Windows7的真正漏洞其實(shí)是電腦和椅子之間的人

Win7之家（ afsion.com.cn）：Windows7的真正漏洞其實(shí)是電腦和椅子之間的人

　　知道攻擊Windows 7有多么簡(jiǎn)單嗎？事實(shí)上，無(wú)論最終用戶(hù)是否安裝了安全軟件，攻擊者只需簡(jiǎn)單的幾步就可以侵入Windows7電腦。反病毒軟件無(wú)法檢測(cè)零日自定義點(diǎn)擊，更遑論預(yù)防或攔截相關(guān)方式的攻擊。同時(shí)，Windows7的默認(rèn)安全設(shè)置也可以被繞開(kāi)。

　　在微軟TechNet Edge視頻網(wǎng)站上，一位非微軟公司安全研究員為我們展示了如何攻擊Windows 7電腦。當(dāng)然，我們也可以從該視頻中學(xué)習(xí)到如何防御各種形式的攻擊。

　　微軟公司的David Tesar表示：“TrueSec公司安全顧問(wèn)馬庫(kù)斯-默里（Marcus Murray）為我們進(jìn)行了一次Windows 7攻擊演示。隨后，默里解釋了Windows 7中可以防御類(lèi)似攻擊的安全功能。他還談到了一些鮮為人知的安全功能——Authentication Mechanism Assurance（驗(yàn)證機(jī)制保證），該功能是Windows Server 2008 R2服務(wù)器系統(tǒng)的安全功能，用戶(hù)可以用一般帳號(hào)來(lái)訪(fǎng)問(wèn)與通過(guò)SmartCard、Token等憑證信息來(lái)訪(fǎng)問(wèn)是不同的管理控制。”

　　在Windows 7安全設(shè)置中，只有在用戶(hù)干預(yù)的情況下攻擊才可以成功。最終用戶(hù)需要下載惡意Excel文檔，而且電子表格程序必須涉及宏病毒，Windows 7電腦才會(huì)被感染。

　　另外，攻擊者通常會(huì)使用各種社會(huì)工程技術(shù)讓最終用戶(hù)在自己電腦中執(zhí)行惡意代碼�？梢钥闯�，Windows 7并不存在安全漏洞，真正的“漏洞”其實(shí)是電腦和椅子之間的人。

　　微軟公司指出，Windows7的安全功能是建立在Windows Vista之上，并對(duì)Windows Vista的安全功能進(jìn)行了相關(guān)的改進(jìn)。Windows 7涵蓋了Security Development Lifecycle(安全開(kāi)發(fā)生命周期)，這是Vista最核心的安全技術(shù)。另外，來(lái)自Vista的其他重要安全功能，包括用戶(hù)帳戶(hù)控制(UAC)、內(nèi)核修補(bǔ)保護(hù)程序、 Windows Service Hardening、地址空間布局隨機(jī)化(ASLR)以及數(shù)據(jù)執(zhí)行防護(hù)(DEP)等也都保留在Windows 7中。