«Односторонний» брандмауэр Windows Vista

Когда персональный брандмауэр на самом деле не является таковым? Как насчёт случая, когда он сделан в Microsoft? Одной из «новых» фишек Windows Vista является Windows Firewall, который доступен во всех изданиях новой ОС. Windows Firewall, конечно, не является новинкой; он уже был доступен пользователям Windows XP SP2, но он мог блокировать только входящие соединения. По заявлениям Microsoft, в Windows Vista брандмауэр будет работать в обе стороны, обеспечивая возможность блокировать как входящие, так и исходящие соединения… Но при ближайшем рассмотрении оказалось, что это не более чем маркетинговый ход. Вмести с Windows Vista вы получите половину брандмауэра, которая нуждается в серьёзной доработке.

Что есть что. Далее мы рассмотрим всё более подробно. В новом брандмауэре Вы можете увидеть, что отображаются как входящие, так и исходящие соединения. Более того, их можно отдельно заблокировать или разрешить в трёх разных профилях: Политика домена (Domain Policy), Частный профиль (Private Profile), и Публичный профиль (Public Profile). Профили используются для корпоративных сетей, домашнего использования и Wi-Fi сетей соответственно. В каждом профиле текущее состояние соединений отображается вместе с иконкой, например «хорошая» иконка обозначает отсутствие заблокированных входящих соединений, а иконка «заблокировано» обозначает наличие заблокированных исходящих соединений.

Это может немного смутить, но давайте разберёмся подробнее. Вообще, по умолчанию, входящие соединения из Интернета блокируются, и это именно то, чего Вы хотите: защита от разных вирусов, червей и не авторизованного доступа к вашему компьютеру. Таким образом иконка «заблокировано» позволяет Вам ощутить защиту. Но для исходящих соединений – т.е., тех случаев, когда Ваш компьютер устанавливает соединение с Интернетом и загружает (или принимает) оттуда какие-либо данные – всё будет разрешено, без каких либо исключений. И для обозначения этого Microsoft использует «хорошую» иконку. И это не очень хорошо. Защита исходящих соединений… Где же она? В своём электронном письме Рован Троллоп (Rowan Trollope), один из руководителей Symantec, предоставил доказательства, изложить которые можно так: «Мы обнаружили, что по умолчанию в Vista отсутствует правила блокировки исходящих соединений, другими словами каждый раз, когда в Windows Firewall включена защита исходящих соединений, он не будет нечего предпринимать. В Microsoft не должны были удивится, увидев комментарии, касающиеся их брандмауэра. В прессе уже более года существуют статьи, которые рассказывают о «одностороннем» брандмауэре в Windows XP SP2.

Защита Microsoft’а. PR агентство Microsoft’а выступило в защиту компании: «Если бы мы сделали по другому, то каждому пользователю, который обновил свой XP или купил компьютер с предустановленной ОС пришлось бы создавать правила для каждого приложения: : Instant Messaging, IE, e-mail, Windows Media, iTunes, обновлений любых программ. И если бы он выбрал, по ошибке или не знанию, «заблокировать», то мог бы лишиться новых функций».

Очень слабое объяснение, особенно если учитывать тот факт, что любой брандмауэр на рынке программного обеспечения наголову выше творения Microsoft. Что же действительно происходит? Microsoft получает свой основной доход от операционных систем, и значительная его доля приходится на лицензии корпоративных пользователей. Офисные приложения (Word, Excel, Access) разрабатывались с учётом тесного взаимодействия с различными серверами, такими как Sharepoint Server. Это значит, что приложения Microsoft Office открывают различные порты для исходящих соединений. И использование стороннего ПО может привести к проблемам. Microsoft ненавидит решать проблемы пользователей, компания хочет продать продукт, содержащий столько функций и приложений, сколько возможно. Это значит, что брандмауэр Microsoft предназначен в первую очередь для корпоративных клиентов, и к чёрту простых пользователей, которые хотя защитить информацию о своих кредитных карточках. Создание правил для приложений - неплохая идея, правда для обычного домашнего пользователя, который понятия не имеет, что блокировать, а что нет, это может стать большой проблемой. Домашние пользователи Windows Vista снова платят деньги за ОС, разработанную для корпораций. Даже если Вы – системный администратор и знаете, где смотреть – вы врят ли сможете провести тонкую настройку брандмауэра. А свободные исходящие соединения на вашей машине означают, что как только различные вредоносные программы попадут на Ваш компьютер, они смогут без ограничений передавать Ваши личные данные или сделать Ваш компьютер частью БотНета (BotNet) или использовать его для рассылки спама. Microsoft утверждает, что блокировка входящих соединений поможет справится с проникновением заразы на компьютеры посредствам Интернета, но это, к сожалению, не единственный путь проникновения вирусов.

Недавно спутниковая компания «TomTom» объявила о том, что некоторые их GPS устройства содержат компьютерные вирусы, а в конце прошлого года Apple заявила, что некоторые IPod’ы так же содержат вирусы. Можно подхватить вирус с обычного CD или DVD диска… Поэтому если Вам нужна защита – купите настоящий брандмауэр. Моя рекомендация – ZoneAlarm, но даже комплект Internet Security защищает лучше, чем творение Microsoft’а.