自從微軟啟動並積極推進自己的可信賴計算項目之後,微軟在推出的每個版本的Windows系統中都加入了新的安全功能並且一次次提升了Windows系統的安全水平。最新發布的Windows8雖然在全新的UI和視覺效果上受到了褒貶不一的評價,但其安全性能一如既往的得到了全面的提升,這是不爭的事實。下面我們就來看看Win8系統中新加入的各種安全功能。
Windows 8 基礎版安全功能
本部分介紹的安全功能包含在Win8系統的各個版本中。不論是面向家庭用戶的Windows 8系統還是面向企業的Windows 8系統,大家都可以使用到以下安全功能。:
支持UEFI Secure Boot
Secure Boot 安全啟動功能是windows8系統中新加入的一項非常重要的安全功能,不過也有人質疑這項功能,因為在某些情況下該功能存在潛在的問題。UEFI (統一可擴展固件接口 - 當前版本2.3.1)開發的主要目的是作為下一代電腦產品的固件接口,代替目前傳統PC機上廣泛使用的BIOS接口。啟用Secure Boot功能後, Windows 8可以有效抵御底層惡意軟件的攻擊,如rootkits的攻擊。在帶有 Secure Boot 功能的操作系統中,系統會將所有啟動組件的數字簽名提交給系統的反惡意軟件驅動部分進行審核,從而發現可疑的啟動組件。如果某個啟動組件的簽名異常(被篡改),那麼Windows Recovery Environment 就會啟動並嘗試修復操作系統。而 rootkit的攻擊手法通常是篡改系統的關鍵啟動文件,從而在系統啟動過程中先於各種反病毒軟件被激活。Secure Boot會發現任何形式的篡改內容並預防rootkit被載入。Windows8的這個功能是企業所必備的,並且企業應該防止員工擅自禁用該功能。
SmartScreen 過濾器
SmartScreen智能屏幕技術最初出現在IE浏覽器中,而如今正式被加入到新一代的Windows操作系統中。據 NSS Labs, 的評測顯示,該功能是目前市場上各種浏覽器安全功能中檢測和屏蔽社交引擎惡意軟件效果最好的。 SmartScreen 功能具備一個基於 URL 的信譽系統以及一個基於文件/應用信譽系統。URL信譽系統可以防止用戶遭受釣魚網站以及社交引擎攻擊,而文件信譽系統可以監視通過浏覽器下載的文件,確保文件是安全可靠的。如果某個下載的文件被認定為可疑文件或惡意文件,系統會阻止該文件的下載活動,並將如下信息反饋給用戶:
圖 A
如果下載的文件在文件信譽系統中沒有記錄,或者系統無法識別,將會顯示以下警告信息:
圖 B
對於未知的文件,大部分用戶還是會繞過警告信息而主動去打開文件,但是由於有管理控制,用戶無法擅自關閉這種警告信息。
集成反惡意軟件程序Windows Defender
由於Windows Defender 中新加入了Microsoft Security Essentials 中的技術,具備了反病毒能力,Windows 8現在擁有了完整的反病毒和反惡意軟件解決方案。新版的Windows Defender 在提高性能的同時還降低了內存/CPU的占用率。雖然很多企業仍然會使用企業自己購買的第三方反病毒軟件,但企業也應該向第三方反病毒廠商進行咨詢,尤其是其產品是否能夠支持Windows8系統,因為如果能夠支持Secure Boot功能,將讓企業的安全環境響應速度更快,減少潛在的安全盲區。
圖片密碼
圖片密碼功能是Windows8系統新增加的基於觸摸屏的安全登錄方案,用戶可以選擇系統內的某個圖片,並在圖片上依次完成三個手勢動作完成登錄行為。系統會記錄用戶的點擊位置和順序,作為登錄密碼,而點擊的位置與圖片綁定,從而提高安全性。比如用戶可以選擇一張雙人照片,並在其中一人的臉上畫一個微笑的嘴型,再在另一個臉上點擊兩只眼睛,作為自己的登錄密碼。這與傳統的密碼方式相比看上去有些兒戲,但是其安全性絲毫不遜於強健的密碼。
Windows Reader
Windows 8內置了一個全新的文檔閱讀器Windows Reader,該工具中也蘊含了一個新的安全功能。Windows Reader支持 PDF 文檔,而PDF文檔正是目前被攻擊頻率最高的文檔格式之一。在操作系統中內置一個輕量級的PDF閱讀器,並通過Windows Update進行定期更新,將有助於系統防范基於PDF格式文件的各種攻擊行為,降低系統的安全盲區。
ASLR 和溢出減少
Address Space Layout Randomization (ASLR)即地址空間布局隨機化技術,最早出現在Windows Vista 中,它的本質是通過將內存中的代碼和數據進行隨機存放來避免緩存溢出漏洞的技術。在Windows 8中,這種隨機化技術得到了進一步的加強,從而避免了已知的繞過ASLR技術的攻擊對系統進行破壞。其它降低溢出風險的措施還包括修改Windows內核和heap,新的完整性檢測方法和類似ASLR的隨機方案。這些提升也會讓IE10獲益: 除了包含 “Enhanced Protected Mode” 沙箱外,IE10還具有 “ForceASLR” 選項,可以將所有加載的模塊在內存中進行隨機化的存儲,而不考慮這些模塊是否設置了ASLR保護(開發人員可以利用/DYNAMICBASE標記開發支持ASLR技術的模塊以便更好的利用該技術的優勢)。
Windows 8 專業版安全功能
下面我要介紹的安全功能只存在於針對企業用戶的Windows 8專業版和Windows8企業版中:
Bitlocker 和 Bitlocker To Go
Bitlocker是微軟在Vista時代推出的一個全盤加密解決方案,在windows 7中,該方案改名叫Bitlocker To Go,可以支持對移動存儲設備進行全盤加密。在Windows8中,該方案沒有明顯的改變,只是增加了將Bitlocker To Go加密密鑰備份到SkyDrive賬戶中的功能。
Encrypting File System
EFS加密文件系統是微軟用於加密某個磁盤、文件夾和文件的解決方案。在二十年前的windows NT家族中就出現了EFS,而如今由於Bitlocker, Bitlocker To Go以及市面上各種免費加密方案的推出,EFS已經沒有往日的光彩了。
域成員和組策略對象
一般來說,這兩個功能是區分消費版本Windows系統和企業版本Windows系統的標志。對於集中化管理來說,活動目錄非常關鍵。一旦加入活動目錄,管理員就可以建立組策略對象並將其應用到域成員上,實現對域成員的各種控制功能,從而提升整體安全性能。Windows 8針對新的操作系統建立了新的策略: