微软今天发布Windows 10,之前预约了新版本升级用户的计算机将执行自动升级。许多人都已经知道,Windows 10将是微软发布的最后一个Windows版本,下一代Windows会以Update的形式出现。那么,除了在操作和性能方面的改善以外,被微软公开宣称“有史以来最安全的Windows系统”的Windows 10,其安全性又有何“过人”之处呢?安全牛就此问题采访了360首席工程师郑文彬。
郑文彬,反木马专家,曾经发现了Windows “DirectShow视频开发包”的漏洞、并被微软官方公开致谢,对操作系统内核有着深厚的理解和实践经验。
Windows 10在系统内核、应用组件、应用程序层面均有安全改进,同时也提供了一些新的安全功能。经过安全技术研究团队经过分析,360提出了Windows 10在安全方面的四大亮点:
一、基于硬件虚拟化的安全隔离
Windows 10引入了Credential Guard和Device Guard安全功能,运用硬件虚拟化技术,实现安全隔离。
这两项功能主要存在于Windows 10企业版中,Credential Guard使用硬件虚拟化功能(VSM) 将证书/令牌的存储和管理和真实操作系统隔离,使得恶意程序即使拥有系统内核权限,也无法获取用户的证书,避免攻击者使用例如Mimikatz一类工具实现Pass-to-Hash攻击,阻止针对企业网络的进一步渗透。
Device Guard则可以允许企业管理和锁定设备,禁止设备上安装未受信的软件。
二、支持多因子认证
支持移动设备、生物识别、PIN码等多种方式的多因子认证保护,取代传统的Windows密码。
三、Edge浏览器
Edge浏览器屏蔽了传统的ActiveX\BHO\ Toolbars的扩展以及一些过时的组件如VBScript,减少了尤其是第三方控件引入的攻击面。
Edge浏览器启用了全64位进程和增强保护模式沙箱保护(IE11默认仅使用32位进程和保护模式沙箱),漏洞的攻击难度和沙箱保护强度更高。
Edge浏览器渲染引擎核心也增强了针对过去较多影响IE浏览器的一些漏洞的防护或缓解能力,使得攻击者利用漏洞对浏览器进行攻击变得更困难。
四、核心的安全改进
Windows 10为全系统开启了控制流防护(Control Flow Guard)功能,此功能后来被Windows 8.1 Update3补丁加入,可以有效地提高针对Windows平台应用的漏洞攻击难度。
Windows 10将内核模式字体引擎部分分离并放入隔离的用户模式环境中运行,有效防止了Duqu类通过字体漏洞直接入侵Windows内核的攻击方式,同时也增加了可以通过组策略禁止或审计非系统字体加载的功能。
此外Windows 10还有更多其他的漏洞防御和缓解措施,例如Windows 10的内核对象管理器会在内核对象头部增加cookie来防范DKOM方式的内核池溢出攻击等。
安全防护建议
除了及时更新补丁之外,安全的方方面面需要操作系统厂商、安全厂商、应用厂商共同合作来保证。用户应该尽量选择专业的并在安全防御领域拥有足够实力的安全厂商的软件,如一些在安全产品方面同微软有着紧密合作的安全企业。
最后,郑文彬认为,Windows 10正向更多新的安全技术和方向靠拢,例如基于硬件的安全防护、更多地隔离和缓解安全问题等等。微软的安全战略意图仍然为逐层缓和安全问题,同时与安全厂商及产业界配合,保护用户安全,共同维护Windows生态环境。