自从微软启动并积极推进自己的可信赖计算项目之后,微软在推出的每个版本的Windows系统中都加入了新的安全功能并且一次次提升了Windows系统的安全水平。最新发布的Windows 8虽然在全新的UI和视觉效果上受到了褒贬不一的评价,但其安全性能一如既往的得到了全面的提升,这是不争的事实。下面我们就来看看Windows 8系统中新加入的各种安全功能。
Windows 8 基础版安全功能
本部分介绍的安全功能包含在Windows 8系统的各个版本中。不论是面向家庭用户的Windows 8系统还是面向企业的Windows 8系统,大家都可以使用到以下安全功能。:
支持UEFI Secure Boot
Secure Boot 安全启动功能是windows8系统中新加入的一项非常重要的安全功能,不过也有人质疑这项功能,因为在某些情况下该功能存在潜在的问题。UEFI (统一可扩展固件接口 - 当前版本2.3.1)开发的主要目的是作为下一代电脑产品的固件接口,代替目前传统PC机上广泛使用的BIOS接口。启用Secure Boot功能后, Windows 8可以有效抵御底层恶意软件的攻击,如rootkits的攻击。在带有 Secure Boot 功能的操作系统中,系统会将所有启动组件的数字签名提交给系统的反恶意软件驱动部分进行审核,从而发现可疑的启动组件。如果某个启动组件的签名异常(被篡改),那么Windows Recovery Environment 就会启动并尝试修复操作系统。而 rootkit的攻击手法通常是篡改系统的关键启动文件,从而在系统启动过程中先于各种反病毒软件被激活。Secure Boot会发现任何形式的篡改内容并预防rootkit被载入。Windows8的这个功能是企业所必备的,并且企业应该防止员工擅自禁用该功能。
SmartScreen 过滤器
SmartScreen智能屏幕技术最初出现在IE浏览器中,而如今正式被加入到新一代的Windows操作系统中。据 NSS Labs, 的评测显示,该功能是目前市场上各种浏览器安全功能中检测和屏蔽社交引擎恶意软件效果最好的。 SmartScreen 功能具备一个基于 URL 的信誉系统以及一个基于文件/应用信誉系统。URL信誉系统可以防止用户遭受钓鱼网站以及社交引擎攻击,而文件信誉系统可以监视通过浏览器下载的文件,确保文件是安全可靠的。如果某个下载的文件被认定为可疑文件或恶意文件,系统会阻止该文件的下载活动,并将如下信息反馈给用户:
图 A
如果下载的文件在文件信誉系统中没有记录,或者系统无法识别,将会显示以下警告信息:
图 B
对于未知的文件,大部分用户还是会绕过警告信息而主动去打开文件,但是由于有管理控制,用户无法擅自关闭这种警告信息。
集成反恶意软件程序Windows Defender
由于Windows Defender 中新加入了Microsoft Security Essentials 中的技术,具备了反病毒能力,Windows 8现在拥有了完整的反病毒和反恶意软件解决方案。新版的Windows Defender 在提高性能的同时还降低了内存/CPU的占用率。虽然很多企业仍然会使用企业自己购买的第三方反病毒软件,但企业也应该向第三方反病毒厂商进行咨询,尤其是其产品是否能够支持Windows8系统,因为如果能够支持Secure Boot功能,将让企业的安全环境响应速度更快,减少潜在的安全盲区。
图片密码
图片密码功能是Windows8系统新增加的基于触摸屏的安全登录方案,用户可以选择系统内的某个图片,并在图片上依次完成三个手势动作完成登录行为。系统会记录用户的点击位置和顺序,作为登录密码,而点击的位置与图片绑定,从而提高安全性。比如用户可以选择一张双人照片,并在其中一人的脸上画一个微笑的嘴型,再在另一个脸上点击两只眼睛,作为自己的登录密码。这与传统的密码方式相比看上去有些儿戏,但是其安全性丝毫不逊于强健的密码。
Windows Reader
Windows 8内置了一个全新的文档阅读器Windows Reader,该工具中也蕴含了一个新的安全功能。Windows Reader支持 PDF 文档,而PDF文档正是目前被攻击频率最高的文档格式之一。在操作系统中内置一个轻量级的PDF阅读器,并通过Windows Update进行定期更新,将有助于系统防范基于PDF格式文件的各种攻击行为,降低系统的安全盲区。
