การรักษาความปลอดภัยนั้น ถือเป็นสิ่งที่ต้องคำนึงถึงเป็นอันดับต้นๆ ของเหล่าผู้เชี่ยวชาญด้านไอที ซึ่งแน่นอนว่า เมื่อไมโครซอฟท์เปิดตัว Windows® 7 คำถามเหล่านี้ก็จะต้องถูกถามถึงอย่างหลีกไม่พ้น ประเด็นที่น่าสนใจเกี่ยวกับเรื่องความปลอดภัยบน Windows 7 นั้นมีอยู่มากมาย และคงพูดกันได้ไม่จบไม่สิ้นในบทความเดียวแน่นอน ดังนั้นเราจึงจะขอเน้นเพียงแค่ประเด็นหลักสามประเด็นที่เห็นได้ชัดเจนที่สุด เสียก่อน ดังนี้
1. Windows 7 สร้างขึ้นบนพื้นฐานด้านความปลอดภัยของ Windows Vista โดยได้ทำการปรับปรุงระบบการตรวจสอบ และฟีเจอร์ด้าน User Account Control (UAC) ให้ดียิ่งขึ้น |
2. Windows 7 ช่วยควบคุมซอฟต์แวร์ที่จะรันในระบบด้วยฟังก์ชั่น AppLockerTM |
3. Windows 7 ขยายขีดความสามารถของ BitLocker Drive Encryption ด้วยการนำเสนอฟีเจอร์ BitLocker To GoTM สำหรับการเข้ารหัสข้อมูลในอุปกรณ์เก็บข้อมูลที่เคลื่อนย้ายได้ |
สภาพแวดล้อมระบบที่เน้นด้านความปลอดภัยเป็นพื้นฐาน
Windows 7 นั้นพัฒนาขึ้นบนระบบความปลอดภัยที่แข็งแกร่งของ Windows Vista อีกทั้งยังถูกสร้างขึ้นด้วยขั้นตอนการทำงานและเทคโนโลยีเดียวกัน อีกทั้งฟีเจอร์เด่นๆ ด้านการรักษาความปลอดภัย อย่างเช่น Kernel Patch Protection, Service Hardening, Data Execution Prevention, Address Space Layout Randomization และ Mandatory Integrity Levels ซึ่งช่วยในการจัดการกับมาลแวร์ (Malware) และการคุกคามระบบต่างๆ ก็ยังมีอยู่อย่างครบครัน นอกจากนี้ Windows 7 ถูกออกแบบและพัฒนาขึ้นโดยใช้ระบบของ Microsoft Security Development Lifecycle (SDL) จึงทำให้ผ่านการประเมินผลด้านความปลอดภัย ตลอดจนได้รับการรับรอง Evaluation Assurance ในระดับ Level 4 อีกทั้งยังผ่านมาตรฐานของ Federal Information Processing Standard 140-2 อีกด้วย
ขยายขีดความสามารถด้านการตรวจสอบระบบ
Windows 7 ถูกขยายขีดความสามารถในการตรวจสอบ (Audit) เพื่อให้องค์กรสามารถใช้งานและปฏิบัติตามนโยบายด้านกฎระเบียบและด้านธุรกิจ ได้ง่ายขึ้น การขยายความสามารถด้านการตรวจสอบนี้ เริ่มต้นด้วยการตั้งค่า Configuration ที่เกี่ยวกับการตรวจสอบให้ใช้ได้ง่ายและบริหารจัดการได้ดียิ่งขึ้น รวมถึงการประมวลข้อมูลต่างๆ ก็สามารถทำให้เห็นอย่างชัดเจนว่าเกิดอะไรขึ้นบ้างเกี่ยวกับระบบในองค์กร ยกตัวอย่างเช่น ระบบสามารถบอกข้อมูลเบื้องลึกที่ทำให้คุณเข้าใจได้ว่า เหตุใดผู้ใช้บางคนจึงถูกอนุญาตหรือห้าม ในการเข้าถึงข้อมูลชุดใดชุดหนึ่ง หรือ แสดงผลการเปลี่ยนแปลงใดๆ ก็ตามที่ผู้ใช้หรือกลุ่มของผู้ใช้กระทำต่อระบบได้ เป็นต้น
