Win8三大版本最新安全功能面面觀

Win7之家（ afsion.com.cn）：Win8三大版本最新安全功能面面觀

自從將關(guān)注重點(diǎn)放到可信賴計(jì)算項(xiàng)目上之后，微軟就開(kāi)始堅(jiān)持在Windows的每個(gè)新版本中都推出安全方面的新功能，這種做法讓系統(tǒng)面臨的安全態(tài)勢(shì)發(fā)生了極為明顯的改善�，F(xiàn)在看來(lái)，Windows 8在這方面也沒(méi)有例外。盡管由于公眾將關(guān)注重點(diǎn)放在了新用戶界面以及兩極分化非常嚴(yán)重的使用效果上，從而導(dǎo)致安全方面的更新顯得不那么引人注目了。在本文中，我們將共同了解一下各版本中都新增加了哪些安全功能，它們之間有何不同以及實(shí)際效果究竟如何。

Windows 8系統(tǒng)提供的基本安全功能

這些功能將出現(xiàn)在Windows系統(tǒng)的所有版本中。不論它屬于面向家庭用戶的Win8，還是面向商業(yè)用戶的專業(yè)以及企業(yè)版本，情況都不會(huì)有所例外：

UEFI安全啟動(dòng)功能將獲得支持

盡管該功能在某些情況下可能會(huì)導(dǎo)致潛在問(wèn)題出現(xiàn)的缺陷引來(lái)了不少非議，但安全啟動(dòng)依然屬于本版本W(wǎng)indows所提供的一項(xiàng)非常重要的安全新特性。眾所周知，統(tǒng)一可擴(kuò)展固件接口（UEFI——目前最新的版本是2.3.1）的目標(biāo)是作為個(gè)人計(jì)算機(jī)的新一代固件接口來(lái)取代傳統(tǒng)的基本輸入輸出系統(tǒng)（BIOS）�，F(xiàn)在，如果系統(tǒng)選擇使用安全啟動(dòng)功能的話，Windows 8對(duì)于rootkit之類惡意軟件的有效防范能力就可以大為提高。在安全啟動(dòng)功能的支持下，操作系統(tǒng)可以對(duì)所有啟動(dòng)組件的數(shù)字簽名進(jìn)行驗(yàn)證，防惡意軟件驅(qū)動(dòng)程序能夠?qū)λ�有篡改操作進(jìn)行監(jiān)控。如果發(fā)現(xiàn)組件簽名不正確（已經(jīng)被篡改了）的話，Windows就會(huì)啟用恢復(fù)模式來(lái)嘗試對(duì)操作系統(tǒng)進(jìn)行相應(yīng)處理。對(duì)于 rootkit類惡意軟件來(lái)說(shuō)，通常所采取的做法就是在絕大多數(shù)防惡意軟件工具啟動(dòng)之前就篡改掉關(guān)鍵的操作系統(tǒng)文件，并在引導(dǎo)過(guò)程中保持活動(dòng)模式。而最新的安全啟動(dòng)功能就可以檢測(cè)出所有類型的篡改操作并防止rootkit加載進(jìn)來(lái)。對(duì)于公司用戶來(lái)說(shuō)，現(xiàn)在最佳的方案就是在部署Windows 8的時(shí)間直接啟用此功能，并禁止員工進(jìn)行關(guān)閉處理。

智能窗口過(guò)濾器的覆蓋范圍進(jìn)一步增加

對(duì)于智能窗口技術(shù)來(lái)說(shuō)，最早出現(xiàn)的位置是Internet Explorer瀏覽器。而現(xiàn)在，它的覆蓋范圍將擴(kuò)展到操作系統(tǒng)之中。在NSS實(shí)驗(yàn)室進(jìn)行的相關(guān)測(cè)試中，該功能已經(jīng)被證明屬于現(xiàn)代瀏覽器檢測(cè)并阻止社會(huì)化工程類惡意軟件的最佳選擇。智能窗口技術(shù)由URL信譽(yù)檢驗(yàn)系統(tǒng)與應(yīng)用程序和文件信譽(yù)檢驗(yàn)系統(tǒng)兩部分組成。URL信譽(yù)檢驗(yàn)系統(tǒng)可以用來(lái)幫助用戶防范網(wǎng)絡(luò)釣魚(yú)以及社會(huì)化工程等類型的攻擊。文件信譽(yù)檢驗(yàn)系統(tǒng)則可以對(duì)文件下載情況進(jìn)行全面跟蹤，并對(duì)相關(guān)信譽(yù)情況進(jìn)行驗(yàn)證。如果下載文件被確認(rèn)為屬于惡意類型的話，就將遭到阻止，并給出如下所示的警告信息來(lái)：

