自从将关注重点放到可信赖计算项目上之后微软就开始坚持在Windows的每个新版本中都推出安全方面的新功能这种做法让系统面临的安全态势发生了极为明显的改善现在看来Windows 在这方面也没有例外尽管由于公众将关注重点放在了新用户界面以及两极分化非常严重的使用效果上从而导致安全方面的更新显得不那么引人注目了在本文中我们将共同了解一下各版本中都新增加了哪些安全功能它们之间有何不同以及实际效果究竟如何
Windows 系统提供的基本安全功能
这些功能将出现在Windows系统的所有版本中不论它属于面向家庭用户的Win还是面向商业用户的专业以及企业版本情况都不会有所例外
UEFI安全启动功能将获得支持
尽管该功能在某些情况下可能会导致潜在问题出现的缺陷引来了不少非议但安全启动依然属于本版本Windows所提供的一项非常重要的安全新特性众所周知统一可扩展固件接口(UEFI——目前最新的版本是)的目标是作为个人计算机的新一代固件接口来取代传统的基本输入输出系统(BIOS)现在如果系统选择使用安全启动功能的话Windows 对于rootkit之类恶意软件的有效防范能力就可以大为提高在安全启动功能的支持下操作系统可以对所有启动组件的数字签名进行验证防恶意软件驱动程序能够对所有篡改操作进行监控如果发现组件签名不正确(已经被篡改了)的话Windows就会启用恢复模式来尝试对操作系统进行相应处理对于 rootkit类恶意软件来说通常所采取的做法就是在绝大多数防恶意软件工具启动之前就篡改掉关键的操作系统文件并在引导过程中保持活动模式而最新的安全启动功能就可以检测出所有类型的篡改操作并防止rootkit加载进来对于公司用户来说现在最佳的方案就是在部署Windows 的时间直接启用此功能并禁止员工进行关闭处理
智能窗口过滤器的覆盖范围进一步增加
对于智能窗口技术来说最早出现的位置是Internet Explorer浏览器而现在它的覆盖范围将扩展到操作系统之中在NSS实验室进行的相关测试中该功能已经被证明属于现代浏览器检测并阻止社会化工程类恶意软件的最佳选择智能窗口技术由URL信誉检验系统与应用程序和文件信誉检验系统两部分组成URL信誉检验系统可以用来帮助用户防范网络钓鱼以及社会化工程等类型的攻击文件信誉检验系统则可以对文件下载情况进行全面跟蹤并对相关信誉情况进行验证如果下载文件被确认为属于恶意类型的话就将遭到阻止并给出如下所示的警告信息来
图A
如果它属于新文件或者系统无法进行有效识别的情况则将会显示出类似下图的警告信息
图B
由于在涉及未知类型的文件时这种做法很可能会导致出现用户选择绕过警告信息选择强行打开可疑的情况因此系统管理员需要进行及时有效干预以防止警告信息被忽视
内置免费防恶意软件/病毒工具Windows Defender
在Windows 中微软还将提供一套功能非常完整的防恶意软件解决方案所采取的做法就是在Windows Defender中增加微软安全解决方案使用的防病毒功能这就意味着该版本的Windows Defender将具备更高的性能对于系统内存/CPU的占有率也变得更低对于企业级用户来说现在也是做好更换防恶意软件产品准备的时间了因此当前企业正确的做法就是针对解决方案对于兼容Windows 的规划情况向各家防恶意软件供应商进行全面咨询毕竟在安全启动功能的支持下公司现在可以轻松建立起安全可靠的网络环境潜在漏洞将会变得更少反应速度则会变得更快
图片密码
对于安全登录来说图片密码就属于一种采用触摸模式的新方式现在用户可以选择一张图片并在上面做出三种触摸手势系统就可以将手势序列作为用户“密码”保存起来以后用户就可以通过重复操作进行登录依靠手势序列与图形之间的关联这种模式就可以达到提高登录安全性的目标举例来说用户可以选择一张包含有两名人物的图片在其中一位的脸上画张笑脸并触摸另一位的两只眼睛尽管这种模式听起来非常有趣但相比传统模式而言系统的可靠性将会如何依然有待观察
内置PDF阅读器Windows Reader