User Account Control (UAC) ที่มีความคล่องตัวมากขึ้น
User Account Control (UAC) เป็นอีกฟีเจอร์หนึ่งที่สร้างต่อยอดจาก Windows Vista ที่สามารถกำหนดสิทธิผู้ใช้ (User Account) ในการใช้งานโปรแกรมต่างๆ และ Windows 7 เองก็ทำการต่อยอดการพัฒนา UAC นี้โดยการปรับปรุงเปลี่ยนแปลงให้ ผู้ใช้มีความคล่องตัวในการใช้งานมากยิ่งขึ้น ซึ่งรวมถึงการลดจำนวนแอพพลิเคชั่นและ task ที่ต้องกำหนดโดยสิทธิของผู้ดูแลระบบ (Admin Mode) โดยเฉพาะลง และเพิ่มความยืดหยุ่นในการแสดงหน้าจอเตือนสิทธิสำหรับผู้ใช้ที่ต้องการเรียก ใช้โปรแกรมในโหมดสิทธิของผู้ดูแลระบบ (Admin Mode) ให้มากขึ้น ผลที่ได้รับก็คือ ผู้ใช้ทั่วไปจะได้รับความสะดวกสบายในการใช้งานโปรแกรมมากกว่าแต่ก่อน ในขณะที่ การใช้งานโดยผู้ใช้ก็จะสะดวกและคล่องตัวมากยิ่งขึ้น เนื่องจากหน้าจอแจ้งเตือนของ UAC จะลดลงอย่างเห็นได้ชัด
AppLocker
AppLocker จะช่วยควบคุมแอพพลิเคชั่นบน Windows 7 ในด้านนโยบาย (Policy) โดยที่ AppLocker นี้เป็นกลไกที่ช่วยให้ฝ่ายไอทีสามารถระบุลงไปได้ว่าจะอนุญาตให้แอพพลิเคชั่น ใดสามารถรันบนระบบได้ ขณะเดียวกัน ก็มอบความสามารถให้ผู้ใช้ติดตั้งโปรแกรมหรือสคริปต์ใดๆ ก็ตามที่ต้องการในการทำงานได้เช่นกัน AppLocker นี้จะช่วยให้ฝ่ายไอทีสามารถกำหนดมาตรฐานแอพพลิเคชั่นภายในองค์กร โดยที่สามารถคงการรักษาระดับความปลอดภัย การปฏิบัติงาน และกฎระเบียบของบริษัทได้ในเวลาเดียวกัน
AppLocker สร้างโครงสร้างระบบที่มีความเรียบง่ายแต่ทรงพลัง ด้วยกฎข้อบังคับสามอย่าง ได้แก่ Allow (อนุญาต) Deny (ห้าม) และ Exception (ยกเว้น) กฎ Allow จะอ่านรายชื่อแอพพลิเคชั่นว่า มีแอพพลิเคชั่นตัวใดบ้างที่ “เชื่อถือได้” สำหรับการรันบนระบบ และจะห้ามการใช้งานโปรแกรมอื่น นอกจากนั้น กฎ Deny จะทำงานตรงกันข้ามกัน คือ จะอนุญาตให้ทุกแอพพลิเคชั่นสามารถรันได้ ยกเว้นแอพพลิเคชั่นที่อยู่ในรายชื่อ “ไม่น่าไว้ใจ ” ในขณะที่องค์กรต่างๆ มักจะใช้แค่กฎ Allow และ Deny ร่วมๆ กันไปนั้น การใช้งาน Applocker จริงๆ แล้ว ดูจะเป็นการใช้งานกฎ Allow โดยคงข้อยกเว้นบางอย่างไว้ภายในเสียมากกว่า