Windows Vista操作系统安全体系概览

wapysun

浏览: 22101858 次
性别:
来自: 杭州

最近访客更多访客>>

devcang

hunankeda110

辽东小小

apex53

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

2012-06 ( 77)
2012-05 ( 587)
2012-04 ( 177)
更多存档...

Windows 防火墙应用服务器 XP 网络应用

　　提到系统的安全特性，我个人认为这应该是Windows Vista最大的亮点了。它相比之前Windows XP来说可谓是一个飞跃。现在我们就从几个主要的方面一一阐述这些安全方面的新特性。

　　在Windows Vista进入开发的时候就已经与以前的系统有很大的不同了，在这一整个的开发过程微软始终是把“安全”放在最高的位置上来进行的，Windows Vista的开发引入了Security Development Lifecycl(安全开发生命周期)这是一个从系统的设计一直到发布都始终贯穿其中的机制，它主要包括十一个流程。由于这个东西似乎和我们用户的关系不是很大因此就不做过多的叙述了。

　　服务的强化升级，大家应该还记得当年恶贯满盈的冲击波吧，它就是通过攻击系统 RPC服务的漏洞来攻击我们计算机的。在以前的系统中服务在计算机中基本上都是处在绝对高位的地方来运作的，并且呢也没有针对服务的限制机构来对各种各样的服务进行管理，因此呢就很容易出现某个核心服务被一些恶意的程序利用进而对我们的计算机造成破坏。这个问题在Windows Vista中得到了解决，在Windows Vista中任何的系统关键服务都是不能做任何越权操作的，这样如果有恶意程序想要利用一个系统的关键服务在我们的计算机中干坏事的话，它是绝对不可能得逞的。那么我们知道除了Windows的系统服务以外，一些我们需要用到的应用软件也是会把自身的一部分安装为一个服务来保证其可靠的运作。在以前的系统中，这些服务都是以LocalSystem这个账户运行的，在这样的情况下我们系统是非常脆弱的，并且没有办法对这些第三方的服务进行有效的管理，严重的威胁到了系统的安全以及稳定性。而在Windows Vista中则完全改变了这样的格局，首先引入了每个服务的安全标识符 (SID)。它启用了每个服务的标识，该标识随后又通过现有 Windows 访问控制模型(包括使用访问控制列表 (ACL) 的所有对象和资源管理器)启用访问控制分区。服务就可以显示 ACL 应用于该服务专用的资源，从而可防止其他服务和用户访问这些资源。

　　然后现在服务不在回像以前一样使用LocalSystem账户来运行，而是由专门的权限较低的LoaclService、NetworkService等这些账户来运行，这会降低服务的总体权限级别，就类似于“用户帐户保护”的机制。并且去除了服务中不必要的系统权限。另外在Windows Vista中第三方的程序要插入一个令牌到服务中已经被限制了，也就说没有得到服务SID访问的程序要想将它的令牌写入服务中的话将会以失败告终，这样就可以彻底的保证在我们电脑中的每一个服务都是干净的，这些服务不会再被一些恶意的程序所利用进而来对我们的系统实施破坏。最后更令人激动人心的一点就是基于每个服务都具有单独且唯一的SID，这样便可以利用Windows防火墙对每一个服务进行规则限制，这样做的好处是显而易见的，比方说一个存在一定安全风险的服务可能存在被网络上其他的一些我们没有授权的东西利用来侵入或者做一些我们不希望看到的事情的时候，你完全可以在防火墙中将这个服务的网络访问规则做一个限制，这一点我会在Windows Vista TechView关于防火墙的章节中做出详细的叙述。

　　通过上面的简要介绍我们可以看到，Windows Vista的服务强化升级可是使我们的系统时刻处在最安全的状态，但是大家也要明白，只靠服务强化升级是不足以构成保护我们系统的安全体系的，它也需要和Windows Vista中的其他安全模块协同运作，比如上面提到的Windows 防火墙。好了，这个今天就先说道这里毕竟着一章是概览~我会在Windows Vista TechView关于系统服务的章节中做详细叙述，敬请期待~。

