续：Windows Vista操作系统最新安全特性分析：改进和局限 (下)

4. 权限保护

4.1用户帐号控制（User Account Control）

背景。在以往的Windows系统上，绝大多数用户都是以管理员（Admin）权限登录。这是因为太多的操作，如应用程序的安装和运行，操作系统配置的修改等等，都需要管理员权限。

那么，导致的后果就是，计算机病毒和间谍软件一旦感染系统，也就同时拥有了管理员权限，可以随心所欲地做各种事情，如篡改防火墙的设置，安装Rootkit驱动程序这些必须需要管理员权限的操作。

用户帐号控制的目的就是尽量减少用户权限为管理员级别的时间。换句话说，不到迫不得已，决不运行于管理员模式下。具体而言，指：

· 用户登陆后的缺省权限是非管理员身份

· 如果要执行需要管理员权限的操作，例如修改防火墙设置，用户必须通过特定的用户界面（UAC的对话框）才能将权限升为管理员级别。

图6：用户帐号控制提示

局限性。用户帐号控制有以下两个问题。

第一是用户的接纳程度。如前面指出的，用户帐号控制这个功能是一个典型的牺牲可用性而换取安全性的例子。虽然微软作了很大的努力来尽可能帮助用户来使用这个功能，可能还是会有比例不少的用户觉得不甚方便而选择关闭这个功能。一个再好的安全功能，如果用户不使用的话，也就没有任何效果。

第二是社会工程攻击。所谓社会工程攻击，就是攻击者通过某种手段，例如虚假信息，诱使用户执行一定的动作，已达到控制系统，窃取信息的目的。电子邮件蠕虫就是社会工程攻击的例子，而它的有效程度往往令人惊讶。Sober.Z病毒算是2006年在北美地区最为流行的病毒之一。设想一下，一个普通用户收到下面内容的邮件会有什么反应？

发送者：FBI

标题：你的IP地址被锁定

内容：

你的计算机被监控到参与非法活动，相应IP地址已锁定，请合作回答附件问题！

如果用户已经被邮件的内容诱导打开了邮件附件，那用户帐号控制的对话框会在多大程度上接下来阻止用户呢？

4.2智能卡（Smart Card）/登陆体系

背景：传统的Password 不应该是用户的唯一选择。如果用户选择的密码过于简单，那么容易受到字典攻击（Dictionary Attack）。如果用户被强制选择复杂的，难以记忆的密码，那么他/她也许就会把密码记录在随身的记事本上 …。

智能卡提供了解决这个两难问题的一种方案。要通过系统的身份验证，用户必须提供代表身份的智能卡，并且输入一个对应的密码。这种双重认证的好处是显而易见的。如果用户只是智能卡丢失，或者是只是密码被窃取，攻击方还是无法通过系统的身份验证。事实上，微软公司网络的远程接入，就采用了智能卡+密码的验证方式。

Windows Vista中特别加强了对智能卡的支持。它提供了一套完整的公用密码服务（CSP-cryptographic service provider ），以方便智能卡的部署。

另外，登陆体系被重新设计，可以更加方便的和不同类型的凭证供应方（Credential Provider）交互。这使结合其它的身份验证手段，如指纹验证，更为容易。

一点题外话，个人认为，即使不考虑指纹验证设备的可靠性，价格等因素，指纹验证也有一个让人担心的地方。如果采用智能卡部署，攻击方只要试图窃取密码+智能卡就可以了。如果采用指纹验证的话，攻击方就要窃取密码+用户的手指头？！这句话看似好笑，但万一发生后果可就严重了。所以，智能卡部署应是预计发展的主流方向。

4.3网络权限保护（Network access protection）

背景。远程接入设备，如笔记本电脑或用户的家用电脑，使用越来越普遍。如果一台笔记本电脑被病毒感染，当该笔记本接入到公司内部网络时，病毒可以通过此电脑感染整个内部网络。