เพื่อการนี้แล้ว กฎ Except จึงถูกสร้างขึ้นมา เพื่อแยกไฟล์ออกมาจากกฎ Allow และ Deny ยกตัวอย่างเช่น สร้างกฎเพื่อ “อนุญาต” ให้สามารถรันทุกแอพพลิเคชั่นบนระบบได้ “ยกเว้น” เกม เป็นต้น การใช้ Allow และ Except ร่วมกัน ถือเป็นวิธีที่ดีมากในการสร้าง “รายชื่อแอพพลิเคชั่นที่ไว้ใจได้” เพียงรายการเดียว โดยไม่จำเป็นต้องยุ่งยากในการตั้งกฎขึ้นมาหลายๆ ข้อ เพื่อใช้งาน
AppLocker ยังได้นำเสนอการสร้างกฎแบบ “Publisher Rule” ซึ่งใช้ Application Digital Signature เป็นพื้นฐาน การใช้งาน Publisher Rule จะทำให้เราสามารถสร้างกฎที่สามารถคงอยู่ได้แม้แอพพลิเคชั่นจะถูกอัพเกรด โดยการกำหนด Attribute บางอย่าง เช่น เวอร์ชั่นของแอพพลิเคชั่น ลงไปในกฎได้ ตัวอย่างการใช้งานก็เช่นว่า องค์กรอาจจะสร้างกฎที่บอกว่า “อนุญาตให้รัน Acrobat Reader ทุกเวอร์ชั่นที่สูงกว่า 9 ขึ้นไปได้ หาก Publisher คือ Adobe” หลังจากนี้แล้ว เมื่อทาง Adobe ทำการอัพเดท Acrobat คุณก็สามารถทำการอัพเดทได้ทันที โดยไม่จำเป็นต้องสร้างกฎอันใหม่เพื่อมารองรับเวอร์ชั่นของแอพพลิเคชั่น เป็นต้น
นอกจากนี้ กฎของ AppLocker ยังสามารถนำมาเชื่อมกับผู้ใช้หรือกลุ่มผู้ใช้ ในองค์กรได้อีกด้วย ซึ่งความสามารถนี้ จะทำให้เราสามารถทำการควบคุมได้ว่า ผู้ใช้คนใดสามารถรันแอพพลิเคชั่นใดได้บ้าง ยกตัวอย่างเช่น คุณอาจกำหนดกฎว่า “อนุญาตให้ผู้ใช้ในแผนกการเงิน รันแอพพลิเคชั่นที่เกี่ยวข้องกับการเงินได้” ซึ่งกฎนี้จะปิดกั้นไม่ได้ผู้ใช้อื่นๆ ที่ไม่เกี่ยวข้องกับแผนกการเงิน (ทั้งนี้รวมถึงผู้ดูแลระบบด้วย) สามารถที่จะรันแอพพลิเคชั่นเหล่านั้นได้ ในขณะที่ยังคงสามารถให้บริการแก่ผู้ใช้ที่เกี่ยวข้องได้โดยไม่ติดขัด
AppLocker มอบความสามารถในการควบคุมให้กับผู้ดูแลระบบได้ด้วย Tool และ Wizard วิซาร์ดที่ช่วยในการเรียนรู้ระบบ การสร้างกฎ การอิมพอร์ท และเอ็กพอร์ทกฎ อย่างเป็นขั้นเป็นตอน จึงทำให้การใช้งานเป็นไปได้อย่างง่ายดาย เช่น ผู้ดูแลระบบไอที สามารถที่จะสร้างกฎขึ้นมาโดยอัตโนมัติที่เครื่องสำหรับทดสอบก่อน จากนั้นจึงทำการอิมพอร์ทกฎนั้นๆ เข้าไปยังระบบจริงที่กระจายอยู่ตามที่ต่างๆ หรือ การเอ็กพอร์ทกฎต่างๆ เก็บไว้เป็นแบ็กอัพ เพื่อสำรองข้อมูลของระบบ หรือสร้างเอกสารรายงานได้อีกด้วย
BitLocker และ BitLocker To Go
