Трудное детство
АрхивСвершилось: за три недели до официального выхода Windows 2000 [1] на сайте Microsoft появился не менее официальный набор исправлений, или первый патч (см. Microsoft Security Bulletin [MS00-006]). То есть официально ОС еще нет, а патч к ней - уже есть. Это, а также гигантский объем нововведений позволяет предположить, что детство у новой ОС [2] будет трудным, а у юзерской части человечества вот-вот появится новый кандидат на свежую проблему двухтысячного года - Windows 2000, или, переходя к уже знакомой нотации, W2K.
Выявленные еще до выхода Windows 2000 две дыры в защите Index Server позволяли путем некоторых ухищрений получить и файловую структуру сервера, и - доступ на чтение ко всем файлам логического диска, содержащем корневую Web-директорию.
Случай, пожалуй, беспрецедентный в истории Windows, последствия могут быть особенно значимы с учетом роли, которую Microsoft отводит эффективной защите данных при маркетинге ОС.
По иронии судьбы, еще одно препятствие на пути новой ОС к легальному российскому пользователю тоже связано с защитой данных: Windows 2000 как она есть [3] подпадает под ограничения ФАПСИ. Подробнее об этом можно прочитать в статьях Максима Отставнова и Михаила Попова, а сама ситуация настолько меня заинтересовала, что я решил разобраться подробнее, тем более что сама Windows, вернее одна из последних бет, оказалась под рукой.
Проведенное мини-исследование показало, что, судя по всему, наибольшую потребительскую ценность и - наибольшую угрозу для ФАПСИ представляет встроенная в Windows защищенная файловая система - Encrypted File System (EFS), позволяющая надежно оградить от посторонних глаз содержимое и отдельных файлов, и целых директорий.
Встроенные в предыдущие версии Windows NT средства защиты данных основывались на разграничении прав доступа и средствах, предоставляемых файловой системой NTFS, и легко обходились переустановкой Windows NT или физическим переносом диска. А с появлением бесплатных драйверов NTFS для DOS и Windows (см., например, www.sysinternals.com) защита и вовсе стала походить на профанацию, что, кстати, признает и сама Microsoft, представляя EFS.
EFS устроена по-другому и использует шифрование с открытым ключом, причем пары динамически генерируются для каждого защищенного файла. Затем ключи хранятся отдельно от файла, что по крайней мере вдвое снижает надежность хранения данных. Проблему удается решить только в корпоративных системах, где копии ключей могут храниться централизованно, на сервере, и потерянные ключи могут быть восстановлены администратором.
Но главной прелестью EFS является прозрачность механизма шифрования: он полностью скрыт от пользователя и требует лишь изменения свойств файла: в окне properties/general/advanced нужно поставить флажок Encrypt contents to secure data. И все!
А теперь, что называется, из собственного опыта общения с Windows 2000, начавшегося для меня прошлой весной, с появлением одной из первых бет. На беду, это совпало с крушением "старушки" NT, после которого весь раздел NTFS оказался недоступен. Отчаянью не было предела, под угрозой оказались все мои данные. Уже смирившись с потерей, я добрался до дома и принялся устанавливать бету Windows 2000 на домашнем компьютере, по привычке вставив рэк с потерянными данными на отведенное ему место. О чудо! В процессе установки стартовал chkdisk, данные, пусть и с небольшими потерями, были восстановлены, и я уже было зауважал новоприобретение. Ровно до окончания процесса установки, в результате которой я недосчитался на своем компьютере Com-порта и внутреннего модема.
В конечном счете бета перекочевала на ноутбук, где и просуществовала последние девять месяцев, время от времени реинкарнируясь в более свежие версии - на удивление устойчиво и без сбоев. До тех пор, пока под руками не оказался пиратский "релиз". Искушение было велико, удержаться - трудно, и Новый год я встречал с новой же Windows.
А еще через три недели, как раз к выходу патча, система рухнула, да так, что перестала загружаться. После "чистой" установки, еще через неделю, рухнула опять, и снова - в попытках достучаться до контроллера домена. Правда, на этот раз дело было гораздо серьезнее: для спасения данных пришлось по проверенной уже схеме устанавливать на соседнюю, на этот раз VFAT'овскую, партицию, все ту же Windows 2000, с тем чтобы инициировать chkdisk.
В результате я оказался перед выбором: то ли вернуться на третью бету, то ли поставить старушку NT - чтобы на ней дождаться хорошо запатченного официального релиза.
1 (обратно к тексту) - И примерно через месяц после появления самозванки под тем же именем на московских пиратских лотках - аутентичность пусть исследуют эксперты и российское представительство Microsoft.
2 (обратно к тексту) - Дистрибутив бета-версий которой занимает ни много ни мало 300 килобайт, а инсталляция - более 600 килобайт.
3 (обратно к тексту) - То есть в стандартном комплекте поставки.