных или сетевых хранилищ. Подробности в блоге разработчиков Windows 8 и не только.
Интеграция Windows 8 с облаком
В связи с тесной интеграцией Windows 8 с облаком многих читателей волнует, не таит ли это в себе угроз безопасности их системы и личных данных.
(Евгений) С помощью каких технологий обеспечивается безопасность информации при использовании облачных сервисов Microsoft?
Безопасность информации, обрабатываемой в облачных сервисах Microsoft, обеспечивается с помощью всего спектра технологий Microsoft и нескольких сторонних производителей. Наши центры обработки данных (ЦОДы) сертифицированы по ISO/IEC 27001:2005 и SAS 70 Type II.
Также наши ЦОД сертифицированы для обработки информации правительственных организаций по стандарту FISMA. Большинство клиентов использующих облачные сервисы не достигли такого уровня безопасности в своих ЦОД. Это означает, что хранить и обрабатывать данные в нашем облаке явно безопаснее, чем в ЦОД, не прошедшем такой скрупулёзный аудит и сертификацию.
В основе всего комплекса, обеспечивающего безопасность наших облачных сервисов, лежат широко используемые продукты и технологии, такие как Windows Server, Hyper-V, Forefront, AD, IPsec и т.д.
Если же говорить о технических деталях того, как работает система безопасности облачных сервисов, можно потратить несколько дней. Именно столько длится стандартный курс обучения сотрудников MS тому, как устроена облачная безопасность. Краткую версию этого курса в моем исполнении можно посмотреть в записи на конференции MSSD.
Андрей, давай взглянем на то, как это связано с Windows 8. Например, в ней была создана учетная запись на основе Live ID. Пароль Live ID по какой-либо причине попал в руки злоумышленника. Понятно, что тот получает доступ ко всем сетевым сервисам (Hotmail, SkyDrive, и т.д.)
Но может ли он при этом удаленно получить доступ к личным данным, которые Windows 8 синхронизирует с облаком и хранит на локальном диске?
При использовании Live ID мы будем требовать, чтобы пользователь задал стойкий пароль. Это по умолчанию увеличит безопасность использования ПК. При привычной всем локальной авторизации пользователь вообще мог работать без пароля или создавать слабый пароль.
Также будет использоваться привязка к устройству, с которого вы обычно производите аутентификацию с помощью Live ID. По умолчанию синхронизироваться с облаком будут настройки Windows, параметры приложений и пароли. Синхронизация данных с облаком будет защищаться с помощью шифрования SSL/TLS.
Кроме того, мы будем применять определенные алгоритмы для анализа того, не скомпрометирован ли ваш пароль. В случае если Live ID будет скомпрометирован, действия пользователя будут ограничены, предотвращая утечку данных. Пользователь сможет сменить пароль, ответив на секретный вопрос или выслав его на другой безопасный почтовый ящик.
Как я уже сказал, наши ЦОД защищены гораздо лучше, чем многие другие. Поэтому можно считать, что данные пользователей будут надежно защищены там. Подробности в блоге разработчиков Windows 8.
Продолжение следует…
Из второй части интервью вы узнаете:
- насколько безопасны приложения Metro в Windows 8
- являются ли пиратские продукты менее безопасными, чем лицензионные
- как Microsoft сотрудничает с бизнесом, государственными структурами и правоохранительными органами
- что компания делает для обучения пользователей безопасной работе в Windows
- как Microsoft планирует защищать пользователей в будущем
Мы также подведем итоги конкурса «Почувствуй себя ИТ-журналистом» и назовем автора лучшего вопроса, который получит подписку TechNet!
А что вы думаете по поводу ответов Андрея?
Я надеюсь, что в интервью вы нашли ответы на ряд вопросов, которые вас интересовали в связи с безопасностью Windows 8. Но нам очень интересно узнать, как вы воспринимаете эти сведения!
- Как вы оцениваете действия Microsoft по укреплению безопасности Windows 8 за счет интеграции антивируса и расширения функций фильтра SmartScreen?
