自2001年微軟發布Windows XP以來至今,信息安全形勢發生了很大的變化。2002年9月9日,微軟發布了Windows XP SP1 ,對Windows XP進行了325處修補,其中33處和安全性有關 。此後的兩年間,針對Windows XP SP1的安全公告多達64個,其中緊急(Critical)和重要(Important)級別的安全公告超過80% 。在此期間,惡意攻擊的另一個特點是利用操作系統的安全漏洞進行攻擊,而用戶的系統設置、網絡環境和安全意識,也給這些攻擊提供了可乘之機。
事實上,在Windows XP發布一年後,微軟開始實施了可信賴計算的計劃 。在可信賴計算白皮書 中,微軟提出了實施可信賴計算的手段(means):
設計安全:減少軟件漏洞
默認安全:減少攻擊面
部署安全:安全措施更容易實施
用戶溝通:幫助用戶學會自我防護
在Windows XP SP2中,上述方法和理念得到了很好的實踐。首先,盡管SP2並不是一個新的操作系統,但在其所有818項修復中有140項是屬於基礎操作系統方面的(Base Operating System)修復 ,以彌補設計階段的軟件漏洞。此外,默認情況下的Windows防火牆、Internet Explorer、Outlook Express、Windows Update等都處於安全設置狀態。第三,Windows安全中心不僅方便了對系統的安全設置,也會智能地提示用戶安全性問題,例如,當沒有及時更新病毒防護軟件時,會彈出安全警告。
Windows XP SP2特性概述 在Windows XP SP2中,微軟提供了多種安全技術幫助用戶抵御惡意軟件和其它風險,從而提高了Windows XP的整體安全防范能力。這些安全技術包括:
網絡保護 此類安全技術包括了Windows防火牆增強和遠端過程調用接口限制(RPC Remote Procedure Call),該技術有助於對類似沖擊波(MSBlaster)等基於網絡的攻擊行為提供更好的保護。這些增強措施包括:默認開啟Windows防火牆、關閉端口除非該端口被使用、改進的配置用戶界面、改進的Windows防火牆開啟時應用程序兼容性和通過組策略對Windows防火牆的企業管理工具。遠端過程調用服務的受攻擊面(attack surface)被減少,該對象以較低的權限級別運行。DCOM架構也增加了訪問控制限制以減少被網絡攻擊擊中的風險。
內存保護 某些軟件允許過多的數據復制到計算機內存中,惡意軟件的攻擊可以利用這一安全性弱點。通常這種現象被稱作緩沖溢出。雖然,任何單一技術都不能完全消除這種問題,微軟正在從不同角度采用多種安全技術減輕這類攻擊。首先,利用最新的編譯技術將核心Windows組件重新編譯,增加了對緩沖溢出的保護。此外,微軟正在與微處理器廠家合作以使Windows支持微處理器上基於硬件的數據執行保護(DEP Data Execution Prevention)特性。數據執行保護通過CPU將應用程序所有的內存位置標記為不可執行,除非這些位置顯式地包含可執行代碼。這樣,當蠕蟲或病毒插入到程序代碼並進入到標記為僅為數據的存儲部分,應用程序或Windows組件將不會運行它。
若要查看和設置數據執行保護,單擊"開始"按鈕,在彈出的菜單中,右鍵單擊"我的電腦",並在快捷菜單中選擇"屬性"。在打開的"系統屬性"對話框中,選擇"高級"選項卡,在性能選項中單擊"設置"按鈕,在打開的"性能選項"對話框中選擇"數據執行保護"選項卡。
電子郵件處理 安全技術有助於中止通過電子郵件和即時消息傳播的病毒(如SoBig.F)。這些技術包括安全性增強的默認設置、利用附件執行服務(AES Attachment Execution Service)應用程序接口的改進的附件控制。從而增強了Microsoft Outlook、Outlook Express和Windows Messenger等通信應用的安全性和可靠性。其結果是,通過e-mail和即時消息傳遞的潛在不安全附件被隔離,並盡可能少地影響系統的其它部分。
