Windows Vista明顯提高了對黑客和惡意入侵者的防范��,毫無疑問��,它是迄今為止最為安全的微軟操作系統��。通過諸如用戶帳號控制(UAC)��、BitLocker驅動器加密��、文件/注冊表虛擬化��、強制完整性控制(MIC)和IE瀏覽器保護模式等功能��,你可以在系統級別或更精細級別來加固Vista的安全性。
然而��,由于Vista的安全配置的復雜性,人們對一些Vista安全功能和推薦配置存在很多令人迷惑之處��。下面讓我們看一下關于Vista安全的十大頂級誤解��,并給出正確的理解��。
1��、administrator帳號默認將被禁用?
通常情況下Vista會默認禁用administrator帳號,但是有一個前提:在管理員組里面存在其他活躍的定義好的成員��。更準確的說法應該是��,如果Vista檢測到其他啟用的管理員帳號的話��,通過禁用真正的administrator帳號��,來試圖最小化管理員帳號的數量��。在新安裝Vista的時候,第一個新帳號將被增加到管理員組里��,就如同在Windows xp和Windows 2000中一樣��,但是后來增加的用戶不是��。一旦第二個管理員帳號被增加后��,Vista將禁用真正的administrator帳號��。
需要注意的重要一點是��,默認禁用的管理員帳號是沒有密碼的��。你應該對administrator帳號設置一個復雜的密碼,即使它是被禁用的��。如果你要啟用一個被禁用的administrator帳號的話��,首先設置密碼��,然后你就可以啟用這個帳號了��。
2��、Vista只存在四個強制完整性控制級別?
強制完整性控制(MIC)是Vista安全架構中新增加的一種檢測機制。Vista中的所有安全性對象和進程都有一個完整性級別��,完整性級別(IL)低的進程不能修改級別高的文件或注冊表表項��。有四個主要的強制完整性控制(MIC)級別:
·低(Low)
·中等(Medium)
·高(High)
·系統(System)
包括管理員組中的非提升權限成員在內的大多數用戶��,都運行在中等級別��。以下是一些其他級別是如何被設定的��。
·內核級別的Windows文件以系統完整性級別運行
·用戶級別的代碼�,例如Windows Explorer和任務管理器,以中等完整級別運行
·真正的administrator或系統管理員組中的提升權限的成員以高完整級別運行
·保護模式下的IE瀏覽器以低完整性級別運行
·如果一個對象或資源沒有明確的設定完整性級別,那么它具有中等完整性級別�。
建立強制完整性控制的的主要目的是�,使一般用戶�、程序和在IE保護模式下的下載內容難于修改系統文件。因此�,即使一個用戶可能是系統管理員組的一個成員�,或者甚至即使一個惡意軟件設法突破了IE的初級安全防御�,它們也難于修改Windows的系統文件。
除了上述四個級別外�,至少還有兩個人們知道比較少的強制完整性級別:非信任級別和保護進程級別�。非信賴完整性可能是級別最低的強制完整性級別�,被設置給匿名空連接會話�。保護進程可能是級別最高的強制完整性級別�,只有在系統需要的時候才會被使用。
或許只有你在進行研究或故障排查的時候才能碰到這些強制完整性級別�,你可以認為惡意黑客們將試圖獲得一個保護進程強制完整性級別的權限,來使Windows更輕松的被攻破�。
3、用戶帳號控制(UAC)減少管理員被需要的次數?
Vista要求用戶獲得提升的權限和許可來完成系統任務�,諸如安裝軟件�、更新內核驅動等等�。Vista還有一些新的要求較少管理性帳號的功能,但是用戶帳號控制(UAC)不是其中之一�。
用戶帳號控制(UAC)明確的要求那些希望完成管理性任務的用戶具有提升的本地組中成員資格,例如administrators組或backup Operators組�。用戶帳號控制(UAC)的存在并不會減少對管理性用戶的需要�,當執行諸如電子郵件或網絡瀏覽等非管理性任務的時候,它提供了針對屬于提升權限組的用戶的額外的保護�。
當一個提升權限的用戶(但不是真正的administrator)登錄后�,用戶帳號控制(UAC)設定兩個訪問安全令牌�,也被叫做一個“分離令牌split-token”。直到用戶通過用戶帳號控制(UAC)提升了訪問權限后�,標準系統管理員組的成員安全令牌才可用。否則�,Vista針對用戶的安全令牌采取如下措施:
·Vista移除通常設置給管理員組成員的9個提升的權限
·用戶的強制完整等級從高等降級為中級
·指定禁用安全標示符(deny-only security identifier,deny-only SID)
·出現用戶帳號控制(UAC)同意提示窗口
·應用文件和注冊虛擬化
當用戶提升它們的session時�,那些額外的限制將被移除。但是�,Vista要求一個管理員帳號來完成許多普通的系統任務�。通過在不明確被需要的時候移除提升的權限和許可�,用戶帳號控制可以同時保護系統和用戶�。這樣�,管理帳號不用在瀏覽網頁或打開惡意電子郵件的時候擔心其被提升的安全權限被使用。
在其他方面�,Vista的確降低了必需的管理員的數量。首先�,Vista已經移除了完成許多普通系統任務對管理員權限的需要,諸如查看或修改時區�,配置無線網絡,修改電源管理設置�,創建和配置一個虛擬專用網絡(VPN)連接和安裝關鍵的Windows更新。
其次�,Vista讓管理員可以定義非管理員帳號可以安裝的驅動�、設備和ActiveX控制�。因此�,舉個例子來說�,你可以讓你的用戶安裝打印機�、網卡、USB設備和VPN軟件�。
第三,對于基本的網絡重新配置任務�,你可以增加非管理員用戶到網絡配置操作組中�。在這個組中的用戶可以釋放ip地址,清空DNS緩存和完成其他普通網絡任務�。還有很多其他的方式來降低你需要管理員權限的次數。UAC不是其中之一�。
4、只有administrators才能使用用戶帳號控制(UAC)權限提升?