- Каким вы видите идеальный контроль учетных записей?
- Планируете ли вы создать в Windows 8 учетную запись на основе LiveID и будете ли вы синхронизировать настройки системы с помощью облака?
R сожалению, ответы Андрея в основном такие же туманно-расплывчатые или вовсе не в тему (например вопрос про маркетинговую чехарду с названиями и ответ к нему), как например ответы Николая Прянишникова… И это огорчает. Ощущение, что интервью бралось не у живого человека, а у некоей системы т.н. «искусственного интеллекта». Я полагаю, что дело тут не столько в Андрее, сколько во внутренней политике микрософта, но от этого интересней не становится.
Некоторые ответы вообще вызывают подозрение в том, что человек вообще не в теме (касательно того же UAC, с которым родные-то микрософтовские продукты не всегда корректно работают — тот же sccm-клиент).
Гм… неужели вы ожидали, что человек будет открыто критиковать стратегию компании, в которой он работает? Вы сами-то разве поступили бы так же?
Я специально задал вопрос про личное отношение к проблеме, прекрасно понимая при этом, что ответа «Это бред!» не будет. Но нужно уметь читать между строк, и по-моему, личная позиция Андрея по этому вопросу вполне понятна.
По поводу ответов Андрея, я полностью согласен с AlexIz .
Действия Microsoft по внедрению расширений функций фильтра SmartScreen — это нормально, но только с возможностью отключеня, как и UAC.
Встроенный антивирус, так же нужная вещь, только как-то не много подусилить, а так для бесплатного очень даже не плохо.
Интелектуальности UAC бы не помешало, а то долбают знакомые по телефону.
Регится при Live ID, а почему бы нет.
Вадим, неужели Андрей действительно настолько древний: «В 1999 года закончил Ростовский Государственный Педагогический Университет.»
Михаил, что значит «древний»? Вы думаете, что руководить программой безопасности ставят вчерашних школьников? :)
Думаю, Андрей даже чуть младше меня, поэтому боюсь представить, какой эпитет у вас припасен для моей персоны…
Я вообще-то про вашу биографическую запись Андрея:«В 1999 года закончил»
левая кавычка не в ту сторону
учетную запись на основе LiveID делать буду, хотя бы ради эксперимента ;)
Было бы неплохо, если бы UAC сделали обучающимся, наподобие, как в некоторых файерволах есть режим обучения. Типа, запустил один раз приложение, в ответ на UAC выбрал галку «Запомнить», нажал «Да» и в следующий раз при запуске этого приложения UAC будет автоматом разрешать (или нет, если перед этим выбирал «Нет»).
Ну и для полноты счастья добавить галку «больше никогда не показывать это окно», да? :) Ой, она уже и так есть, просто в другом месте…
Для AlexIz
Есть такие понятия как профессиональная этика и разделение обязанностей. Я не работаю в подразделении которое придумывает названия для продуктов. Так же я не являюсь дипломированным специалистом по маркетингу.
Свои мысли о том как должны называться продукты я донес до тех кто принимает решения по этому вопросу.
Отсюда следует вывод что публично критиковать решение принятое другими людьми было бы не корректно.
Беда, коль пироги начнет печи сапожник, А сапоги точать пирожник
Опечатки и кавычки исправлены. Хотелось бы больше комментариев по теме…
Андрей(bogok)
Smart Screen в Windows 8 можно будет отключать не только через контрольную панель как показал Вадим, но и через свойства папки в которой находятся исполняемые файлы.
http://thenextweb.com/microsoft/2011/04/08/coming-in-windows-8-smartscreen-file-checking/
Сорри, Андрей. Ты изначально и говорил о свойствах папки, но не пояснил как и где, а я сходу не нашел этого в системе. Добавил ссылку в текст интервью.
Alexlz подскажите каким образом я должен был узнать о ваших проблемах с UAC и SCCM?
