Windows 10在安全方面有許多明顯改進,本文著重從三方面進行分析,即系統(tǒng)新的 Defender程 序、Device Guard技術(shù),以及AppLocker在Windows 10的地位。
在Windows 10中內(nèi)置的程序Defender,能夠?qū)τ脩舸蜷_的應用、下載包件自動掃描檢測,并提供有深層檢測選項,盡管它與專業(yè)防御工具相比有很多不足之處,但是當用戶安裝了其他第三方殺毒工具之際, Defender就會自動退隱。值得指出的是,假如日后用戶一旦卸載了第三方殺毒工具,Defender立即又會重新上崗擔負起衛(wèi)士之責。
圖1 AppLocker對當前應用的控制窗口
用戶可以選擇將Defender關(guān)閉或打開。在Windows 10中的具體操作方式為:從“開始”程序選Malware(惡 意軟件),而前兩個大牌工具也就是99.9%而已,實際差距能有多少呢!擇“設置”菜單,點擊“升級與安全”后選擇“Windows Defender”,從 右 側(cè) 面 板的“實時保護”按鈕下選擇“Off”(關(guān)閉)或“On”(開啟)選項。
按照專業(yè)機構(gòu)AVComparatives公布的防御工具排名,與測試成績?yōu)?分的BitDefender及Kaspersky相比,Defender僅為3.5分,但是在上千的樣例實際測試中它竟然能夠識別99%的
在Windows 7中提供的AppLocker,讓管理員可以通過限制某些程序訪問系統(tǒng)。為此,我們可以運行組策略編輯器,在本地計算機 策 略“Local Computer Policy”下轉(zhuǎn)到 Computer ConfigurationWindows S e t t i n g sS e c u r i t y SettingsApplication C o n t r o l P o l i c i e sAppLocker, 即 可 看 到AppLocker對當前應用的控制窗口(如圖1所示)。
在“Configure Rule Enforcement” 欄 目 下點 擊“Configure Rule Enforcement” 鏈 接 后 即可進入AppLocker屬性窗口,然后勾選“Executable rules”使之生效?,F(xiàn)在,筆者通過演示禁止某用戶運行Windows系統(tǒng)附件中的小游戲來說明AppLocker的操作過程。
假設是第一次設置AppLocker,那么在AppLocker屬性窗口內(nèi)選擇生成規(guī)則“Create New Rule…” 后就會打開向?qū)С绦駽reate Executable Rules,在“Action”下的“Permissions”下選擇“Deny”,然后添加要禁止的用戶后進入“下一步”,在Conditions窗口內(nèi)點擊Conditions欄目后選擇路徑“Path”,然后瀏覽找到游戲文件夾“Microsoft Games”,接下去我們可以設定對文件夾中的哪些文件保持運行,但此時我們要禁用文件夾內(nèi)所有文件,所以直接跳到下一步;此時可以加入對設置規(guī)則的描述信息,然后點擊“Create”;為確保規(guī)則生效,我們需要轉(zhuǎn)到“Services”欄目內(nèi)開啟“Application Identification”,在默認時它并沒有激活。之后當該用戶再次運行小游戲時就會收到該程序已被組策略禁運,更多幫助請聯(lián)系系統(tǒng)管理員之類的提示信息。
那么,Windows 10中的Device Guard與AppLocker有何區(qū)別呢?眾所周知,應用控制或曰白名單技術(shù)是企業(yè)對抗Malware的一種重要手段。白名單最初出現(xiàn)在Windows XP中,作為一種SRP (Software Restriction Policies)策略并沒有得到推廣,于是在隨后的Windows 7中出現(xiàn)的AppLocker便成為其替代品,技術(shù)有了明顯改善,盡管如此,在Windows 10中又出現(xiàn)了全新的所謂設備衛(wèi)士Device Guard意欲何為呢?
我們看到,伴隨Device Guard而來的還有其他一些技術(shù)比如KMCI(Kernel Mode Code Integrity)以及 UMCI(User Mode Code Integrity)。 嚴 格 地 說,KMCI在Windows Vista已現(xiàn)端倪,而UMCI則是在Windows 10中首現(xiàn),它們倆所促成的安全策略涉及所運行的驅(qū)動程序、用戶模式二進制代碼、MSIs乃至腳本Scripts都需要有可信任簽名;UMCI更是要求一種基于硬件的虛擬化安全保護VBS (Virtualization-Based Security),這 對 于Windows內(nèi)核免遭Malware入侵十分重要。我們可以通過Windows 10中的組策略Group Policy進行VSM(Virtual Secure Mode)設置,從而讓VBS生效。
那么,這是否意味著Device Guard就完全替代了AppLocker,就像后者替代白名單那樣呢?筆者從Windows 10的理論體系中的看法是,Device Guard應該是系統(tǒng)的第一道基礎防線,在此基礎上結(jié)合使用AppLocker,由后者攔截某些指定的應用程序。Device Guard提供的是一種底層保護,AppLocker則是對應用層進行防驗。
值得說明的是,在Windows 10企業(yè)版本中的Device Guard并沒有提供GUI界面;另外,在最近面世的 Windows 10 Creators Update版本中Device Guard又有了新的改進,比如可以進一步控制插件Plug-ins、附件Add-ins以及模塊是否準運。