Список нововведений в ОС Windows Vista / Windows Server 2008 (Longhorn)

Попытка систематизировать список изменений в новой ОС Microsoft с упором на "незаметные" изменения. Новый интерфейс это, конечно, очень интересно, но это не единственное будущее отличие Vista от Windows XP/2003.

[обновление от 6 ноября 2007] Начал собирать новости о следующей версии Windows.

Ядро ОС

• Технология Kernel Patch Protection (иногда называется как PatchGuard) для защиты от rootkit-ов
  (эта технология также есть в 64 разрядных версиях WinXP/2003 - link)
  PatchGuard включен только в 64-х разрядных версиях Vista. Для 32-х разрядный версий ОС, возможно, будет представлена возможность включать эту возможность.
  
  • Windows Vista Security Blog: An Introduction to Kernel Patch Protection
• Kernel Protection: на уровень ядра загружаются только драйвера имеюшие цифровую подпись (digitally signed kernel drivers)
• Отказ от файла boot.ini. Настройки загрузчика можно менять с помощью утилиты bcdedit.exe или WMI. Цель этого шага - подготовка к массовому внедрению EFI вместо BIOS.
  • [video @ channel9] Windows Vista PreOS Environment: What happens before the OS loads
• Inside the Windows Vista Kernel: Part 1 (Mark Russinovich)
• Поддержка транзакций при работе с реестром (а также с файловой системой NTFS) - Kernel Transaction Manager. Например, функция WinAPI RegCreateKeyTransacted.
  • Not a kernel guy - Поддержка транзакций в ядре Vista
• Внутреннее устройство ядра Windows Vista: часть 2
  • Динамическое адресное пространство ядра
  • SuperFetch
  • Приоритеты памяти
  • ReadyBoost/ReadyBoot
  • Службы с отложенным автозапуском

Безопасность

• Address Space Layout Randomization (загрузка системных dll в разные адреса памяти для защиты от атак "return-to-libc"
  • Address Space Layout Randomization in Windows Vista
  • Windows Vista Address Space Layout Randomization – What is Randomized?
  • При компиляции в VS2005 можно будет указать опцию /dynamicbase чтобы ваша программа тоже грузилась по случайным адресам. (Visual Studio 2005 SP1 Beta, Windows Vista and ASLR)
• Heap randomization; Stack randomization; Heap corruption detection
  • Windows Vista ISV Security
  • FAQ about HeapSetInformation in Windows Vista and Heap Based Buffer Overruns
• [SP1] Набор функций WinAPI для программного управления политикой DEP.
• Защита от "Pointer Subterfuge" атак (API функции EncodePointer, DecodePointer, EncodeSystemPointer, DecodeSystemPointer)
  • Protecting against Pointer Subterfuge (Kinda!)
  • Protecting against Pointer Subterfuge (Redux)
• User Account Control (UAC)
  • Understanding and Configuring User Account Control in Windows Vista
  • [The Old New Thing] What do the colors in the elevation dialog mean?
  • [video @ channel9] UAC - What. How. Why.
  • Windows Vista SP1 includes a new Security Policy (UAC: Allow UAccess), which allows applications to prompt for elevation without using the secure desktop.  This allows a remote helper to enter administrative credentials during a Remote Assistance session.
• Изменения в работе встроенной учетной записи администратора
  • Windows Vista Security Blog: Built-in Administrator Account Disabled
• Parential Control
• Network Access Protection (NAP)
  • http://www.microsoft.com/technet/itsolutions/network/nap/default.mspx
• Изменения в сервисах:
  • [MSDN Magazine] Windows Services Enhancements
  • Программы пользователя и сервисы работают внутри разных сессий. Это сделано для защиты от shatter-атак против сервисов использущих UI. (Раньше первый зашедший в систему пользователь работал в одной сессии с сервисами)
    • Why Vista? Changes to services part 2
    • [screencast @ channel9] Understanding the Impact of Session 0 Isolation of Services in Windows Vista (есть демонстрация рабочего стола для нулевой сессии)
  • При установке сервис может запросить у системы уникальный SID (называемый Service SID) давая возможность администратору настроить права доступа только для конкретного сервиса. К примеру, можно будет дать права на папку с лог-файлами IIS только веб-серверу.
    • Why Vista? Changes to services part 1
  • Сервисы разделены по разным процессам в отличие от прошлых версий Windows когда многие системные сервисы работали внутри одного процесса svchost. В Longhorn Server это разделение будет усилено.
    • [видео @ channel9] Scott Field: How secure is Vista, really? - Part I
    • [видео @ channel9] Scott Field: How secure is Vista, really? - Part II
  • Учетные записи для сервисов ограничены в своих привиллегиях. В частности, у них отобрали debug privillege.
  • Интеграция фаервола и настроек сервиса. Каждый сервис имеет возможность объявить системе какие именно сетевые сервисы (к примеру, порты TCP) ему нужны для нормальной работы.
• Mandatory Integrity Control (MIC). 5 уровней (Untrusted, Low, Medium, High, System)
  Процессу с низким MIC запрешено отправлять оконные сообщения процессу с более высоким MIC.
  Текущий уровень процесса (Integrity Level - IL) можно узнать с помощью Process Explorer на закладке Security
  • Why Vista? Mandatory Integrity Control (MIC)
  • [msdn] Windows Vista Integrity Mechanism Technical Reference
• Новая модель аутентификации (Credential Providers) вместо "старой" GINA
  • chat transcript - An Introduction to Windows Server "Longhorn" (June 9, 2006)
  • Windows Vista Security Blog: New Authentication Functionality in Windows Vista
• Время последнего успешного interactive логина и кол-во попыток неуспешного входа с момента последнего успешного логина, что позволяет определить использовалась ли ваша учетная запись посторонними.
  • Windows Vista Security Blog: New Authentication Functionality in Windows Vista
• Шифрование содержимого всего жесткого диска (технология BitLocker)
  • Описание алгоритма шифрования AES-CBC + diffuser (EN)
• Следующая версия версия CryptoAPI под наванием Crypto NextGen (CNG) с поддержкой Elliptic Curve Cryptography и базовым криптопровайдером для smartcartd аутентификации (Base Smart Card Cryptographic Service Provider).
  • [журнал TechNet, май 2006] First Look: New Security Features in Windows Vista
  • [SP1] Добавлены алгоритмы SHA-256, AES-GCM, and AES-GMAC for ESP and AH, ECDSA, SHA-256, and SHA-384 for IKE and AuthIP.
  • Добавлен генератор случайных чисел NIST SP 800-90 Elliptical Curve Cryptography (ECC) pseudo-random number generator (PRNG)
• Групповая политика (Group Policy)
  • Возможность создания нескольких локальных политик в том числе и для отдельных локальных пользователей или разных политик для администраторов и обычных пользовавателей.
    • Els's blog: Multiple Local Policies in Windows Vista