Более того не понятно как они относятся к первоначальному вопросу о том собирается ли Microsoft улучшать UAC?
На первоначальный вопрос о новинках UAC сейчас можно ответить только в общих чертах ибо Windows 8 пока что в очень ранней стадии развития. Developer preview это как раз альфа версия.
Говорить что то определенное можно будет после того как в конце февраля выйдет бета версия.
Согласен с некоторыми комментаторами. Действительно интересную информацию с помощью такого интервью получить невозможно. Статья была бы полезна людям, которые относятся к любителям компьютеров.
Думаю бы реально заинтересовала некая неформальная встреча. Без камер, без записи всего происходящего. Просто люди общаются как друг с другом,и тогда интересующие непонятности были бы просто объяснены главному объекту встречи.
1.Развитие средств защиты информации со стороны Microsoft — это безусловный плюс им. Однако, MS, чувствую использует в движке АВ технологии, которые знают одни они) Полностью в защите MSE @прочувствовать@ не удалось,но в быстродействии этот АВ хорош. На основном ПК я пользуюсь решениями KIS. Это и защита, проверенная годами, настраиваемость продукта (MSE на это скуп), и дополнительные функции (Анти-баннер,сниффер), и единый интерфейс управления\отчётов (у ms это антивирус, сет. экран, род. контроль, т.е. неплохо бы было объединить эти пункты панели управления). Но она применима только к более-менее мощному компьютеру. На нетбуке стоит MSE + отключенный autorun.В принципе не жаловался (и на безопасность,и на быстродействие), но периодически проверяю AVPTools. Я за унификацию средст защиты, и жду этого в win 8.
2.UAC я вижу интегрированным с антивирусом. Приведём пример с KIS. Контроль программ (считайте аналог uac’a) не только эврестически определяет эту программу (проверка на вирусы,эмуляция на вредоносные действия, последовательность запуска этой программм), но и проверяет в облаке рейтинг этой программы (сколько доверилось этой проге, сколько нет). Т.е. я вижу такой UAC будущего. С другой стороны, предназначение контроля и должно оставаться таким, как сейчас,т.е. только разграничение доступа.
3. Смотря как реализуют) FF к примеру , синхронизирует открытые вкладки, т.е. прямое продолжение работы. Ну, на тестовой 8-ке я привязал liveучётку)
Алексей, если честно, я не понимаю, в чем состоят ваши претензии к формату интервью… Вопросы задавали читатели блога, Андрей на них ответил. Никаких камер или записи при этом не было :)
Почему при этом невозможно получить действительно интересную информацию, я тоже не понимаю. Но догадываюсь — некоторым читателям нужно было задавать интересные вопросы, а не спрашивать в контексте Windows 8 о том, что было реализовано еще в Windows 7 :)
Кто главный объект и какие непонятности? Может быть, вам нужно выражаться более понятно?
All,
На самом деле, создается следующее ощущение. Допустим, читатели возжелали, чтобы UAC был вот с такой вот галочкой для запоминания их предпочтений или интегрированным в антивирус, желательно сразу в KIS, ибо MSE не устраивает.
И они решили, что если донести их хотелку до Андрея, это чудо обязательно произойдет. Конечно, ведь он руководит программой безопасности в Microsoft Russia!
Внезапно Андрей ответил, что их хотелка не будет реализована, и пояснил, как Microsoft смотрит на эту проблему. Занавес! Чуда не произошло, ответы плохие, действительно интересной информации нет.
Первый же комментатор задал негативный тон обсуждению, и дальше каждый второй счел своим долгом пройтись кирзовыми сапогами по полезности ответов.
При этом почему-то никто не заметил, что вам была предоставлена уникальная возможность посмотреть на ситуацию глазами Microsoft.
И при этом никто почему-то не заметил, что Андрей даже следит за комментариями блога, что как бы намекает — некоторые вещи можно уточнить.
Мне за вас стыдно :(
Андрей Бешков у меня к Вам вопрос.
