В качестве фильтра пакетов используется порт OpenBSD Packet Filter (PF). Реализация CORE FORCE включает два драйвера. Основную функциональность берет на себя miniport driver (croxy.sys), использующий стандарт NDIS (Network Driver Interface Specification) API для связи драйверов сетевых карт с приложениями операционной системы. Этот драйвер, располагаясь внизу сетевого стека, контролирует все входящие и исходящие сетевые пакеты, защищая в том числе и стек операционной системы.

Другой драйвер (tdifilter.sys, TDI – Transport Dispatch Interface) работает на более высоком транспортном уровне, помогая NDIS отслеживать сетевые связи каждого процесса, синхронизировать запросы для разрешенных пользовательских соединений. Драйвера, защищающие файловую систему и реестр, имеют аналогичное функциональное назначение для своих типов объектов. Располагаются в alpha2.sys и alpha2r.sys. Из-за своей позиции в операционной системе они могут перехватывать системные вызовы процессов, пытающихся получить доступ к любому файлу или объекту реестра, а также вызовы, которые были сделаны компонентами ядра.

Организация профилей безопасности

Описание работы будет неполным без рассказа об организации профилей безопасности. Действительно, установка всех разрешений для большого количества приложений при неправильном подходе может свести на нет все усилия. Пользователь может просто запутаться и либо забросить настройку системы, либо настроить ее неправильно. В CORE FORCE конфигурация разрешений сделана таким образом, чтобы обеспечить максимальную гибкость и возможность их повторного использования. Так, для установки разрешений, которые могут быть применены к любой программе, можно использовать 2 комплекта: системный и индивидуальный. Если конкретной программе не указаны разрешения, то будет использоваться встроенный, т.е. системный набор разрешений. Такие наборы разрешений группируются в профили безопасности, позволяющие программе нормально работать, но в то же время иметь доступ только к разрешенным объектам. Но в разных условиях (доверенная сеть, Интернет, запуск непонятной утилиты) могут потребоваться различные разрешения, как более жесткие блокирующие, всякую подозрительную деятельность, так и легкие, не отвлекающие при работе.

Для более гибкой их организации каждый профиль безопасности имеет набор уровней безопасности: High, Medium, Medium-Low, Low и Custom.

Каждый сконфигурирован с таким расчетом, чтобы обеспечить необходимый баланс. Пользователю в большинстве случаев достаточно просто выбрать необходимый уровень, не вникая в подробности, а просто почитав описание (рис. 2). Гибкости этой схеме добавляет то, что уровень безопасности выставляется не один на всех, а используется более индивидуальный подход. То есть можно системный уровень выбрать одним, программам же выставить другие уровни. И теперь при открытии документа Acrobat Reader не будет каждый раз запрашиваться разрешение, а почтовый клиент для отправки и приема почты будет использовать только указанные сервера и спрашивать подтверждение на большинство потенциально опасных операций (запись в реестр, например).