Файловая система

• Transactional NTFS
  • http://en.wikipedia.org/wiki/Transactional_NTFS#Transactional_NTFS
• Self-Healing NTFS
  • (ms word) Changes in Functionality from Windows Server 2003 with SP1 to Windows Server Code Name “Longhorn”
• Укорочены названия системных папок (к примеру, папка "Documents and Settings" теперь называется просто Users)
• “Auto path shrinking“ для обхода ограничения в 260 символов на максимальную длину пути
  • http://blogs.msdn.com/michkap/archive/2006/12/13/1275292.aspx

Сети/Интернет

• Особая версия браузера под названием IE7+ Windows Internet Explorer 7 in Windows Vista 
  • IEBlog: Announcing IE7+
    (4 августа 2006 было объявлено об отказе от названия IE7+: IEBlog. Revised IE7 Naming in Windows Vista)
  • Режим работы с повышенной защитой (Internet Explorer Protected Mode)
    • IE7 in Windows Vista: Configuring Your View Source Editor
    • Protected Mode for IE7 in Windows Vista - Is it On or Off? 
  • Своя настройка для DEP (Data Execution Prevention)
    • Michael Howard's Web Log: Update on Internet Explorer 7, DEP and Adobe Software
• ActiveX Installer Service (AxIS)
  • eWeek: Windows Vista Gets ActiveX Installer Service
  • UACBlog: The ActiveX Installer Service
  • UACBlog: ActiveX Installer Service Discussion and Video
• Поддержка IPv6
  • Протокол Teredo (RFC 4380):Tunneling IPv6 over UDP through Network Address Translations (NATs)
    • IPv6 Blog. Teredo in Windows Vista: Designed with security in mind
  • The Cable Guy. October 2005. Changes to IPv6 in Windows Vista and Windows Server "Longhorn"
• Server Message Block (SMB) 2.0
• AuthIP - расширение IPSec
  • The Cable Guy - August 2006: AuthIP in Windows Vista
• Изменения в SP1
  • Добавлена поддержка протокола SSTP (Secure Sockets Tunnel Protocol)
  • Добавлена поддержка протокола 802.11n

IIS7 (www.iis.net)

