Přednáška o Windows
Z Milan Kerslager
Přednáška o Windows v rámci předmětu OPS na Technické univerzitě v Liberci:
- přednášet budou pracovníci Microsoftu
- uskuteční se dne 4. a 11.12.2009 ve 12:30 v učebně B4
- zajistila: Ing. Lenka Kosková Třísková
4.12.2009
- téma: Windows 7
- přednášející: Karel Florian [1]
Osnova
Prvních cca 20-25 minut bude vypadat takto:
- architektonické změny ve Windows 7 (MinWin, časovače)
- bezpečnostní novinky Windows 7 (UAC, virtuální adresáře, BitLocker To Go, AppLocker)
- nativní podpora VHD
- Shims
Zbytek času Windows Power Shell.
Komentář
Plánované zmínky
- MinWin
- snaha o Windows bez GUI (Rob Short, the vice-president of the Windows Core Technology group: much closer to the thing the Linux guys have)
- 2003 server: není možno bez GUI instalovat a konfigurovat
- 2008 server: bez GUI může běžet: ADS, DNS, DHCP, IIS -> MinWin, Server Foundation, Server Core
- dnes je MinWin: jádro, HAL, síťový subsystém
- Windows 7: primitivní HTTP server: 25MB, ~100 souborů + 40MB RAM (aka (Dave) Cutler's NT), ale není jasné zda opravdu W7 MiWin obsahuje
- časovače
- UAC
- Why Windows 7's Default UAC Is Insecure
- elevace privilegíí od programů, které je mají jaksi schválně navíc (notepad.exe, calc.exe), tj. zneužití implementovaných backdoorů, protože Microsoft neopravil od Vista ani své instalátory
- Microsoft Won't Fix Windows 7's UAC
- Microsoft Flags UAC Flaw as Malware
- Why Windows 7's Default UAC Is Insecure
- virtuální adresáře
- BitLocker To Go
- šifrování USB flash disků [2]
- AppLocker
- blokování aplikací podle hashe, cesty k souboru, vydavatele, verze (oboje uvedeno v souboru) [3]
- VHD
- Shims
- mezivrstva, knihovna pro kompatibilitu aplikací se staršími Windows (jako Wine)
- Windows Power Shell
- řádkový, objektový shell – česky: [6]
Nezmíněné vlastnosti
- TRIM
- problémy s Intel SSD [7]
- proč není pro SSD speciální souborový systém (logový nebo dokonce objektový)
- WoW64, limity 32bitové architektury
- běh 32bitových programů v 64bitovém OS
- režie PAE, doporučení pro přechod na 64bitový OS (s ohledem na velikost RAM)
- odstraněn big kernel lock [8]
- fragmentace NTFS
- problém dvouvrstvového FS (stejný problém, jako u SSD)
- (obousměrný stavový) firewall
- měl být ve Vista
- exFAT
Též články na stránce Aktuality, např:
- NSA nemá ve Windows 7 backdoor
- jak udělat audit systému, jak po aktualizacích
- jak řešit systémově a bezpečně aktualizace i pro běžné programy
- MSIE 9 se snaží dohnat ostatní
- proč se nedodržují standardy a proč se na jejich adresu mlží (nemyslíme, že jsou dobré, a proto nebudou podporovány)
- porušení licence GPL ve Windows 7
- bagatelizace remote DoS pro Windows 7
- atd.
Výsledek přednášky
Specialisté z firmy Microsoft na úvod oznámili, že jejich povolání je IT evangelista (evangelista je doslova zvěstovatel dobrých zpráv, v křesťanství je to zejména zvěstování Kristova obětování za lidi, Kristova zmrtvýchvstání, neposkvrněného početí svaté Marie atd.). Toto oznámení mne poněkud zarazilo, protože pokud je někdo specialista, nemůže být evangelista (věřící nepochybuje, věřící akceptuje nekriticky svoji víru). Ani jeden z nich neměl rozumnou webovou stránku s prezentací své odbornosti (viz odkaz výše). Server Windows Live neposkytuje možnost vyhledání jejich příspěvků v odborných diskuzích, což sami přiznali.
Oba přednášející opakovaně neférově negativně naráželi na vše, co není made in Microsoft, například na fakultní WiFi EDUROAM, konkurenční prohlížeče, unixová řešení. Na své prezentaci opakovaně vyzdvihovali efekty při změnách slajdů (aka Microsoft Office 10 beta), přičemž opakovaně dávali najevo, že je to rozhodující přednost jejich technologie. Z tohoto pohledu naprosto nepochopili, co je odborná přednáška a na co by se měla soustředit (i když slíbili, že jejich přednáška nebude žádné PR představení).