网络权限保护就是要求：

· 任何电脑必须通过系统健康检查（policy compliant）后，如是否安装最新的安全补丁，防病毒软件的特征库是否更新等，才能接入公司内部网络

· 未通过系统健康检查的机器会被隔离到一个受控网络。在受控网络中，修复自身的状态已达到系统健康检查的标准，从特定服务器下载专门的系统补丁。完成修复工作后，才能接入公司内部网络。

这样就可确保接入内部网络的机器时刻保持健康状态。

图7：网络权限保护

局限性。通过系统健康检查是否就意味着接入的计算机安全了？无论是安全补丁检查或者是其它检查，并不能百分百保证接入设备的安全。

5. 防止有害软件和恶意入侵

5.1安全中心

安全中心（Windows Security Center）最初出现在Windows XP SP2上，目的是给用户提供一个对系统安全配置信息的集中汇总。在SP2的安全中心上，显示以下系统安全特性的状态信息：防火墙，自动更新，和反病毒软件。

在Windows Vista的安全中心，新增加了以下安全特性的状态信息：

· 反间谍软件

· Internet Explorer 的安全设置

· 用户帐号控制

图8：安全中心

5.2反间谍软件和有害软件删除工具

随着间谍软件的日益泛滥，在Windows Vista中集成了微软自身的反间谍软件，Windows Defender，用以检测和清除间谍软件，和其他种类的有害软件，如广告软件，键盘纪录器（Keylogger）, Rootkits等等。

有害软件删除工具（MSRT -- Malicious Software Removal Tool ）是微软提供的针对威胁最为严重的有害软件删除工具。它可以从微软的下载中心直接下载，也可以通过自动更新来执行。当用户机器从XP系统升级到Windows Vista时，MSRT先对原有系统进行扫描，以减少Windows Vista系统安装失败的几率。

但是，无论是Windows Defender，还是MSRT，都不能替代传统的反病毒产品。Windows Defender并不包括对病毒的检测，MSRT中的病毒检测只涵盖最为流行的病毒类型。

更为重要的事，无论是反病毒软件，还是反间谍软件，工作机理均是基于病毒或间谍软件样本的特征代码进行内存和文件系统的扫描。那么，

· 对于小规模，特定范围传播的病毒（这是计算机病毒发展的最新趋势），反病毒软件公司可能没有得到病毒样本，因此也无法提供特征代码。

· 即使反病毒软件公司提供特征代码，与病毒爆发也有时间间隔。这段时间里，用户是不被保护的。

5.3防火墙

Windows Vista中的防火墙，同Windows XP SP2一样，是缺省打开配置。相对于SP2的防火墙，Windows Vista中的防火墙可以控制应用程序的对外网络连接（application-aware outbound filtering）。这样，系统管理员可以对内部网络中的P2P软件，或是网络聊天软件的使用进行限制。另外，一旦机器被感染，outbound filtering可以在一定程度上减低危害程度。例如，如果防火墙报告一个系统打印服务突然通过一个特殊的网络端口向外发送数据，那么就需要仔细调查了。

但是，outbound filtering 能完全防止一台被感染的机器不对外攻击或发送数据吗？在安全领域中有这样一个事实：通过合理的安全配置可以做到一台好（未感染）的机器不被坏（已感染）的机器攻击。但安全配置不能阻止一台坏（已感染）的机器去攻击替它机器。仔细体会一下上面这两句话。这是因为，一旦系统被感染，其行为是无法事先预测的。例如，攻击代码可以彻底关闭，或修改防火墙配置。或者可以在IE中创建一个远程线程来进行网络操作。而在防火墙这端，只能检测到是IE，而不是恶意代码在发送数据。

另外，inbound filtering 也不能完全杜绝外部攻击吗。举个例子：即使防火墙的inbound filtering毫无挑剔（只打开80端口），一个差劲的SQL查询处理就可以导致SQL inject 攻击。