浏覽安全 Microsoft Internet Explorer中的安全技術提供了抵御Web中惡意內容的防護。改進之一是鎖定本機區域以免運行惡意腳本和增強組織有害Web下載。此外,更好的用戶控制和用戶界面可幫助阻止惡意ActiveX控件和間諜軟件在用戶不知情的情況下運行。
計算機維護 安全方案中非常重要的一部分是保持計算機最新的軟件和安全更新,並且了解更新在保護計算機安全中的重要性。具有安全性攻擊和趨勢的知識同樣也很重要。例如,一些已知病毒和蠕蟲的有效攻擊開始前若干天或若干周,相應的軟件更新已經可用。所增加的新技術幫助最終用戶保持最新。這些技術包括安全中心,提供了關於計算機安全性信息的統一位置,還有Windows Installer,提供了軟件安裝的安全性選項。
安全中心 安全中心是Windows XP SP2進行安全性設置和管理的統一界面,可以從控制面板訪問安全中心,也可以在需要進行安全性設置的時候,從告警信息提示中快速地打開安全中心。安全中心如下圖所示。
安全中心自動監控防火牆、自動更新和病毒防護的狀態,如果這些設置出現異常時,根據不同的嚴重程度,以不同的顏色和方式進行警告。例如,修改了自動更新的默認設置後,安全中心中有關自動更新的基礎標記就會變為黃色,並提示檢查設置。如下圖所示。
如果關閉了自動更新,則在通知區域會顯示Windows安全警報 和信息提示,如下圖所示。
單擊警告信息,則可以打開安全中心,如下圖所示。單擊"啟用自動更新"按鈕,就可以恢復到正常安全設置狀態。
在安全中心中,可以管理安全設置,這些設置包括了Internet選項、自動更新和Windows防火牆。此外可以訪問有關的資源。並可以設置安全中心通知用戶的方式(可以關閉通知,但不建議這樣做)。
對於加入到域的Windows系統,安全性設置由網絡管理員決定,安全中心將不再進行提示通知。
防火牆 Windows防火牆是Windows XP SP2的重要改進之一。和以前ICF(Internet Connection Firewall)不同的是,默認情況下,Windows防火牆處於啟用的狀態,而且一旦防火牆被關閉,安全中心也會發出警告信息。
另一個重要的改進是,Windows防火牆在Windows啟動時將利用靜態規則進行狀態過濾(stateful filtering),該靜態規則被稱作啟動時策略(boot-time policy)。此時允許計算機運行DNS和DHCP等基本網絡任務。一旦Windows防火牆服務運行,將加載和應用運行時策略(run-time policy)並刪除啟動時過濾器。
Windows防火牆的啟動時安全性是基於操作系統的軟件防火牆所獨有的特性。盡管目前尚未發現任何啟動時的網絡攻擊,Windows防火牆的這一安全性設計體現了主動防護、未雨綢缪的設計理念。
可以通過多種方法對Windows防火牆進行設置。在"控制面板"中,可以通過"網絡和Internet連接"以及"安全中心"訪問Windows防火牆設置。如果網絡連接被顯示在任務欄右側的通知區域,鼠標右鍵單擊該網絡連接,並選擇"更改Windows防火牆設置",如下圖所示。
"Windows防火牆"對話框共有3個選項卡
常規選項卡:可以"啟用"或"關閉"Windows防火牆,如果啟用了防火牆,可以選擇"不允許例外",這將阻止所有主動到計算機的通信,並且在阻止時不通知用戶。這將適合於較不安全的網絡環境。
例外選項卡:默認情況下,Windows防火牆允許例外,在例外選項卡中列出了4個程序和服務,並默認允許"遠程協助",如下圖所示。其它3個程序和服務將根據Windows的設置自動啟用。例如,如果設置了共享文件夾,則"文件和打印機共享"會被自動啟用。
當其它程序被阻止時,會詢問用戶,如果選擇解除阻止,則該程序被添加到例外列表中。如下圖所示。
可以將程序添加到例外列表中或刪除例外列表中的程序(默認的4個程序和服務除外)。也可以編輯例外程序的通信范圍(IP地址)使其只和只定的計算機進行通信,如下圖所示。同樣的設置也適用於端口。
高級選項卡:可以對選定的一個或多個網絡連接進行設置,也可以指定安全日志以記錄被丟棄數據包和成功的連接。"還原為默認值"按鈕可以方便用戶快速設置為默認的安全狀態。如下圖所示。