功能完整的Windows 公開測試版已於月日發布輿論界到處都充斥著關於界面變化方面的評論那麼究竟微軟公司的這個新系統有什麼與眾不同之處呢?在操作系統和網絡安全方面又有何改進呢?在本文中我們將探討Windows 的安全功能並將從純粹的安全角度來討論Windows 系統是否具有實用性我們將重點探討安全管理界面用戶帳戶控制(UAC)以及BitLocker等方面的改進並看看新功能AppLocker和新的生物識別框架(Biometric Framework)
Vista系統在安全方面存在的問題
針對用戶對於Windows系統安全方面的投訴微軟公司在構建Windows Vista系統時就開始將重點轉移到安全功能方面我們都知道Vista的安全性能確實要比之前的操作系統要先進BitLocker磁盤加密家長控制(parental controls)內置防惡意軟件程序(Windows Defender)改進的windows防火牆數據執行保護(DEPData Prevention Execution)保護模式IE浏覽器服務強化數字版權管理功能Crypto API以及網絡訪問保護(NAP)客戶端功能加密文件系統(EFSEncrypting File System )等方面都有明顯改進Vista系統中還有很多軟件限制策略以及其他安全增強功能SP中還添加了更多安全相關的改進包括BitLocker的多因素驗證重新設計的隨機數字生成器(RNG)以及遠程桌面協議文件等
然而用戶感觸最深(也是最憎恨)的安全功能就是用戶帳戶控制(UAC)所有的用戶帳戶(包括管理帳戶)在默認情況下都是以標准用戶模式運行的而如果執行更高特權還要求提高模式這種UAC還附有安全桌面功能以防止惡意軟件在彈出管理員權限提示時訪問桌面這些提示功能讓用戶很是惱火也是大家對於Vista的不滿的主要原因之一
Windows 團隊面臨的挑戰就是如何讓操作系統像Vista一樣安全(或者比Vista更安全)而同時更加透明地將安全功能呈現在用戶面前
關於Security Center和Action Center
Windows XP SP系統中的安全中心(通過控制面板進行操作)旨在為管理安全相關的設置提供集中式的管理中心並且這也延續到Vista系統中然而在Windows 中會有更加集中式的管理安全中心將不復存在取而代之的是Action Center(行動中心)在Action Center中你會發現警報器發出的信息不單單是安全方面的警報同時也將涉及Windows UpdateDiagnosticsNAPBackup和Restore以及故障問題如圖所示
圖Action Center集中管理很多管理任務不單單是安全方面
更加靈活的UAC設置
在Vista中你可以通過組策略(Group Policy)來禁用UAC功能但是這並不可取因為容易使系統受到攻擊或者你也可以將UAC設置為不彈出提示信息但家庭版的Vista並不包含組策略編輯器因此用戶必須通過編輯注冊表來禁止提示信息然而在Windows 中用戶能夠更加方便的控制UAC的功能
注意
IT管理員們可以放心的是沒有管理權限的用戶是無法更改UAC設置的
在Action Center的左窗格中可以看到有一個標記為Account Control Settings(用戶控制設置)的選項以下四個選項可以來選擇UAC的提示行為(通過調整滑動條)
·Always Notify(總是通知)當你安裝軟件或者更新系統時都會出現UAC提示信息
·Notify Only When Programs Try to Make Changes(只有當程序發生改變時通知)只有當程序要求提升權限時才會有提示信息不過用戶對Windows設置的更改不會通知(這是默認的)
·Notify Only When Programs Try to Make Changes (Do Not Dim the Desktop)(只有當程序發生改變時通知(不要調暗桌面))與默認情況相同只是提示信息時Secure Desktop會被禁用
·從不通知當用戶更改Windows設置或者安裝軟件時都不會提示(不推薦)
圖滑動條可以讓用戶更加精確地控制Windows 中的UAC提示
BitLocker增強功能
Vista企業版和終極版中的BitLocker能夠允許用戶加密整個卷使用的是AES或者利用某些計算機上的Trusted Platform Module (TPM可信賴平台模塊)芯片以及USB密鑰來加密這些方式可以防止未授權啟動操作系統或者訪問加密卷上的數據(例如通過安裝一個不同的操作系統讓未授權的用戶啟動它)這對於可能丟失或者盜竊的便攜系統尤為有用
最初只能用來加密安裝操作系統的卷SP 則新增了加密多個固定磁盤的功能不過用戶不能用它來加密可移動磁盤在Windows 中功能增強版BitLocker可以支持便攜式硬盤和閃存設備的加密該功能也被稱為BitLocker to Go這是很多公司一直期待的功能因為將敏感數據保存在USB密鑰上已經成為流行
注意
你同樣可以執行政策要求可移動驅動在用戶向其寫入數據前進行BitLocker保護
BitLocker是通過控制面板程序管理的如圖所示
圖在windonws 中用戶可以使用BitLocker對可移動磁盤和固定磁盤進行加密
你可以選擇使用密碼來解密磁盤或者使用智能卡和PIN如圖所示
圖當你使用BitLocker加密磁盤時你可以使用密碼或者智能卡來解密
你也可以設置一個恢復鍵以確保在忘記密碼的時候解密磁盤恢復鍵可以保存到文件或者打印出來存儲在安全的地方加密可能需要一段時間取決於磁盤的大小加密GB的USB密鑰需要花大約分鐘可以通過進度表來獲取時間信息如圖所示
圖進度條在加密過程中可以顯示加密進度
組策略AppLocker
Windows 中還有另外一個LockerAppLocker這是一個新的組策略功能它允許管理員對用戶可以安裝和使用的應用程序版本進行控制這樣就可以有效阻止用戶安裝和運行較老版本的應用程序(可能有安全漏洞)
早期版本的Windows使用的是軟件限制策略(Software Restriction Policies)來控制用戶可以使用的應用程序而AppLocker主要通過三種類型的規則來改進配置問題PathFile Hash以及Publisher規則Publisher Rules取代了SRP中的Certificate Rules為用戶提供更多的靈活性和選擇性不過這些也很難規避
Biometric Framework生物識別框架
在Vista中如果你想要使用指紋登錄必須使用指紋傳感器供應商提供的軟件而Windows 所提供的新的安全功能Biometric Framework可以提供本地支持指紋識別裝置也更加便於開發者將生物安全技術納入其軟件用戶可以在新的控制面板中找到Biometric Devices選項該功能用戶管理指紋如圖所示
圖你可以通過控制面板管理生物識別設
生物識別設備可以設置為允許用戶登錄到Windows或者使用生物識別技術的網域每個用戶都可以設定不同的手指
注意
目前為止指紋傳感器是Windows生物識別框架支持的唯一生物識別設備
Windows Biometric Service (WBS)是管理指紋識別器的框架部分並作為客戶端程序與生物識別設備間的I/O代理這使應用程序不能直接訪問生物數據從而保護用戶信息
結語
在Windows 中我們看到了微軟公司在安全方面作出的努力他們從用戶體驗的角度改善了先前版本操作系統的一些安全功能對於大多數企業用戶和網絡管理員而言Windows 的強大的安全功能確實值得嘗試
From:http://tw.wingwit.com/Article/Common/201311/4671.html