自从微软启动并积极推进自己的可信赖计算项目之后,微软在推出的每个版本的Windows系统中都加入了新的安全功能并且一次次提升了Windows系统的安全水平。最新发布的Windows8虽然在全新的UI和视觉效果上受到了褒贬不一的评价,但其安全性能一如既往的得到了全面的提升,这是不争的事实。下面我们就来看看Win8系统中新加入的各种安全功能。
Windows 8 基础版安全功能
本部分介绍的安全功能包含在Win8系统的各个版本中。不论是面向家庭用户的Windows 8系统还是面向企业的Windows 8系统,大家都可以使用到以下安全功能。:
支持UEFI Secure Boot
Secure Boot 安全启动功能是windows8系统中新加入的一项非常重要的安全功能,不过也有人质疑这项功能,因为在某些情况下该功能存在潜在的问题。UEFI (统一可扩展固件接口 - 当前版本2.3.1)开发的主要目的是作为下一代电脑产品的固件接口,代替目前传统PC机上广泛使用的BIOS接口。启用Secure Boot功能后, Windows 8可以有效抵御底层恶意软件的攻击,如rootkits的攻击。在带有 Secure Boot 功能的操作系统中,系统会将所有启动组件的数字签名提交给系统的反恶意软件驱动部分进行审核,从而发现可疑的启动组件。如果某个启动组件的签名异常(被篡改),那么Windows Recovery Environment 就会启动并尝试修复操作系统。而 rootkit的攻击手法通常是篡改系统的关键启动文件,从而在系统启动过程中先于各种反病毒软件被激活。Secure Boot会发现任何形式的篡改内容并预防rootkit被载入。Windows8的这个功能是企业所必备的,并且企业应该防止员工擅自禁用该功能。
SmartScreen 过滤器
SmartScreen智能屏幕技术最初出现在IE浏览器中,而如今正式被加入到新一代的Windows操作系统中。据 NSS Labs, 的评测显示,该功能是目前市场上各种浏览器安全功能中检测和屏蔽社交引擎恶意软件效果最好的。 SmartScreen 功能具备一个基于 URL 的信誉系统以及一个基于文件/应用信誉系统。URL信誉系统可以防止用户遭受钓鱼网站以及社交引擎攻击,而文件信誉系统可以监视通过浏览器下载的文件,确保文件是安全可靠的。如果某个下载的文件被认定为可疑文件或恶意文件,系统会阻止该文件的下载活动,并将如下信息反馈给用户:
图 A
如果下载的文件在文件信誉系统中没有记录,或者系统无法识别,将会显示以下警告信息:
图 B
对于未知的文件,大部分用户还是会绕过警告信息而主动去打开文件,但是由于有管理控制,用户无法擅自关闭这种警告信息。
集成反恶意软件程序Windows Defender
由于Windows Defender 中新加入了Microsoft Security Essentials 中的技术,具备了反病毒能力,Windows 8现在拥有了完整的反病毒和反恶意软件解决方案。新版的Windows Defender 在提高性能的同时还降低了内存/CPU的占用率。虽然很多企业仍然会使用企业自己购买的第三方反病毒软件,但企业也应该向第三方反病毒厂商进行咨询,尤其是其产品是否能够支持Windows8系统,因为如果能够支持Secure Boot功能,将让企业的安全环境响应速度更快,减少潜在的安全盲区。
图片密码
图片密码功能是Windows8系统新增加的基于触摸屏的安全登录方案,用户可以选择系统内的某个图片,并在图片上依次完成三个手势动作完成登录行为。系统会记录用户的点击位置和顺序,作为登录密码,而点击的位置与图片绑定,从而提高安全性。比如用户可以选择一张双人照片,并在其中一人的脸上画一个微笑的嘴型,再在另一个脸上点击两只眼睛,作为自己的登录密码。这与传统的密码方式相比看上去有些儿戏,但是其安全性丝毫不逊于强健的密码。
Windows Reader
Windows 8内置了一个全新的文档阅读器Windows Reader,该工具中也蕴含了一个新的安全功能。Windows Reader支持 PDF 文档,而PDF文档正是目前被攻击频率最高的文档格式之一。在操作系统中内置一个轻量级的PDF阅读器,并通过Windows Update进行定期更新,将有助于系统防范基于PDF格式文件的各种攻击行为,降低系统的安全盲区。
ASLR 和溢出减少
Address Space Layout Randomization (ASLR)即地址空间布局随机化技术,最早出现在Windows Vista 中,它的本质是通过将内存中的代码和数据进行随机存放来避免缓存溢出漏洞的技术。在Windows 8中,这种随机化技术得到了进一步的加强,从而避免了已知的绕过ASLR技术的攻击对系统进行破坏。其它降低溢出风险的措施还包括修改Windows内核和heap,新的完整性检测方法和类似ASLR的随机方案。这些提升也会让IE10获益: 除了包含 “Enhanced Protected Mode” 沙箱外,IE10还具有 “ForceASLR” 选项,可以将所有加载的模块在内存中进行随机化的存储,而不考虑这些模块是否设置了ASLR保护(开发人员可以利用/DYNAMICBASE标记开发支持ASLR技术的模块以便更好的利用该技术的优势)。
Windows 8 专业版安全功能
下面我要介绍的安全功能只存在于针对企业用户的Windows 8专业版和Windows8企业版中:
Bitlocker 和 Bitlocker To Go
Bitlocker是微软在Vista时代推出的一个全盘加密解决方案,在windows 7中,该方案改名叫Bitlocker To Go,可以支持对移动存储设备进行全盘加密。在Windows8中,该方案没有明显的改变,只是增加了将Bitlocker To Go加密密钥备份到SkyDrive账户中的功能。