ASLR 和溢出减少
Address Space Layout Randomization (ASLR)即地址空间布局随机化技术,最早出现在Windows Vista 中,它的本质是通过将内存中的代码和数据进行随机存放来避免缓存溢出漏洞的技术。在Windows 8中,这种随机化技术得到了进一步的加强,从而避免了已知的绕过ASLR技术的攻击对系统进行破坏。其它降低溢出风险的措施还包括修改Windows内核和heap,新的完整性检测方法和类似ASLR的随机方案。这些提升也会让IE10获益: 除了包含 “Enhanced Protected Mode” 沙箱外,IE10还具有 “ForceASLR” 选项,可以将所有加载的模块在内存中进行随机化的存储,而不考虑这些模块是否设置了ASLR保护(开发人员可以利用/DYNAMICBASE标记开发支持ASLR技术的模块以便更好的利用该技术的优势)。
Windows 8 专业版安全功能
下面我要介绍的安全功能只存在于针对企业用户的Windows 8专业版和Windows8企业版中:
Bitlocker 和 Bitlocker To Go
Bitlocker是微软在Vista时代推出的一个全盘加密解决方案,在windows 7中,该方案改名叫Bitlocker To Go,可以支持对移动存储设备进行全盘加密。在Windows8中,该方案没有明显的改变,只是增加了将Bitlocker To Go加密密钥备份到SkyDrive账户中的功能。
Encrypting File System
EFS加密文件系统是微软用于加密某个磁盘、文件夹和文件的解决方案。在二十年前的windows NT家族中就出现了EFS,而如今由于Bitlocker, Bitlocker To Go以及市面上各种免费加密方案的推出,EFS已经没有往日的光彩了。
域成员和组策略对象
一般来说,这两个功能是区分消费版本Windows系统和企业版本Windows系统的标志。对于集中化管理来说,活动目录非常关键。一旦加入活动目录,管理员就可以建立组策略对象并将其应用到域成员上,实现对域成员的各种控制功能,从而提升整体安全性能。Windows 8针对新的操作系统建立了新的策略:
图 C
Windows 8 企业版安全功能
最后我要介绍的安全功能只存在于 Windows 8 企业版中,这些安全功能包括:
Applocker
Applocker是微软针对应用程序控制推出的解决方案。该方案最早出现在Windows 7系统中,通过黑名单和白名单的方式实现对应用程序的控制。通过Applocker,管理员可以建立适当的策略,限制或允许用户在电脑上安装某些应用程序。新的 Windows 8 Applocker可以同时管理传统的桌面应用程序和新的Metro apps。
DirectAccess
在个人电脑和企业网络安全连接方面,微软推出了DirectAccess来代替传统的VPN。由于DirectAccess的连接不需要再启动额外的应用程序,因此可以简单的通过策略应用的方式帮助企业更好的实现远程连接以及移动计算设备上的安全连接保障。目前看来,Windows8中的DirectAccess与Windows 7中的DirectAccess没有什么变化。
Windows To Go
随着BYOD(携带个人设备办公)趋势的发展,微软也适时的发布了Windows To Go。这是一套完全受控的Windows 8 企业镜像系统,可以被管理员存储在U盘中随身携带,并在任何一台x64硬件结构的 PC上启动。作为完整的企业PC镜像,Windows To Go包含了多种管理功能,比如Windows Update策略管理,企业反恶意软件解决方案以及Bitlocker加密工具。目前Windows To Go需要至少32GB的U盘,并且只能在x64电脑上启动。尽管有这些限制,但Windows To Go仍然是多环境下的一个相当实用的功能,不论是企业所担心的BYOD趋势所带来的安全风险,还是企业数据的灾难恢复,Windows To Go都能起到一定的效果。