总之，如同其他安全特性一样，防火墙只是安全环节中的一环。

5.4 IE安全改进

背景。IE是最为流行的互联网应用程序，于是它的安全漏洞也成为病毒和间谍软件传播的主要途径之一。另外，尽管针对普通用户的网络钓鱼（Phishing）攻击日趋严重，以前的IE版本并没有提供任何对抗措施。

IE7为了降低安全漏洞的危害性，引入了保护模式（Protected Mode）这个概念。这是IE7最为重要的改进。在Windows Vista中，IE7运行在保护模式下，这意味着：

· IE7运行权限低于普通用户程序

· 只能对文件系统的特定部分执行写操作

· 不能对高权限的其它进程操作，如创建远程线程等

· 敏感操作，如修改Internet设置，或安装ActiveX控件，由代理进程（broker process）执行。

由于运行在保护模式下，如果IE7出现了安全漏洞，其危害程度一般也会远远低于以往IE安全漏洞。攻击方即使成功攻陷IE7，也很难执行更加严重的破坏，如在系统目录下拷贝文件或修改系统注册信息等。

图9：IE7保护模式

IE7的另外一个重要改进是提供了网络钓鱼的网页过滤器。所谓网络钓鱼，是指复制一个官方网站的主页，诱使用户输入个人的机密信息，如银行账号，密码等等。

当用户访问网站时，网页过滤器会通过分析网页的特性，以及和online服务的数据库对照，可以向用户报警可疑的钓鱼网站，减少用户个人信息泄密的可能。

图10：IE7网页过滤器

其它较大的改进有：

· ActiveX Opt-In。这个安全机制是指，对于系统中已安装的所有ActiveX控件，如果开发方事先没有申明是可以互联网环境下使用的，IE7都缺省禁止使用。这样，攻击者想要恶意使用某个已安装的ActiveX控件，就变得更加困难。对于缺省禁止ActiveX控件，用户可以通过相应的对话框选择允许使用。

· 危险配置报警。IE7的缺省安全配置尽最大可能确保用户访问互联网的安全性。如果出于各种原因，这些配置被修改，安全级别降低到危险水准，IE7就会向用户提出警告，并提供恢复安全配置的选择。

IE7中针对安全方面的改进还有许多，例如新的安全信息状态条，针对cross-domain scripting 攻击的保护等等，这里就不一一阐述了。

局限性。所有这些IE7的安全改进，都阻止不了安全意识不强的用户落入社会工程攻击的圈套。例如，许多间谍软件/广告软件，对通过给用户显示一个虚假的对话框，例如“你的机器已经被间谍软件感染，请下载扫描软件”等等。如果用户不加考虑，就直接选择下载运行的话，系统还是会被间谍软件感染。

6. 数据保护

6.1 BitLocker

背景：笔记本电脑的使用越来越普遍。于是，丢失笔记本的案例也在增加。最近的一个例子，美国的国家税务局，丢失了一台笔记本电脑，里面存有指纹等机密信息。而一旦用户的机密信息被非法获取，后果可能是非常严重的。

那么，如果已经设置了Windows XP的登陆密码，是否就意味着安全了？并不是这样，当前的密码恢复程序可针对XP的数据安全保护机制进行系统离线攻击。简单的说，一旦攻击者窃取了你的笔记本电脑，电脑里的任何信息都是可以被获取的。

BitLocker这个技术又称为安全启动。它的目的是即使物理设备丢失,仍能提供对Windows客户端的安全保证。其中，特别针对攻击者试图以其他OS启动，以非法获取对Windows系统文件的权限。

BitLocker基于Trusted Platform Module（ TPM ）1.2平台，需要支持TPM的硬件芯片。和以往的软件登录密码相比，它集成硬件和软件保护机制于一身，因此极大提高了安全性能。

BitLocker提供以下四种保护方式。它们的优缺点如下表。笔者推荐其中的TPM+密码这种方式。这种保护方式和智能卡+密码的双重保护方式类似，在易用性和安全性之间达到较好的平衡。

