www.MegaLab.it

Windows 7 non presenta innovazioni significative sotto il versante "sicurezza", ma si limita, ancora una volta, ad affinare i vari strumenti apparsi in Windows Vista.

Come ti cambio UAC

Controllo account utente (UAC), è stata indubbiamente una delle novità peggio recepite dagli utilizzatori di Windows Vista: il problema è che, sebbene dal punto di vista strettamente tecnologico si tratti di un importante elemento per la sicurezza del sistema, questa funzionalità è stata percepita semplicemente come un fastidio.

L'UAC di Windows 7 è meno invasivo già per impostazione predefinita, e molto più personalizzabile rispetto a quanto visto nel predecessore.

Inoltre, la "sensibilità" delle notifiche è configurabile sulla base delle singole preferenze: interruzioni più frequenti (e quindi sistema più sicuro) o più rade (quindi minor sicurezza ma anche minor fastidio).

Sono previsti quattro livelli: Dal più sicuro al meno invasivo troviamo:

• Notifica sempre. È la modalità adottata per impostazione predefinita da Windows Vista: tutti quei programmi che dovessero richiedere privilegi più elevati per funzionare dovranno essere esplicitamente autorizzati tramite la consueta modalità "a schermo semi-oscurato" (Secure Desktop). Allo stesso modo, sarà necessario confermare tramite Secure Desktop anche le modifiche alle impostazioni del sistema apportate dall'utente.
• Notifica solo quando un programma tenta di eseguire modifiche nel computer. È l'impostazione predefinita per Windows 7. Il sistema operativo richiede conferma solo in caso fosse un applicativo a voler modificare le impostazioni di sistema. Le variazioni apportate dall'utente verranno invece applicate senza interruzioni.
• Notifica solo quando un programma tenta di eseguire modifiche nel computer (non attenuare il desktop). Come la precedente, ma non è utilizzata la modalità Secure Desktop.
• Non notificare mai. Il sistema non mostra alcuna notifica UAC. Equivale a disabilitare completamente la funzionalità.

È interessante notare che, già con la nuova impostazione predefinita, l'interazione con UAC tende ad essere praticamente nulla una volta completato il setup iniziale di tutti gli applicativi: grazie alla scelta di non richiedere conferma in seguito alla modifica manuale delle impostazioni di sistema, la finestra di conferma non si presenta per più di un paio di volte la settimana.

L'impressione generale è che Microsoft abbia fatto davvero le cose per bene, trovando un giusto equilibrio per una funzionalità che, ora, ha tutte le carte in regola per poter incontrare il favore dell'utenza.

BitLocker To Go

La versione originale di Windows Vista ha introdotto la tecnologia BitLocker, grazie alla quale crittografare i dati presenti sulla partizione di sistema del disco fisso e prevenire la fuga di informazioni in caso di furto o smarrimento del PC.

Il primo Service Pack ha esteso tale meccanismo, consentendo di utilizzarlo anche sulle partizioni non-di sistema.

Cosa manca, quindi? Le memorie esterne. Windows 7 presenta "BitLocker To Go", tecnologia che consente appunto di crittografare anche chiavette USB ed altri dispositivi di archiviazione affini, rendendo obbligatoria l'immissione di una password (o l'utilizzo di una smartcard) prima di poter accedere ai dati ivi memorizzati da un PC differente.

Solo le edizioni Professional, Enterprise ed Ultimate possono criptare un drive ma, una volta preparate, le chiavette protette sono accessibili anche dalle declinazioni minori di Windows 7.

Collegando una chiavetta protetta ad un PC equipaggiato con Windows XP oppure Windows Vista, è possibile, previa immissione della password, accedere ai dati contenuti, sebbene in modalità "sola-lettura".

I drive prottetti sono invece totalmente inaccessibili da Macintosh o Linux.

Abbiamo dedicato una guida al nuovo BitLocker To Go: Criptare le memorie esterne in Windows 7 propone tutte le indicazioni pratiche per sfruttare al meglio questa caratteristica ed altri dettagli al riguardo.