作为Windows 中新集成的文档阅读器微软将会为Windows Reade增加一种非常有趣的安全新功能该阅读器可以支持目前极为流行攻击者也相当愿意使用的PDF文件格式通过集成使用系统常规更新模式的简易版阅读器操作系统就可以减少对于包含潜在风险的应用程序或插件的需求从而达到提高平台默认安全性的目标
ASLR与减少攻击
地址空间布局随机化(ASLR)最早出现的位置是Windows Vista之中而既定目标则是减轻代码与数据在内存中的位置随机移动从而导致臭名昭着的“缓沖区溢出”漏洞出现所带来的危害在Windows 中为了防范绕过ASLR的技术企图得以实现随机化程度被进一步提升涉及的其它措施还包括了对Windows内核与堆进行调整即利用类似ASLR 的方法来进行全新的完整性检查以及随机化处理并且对于Internet Explorer 来说也将从这些变化中获得好处除了“增强保护模式”沙箱之外这里还包括了一个名为“ForceASLR”的IE选项它可以对浏览器内存中加载的所有模块都进行随机化处理不受到它们是否选择使用保护ASLR技术(通过使用可选/DYNAMICBASE标志来创建模块开发人员就可以获得 ASLR技术带来的好处)的限制
Windows 专业版中提供的安全功能
下面列出的几项功能将只会出现在面向商业用户的Windows 专业与企业版中
磁盘加密工具BitLocker与BitLocker To Go
在Windows Vista中微软提供了Bitlocker作为全盘加密解决方案而在Windows 中Bitlocker被Bitlocker To Go所代替在新版本中该工具的变化并不大不过它也增加了将Bitlocker To Go的加密密钥备份到SkyDrive帐户的新选项
加密文件系统
作为微软最早提供的加密解决方案EFS可以支持针对单个文件文件夹以及驱动器的操作它最早出现于二十多年前的 Windows NT系列产品中不过目前已经基本上被BitlockerBitlocker To Go以及大量免费加密工具所代替
域成员与组策略对象
如同先前的情况没有区别这两项功能依然属于区隔Windows家用与商用版本的主要差别所在对于需要集中进行管理的网络环境来说可以在活动目录域加入新成员就属于至关重要的功能一旦用户加入进来管理员就可以针对域成员创建并应用组策略对象实现对包括安全在内很多方面的日常工作进行全面控制在Windows 中微软针对新操作系统引入了新策略
图C
Windows 企业版中的安全功能
最后签订了软件保障协议的公司将有机会获得Windows 企业版它将包括下面列出的几项安全功能
应用程序控制策略工具Applocker
作为微软提供的应用程序控制解决方案采用黑白名单技术的Applocker最早是在Windows 中出现的在AppLocker的帮助下系统管理员可以通过建立策略来对用户安装以及运行特定应用程序之类的活动进行全面控制而在Windows 中AppLocker可以对传统桌面应用程序以及新出现的Metro应用程序进行管理
直接访问功能
作为外部计算机利用VPN安全连接公司内网的替代选择微软推出了直接访问功能在使用的时间直接访问并不需要其它应用的支持并且能够帮助公司确保远程模式或者移动计算机在应用以及补丁策略方面不会出现兼容性问题相比Windows 中出现的最初版本该功能并没有发生什么大变化
系统镜像功能Windows To Go
紧随“使用自有设备”浪潮的发展微软也宣布推出Windows To Go系统镜像功能由于可以支持全面管理并具有完全的连接无关性因此系统管理员就可以利用外部USB驱动器来保存Windows 企业镜像并在任意x系统上进行启动作为企业系统的完全镜像包括Windows更新策略企业防病毒解决方案以及加密工具BitLocker在内的项目都属于可管理的目前Windows To Go的最低要求是至少拥有GB空间的USB驱动器尽管存在这么多的限制条件但对于不少公司尤其是那些关注自带设备举措导致以及灾难恢复方案带来的安全风险的来说它依然属于非常有价值的功能