　　Internet Explorer 7 保护模式

　　说道安全就不能不说一下目前网页浏览所存在的安全隐患了，随着互联网的飞速发展，越来越多的Web应用已经走入了我们的生活，同时各种各样的Web也是我们获取信息的最重要途径，但是林子大了什么鸟都有这句话似乎总是应验在所有的事物上面。如今的互联网处处充满了陷阱与美丽的谎言。网页恶意代码，Web上面许多不怀好意的控件，欺诈我们财产的钓鱼网站，等等这些已经对我们的电脑构成了严重的威胁，甚至是一场灾难。每年因为网页恶意代码导致系统瘫痪，因为很多不请自来的控件在占用我们紧俏的系统资源做一些上帝都不知道的事情，因为被钓鱼网站欺骗而只是我们信用卡中的数字呈指数级下降的案例已经不计其数。可能对于精通电脑的人来说可以更多减少这些威胁但是对于更多的普通用户应该怎么面对这样一个严峻的考验呢?就是在这样的时候Internet Explorer 7的保护模式被设计了出来，它能给我们怎样的保护?我们接下来就大概的看一下吧。

　　IE7的保护模式是构建于Windows Vista的UAC也就用户账户控制这个模块上面的，在以前的IE以及系统中IE浏览网站时使用有的权限就是我们登陆系统时用的帐户的所有权限，而大多数的用户在使用Windows XP的时候都喜欢用具有Admin权限的管理员身份帐户来使用系统，这个时候IE自然也就拥有了Admini的所有权限，因此呢网页上那些恶意的代码或者控件才有了可趁之机，拿着管理员的权限在我们的系统中为所欲为。那么在Windows Vista中这个情况将得到改变，IE在默认的情况下系统只会给他浏览网页所必需的一些权限而不会给他管理员的权限，这些管理员权限对于网页浏览器来说是多余的。

　　所以说在默认的情况下呢IE是不能修改用户的文件或者对系统进行配置的，这样即使我们访问到一个含有恶意代码或控件的网页时这些代码也会因为没有足够的权限而胎死腹中变得一无是处。然后便是钓鱼网站，这些网站一般会伪装成某个银行或者某个网络服务商的网页，然后以种种借口欺骗用户在这个页面上面输入自己的账户，从而达到窃取用户财产的目的。因为受到这些钓鱼网站欺骗造成财产损失的事情如今已是屡见不鲜，我认识的朋友中就有好几个遭此不幸。解决一问题已经迫在眉睫，所以在IE7中就引入了专门针对这些网站的应对机制。第一、网页仿冒的筛选，启用这个功能以后，我们如果放到一些仿冒的钓鱼网站的时候IE首先就会停止加载这个页面，同时给出明确的警告，当然如果你确定你访问的这个页面是安全的那么就可以点击继续访问。

　　看到这里可能很多人会问IE7是怎么知道某个站点是假冒的呢?其实这还要归功于微软庞大的资源，这些站点的关键字以及特征是被存放在微软专门的一个服务器上面的，访问网页的时候IE7会先到这个服务器上查找，如果找到匹配的记录那么IE7便会给出警告。这个服务器中的数据一般是几分钟就更新一次，其数据的主要来源是微软放到网络中的蜘蛛抓取还有用户的举报提交。前者就不用过多的解释了，对于后者就是说我们如果发现某个站点可能是仿冒的用来欺骗我们的时候便可使用IE7的仿冒网页提交功能将信息提交给微软，微软会对用户提交的信息做进一步的核实，确定之后这个站点就会被立即添加进服务器中。这样一来那些假冒的网页就无处藏身了，但是很多人又有了很多的疑问。这样每次打开一个网页IE7就要连接到微软的服务器作检查一定会让网页访问变得很慢吧;这个数据筛选的服务器是微软的那么微软肯定会把竞争对手的网页也添加进取咯?等等，对于这些问题我自己也很关心~但是我在经过一段时间的使用后发现呢这个筛选基本上不会拖慢网页开启的速度，虽然的确有一些延迟但是用户在使用的时候肯定是不容易察觉这一秒钟以内的延迟的。