Вы упомянули о мехонизме Secure Boot и что на ПК будет предусмотрена возможность его отключения. Но Win8 также будет поддерживать платформу ARM. Как Вы можете прокоментировать новость — http://www.opennet.ru/opennews/art.shtml?num=32797
Валерий, если позволите, выскажу свое мнение на правах владельца блога :) Речь-то идет о компьютерах с Windows. Если ОЕМ-производитель хочет выпускать компьютеры с Линукс, требования Майкрософт на них не распространяются.
Другими словами, это может ограничить только тех пользователей, которые приобретают системы с Windows, в надежде отказаться от ОС и получить компенсацию, либо просто удалить Windows и поставить Линукс. Но тут уж ОЕМ-производитель решает, позволить такой вариант пользователям или нет. При чем тут Майкрософт? :)
Доброго всем времени суток! Считаю внедрение в операционную систему Windows 8 встроенной антивирусной программы «В дальнейшем Windows Defender превратится в полноценный антивирус, защищающий от вирусов, червей, троянов, руткитов и буткитов. Он будет поставляться по умолчанию в составе Windows 8» будет большой ошибкой по следующим причинам:
1. Microsoft не является лидером в области создания антивирусных программ.
2. Как всем известно, при установке на компьютер второй антивирусной программы, возникают конфликты, нередко приводящие к выходу из строя аппаратной части и многое другое.
3. Если у Microsoft такая политика к ОС, то пусть тогда создадут специальный исполнительный файл, который через командную строку уничтожит начисто свой антивирус, для того чтобы дать право пользователю, установить свой антивирусный продукт. За сим и с уважением.
Владимир, ваша точка зрения понятна, но она… узковата что-ли.
1. Microsoft и не претендует на лидерство. Она просто хочет защитить от распространенных угроз своих пользователей. И поверьте, связка Windows Update + IE9 + SmartScreen + брандмауэр + MSE эту задачу решает более чем достойно.
Если вы не используете какой-то из этих компонентов и не заменяете его чем-то эквивалентным, вы делаете себе только хуже. Но винить должны только себя, ибо все это будет в составе Windows 8, да и сейчас доступно пользователям лицензионных систем совершенно бесплатно.
2. Думаю, что MSE в Windows 8 будет отключаться при установке сторонних антивирусов точно так же, как это происходит сейчас с брандмауэром.
3. Исполнительный файл через командную строку… детский сад. А просто флажок где-нибудь поставить вас не устроит?
Не слишком ли длинна сия связка? ИХМО, уж слишком много манипуляций необходимо сделать пользователю, чтоб добиться хорошего результата.
По поводу облака. Хм… Пока microsoft не сделает двухэтапную аутентификацию, я не стану доверять облачному сервису Microsoft.
Дмитрий, а при чем тут длина связки? Это защита от всех основных векторов атаки на Windows. И какие бы альтернативные программы вы не использовали, все равно придется блокировать эти векторы. А манипуляций никаких и не требуется — все это входит в состав Windows 8, и либо включено сразу, либо предлагается в виде рекомендуемых параметров.
Насчет двухэтапной аутентификации — хорошее замечание, стоило задать этот вопрос Андрею в рамках интервью ;)
А я полностью поддерживаю внедрение стандартного встроенного антивируса взамен Защитника Windows. Если устанавливать еще и отдельный антивирус, я не думаю, что они будут конфликтовать, я думаю, что уж в Microsoft подумали над этой проблемой. Просто после установки встроенный ограничит свои действия или отключится полностью и всё.
Спасибо, Вадим, за организацию интервью.
Было полезно почитать некоторые вещи, очень любопытно и, если в целом, оценить, то все логично и правильно: продукт разрабатывается, совершенствуется, многое из информации еще закрыто и дОлжно ею быть таковой на данный момент времени. То, что дал нам Андрей как ответы, как пищи для ума уже достаточно, чтобы заиметь некоторое представление о механизмах работы в плане безопасности. Прям уж спецов в данном вопросе тут мало, как мне кажется, потому мне тоже не понятен ряд претензий к гостю Вадима.
