Güvenlik konusu, BT profesyonellerinin en büyük endişesi olmayı sürdürmektedir. Windows 7, 22 Ekim 2009 tarihinde satışa sunulacağına göre, Microsoft’un Windows 7 işletim sisteminde güvenlik açısından ne gibi yenilikler geldiği de merak konusudur. Microsoft’a göre bu alandaki özellikler aşağıdaki üç başlık altında toplanabilir:

• Windows Vista’nın güvenlik özellikleri üzerine kurulmuş olmakla birlikte, Windows 7 denetim (auditing) ve kullanıcı hesabı kontrolü (UAC) deneyimini iyileştirmektedir,
• BT yönetimi AppLocker ile Windows 7 yüklü bilgisayarlarda hangi uygulamaların çalışabileceğini belirleyebilmektedir,
• Windows 7, BitLocker To Go ile sürücü kriptolama desteğini çıkarılabilir depolama aygıtlarını da içerecek şekilde genişletmiştir.

Temelden Güvenli Ortam

Windows 7, sadece Windows Vista’nın güvenlik özellikleri üzerine kurulmamış, aynı zamanda Windows Vista’nın geliştirme süreçleri ve teknolojileri de baz alınmış. Windows Vista’da bulunan çekirdek yama koruması (kernel patch protection), hizmet sağlamlaştırma (service hardening), veri yürütme engellemesi (data execution prevention), adres alanı düzenleme randomizasyonu (address space layout randomization) ve zorunlu bütünlük seviyeleri (mandatory integrity levels) gibi temel güvenlik özellikleri, Windows 7′de de zararlı yazılım ve saldırılara karşı gelişmiş koruma sağlamaya devam etmekte. Windows 7, Microsoft güvenli geliştirme yaşam döngüsü (security development lifecycle, SDL) içerisinde tasarlanıp geliştirilmiş ve Common Criteria seviyelerinden EAL4 sertifikasyon seviyesini sağlayacak şekilde üretilmiş.

Geliştirilmiş Denetim

Windows 7, kurumların yasal gereklilikleri yerine getirmeleri ve işle ilgili işleyişlerini kolaylaştırmak amacıyla gelişmiş denetim özellikleri içermektedir. Bu gelişmiş denetim özellikleri denetim yapılandırmalarının basitleştirilmiş yönetimi ile başlamakta ve kurumda neler olduğunun daha fazla görünürlüğü ile sonlanmaktadır. Örneğin Windows 7, bir bilgiye erişimin neden yasaklandığına veya izin verildiğine dair daha fazla bilgi sunmakta veya kullanıcı veya gruplar üzerinde yapılan değişiklikler hakkında daha fazla bilgi vermektedir.

Yenilenmiş Kullanıcı Hesabı Denetimi

Kullanıcı hesabı denetimi (UAC) ilk kez Windows Vista’da eski uygulamaların standart kullanıcı yetkileri ile çalışabilmesine yardımcı olabilmek amacı geliştirilmişti. Windows 7 de bazı değişikliklerle kullanıcı hesabı denetimini kullanmaya devam etmektedir. Bu değişiklikler yönetici yetkisi gerektiren işletim sistemi uygulamaları veya görevlerinin sayısının azaltılması ve yönetici yetkisi ile çalışan kullanıcılara daha esnek uyarılar verilmesini kapsamaktadır. Sonuç olarak standart kullanıcı yetkisi ile daha fazla işlem yapılabilmekte ve tüm kullanıcılara daha az uyarı verilmektedir.

AppLocker

Windows 7, AppLocker ile uygulama denetim politikalarının uygulanmasını daha kolay hale getirmiş. Sistem yöneticileri böylelikle masaüstü bilgisayarlarda hangi uygulamaların çalışacağını belirleyebilmekte, böylelikle kurum içerisinde güvenliği ve verimliliği sağlamaya yönelik uygulamaların standart haline getirebilmekteler. AppLocker “allow (izin ver)”, “deny (yasakla)” ve “exception (istisna)” olarak üç farklı kural yapısı ile çalışmakta. “Allow” kuralı sadece bilinen ve güvenilir uygulamaların çalıştırılmasına izin vermekte, bunun dışında kalan tüm uygulamalara erişimi engellemektedir. “Deny” kuralı bunun tam tersi bir yaklaşımla, belirli uygulamalara erişimi engellemekte, bunların dışında kalan tüm uygulamaların çalıştırılmasına izin vermektedir. Bu izin verme/yasaklama kurallarını tamamlamak için istisna kuralları da kullanılmaktadır. Bu kuralları uygun bir şekilde birleştirerek, örneğin Acrobat Reader’ın üreticisi tarafından imzalanmış ve sürümü 9.0 veya üzeri olan tüm sürümlerinin çalıştırılmasına izin verilebilir. AppLocker kuralları kullanıcı veya grup bazlı olarak da tanımlanabilmekte. Örneğin muhasebe bölümü dışındaki tüm kullanıcıların (sistem yöneticileri de dahil) muhasebe uygulamalarını çalıştırmasını engellemek mümkün.

BitLocker ve BitLocker To Go

Her yıl gerekli güvenlik önlemleri alınmayan yüzbinlerce bilgisayar kaybolmakta veya çalınmaktadır. Bununla beraber verinin kaybolması veya çalınması sadece bilgisayarın fiziksel koruması ile ilgili bir sorun değildir. USB flash diskler, e-posta, sızan dökümanlar gibi pek çok yöntem ile önemli bilgiler yanlış kişilerin eline geçebilir. Bu sorunların üstesinden gelebilmek için Windows 7 BitLocker sürücü kriptolama desteğinin ötesinde, çıkarılabilir depolama aygıtlarını kapsayan BitLocker To Go teknolojisini de getirmiş.

BitLocker teknolojisi Windows Vista ile gelmişti. Bu teknoloji sayesinde sürücü içerisindeki bilgiler kriptolanmakta, böylelikle çalınan veya kaybolan bir bilgisayarın sabit diski çıkartılıp farklı bir bilgisayara ekstra disk olarak takıldığında içindeki bilgilere erişim engellenmekteydi. Ancak bunun için Vista’nın kurulumu sırasında bilgisayarın sabit diskinde iki farklı bölüm oluşturulması gerekiyordu. Tek disk bölümü kullanılarak yapılan kurulumlarda sonradan BitLocker’ı aktif hale getirmek ise biraz zahmetli bir işti. Windows 7 ise disk bölümlerini kurulum sırasında otomatik olarak yaratmaktadır. Buna ek olarak Windows 7′de bir sürücü üzerinde farenin sağ tuşunu tıklayıp, sürücüyü kriptolu hale getirebilirsiniz.

Windows 7 BitLocker teknolojisinde Veri Kurtarma Aracısını (Data Recovery Agent, DRA) da desteklemektedir. Böylelikle BitLocker ile kriptolanarak koruma altına alınmış disk bölümlerine gerektiğinde yetkisi olan sistem yöneticileri tarafından erişim sağlanabilmekte. BitLocker To Go ise bu korumayı USB flash disklere veya çıkarılabilir disk sürücülere de sağlamakta. Sistem yöneticileri çıkarılabilir sürücü aygıtlarında kriptolu korumayı aktif edebileceği gibi, bu korumanın uygulanmadığı aygıtların salt-okunur olarak da kullanılabilmesini sağlayabilmekteler. Ayrıca korumalı disk bölümlerinin parola, smart card veya etki alanı kullanıcı bilgileri gerektirecek şekilde yapılandırmasını sağlayacak politikalar da mevcut.

Kaynak: Microsoft Technet sitesi