ในแต่ละปี เครื่องคอมพิวเตอร์มักสูญหายหรือถูกโจรกรรมเป็นจำนวนมาก ซ้ำร้ายหลายเครื่องเป็นคอมพิวเตอร์ที่ไม่มีมาตรฐานการป้องกันอย่างเหมาะสม แต่ยิ่งไปกว่านั้น หากจะพูดกันถึงเรื่องปัญหาของข้อมูลที่สูญหาย ข้อมูลที่หายก็ไม่ได้จำกัดแค่ข้อมูลในเครื่องคอมพิวเตอร์เท่านั้น แต่ยังรวมถึงข้อมูลใน USB ไดร์ฟ อีเมล หรือการรั่วไหลของเอกสารระหว่างการสื่อสารอีกด้วย เพื่อการนี้แล้ว Windows 7 จึงได้มีฟีเจอร์ในการจัดการกับปัญหาการรั่วไหลของข้อมูลด้วย BitLocker Drive Encryption และฟีเจอร์ใหม่ BitLocker To Go ซึ่งนำเสนอการป้องกันข้อมูลรั่วไหลเพิ่มเติม โดยการขยายขอบเขตการเข้ารหัสไปสู่อุปกรณ์เก็บข้อมูลแบบพกพาทั้งหลาย
เทคโนโลยี BitLocker Drive Encryption (หรือเรียกสั้นๆ ว่า BitLocker) จะช่วยแก้ปัญหาการถูกโจรกรรมข้อมูลด้วยการบูทเครื่องผ่านระบบปฏิบัติการ อื่นๆ ที่ไม่ใช่ระบบหลัก หรือการใช้โปรแกรมแฮกกิ้ง ในการเข้าถึงแฟ้มข้อมูลบน Windows 7 รวมถึงป้องกันการลักลอบอ่านไฟล์โดยตรงจากอุปกรณ์เก็บข้อมูล ถึงแม้ว่า BitLocker บน Windows 7 จะใช้ส่วนโปรแกรมหลักเดียวกันกับ BitLocker ของ Vista ก็ตาม แต่ BitLocker บน Windows 7 นั้นถูกปรับปรุงขยายขีดความสามารถในการใช้งานให้ง่ายต่อผู้ดูแลระบบและผู้ ใช้มากยิ่งขึ้น อาทิเช่น โดยปกติแล้ว การใช้งาน BitLocker บน Vista นั้น ผู้ใช้จะต้องทำการจัดแบ่งพาร์ทิชั่นของฮาร์ดดิสก์สำรองไว้ก่อนเสมอ ซึ่งสำหรับผู้ที่ยังไม่เคยใช้งานมาก่อนนั้น จะต้องทำการแบ่งด้วยตนเอง ทว่า Windows 7 จะทำการจัดสรรเนื้อที่ส่วนนี้ให้โดยอัตโนมัติในระหว่างการติดตั้งระบบ เพื่อความสะดวกของผู้ใช้ หรือ การสามารถปิด/เปิด BitLocker โดยใช้การคลิกขวาที่ไอคอนไดรฟ์ได้ในทันที
BitLocker ใน Windows 7 นั้น ยังมีเทคโนโลยี Data Recovery Agent (DRA) ให้สำหรับอุปกรณ์เก็บข้อมูลที่มีการป้องกันทั้งหมด ซึ่ง DRA จะช่วยให้แผนกไอทีสามารถควบคุมหน่วยบันทึกข้อมูลทั้งหมด (ทั้งส่วนระบบปฏิบัติการ ส่วนเก็บข้อมูลภายในเครื่อง และ ส่วนเก็บข้อมูลที่เคลื่อนย้ายได้) ที่ได้ทำการเข้ารหัสข้อมูลไว้แล้วได้ โดยการที่ DRA จะทำการสร้างคีย์ใหม่ขึ้นบนหน่วยบันทึกข้อมูลที่กำหนด ซึ่งจะทำให้ผู้ดูแลระบบสามารถเข้าถึงข้อมูลที่ถูกป้องกันไว้โดย BitLocker ได้เสมอ