圖A

如果它屬于新文件，或者系統(tǒng)無(wú)法進(jìn)行有效識(shí)別的情況，則將會(huì)顯示出類似下圖的警告信息：

圖B

由于在涉及未知類型的文件時(shí)，這種做法很可能會(huì)導(dǎo)致出現(xiàn)用戶選擇繞過(guò)警告信息選擇強(qiáng)行打開(kāi)可疑的情況。因此，系統(tǒng)管理員需要進(jìn)行及時(shí)有效干預(yù)，以防止警告信息被忽視。

內(nèi)置免費(fèi)防惡意軟件/病毒工具：Windows Defender

在Windows 8中，微軟還將提供一套功能非常完整的防惡意軟件解決方案。所采取的做法就是在Windows Defender中增加微軟安全解決方案使用的防病毒功能。這就意味著該版本的Windows Defender將具備更高的性能，對(duì)于系統(tǒng)內(nèi)存/CPU的占有率也變得更低。對(duì)于企業(yè)級(jí)用戶來(lái)說(shuō)，現(xiàn)在也是做好更換防惡意軟件產(chǎn)品準(zhǔn)備的時(shí)間了。因此，當(dāng)前企業(yè)正確的做法就是針對(duì)解決方案對(duì)于兼容Windows 8的規(guī)劃情況向各家防惡意軟件供應(yīng)商進(jìn)行全面咨詢。畢竟，在安全啟動(dòng)功能的支持下，公司現(xiàn)在可以輕松建立起安全可靠的網(wǎng)絡(luò)環(huán)境，潛在漏洞將會(huì)變得更少，反應(yīng)速度則會(huì)變得更快。

圖片密碼

對(duì)于安全登錄來(lái)說(shuō)，圖片密碼就屬于一種采用觸摸模式的新方式�，F(xiàn)在，用戶可以選擇一張圖片，并在上面做出三種觸摸手勢(shì)。系統(tǒng)就可以將手勢(shì)序列作為用戶“密碼”保存起來(lái)，以后，用戶就可以通過(guò)重復(fù)操作進(jìn)行登錄。依靠手勢(shì)序列與圖形之間的關(guān)聯(lián)，這種模式就可以達(dá)到提高登錄安全性的目標(biāo)。舉例來(lái)說(shuō)，用戶可以選擇一張包含有兩名人物的圖片，在其中一位的臉上畫(huà)張笑臉，并觸摸另一位的兩只眼睛。盡管這種模式聽(tīng)起來(lái)非常有趣，但相比傳統(tǒng)模式而言，系統(tǒng)的可靠性將會(huì)如何依然有待觀察。

內(nèi)置PDF閱讀器：Windows Reader

作為Windows 8中新集成的文檔閱讀器，微軟將會(huì)為Windows Reade增加一種非常有趣的安全新功能。該閱讀器可以支持目前極為流行攻擊者也相當(dāng)愿意使用的PDF文件格式。通過(guò)集成使用系統(tǒng)常規(guī)更新模式的簡(jiǎn)易版閱讀器，操作系統(tǒng)就可以減少對(duì)于包含潛在風(fēng)險(xiǎn)的應(yīng)用程序或插件的需求，從而達(dá)到提高平臺(tái)默認(rèn)安全性的目標(biāo)。

ASLR與減少攻擊

地址空間布局隨機(jī)化（ASLR）最早出現(xiàn)的位置是Windows Vista之中，而既定目標(biāo)則是減輕代碼與數(shù)據(jù)在內(nèi)存中的位置隨機(jī)移動(dòng)從而導(dǎo)致臭名昭著的“緩沖區(qū)溢出”漏洞出現(xiàn)所帶來(lái)的危害。在Windows 8中，為了防范繞過(guò)ASLR的技術(shù)企圖得以實(shí)現(xiàn)，隨機(jī)化程度被進(jìn)一步提升。涉及的其它措施還包括了對(duì)Windows內(nèi)核與堆進(jìn)行調(diào)整，即利用類似ASLR 的方法來(lái)進(jìn)行全新的完整性檢查以及隨機(jī)化處理。并且，對(duì)于Internet Explorer 10來(lái)說(shuō)，也將從這些變化中獲得好處：除了“增強(qiáng)保護(hù)模式”沙箱之外，這里還包括了一個(gè)名為“ForceASLR”的IE10選項(xiàng)。它可以對(duì)瀏覽器內(nèi)存中加載的所有模塊都進(jìn)行隨機(jī)化處理，不受到它們是否選擇使用保護(hù)ASLR技術(shù)（通過(guò)使用可選/DYNAMICBASE標(biāo)志來(lái)創(chuàng)建模塊，開(kāi)發(fā)人員就可以獲得 ASLR技術(shù)帶來(lái)的好處）的限制。