默認情況下�,你不能輸入非提升權限的帳號到用戶帳號控制(UAC)同意對話框中�。這意味著�,如果一個用戶帳號不屬于一個提升權限組,它不能通過用戶帳號控制(UAC)來提升權限�。但是權限提升并不是管理員才有的功能。任何在administrators�、backup operators、network configuration operators和power users組的帳號都被認為是可以提升權限的�。你可以把它們作為潛在的用戶帳號控制(UAC)憑證來使用進行合適的權限提升�。當然,你依然不能使用非管理員用戶來完成只有管理員才能完成的任務�,但是你可以使用這些在提升權限組里的帳號來完成其他任務。
舉個例子來說,你可能需要用戶來運行一個要求細微差別許可的程序�,但是你并不想給予他們管理權限。你可以創建一個具有合適權限的新用戶帳號�,并把它放到power用戶組里(這個Vista中的組沒有默認的權限或許可)。當這個用戶需要“提升權限”來運行這個應用程序的時候�,他們可以使用在power users組中的那個新帳號。
5�、用戶帳號控制是一個安全防線?
用戶帳號控制(UAC)不是一個安全邊界或安全范圍。微軟從來沒有想讓用戶帳號控制(UAC)成為像防火墻一樣具有定義好的安全范圍的安全邊界�。當用戶通過一個提升權限的帳號登錄到系統時,用戶帳號控制(UAC)保護保護用戶和系統免遭特定類型的惡意攻擊�。它實際被用作一個支撐系統�,無論什么時候要求臨時的管理員訪問。對于合法的應用程序來說�,這是經常發生的事情。
用戶帳號控制提供了以前版本的Windows操作系統所不能提供的保護�。如果你想具有承諾的安全的真正保護,用戶不應該作為一個管理員來登錄到系統�。就是那么簡單�。
6、IE保護模式會保護所有下載內容?
更準確的說�,IE保護模式提供了對瀏覽網頁過程中自動下載的互聯網內容的額外保護�。這兒的第一個例外是IE保護模式不適用于所有IE安全區域�。默認情況下,IE保護模式并不會對在信任站點區域的任何網站起作用�。但是�,實際上還不僅僅有這一個例外�。
通過以一個低強制完整性級別來運行IE瀏覽器,IE保護模式會給你額外的保護�。這個原理也適用于大多數其他IE對象,諸如菜單條�、瀏覽器幫助對象和其他插件。被IE保護模式自動下載下來的內容被存儲在低完整性文件和注冊表區域中�,因此它不能直接對系統文件和標準中等完整性用戶區域進行寫訪問�。
創建IE保護模式是專門用于針對“隱蔽強迫(drive-by)”下載:那些未經用戶同意就下載的行為。如果一個用戶手動的下載一個文件或故意的執行激活一個內容�,它會被標記為中等完整性級別。被一個提升權限的用戶所同意的內容(例如安裝一個ActiveX控件)則運行在高完整性級別�。因此,假若用戶被欺騙下載或執行一個內容�,IE保護模式就不起作用了。
7�、所有Windows進程被數據執行保護(DEP)所保護?
IE主進程Iexplore.exe被排除在Windows的數據執行保護(DEP)緩存溢出的默認保護之外�。微軟專門選擇不啟用對Iexplore.exe的數據執行保護(DEP),因為它可能導致java和許多常用瀏覽器插件的問題�。
因此�,即使是在IE保護模式下瀏覽器也依然將暴露出許多常見的緩存溢出缺陷�。但是,即使一個緩存溢出漏洞被成功利用�,這個惡意的攻擊將會發現它非常難于執行一個有意義的攻擊。你可以輕松的對IE瀏覽器啟用數據執行保護(DEP)�,如果數據執行保護不會引發任何問題的話,你可以保持它運行�。
8、文件和注冊表虛擬化會阻擋惡意文件和注冊表修改?