Мне хотелось бы уточнить у Андрея такие вопросы (в виду моего опоздания к заданию оных в нужный момент)))):
— можно ли будет не пользоваться Live ID? или это функция будет по умолчанию?
— не планируется ли, при использовании пользователем MSE по умолчанию, перенос настроек файерволла-брандмауэра в окно антивируса, так сказать, чтобы все эти настройки были в одном месте? Да и вообще настроек безопасности в одно место.
Спасибо.
Идею того, что UAC нельзя отключать через GUI поддерживаю, считаю что это нужно реализовать только через командую строку, а при установке любого ПО спрашивать пароль Администратора. Также я сторонник того, что система должна запрещать постоянную работу под админом, так как самая большая опасность и атака для любых систем — это пользователь, который излишне самоуверен.
Алексей, поскольку ответы Андрея не гарантированы…
1. Конечно учетка на основе Live ID опциональна. Представьте, что компьютер не подключен к Интернету. Если сделать Live ID обязательным, то в этом случае в систему вообще не удастся войти при установке:)
2. Перенос настроек брандмауэра в антивирус я считаю странной затеей, из разряда скрещения бульдога с носорогом. Откройте wf.msc и представьте все это внутри MSE :)
3. Настройки UAC должны быть в графическом интерфейсе. Представьте, какой вой поднимется, если их оттуда убрать. Пароль администратора и так можно спрашивать в диалоге UAC, даже если пользователь является администратором — это включается в политиках.
1. Странный вопрос, конечно положительно. Операционная система должна иметь штатную защиту.
2. Вот пример — наш бухгалтер по нескольку десятков раз за день запускает 1С предприятие, а также различное банковское ПО и ПО для оправки налоговой отчетности и каждый раз видит диалог UAC… Разве не логично было бы поставить птичку Cохранить и больше не спрашивать?
3. Уже использую. :) При установке создал учетку на основе своего Live ID. Неделю назад пришлось переустановить систему — избранное, история браузера, а также некоторые настройки синхронизировались, но далеко не все что указаны в панели управления. К финалу понятно это все исправят.
Андрей, а зачем вы мучаете бухгалтера запросами UAC? :) Если права администратора необходимы из-за того, что ПО не работает под обычной учетной записью, вы можете упростить бухгалтеру жизнь, а не пенять Microsoft на недоработки.
Вадим, Андрей, спасибо за интервью! Было интересно прочитать некоторые моменты, с некоторыми я уже и так знаком, в целом получилось неплохо =) Жду второй части, где хотелось бы увидеть хотя бы некоторые из моих вопросов :) Если что, буду задавать их в комментариях, так что от ответов Андрею всё равно не деться, если только он их не проигнорирует ))
По поводу комментариев к интервью… я удивлён насколько есть «тёмные и не понимающие» люди… кое-кто вообще абсурд полный пишет, считая себя специалистом в вопросах безопасности… если в двух словах — то «тихий ужас».
По поводу заданных в конце вопросов…
1. Интеграция средств безопасности в ОС — это есть хорошо, давно пора! Расширение возможностей SmartScreen — тоже гуд, это должно значительно повысить безопасность.
2. По поводу идеального контроля учётных записей… я не знаю, может я чего-то не так делаю, но я работаю сейчас с включённым UAC, и запросов от него не видел уже не знаю сколько… короче много времени :)
Единственное, наверное, чего хотелось бы — так это чтобы описанная процедура по твоей ссылке решалась бы из диалогового окна UAC в 1-2 клика мышью, это реально упростило бы жизнь некоторым людям. В остальном проблем не вижу. Всё и так замечательно.
3. Облако — это круто! Не вижу вообще никаких причин его не использовать, если это чертовски удобная штука ;)
Владимир,
Давайте обсудим ваши утверждения. :)
Не знаю чем вас не устраивает MSE. Он с 207 года получает награду VB100 по результатам тестирования Virus Bulletin. Впрочем на вкус и цвет товарищей нет.