保护方式	阻止攻击	弱点	易用性	安全性
TPM	纯软件攻击	易受硬件攻击	最高	最低
软件狗	纯软件攻击 硬件攻击	软件狗丢失后的系统离线攻击	高	低
TPM + 密码	纯软件攻击 硬件攻击	针对TPM硬件攻击	低	高
TPM + 软件狗	纯软件攻击 硬件攻击	针对TPM+软件狗的硬件攻击	最低	最高

表1：BitLocker保护方式

6.2加密文件系统

Windows Vista引入了磁盘全加密（Full Volume Encryption）功能。以前的加密文件系统（EFS）只是对数据卷加密，重要的系统数据并不包括在内。例如，临时文件和虚拟内存的页面文件，尽管可能包括用户的重要信息，也不在加密范围了。

Windows Vista磁盘全加密，除了基本的系统引导代码，将其余一切都包括在加密范围内。以下是磁盘全加密的硬件布局。

图11：磁盘全加密的硬件布局

6.3版权保护

版权保护，目的在于确保重要的文档只能被授权的用户所使用，而使用的方式也遵循相应设置。例如，一封重要的电子邮件可以指明只能被特定的用户群浏览，而且授权用户不能执行打印，转发等其他操作。

在Windows Vista 中，提供了访问版权保护Office 文档的客户端 （RMS client）。用户不再需要新安装/配置额外软件。

上面介绍了三种Windows Vista提供的数据保护技术：BitLocker，加密文件系统，和版权保护。那么，每种技术适用的场景是什么？

简要说，如果数据保护的防范对象是机器其他正常用户或系统管理员，应考虑使用加密文件系统。如果数据保护的防范对象是未授权非法用户，应考虑使用BitLocker。如果需要对Office 文档进行远程权限控制，应考虑使用版权保护。

场景	BitLocker	加密文件系统	版权保护
笔记本	适用
本地单用户文件	适用
本地多用户文件		适用
远程文件		适用
网络管理员不信赖		适用
远程office文档管理			适用

表2：Windows Vista数据保护技术

6.4 USB设备控制

背景。对USB设备，以及其它可移动存储介质的控制，使每个系统管理员头痛的地方，因为存在着以下两个安全问题。

通过USB设备，或其它可移动存储介质，用户可以方便拷贝并并随身携带大量的数据信息。

如果USB设备，或其它可移动存储介质的文件已被病毒感染。一旦接入，而用户又选择“自动执行”特性的话，系统就会被自动感染。

图12：USB设备控制

在Windows Vista，网络管理员可以通过使用Group Policy 可以管理对USB设备和其它移动存储介质的安装。例如，管理的对象可以是某台特定机器，或者是一批机器。可以允许或禁用某一类设备，或者禁用所有未验证的设备等等。有兴趣的读者可以参阅参考文献[2]获取进一步的信息。

和其它安全特性一样，USB设备控制也有自身的局限。它不能取代物理安全。通过Group Policy设置，可以阻止一个普通用户误接入USB设备。但它不能阻止一个恶意用户接入USB设备。例如，如果一个恶意用户拥有对计算机的物理权限，既可以事实上接触到机器，就完全可以以另一个OS引导，而绕过USB设备控制。

7. 总结

通过对以上安全特性的分析，如同文章开始处提到的，在Windows Vista 中，提供了许多非常好的安全特性。但是，每一个安全特性都有其自身的局限，所以，Windows Vista 系统（以及其他任何一个操作系统），都不能解决你所有的安全问题。

操作系统只是整个安全解决方案的一部分。而系统的安全程度，不是决定于保护最强的一环，而是决定于保护最弱的一环。

8. 参考文献

1）．Microsoft® Windows Vista™Security Advancements White Paper, Microsoft Corporation

2）．Step-By-Step Guide to Controlling Device Installation and Usage with Group Policy，Microsoft Corporation

3）．Windows Vista Security and Data Protection Improvements，Microsoft Corporation