Windows 8專業(yè)版中提供的安全功能

下面列出的幾項(xiàng)功能將只會(huì)出現(xiàn)在面向商業(yè)用戶的Windows 8專業(yè)與企業(yè)版中：

磁盤(pán)加密工具：BitLocker與BitLocker To Go

在Windows Vista中，微軟提供了Bitlocker作為全盤(pán)加密解決方案。而在Windows 7中，Bitlocker被Bitlocker To Go所代替。在新版本中，該工具的變化并不大。不過(guò)，它也增加了將Bitlocker To Go的加密密鑰備份到SkyDrive帳戶的新選項(xiàng)。

加密文件系統(tǒng)

作為微軟最早提供的加密解決方案，EFS可以支持針對(duì)單個(gè)文件、文件夾以及驅(qū)動(dòng)器的操作。它最早出現(xiàn)于二十多年前的 Windows NT系列產(chǎn)品中。不過(guò)目前已經(jīng)基本上被Bitlocker、Bitlocker To Go以及大量免費(fèi)加密工具所代替。

域成員與組策略對(duì)象

如同先前的情況沒(méi)有區(qū)別，這兩項(xiàng)功能依然屬于區(qū)隔Windows家用與商用版本的主要差別所在。對(duì)于需要集中進(jìn)行管理的網(wǎng)絡(luò)環(huán)境來(lái)說(shuō)，可以在活動(dòng)目錄域加入新成員就屬于至關(guān)重要的功能。一旦用戶加入進(jìn)來(lái)，管理員就可以針對(duì)域成員創(chuàng)建并應(yīng)用組策略對(duì)象，實(shí)現(xiàn)對(duì)包括安全在內(nèi)很多方面的日常工作進(jìn)行全面控制。在Windows 8中，微軟針對(duì)新操作系統(tǒng)引入了新策略：

圖C

Windows 8企業(yè)版中的安全功能

最后，簽訂了軟件保障協(xié)議的公司將有機(jī)會(huì)獲得Windows 8企業(yè)版，它將包括下面列出的幾項(xiàng)安全功能：

應(yīng)用程序控制策略工具：Applocker

作為微軟提供的應(yīng)用程序控制解決方案，采用黑白名單技術(shù)的Applocker最早是在Windows 7中出現(xiàn)的。在AppLocker的幫助下，系統(tǒng)管理員可以通過(guò)建立策略來(lái)對(duì)用戶安裝以及運(yùn)行特定應(yīng)用程序之類的活動(dòng)進(jìn)行全面控制。而在Windows 8中，AppLocker可以對(duì)傳統(tǒng)桌面應(yīng)用程序以及新出現(xiàn)的Metro應(yīng)用程序進(jìn)行管理。

直接訪問(wèn)功能

作為外部計(jì)算機(jī)利用VPN安全連接公司內(nèi)網(wǎng)的替代選擇，微軟推出了直接訪問(wèn)功能。在使用的時(shí)間，直接訪問(wèn)并不需要其它應(yīng)用的支持，并且能夠幫助公司確保遠(yuǎn)程模式或者移動(dòng)計(jì)算機(jī)在應(yīng)用以及補(bǔ)丁策略方面不會(huì)出現(xiàn)兼容性問(wèn)題。相比Windows 7中出現(xiàn)的最初版本，該功能并沒(méi)有發(fā)生什么大變化。

系統(tǒng)鏡像功能：Windows To Go

緊隨“使用自有設(shè)備”浪潮的發(fā)展，微軟也宣布推出Windows To Go系統(tǒng)鏡像功能。由于可以支持全面管理，并具有完全的連接無(wú)關(guān)性；因此，系統(tǒng)管理員就可以利用外部USB驅(qū)動(dòng)器來(lái)保存Windows 8企業(yè)鏡像，并在任意x64系統(tǒng)上進(jìn)行啟動(dòng)。作為企業(yè)系統(tǒng)的完全鏡像，包括Windows更新策略、企業(yè)防病毒解決方案以及加密工具BitLocker在內(nèi)的項(xiàng)目都屬于可管理的。目前，Windows To Go的最低要求是至少擁有32GB空間的USB驅(qū)動(dòng)器。盡管存在這么多的限制條件，但對(duì)于不少公司，尤其是那些關(guān)注自帶設(shè)備舉措導(dǎo)致以及災(zāi)難恢復(fù)方案帶來(lái)的安全風(fēng)險(xiǎn)的來(lái)說(shuō)，它依然屬于非常有價(jià)值的功能。