Мне ни разу не встречались случае когда установка двух антивирусов на один ПК приводила к повреждению аппаратного обеспечения. Выглядит это крайне странно.
Установка стороннего антивируса вместо MSE или Windows Defender вполне возможна сейчас в Windows 7 и будет поддерживаться и впредь в Windows 8.
Алексей_Я,
Локальный логин без использования Live ID будет сохранен в Windows 8. Пользователи не желающие использовать Live ID могут продолжить пользоваться ОС в привычном режиме.
Мне кажется что ограничивать пользователя в праве отключать UAC через графический режим бесполезно. Если Microsoft сделает так чтобы UAC отключался только с помощью командной строки, то в сети мгновенно появится огромное количество советов от «экспертов» как это сделать. А значит мы снова вернемся к исходной позиции и немного разозлим пользователей, неудобствами с отключением UAC.
Предполагаю что бороться за безопасность домашнего ПК можно только обучая людей тому что UAC действительно защищает их и объясняя что отключать его не стоит.
Владимир,
Мы проводили исследования и заметили цикличность в эпидемиях заражения домашних ПК. Как выснилось впоследствии связанно это с тем что изготовители ОЕМ устанавливали на продаваемые ПК пробные версии сторонних антивирусов. Когда пробная лицензия заканчивалась, многие пользователи не приоретали платную лицензию и не переходили на бесплатный антивирус. Антивирус установленный ОЕМ производителем переставал обновляться и ПК заражался.
Чтобы избежать этой ситуации в дальнейшем мы решили что в Windows 8 должен быть встроен бесплатный антивирус без ограничения срока действия.
Таким образом ПК будет защищен даже в случае если пользователь не захочет приобретать платный антивирусный продукт третьих сторон.
Неплохо. Но боюсь антимонопольщики замучают. Придётся выпускать версию с индексом A, то есть без антивируса, в дополнении к E и N )).
Виталий,
Наша статистика показывает что ограниченные версии вроде Windows XP N покупают менее 0,01% клиентов. Но при этом тестирование совместимости обновлений и приложений с этими версиями ОС выполнять приходится.
Выходит что такие версии обходятся MS весьма дорого и при этом практически не нужны пользователям.
Надеемся, что включение антивируса в Windows 8 не повлечет требований создавать еще одну версию ОС.
Андрей, ты как-то сказал, что после выхода MSE отношения Microsoft с другими антивирусными вендорами стали натянутыми (не цитата, по памяти пишу). Теперь, когда MSE будет включен в состав флагманской клиентской ОС, отношения испортятся напрочь? :)
В частности, прогнозируешь ли ты затруднения в рамках VIA?
Да я тоже надеюсь. Наблюдать со стороны за перепалками конечно весело, но в конечном итоге издержки будет оплачивать конечный пользователь. Но боюсь перепалок не избежать. Одно дело бесплатные проигрыватели и браузеры, и совсем другое- рынок платных антивирусных продуктов.
Это я так, продолжаю интервью))
Виталий,
То что пользователи не переходят на платный антивирус, не используют пиратскую версию и не переходят на любой бесплатный после окончания пробного периода показывает что они не видят ценности в антивирусе.
А значит они вряди купят антивирус когда либо. Я думаю антивирусные компании это понимают.
Дмитрий,
Двухфакторная аутентификация вполне работает с Office365 http://onlinehelp.microsoft.com/en-us/office365-enterprises/ff652540.aspx
http://technet.microsoft.com/en-us/library/hh237448(WS.10).aspx
Более того работает single sign-on и привязка пользователей к AD и устройствам.