Obsahem přednášky o Windows 7 bylo:
- MinWin
- pojem byl vysvětlen (není to jen jádro, ale jádro včetně 150 binárek, což je celkem asi 30 MB)
- nebylo zmíněné, že oficiální vysvětlení termínu se v čase měnilo (s ohledem na marketing této změny)
- z výkladu vyplynulo, že se jedná o jakousi miniinstalaci
- MinWin je něco jako minidistribuce Linuxu, avšak se značně nižšími požadavky na funkčnost a použitelnost
- pojem byl vysvětlen (není to jen jádro, ale jádro včetně 150 binárek, což je celkem asi 30 MB)
- CoreParking
- usínání nevyužívaných jader
- změny časovače
- z výkladu vyplývá, že se jedná o tickless implementaci scheduleru (není-li nic na práci, neprovede se naplánované probuzení jádra v intervalu základního taktu jádra typicky 100 až 1000 Hz)
- tato vlastnost byla jednou z novinek distribuce Fedora 8, která byla vydána v roce 2007 (tj. před třemi lety), přičemž vlastnost sama o sobě existuje ještě déle [9]
- nebylo vysvětleno, že CoreParking je na tomto závislý a nebyly ani vysvětleny principy (průvodní negativa, řešení doplnění tiků hodin atd.)
- jako přednost bylo uvedeno, že byl při změnách odstraněn BKL (aka Big Kernel Lock), což způsobilo odstranění 25% režii vícejádrových systémů
- v Linuxu se BKL odstraňuje již 10 let (scheduler je bohužel jen jedna malá část systému, kde se BKL používá pro snadnou a primitivní modifikaci jednojádrového systému na SMP systém)
- taková režie je na současných Windows systémech rozhodně smrtící, zejména když tato vlastnost je implementována jen ve Windows 2008 SP1 (a desktopových Windows 7)
- z výkladu vyplývá, že se jedná o tickless implementaci scheduleru (není-li nic na práci, neprovede se naplánované probuzení jádra v intervalu základního taktu jádra typicky 100 až 1000 Hz)
- UAC
- vyzdviženo vylepšení UAC vůči implementaci ve Vista
- na moji otázku prohlásili, že neví vůbec nic o odborné kritice nového UAC (vytvoření backdooru, proof of code, falešný pocit bezpečí)
- vyzdviženy virtuální adresáře, které se připojí až po přihlášení uživatele, což má ochránit start systému před viry
- na moji připomínku o security by obscurity nebylo nijak reagováno, natož uznáno, že nepřipojený adresář ochrání zbytek systému (zbytek systému startuje s právy správce, takže si může jakýkoliv virtuální adresář připojit), viz např. [10]
- vyzdviženo vylepšení UAC vůči implementaci ve Vista
- Shim
- prezentováno 6099 aplikací, 365 shims
- jako přednost prezentován konec podpory LAN manageru
- nijak nebylo vysvětleno, jak bude probíhat komunikace se staršími verzemi Windows
- PowerShell
- prezentace obsahovala ukázku kódu, který nebyl nijak vysvětlen
- ani po dotazu nebyl kód předveden (odkaz na technické problémy)
- přednášející prokázal neznalost principu unixového shellu, se kterým srovnával
- roura je v unixovém prostředí binární a schopnost přenosu objektu skrze ni je závislá jen na tom, jak obě strany chápou daný proud bitů
- drtivá část výkladu byla věnována možnosti vložit do skriptu digitální podpis a možnosti nastavení, kdy se nepodepsaný skript nespustí
- nebylo vysvětleno, jak se systém bude bránit podvržení certifikátu certifikační autority, případně jestli je k dispozici nějaký nástroj pro verifikaci skriptů a jejich správu (včetně certifikátů)
- nebyl vysvětlen ani načrtnut princip digitálního podpisu
- po mém upozornění byly slabiny digitálního podpisu bagatelizovány spolu s odmítnutím, že věrohodnost leží na uživatelově znalosti problematiky a slabin digitálního podpisu
- přednáška bohužel neposkytla žádnou představu o přínosu a praktické použitelnosti PowerShellu
- prezentace obsahovala ukázku kódu, který nebyl nijak vysvětlen
11.12.2009
- téma: Windows Mobile, Windows Embedded
- přednášející: Pavel Bánský
Přednáška zrušena.