Niente autorun per le chiavette USB

Sempre in tema di memorie esterne, Windows 7 presenta anche un'altra significativa novità: non è più possibile eseguire programmi da questi supporti tramite la funzionalità AutoRun.

Nell'immagine ad esempio, si vede che, nonostante il file autorun.inf contenuto sulla memoria esterna contenga una linea di comando per auto-eseguire l'installazione di Adobe Reader, la scelta non è offerta nel menu AutoPlay che viene visualizzato da Windows all'inserimento del dispositivo

L'importante scelta, spiega il team di sviluppo, dovrebbe contribuire sensibilmente ad arginare la propagazione di virus come Perlovga o Conficker che, sfruttando tale meccanismo ed un'icona ingannevole, sono riusciti ad infettare centinaia di calcolatori

La novità non riguarda le memorie di sola-lettura quali CD e DVD: tali media infatti, continuano a poter proporre l'esecuzione del proprio contenuto come di consueto. Una scelta che, sebbene mantenendo alcune riserve, mi sento di approvare come opportuno compromesso fra usabilità e sicurezza.

AppLocker

AppLocker è una funzionalità destinata all'uso aziendale, mediante la quale il personale IT potrà stabilire selettivamente quali applicazioni consentire o bloccare sulle varie workstation

Lo strumento permette di discriminare per Autore (a patto che l'applicazione sia firmata digitalmente), percorso dell'eseguibile o hash del file medesimo.

Quest'ultima opzione in particolare, pare essere particolarmente efficace e consente di applicare restrizioni in modo piuttosto difficile da aggirare.

Safe Unlinking

Un nuovo meccanismo di regolazione degli accessi alla memoria affianca ASLR e DEP nella protezione della postazione.

Safe Unlinking, questo il nome della funzionalità, è studiato in particolare per proteggere il kernel da aggressioni di tipo Pool Overrun: "Questo non significa che diviene impossibile realizzare exploit in grado di portare ad un pool overrun", ammettano gli sviluppatori nel corso della dettagliata spiegazione tecnica, "ma accresce sensibilmente la mole di lavoro necessaria affinché un attaccante possa riuscirvi".

PC Safeguard

Ogni traccia della funzionalità in questione, nota anche come "Modalità ospite" in alcune build precedenti, è sparita già a partire dalla compilazione RC ed è assente anche nella versione definitiva.

Windows 7 è dotato di una nuova modalità destinata principalmente a tutte quelle realtà in cui il calcolatore è esposto al pubblico: biblioteche, Internet Cafè, chioschi informativi, PC destinati alla formazione e via dicendo.

Gli utenti che accedono a PC pubblici potrebbero infatti modificare impostazioni di sistema, installare programmi, creare nuovi file, dimenticare password o altri dati sensibili alla mercè dell'utente successivo o, addirittura, compromettere la postazione con virus o altri malware (magari in buona fede): chiaramente si potrebbe pensare di utilizzare account con privilegi ridotti, ma questo finirebbe per limitare troppo la libertà d'azione, in modo non sempre conciliabile con le attività a cui questi sistemi sono destinati.

Ecco quindi che Microsoft propone la funzionalità PC Safeguard. Funziona così: si crea un utente non-amministratore, per il quale si abilita PC Safeguard.

Ora, ogni volta che tale utente eseguirà log-in o cercherà di archiviare un file nella propria cartella personale, verrà visualizzato un avviso nel quale si informa che ogni nuovo file salvato e qualsiasi modifica apportata al sistema verranno annullati al momento della disconnessione.

L'amministratore ha inoltre la possibilità di disabilitare la cancellazione di quanto salvato su certe partizioni: in questo modo, ad esempio, è possibile proteggere il disco di sistema ma lasciare comunque a disposizione una fetta di spazio per salvare i documenti creati.

Non si tratta di qualcosa di realmente nuovo in casa Microsoft: grazie a Windows SteadyState (vedi "Con Windows SteadyState proteggi il tuo sistema operativo") è infatti possibile ottenere lo stesso risultato anche su Windows XP e Windows Vista. Non sarebbe quindi stato più interessante alleggerire il sistema operativo anche da questa applicazione e renderla disponibile mediante il già citato Windows Live Essential?