และสำหรับ BitLocker To Go ที่เพิ่มมาใหม่นั้น ก็คือ ฟีเจอร์ที่ขยายออกมาจาก BitLocker เพื่อใช้งานบนหน่วยเก็บข้อมูลที่เคลื่อนย้ายได้ เช่น USB ไดร์ฟ หรือฮาร์ดดิสก์แบบเคลื่อนย้ายได้ ซึ่งผู้ดูแลระบบจะสามารถใช้ BitLocker To Go เพื่อควบคุมอุปกรณ์เหล่านี้โดยกำหนดระดับของความเข้มงวดได้เช่นกัน เช่น การบังคับให้หน่วยเก็บข้อมูลที่เคลื่อนย้ายได้จะสามารถเขียนข้อมูลลงไปได้ก็ ต่อเมื่อมีการเข้ารหัสไว้แล้วเท่านั้น ในขณะที่อุปกรณ์ที่ไม่มีการเข้ารหัสไว้ จะสามารถทำการอ่านได้เพียงอย่างเดียว เป็นต้น รวมถึงสามารถกำหนด Policy ขึ้น ในการเรียกใช้ Password, Smart Card หรือ Domain เพื่อกำหนดมาตรฐานการป้องกันให้กับอุปกรณ์เหล่านี้ได้เช่นกัน
BitLocker To Go สามารถทำงานได้อย่างอิสระ โดยไม่จำเป็นต้องมีการติดตั้ง BitLocker ในระบบ อีกทั้งผู้ใช้งานในระบบ Windows XP หรือ Vista ยังสามารถใช้โปรแกรม BitLocker To Go Reader ในการอ่านไฟล์ที่ถูกเข้ารหัสเหล่านี้ได้ ในระบบ Read-only อีกด้วย ซึ่งถือเป็นการรักษาความปลอดภัยของข้อมูล ในขณะที่ยังสามารถใช้งานร่วมกับระบบเก่าได้พร้อมกัน
ไม่ว่าคุณจะใช้เครื่องแล็ปท็อปในการเดินทาง แชร์ไฟล์ขนาดใหญ่ระหว่างคู่ค้า หรือ นำเอกสารงานกลับบ้าน BitLocker และ BitLocker To Go จะช่วยให้คุณมั่นใจได้ว่า คนที่เข้าถึงข้อมูลนั้นๆ คือ คนที่ได้รับอนุญาตเท่านั้น ถึงแม้จะอุปกรณ์จะถูกขโมย สูญหาย หรือการใช้งานผิดประเภทก็ตาม
สรุป
แม้จะถูกพัฒนาบนพื้นฐานของ Vista ก็ตาม แต่ Windows 7 ได้ทำการขยายขีดความสามารถและฟีเจอร์ต่างๆ ด้านการรักษาความปลอดภัยขึ้นมาอีกมากมาย เพื่อให้ความมั่นใจแก่ผู้ใช้ว่า Microsoft นั้น พยายามที่จะสรรหาวิถีทางที่จะพัฒนาการป้องกันระบบให้แก่ผู้ใช้งานไอทีอยู่ เสมอ ซึ่งนั่นก็ทำให้องค์กรด้านธุรกิจ ได้ประโยชน์จากการขยายขีดความสามารถในการเสริมความแข็งแกร่งของระบบให้พ้น จาก Malware และช่วยในการป้องกันทรัพยากรและข้อมูลขององค์กร ผู้ใช้งานโดยทั่วไป ก็จะได้รับประโยชน์จากการใช้งานคอมพิวเตอร์และอินเตอร์เน็ต โดยสามารถมั่นใจได้ว่า Windows 7 ถูกสร้างขึ้นมาจากเทคโนโลยีที่ป้องกันความเป็นส่วนตัวไว้แล้วเป็นอย่างดี ในขณะที่ทุกๆ คน ที่ใช้งาน Windows 7 ก็ได้รับประโยชน์จากระบบที่ปรับแต่งได้อย่างอิสระมากยิ่งขึ้น ซึ่งนั่นเป็นสิ่งที่ช่วยให้ผู้ใช้สรรหาความลงตัวระหว่างการป้องกันระบบ และความง่ายต่อการใช้งานที่ตนเองต้องการได้นั่นเอง
Reference http://technet.microsoft.com/en-us/library/dd560691.aspx