　　对于第二问题我也专门问了一位Windows 安全开发小组的主管，对方给我的答复是否定的，就是说微软绝对不会把竞争对手的站点添加到这个服务器中，而且如果今后有必要的话将会有第三方监管机构介入近来，所以大家还是可以相信微软的。那么说完这个大头以后呢在来看一个细节部分，就是地址栏的颜色状态反映和动态安全状态栏。就是说呢比如我们在访问一个采用SSL(安全套链字层)加密的站点时，地址栏会变成黄色的，提醒用户现在的这个站点是被加密的，同时在地址栏右侧会出现一个安全状态栏，用户可以通过这个状态栏知道该站点目前的证书是否有效。

　　那么IE7方面今天就先说道这里，我会在Windows TechView关于IE7的章节中做更详细的介绍。敬请期待哦!

　　Internet Explorer 7 保护模式

　　那么IE7方面今天就先说道这里，我会在Windows TechView关于IE7的章节中做更详细的介绍。敬请期待哦!

办公室的电脑有有可能会被偷走就更不要说笔记本电脑和平板电脑了。而如果你的电脑中存放着很敏感的资料，例如你工作单位的一些机密、你的银行账户等等这些如果被不怀好意的人拿到的话后果可能是致命的，不知道大家有没有参加前两天关于这个Bitlocker的Webcast，里面就提到几个案例，因为存放着敏感资料的笔记本被盗以后导致一个公司的商业机密泄露到了它的竞争对手手中而面临倒闭，也有个人资料泄露以后导致隐私被公开或者受到要挟。而Windows XP的账户密码是非常脆弱的，懂一点专业技术的人都能在几分钟之内破解掉它，拿到计算机里面的数据，这种攻击方法称之为离线式攻击，也就是攻击者直接接触你的电脑来实施入侵行为，所以如何保护我们硬盘中的数据特别是对笔记本电脑这类更容易丢失的电脑来说显得尤为重要。Bitlocker也就是在这样一种局面下诞生了，它采用了硬件和软件相结合的方法来保护我们硬盘中的数据。启用了Bitlocker 以后呢会生成两个密钥一个存放于引导分区中，另外一个存放在主板上的一个名叫TPM的芯片里，在计算机加电的时候首先是TPM最先加载，他会和引导区中的密钥进行对比验证，通过了以后才会加载BOIS完成计算机启动过程，而如果这当中任何一个不匹配的话，比如有对这个TPM芯片作了手脚，或者是把硬盘拆下来放到别的机器中。Windows Vista将会拒绝掉密钥的释放，系统将无法启动。这个加密机制我可以毫不夸张地告诉大家，在各位的有生之年是它绝对是安全可靠的，不会被破解掉。当然，对于一些可能存在的事情，比如主板坏啦，或者需要把磁盘移动到一台新的计算机中的时候，Bitlocker也提供了恢复功能，就是在加密的时候Bitlocker会给出一个48位的恢复密钥，要求用户在做加密的时候一定要妥善的保管这个密钥，否则当遇到上面提到的这些情况时你将永远无法取回那块硬盘中的资料了。

　　Windows Defender 防间谍软件

　　木马!如今已经取代了病毒的老大地位，成为了用户最担心的东西。我的XX帐户被盗啦~这句话现在随处可见。而木马能做的事情却并非只是盗取一个XX帐户那么简单，它能窃取计算机中的资料;在企业网络中如果某一台计算机中了木马，那么他很可能通过这台计算机来入侵整个企业网络，窃取商业机密;准黑客们也会通过对别的计算机安插木马来做跳板实施他堕落的某个计划。由此来看木马无疑又是一个严重威胁到我们计算机安全的东西。另外还有一种称作Malware的东西，这些东西总是后台运行在计算机当中，严重的降低了系统性能，使系统变得迟钝，并且令我们的系统千疮百孔。现在有很多的反病毒厂商都推出了专门针对木马和这些间谍软件的工具或者附加模块。