• Модульная архитектура, позволяющая точно контролировать возможности веб-сервера, а также видоизменять ее.
  • [iis.net] Setup and Deployment (на странице есть изображение с 40 стандартными модулями IIS 7)
• Возможность писать расширения для веб-сервера на управляемых языках. Возможностей расширения не меньше чем у фильтров ISAPI, которые тоже поддерживаются из соображений совместимости.
• Новый FTP Server
  • Поддержка протокола FTPS - FTP with SSL (поддержка SFTP не планируется)
  • Интеграция веб и ftp серверов.
    • Создается сайт с корневым путем. Затем к этому сайту привязывается веб-сайт и ftp-сайт, образуя таким образом единое целое.
    • Единое управление связанными ftp и веб серврерами
    • New FTP Server Beta with FTP/SSL, Membership Authentication, and more...
  • Расширяемая модель аутентификации. FTP сервер может использовать аутентификацию на основе ASP.NET Membership или другого способа аутентификации. Это означает, что не нужно создавать отдельную учетную запись для ftp сервера.
  • Поддержка UTF-8
  • Получение списка файлов и каталогов из виртуальных каталогов.
• Модуль(?) FastCGI
  • Making PHP rock on Windows/IIS
• web farm deployment support (все сервера в ферме берут исходные файлы, конфигурацию и т.п. с единой общей папки)
  • ScottGu's Blog - IIS 7.0
• Убраны ограничения присутствовашие ранее в IIS 5.1 для WinXP
  • Можно создавать несколько сайтов, создавать для них разные пулы приложений, настраивать поддержку ASP.NET и т.п.
  • Каждый рабочий процесс обрабатывает не более 10 (версии pro и ultimate) или 3 (версии premium, starter и basic) запросов одновременно, остальные ждут в очереди. Раньше они отбрасывались с сообщением Server Too Busy.
• В Vista Home Premium однако будут свои ограничения на так называемые "enterprise" возможности. В частности, не будет поддержки windows аутентификации.
• App Pool Sandbox - уникальные настройки для конкретного пула, читаемые только им и не дающие доступа к любым данным(?) других пулов.
  • New in IIS 7 - App Pool Isolation (каждому приложению дается свой SID с помощью которого можно дать доступ только этому приложению на нужные объекты ОС)
• Расщиряемый интерфейс консоли управления IIS
• Hostable web core
  • Ins & Outs of hostable web core
• Вместо анонимного пользователя IUSR_ИмяКомпьютера теперь используется встроенная учетная запись IUSR. Группа IIS_WPG переименована в IUSRS, за составом которой IIS следит автоматически.
• IIS groups and users
• Встроенная фильтрация запросов (request filtering) с функциональностью аналогичной ISAPI фильтру UrlScan
• [iis.net] How to Use Request Filtering

Железо

• Windows ReadyBoost: поддержка Solid State дисков (SSD) на основе Flash памяти
  • Новость в журнале Cooler
• Ограниченные возможности по изменению размера логических разделов диска.
  • Els's blog: Disk management in Windows Vista

Ввод/вывод (IO)

• Win32 I/O Cancellation
  • MSDN: Win32 I/O Cancellation Support in Windows Vista
• Приоритеты ввода/ввода
  • Приоритезация ввода-вывода в Windows Vista (с примером как это делать для отдельных процессов)

Digital Rights Management (DRM)

• Защищенные процессы и потоки (Protected Processes)
  • [whitepaper] Protected Processes in Windows Vista

Другое

• Глобальные каталоги ресурсов для MUI интерфейса
  • The Case of the Notepad that Wouldn't Run
• Windows Feedback Platform
  • Code quality, customer feedback and application reliability with Windows Vista - Daniel Moth
• Software Protection Platform (обновленная система активации и защиты от пиратов)
  • The Register: MS builds tougher piracy protection into Vista
  • OEM Activation 2.0
    • [the register] Microsoft 'wait-and-see' on Vista BIOS hack
• Поддержка стандарта Unicode 5.0
  • Расширьте географию применения своих приложений с помощью Unicode 5.0
• Поддержка формата DWF (.dwfx)
  • Microsoft .NET 3.0 Framework includes DWF (.dwfx) Viewing Capability
• Task Sсheduler 2.0 с новым API для программистов
  • [MSDN Magazine, October 2007] Windows с C++ Task Scheduler 2.0 (статья на русском)
  • [MSDN] Документация по Task Scheduler 1.0 и 2.0

Windows Server 2008 (Longhorn)

• Возможность установить ОС без графического интерфейса (GUI) или иначе "Server Core". (для серверов Active Directory, DNS, DHCP, File Servers, IIS, Streaming Media Services)
  • chat transcript - An Introduction to Windows Server "Longhorn" (June 9, 2006)
  • Windows Server Code Name "Longhorn" Product Overview
  • Блог о ServerCore
  • IIS7 Added to Server Core (7 июня 2007)
    • на момент анонса (использования IIS7 в Server Core) функциональность .NET не доступна, то есть ASP.NET использовать нельзя. MS работает над добавлением .NET Framework в Server Core и будем надеяться что в финальной версии Windows Server 2008 это будет реализовано.
• Технология Windows Server Virtualization (Viridian hypervisor, официально Hyper-V)
  • Будут выпущены разные версии (SKU) Windows Server 2008 с гипервизором и без него.
    Windows Server 2008 to come in 8 flavors
• Read-Only Domain Controller
  • Windows Server Code Name "Longhorn" Product Overview
• Групповая политика (Group Policy)
  • Возможность административного ограничения устройств и драйверов, которые могут быть установлены на машине (в паре с Windows Vista)
    • Windows Longhorn: Using Group Policy to Control Device Management (Part 1)
    • Windows Longhorn: Using Group Policy to Control Device Management (Part 2)
• PowerShell
  • Announced: PowerShell to Ship in Windows Server (Longhorn)

posted on Thursday, June 01, 2006 11:36 AM