文件和注冊虛擬化的確可以阻擋惡意的修改�,但是那是針對有限的一部分位置而說的。默認情況下,原有的應用程序對以下位置進行讀寫的時候會被重定向到每個用戶的虛擬化的區域(這不是一個完整的列表):
·/PRogram Files何其子文件夾
·64位系統上的/Program Files (x86)
·/Windows和所有的子文件夾�,包括System 32
·/Users/%AllUsersProfile% /ProgramData(在XP中是/Documents and Settings/All Users)
·/Documents and Settings
·HKLM/Software
除了這個有限的列表中的寫阻擋位置外�,以下對象從不會被虛擬化:
·默認的Vista應用程序
·具有可執行擴展名的文件,諸如.EXE�、.BAT�、.VBS和.SCR。你還可以在注冊表中以下位置增加額外的文件擴展名例外:HKLM/System/CurrentControlSet/Services/Luafv/Parameters
/ExcludedExtensionsAdd
·64位的應用程序和過程
·在可執行名單中具有一個被請求的執行級別指示的應用程序�,例如大多數Vista進程
·使用管理員權限運行的過程或應用程序
·內核模式應用程序
·修改一個標有Don't_Virtualize注冊標志的注冊表值的應用程序
關于最后一點�,任何在HKLM/Software下的鍵具有三個新的注冊標志,你可以通過Reg.exe來查看:
·Don't_Virtualize
·Don't_Silent_Fail
·Recurse_Flag
標有Don't_Virtualize的任何鍵不會參與注冊虛擬化。你可以使用Reg.exe來顯示和設置注冊標志�。
9、Windows資源保護(WRP)會與Windows文件保護(WFP)一樣?
Vista的新的Windows資源保護(WRP)經常被吹捧為Windows文件保護(WFP)的一個插件替代�。Windows文件保護(WFP)在Windows 2000中被初次引入,在此前的Windows版本中采用了一個類似的系統文件保護(SFP)�。兩者都與Windows資源保護(WRP)類似,但是它們的工作原理和完成任務存在巨大的不同�。
Windows文件保護只保護文件。而Windows資源保護則對關鍵文件�、文件夾和注冊表值進行保護。Windows文件保護和系統文件保護監視對受保護系統文件的修改�。如果這個修改是未經授權的,它就使用一個合法的源文件的備份來提到被修改的文件�。通常情況下,一個Windows文件保護事件發生的唯一警告是一個快速告警信息或者一個被寫到事件日志中的事件�。
Windows資源保護首先盡力來防止對系統資源的修改。管理員不能修改系統資源�。默認情況下,只有Windows信任的安裝安全主體(security principal)才能使用Windows模塊安裝服務來進行修改�。
這兒需要提出的一個重大警告是,假若你個系統管理員或一個提升權限的用戶完全掌握了一個受保護資源�,并給了它們自己完全控制的權限�,它們將能夠修改,甚至是刪除這些受保護的資源。和Windows文件保護WFP和系統文件保護SFP不同的是�,Windows資源保護不會自動的使用一個合法的備份拷貝來替代受保護的文件。Windows資源保護WRP只替代對重起Windows比較關鍵的系統文件�。
為了使Windows資源保護替代所有被修改的受保護資源(這在排障情況下是一個不錯的想法),運行以下命令:sfc/scan now�。如果你需要一個受保護文件的原始拷貝,你可能必須提供Vista安裝文件�。
10、Windows防火墻默認情況下不阻擋出站連接?
除了別的功能�,Vista還增加了出站連接阻擋功能到Windows防火墻中�。不過批評家們迅速指出�,Vista默認情況下不阻擋任何出站連接�,但是這種說法是不對的�。默認情況下,在好幾種場合Vista會阻擋出站通信�。
Vista防火墻阻擋了一些源自許多默認服務的多余的或不需要的通信。它有82個默認過濾器來防止34個服務出站通信�,而不是通過定義端口和IP地址范圍來限制�。舉個例子來說,P2P分組服務被拒絕外出訪問任何端口�,而不僅僅是它默認的3587端口�。另外還有很多其他的默認出站阻止,其中包括那些針對Windows Defender�、Session Isolation和SNMP Trap通信等。
不幸的是�,沒有圖形化的界面來配置或查看這些默認的過濾器。不過只想查看的話�,這些默認的過濾器被列在注冊表中的以下位置:
HKLM/System/CurrentControlSet/Services/Sharedaccess/Parameters/FirewallPolicy/
RestrictedServices/static/system
目前�,COM腳本工具是其主要的管理界面。
Windows Vista實際上具有比人們想到的更多默認的保護�。只有經過合適的配置�,你才能將Vista的安全性達到你要求的程度�。