　　Windows Vista中也已经加入了这个新的成员，Windows Defender。它的工作就是发现并清除我们计算机中的这些坏家伙。并且Windows Defender是免费的，它包含在Windows Vista的安装光盘中，所以不需要用户另外花钱购买，这一点我觉得很好，又少了一笔开销，呵呵。具体的今天就不谈了，我会在Windows Vista TechView关于Windows Defender的章节中做详细的介绍。敬请期待哦。

　　IPSec/Firewall Integration

　　在Windows Vista中另一个重大的改变就是防火墙这个部分，我们知道在Windows XP中呢已经加入了Windows 防火墙这个组件，但是相信真正用的人不多，大部分用户包括我肯定是购买第三方的防火墙来用，比如我就用的是McAfee的墙，具体的原因恐怕就是Windows XP中的防火墙简陋得可怕，有时候甚至怀疑它是否能真正发挥作用。并且你根本不要想对它做深入的设置，这一点就是我不用它的理由了。

　　现在Windows Vista中的防火墙终于是飞黄腾达了，它有了非常完美的控制台，这个控制台是基于GP的也就是组策略，因此不仅是对于单独的电脑配置明确简单，对于一个管理多台计算机的管理员来说也更容易管理。今天就先卖个关子~我会在Windows Vista TechView关于组策略的章节中详细的介绍它~要期待哦。还有呢就是Windows Vista中的防火墙已经可以实现通信的双向控制了，也就是说你不仅可以控制连入电脑的访问，也可以控制流出的数据，这在很多第三方的防火墙中都是可以实现的，它的好处也是很显而易见的。还有最大的亮点便是IPSec的整合了，IPSec(IP安全策略)是所有的ITPro一直以来很喜欢的一个东西，有一些人甚至利用IPSec就可以达到使用防火墙的目的，因此就这一点与IPSec的整合上来看Windows Vista中的防火墙在某种层面上就足以超越其他第三方的软件防火墙了，并且对于第三方的软件防火墙来说最致命的就是它是完全免费的，包含在Windows Vista的安装光盘中，系统装好了就有，又少了一笔开销哦~呵呵，今天关于防火墙的话题还是要到这里就停一下了，我会在Windows Vista TecnView关于防火墙与IPSec的章节中详细介绍，敬请期待哦。

　　Network Access Protection 网络访问保护

　　既然扯到了防火墙与IPSec，也就不得不引入NAP的话题了，在Windows Vista中内建了NAP的客户端，NAP是一种全新的内部网络针对从外往访问接入的保护体系，在Windows Vista中只有它的客户端，而服务端则是包含在Windows Longhorn Server(Code Name)中的，所以NAP是需要网络中的Windows Longhorn Server(Code Name)来配置管理来运行。NAP的工作主要是保护内部网络，它主要应用在企业网络环境中。比方说你下班或者出差的时候需要访问公司网络调用当中的一些资源时，你向公司网络发起访问请求，这个时候首先会由NAP来对你的计算机做安全检查，这些检查包括你的电脑中是否有病毒、是否存在木马、是否打了安全更新补丁、或者是别的安全规则是否已经满足，验证完这些以后确定你的电脑是安全的才会给你访问内部网络的令牌，如果达不到安全要求则会将你防在隔离区域，然后非常详细的列出是什么地方没有达到要求，并且给出最快的解决方法，等到符合要求以后才会给你发放访问令牌。而这些安全规则是可以由公司IT管理员来针对企业的要求作出自由详细的设定。当然对于普通在家使用电脑的用户来说这个功能可能没有多大的关系，所以只要了解一下下就好，如果想要了解NAP的朋友可以稍微等待几天我会在不久发布Windows Vista TechView关于NAP的章节做详细叙述，因为现阶段NAP的所有功能还没有完全开发出来，其关键部位还在Windows Server那边做开发，所以这个章节可能需要等待一段时间我才会发布，这取决于我所掌握的资料详尽程度。敬请关注。