Это будет безопаснее чем отправлять sms непонятно куда. :)
Vadim Sterkin: Андрей, ты как-то сказал, что после выхода MSE отношения Microsoft с другими антивирусными вендорами стали натянутыми (не цитата, по памяти пишу). Теперь, когда MSE будет включен в состав флагманской клиентской ОС, отношения испортятся напрочь? :)
В частности, прогнозируешь ли ты затруднения в рамках VIA? »
Vadim Sterkin,
Постепенно первоначальное недовольство антивирусных вендоров улеглось. Более того они стали более активно участвовать в VIA, SUVP, MAPP ибо понимают что программы это конкурентное преимущество.
Плюс к этому антивирусные компании и вендоры продуктов безопасности активно сотрудничают с нами в закрытии ботнетов и многих других полезных активностях.
Большинство понимают что единственный способ защитить своих клиентов это коллективное противостояние угрозам.
http://www.zdnet.com/blog/security/microsoft-at-black-hat-community-based-defense-in-force/6956
Многие так же понимают что есть миллионы людей которые врядли когда купят антивирус и другое ПО безопасности. Отличный пример этому случай с Avast.
Более того как мы видим рынок нынче сильно перегрет. Годичную подписку на антивирус можно получить бесплатно просто подключившись к интернет провайдеру.
Андрей, обычный антивирус — это все-таки минимум защиты. Сейчас все большую роль играют репутационные сервисы, я приводил статистику Касперского — они еще в 2010 году отсекали 60% без сигнатурного анализа.
Поэтому бесплатный антивирус, как правило, представляет собой стандартную связку сканер+монитор, а все самое вкусное идет в платной версии. У Майкрософт до сих пор не было комплексного домашнего решения — лишь слабый защитник, а тот же SmartScreen был только в IE.
Поэтому я считаю, что с появлением в Windows 8 связки сканер+монитор+репутационный сервис ситуация с безопасностью станет значительно лучше!
Абсолютно с тобой согласен именно на этом и будет строиться весьма маркетинг антвирусных вендоров.
В этом контексте ситуация станет лучше не сразу, а с момента массового перехода пользователей на Windows 8. Думаю займет это пару лет, если переход будет идти такими же быстрыми темпами как переход с Windows XP на Windows 7.
Андрей,
При учете того что Windows 8 должна будет поддерживать планшетники и мобильные устройства получается что она должна поддерживать какие либо другие способы ввода пароля.
Вводить пароль на планшете неудобно.
Будет ли что то придумано для решения этой проблемы, так как это сделано в android?
Василий, вам нужно читать блог создателей Windows 8, тогда у вас снимется много вопросов. Ответ на этот вопрос сейчас есть на главной странице, аж в двух записях.
Василий,
В Windows 8 кроме стандартного пароля будут поддерживаться аутентификация пользователя с помощью пин кодов, чтения отпечатков пальцев и механизма picture password.
Подробнее о picture password можно прочитать тут
http://blogs.msdn.com/b/b8/archive/2011/12/16/signing-in-with-a-picture-password.aspx
http://blogs.msdn.com/b/b8/archive/2011/12/19/optimizing-picture-password-security.aspx
Добрый вечер!
А можно точную ссылку на эти данные?
По интервью. Очень хорошее! Спасибо и Андрею и Вадиму.
Вот пожалуйста ссылка на отчет Secunia. Описанная в нем тенденция благодаря которой SUN и Apple обогнали MS по количеству уязвимостей продолжает сохраняться и по сей день.
http://secunia.com/gfx/pdf/Secunia_Half_Year_Report_2010.pdf
Добавил в интервью ссылку на отчет, указав страницу с графиком.
Интересная беседа, интригует :)
Надо будет скачать при возможности Win 8 и узнать о возможностях, но на безопасность больше всего хочется проверить :)
Вадим, поправьте
в Досье
@abeshkov — ссылку же нужно на твиттер?
очепятка
еще очепятки
Спасибо, Сергей, исправил.
Вадим, всё что Вы пишите просто замечательно, скажите честно, ведь трудно наверное, всё ведь нужно сделать в свободное время, которого не хватает.
Дмитрий, скажу честно: да, времени не хватает :)