　　User Account Control用户帐户控制

　　UAC可是Windows Vista在安全方面的重头戏，尽管目前的版本还存在较大的争议，但是它给我系统安全所带来的作用依然不可小视，相信在最终发布时UAC将会以最符合用户使用习惯的面貌来保护我们的计算机。

　　前面说到IE的时候我就已经说过现在很多人在使用计算机的时候都喜欢用具有Admin权限的管理员身份帐户登陆使用系统，这肯定是所有的安全专家都反对的行为，因为它给我们的系统带来了巨大的安全隐患，但是在Windows XP中如果用普通的User帐户来使用的话将会面临很多麻烦，比如安装某个应用程序就可能无法安装，必须要我们注销以后再用Admin登陆安装或者使用Run As命令来实现，这对于普通用户来说肯定是无法忍受的。所以宁愿冒着安全风险使用Admin来使用系统，正所谓鱼和熊掌不可兼得一样，安全和易用性也是不可兼得的，你要使系统很安全，那么易用性方面肯定就相对较差，如果你想要一个很容易使用的系统那么这个系统肯定存在很多的安全隐患。所以在Windows Vista中就引入了UAC这个机制，在这个机制下使用普通的User帐户登陆系统时如果要安装某个程序或者某个操作需要用到Admin权限的话系统将会自动识别出来并且弹出一个对话框告诉用户这个操作需要用到管理员权限，并且会标示出这个操作的发起源，用户可以根据发起源的信息来判断这个操作是否是自己所要做的，是的话就可以键入管理员的密码来执行这个操作。如果发现某个操作是来自一个未知的程序的话拒绝掉就好~这样还可以达到阻止一些会悄悄在后台自动安装的莫名其妙的程序。而对于很多专业的计算机用户来说可能更像避免这些麻烦，所以还是会使用管理员庄户来登陆使用系统，不过在这个时候UAC还是还是会发挥作用哦~所以即使你使用的是管理员帐户来登陆的系统，在运行程序的时候系统依然只会分配给这些程序很有限的权限，只要使这些程序能正常运作就可以了，当某个程序或者操作会对系统的设置做更改的时候还是会弹出一个确认对话框告诉用户是否授权这项操作，只不过这个时候不再需要用键入管理员的密码，还有当某个程序或者操作请求的权限过大的时候还会出现传说中的黑屏，也就是系统会暂停当前所有的进程，弹出一个对话框警告用户是否授权这项操作。我想这一点就是目前UAC被人指责得最多的地方了，所以很多用户在一装完Windows Vista的时候第一件事情就是关闭UAC。对于这一点我真是很替微软难过，UAC的确是非常好的东西，我也非常不建议大家关闭它，而且如果你受不了那些提示对话框的话完全可以在不关闭UAC的情况下让那些对话框不再烦我们，我们只需要做一些小小的设置。至于怎么样来实现我又要卖关子了~~哈哈不要打我哦~毕竟这一章只是概览啊，我会在Windows Vista TechView关于UAC的章节中做更详细的介绍，并且现在已经确定下来UAC这一章将会是第三章，也就是说这个部分会很快和大家见面~~敬请期待哦。

　　Bitlocker Drive Encryption/ EFS Smartcard key storage/ RMS client

　　再来说说这个新的Bitlocker，这个组组件主要是在本地用软硬结合的方式来保护我们硬盘上的数据的。现在电脑的丢失已经是很常见的事情了吧，有时候连放在

　　再说TPM芯片，这个东西是比较新的一种硬件芯片，在比较新的主板中已经有了，我也在市场上看了一下，发现已经有部分的主板和笔记本电脑都包含了这个芯片，但是包含着个芯片的台式机主板还是比较少，但是在不久这种芯片将会得到普及。那么Bitlocker在没有TPM芯片的电脑中就不能使用了吗? 其实还是可以使用的，只需要一个USB Key就可以了，其实就是一个U盘，相信基本上都有这个东西吧~很方便的东西也很便宜。Vista完全可以用U盘来代替TPM芯片存放密钥。所以说Bitlocker的使用还是比较灵活的，并且在使用的时候不会对系统性能产生影响。

　　但是Bitlocker只能加密系统分区也就是Windows Vista所在的分区，那么其他分区的数据难道就得不到保护了吗??我们说其他分区的数据也是可以保护的，至于方法就是利用在Windows XP中就已经存在EFS，这个是一种基于用户账户的文件保护机制，也就是说它使用用户的计算机帐户对该用户的数据进行加密，在Windows XP的使用过EFS的用户一定知道，EFS的加密是非常有效的，并且在使用的时候完全没有任何的影响，用户完全感觉不到它的存在，然而当换一个用户登录操作系统想要访问另一个账户的被加密的文档时候肯定是不可能的，但是之所以这套加密机制在Windows XP中有如形同虚设的原因就是前面提到的，Windows XP的帐户密码可以在几分钟之内被破解掉，因此EFS也就失去作用了，但是在Windows Vista中有Bitlocker来保护我们的系统分区，也就是等于保护了用户账户，攻击者在拿不到这些账户的时候是也就根本不可能拿到那些在其他分区中被EFS所保护的任何数据了。因此有了这套机制的保护，我们的硬盘就是被FBI拿到，他们拿硬盘中的数据也是没有任何办法的。

　　在上面标题中我还写了一个RMS client这是干什么的呢?这个RMS呢主要就是针对企业的一个文档权限控制机制，他可以保护从电脑中发布出去的文件的安全，为什么这么说呢，是因为RMS可以非常有效的控制一个文件的使用权限，比如我发了一个Word文档到网络中，那么RMS在这个时候就可以发挥作用了，我完全可以设置这个Word文档可以被什么人打开阅读、可以被什么人修改、什么人不能看也不能修改、什么人可以看几次、什么人可以在什么时间看等等非常详细的权限设置。这对于一个企业网络来说是非常必要的。那么关于这部分的内容还是就到这里暂停了哦~我会在Windows Vista TechView关于Bitlocker的章节中详细的叙述，要期待哦~

　　最后还有一个东西，大家只需要了解就行。就是全新的加密架构。

　　Windows Vista用新的加密基础结构代替了现有的CAPI 1.0 API。新的加密结构可以允许客户增加、替换系统中的加密算法，比如你甚至可以把SSL加密算法替换掉。可以在系统中加入自己开发的加密算法。这样就解决一直来困扰很多国家政府机构以及一些企业的忧虑，他们担心使用美国的操作系统会对自己国家的安全构成威胁，因为所使用的加密算法是美国人开发出来的，而现在呢各个国家完全可以自行开发自己的加密算法加入到系统中来，并且删掉原来的那些算法，这样就完全解决了各国政府等对使用美国操作系统的安全顾虑。

　　到这里本章的内容就已经基本上写完了，感谢大家抽出宝贵的时间来阅读，从文中可以看到这个Windows Vista TechView系列文本可能会有非常多的章节，至于最终会有多还不是很确定，毕竟需要详细描写的东西太多了，Windows Vista的改变完全可以称之为一场翻天覆地的革命，并且目前这个系统还没有发布，今后根据市场、技术或者其他原因在最终发布上市的Windows Vista中可能有些地方会和现在有所不同，因此这个TechView最后会出现多少章节我自己也无法控制。最后还是希望大家能从中获益，同时也非常感谢大家的阅读。

分享到：