Windows 10在安全方面有許多明顯改進(jìn),本文著重從三方面進(jìn)行分析,即系統(tǒng)新的 Defender程 序、Device Guard技術(shù),以及AppLocker在Windows 10的地位。
在Windows 10中內(nèi)置的程序Defender,能夠?qū)τ脩舸蜷_(kāi)的應(yīng)用、下載包件自動(dòng)掃描檢測(cè),并提供有深層檢測(cè)選項(xiàng),盡管它與專(zhuān)業(yè)防御工具相比有很多不足之處,但是當(dāng)用戶安裝了其他第三方殺毒工具之際, Defender就會(huì)自動(dòng)退隱。值得指出的是,假如日后用戶一旦卸載了第三方殺毒工具,Defender立即又會(huì)重新上崗擔(dān)負(fù)起衛(wèi)士之責(zé)。
圖1 AppLocker對(duì)當(dāng)前應(yīng)用的控制窗口
用戶可以選擇將Defender關(guān)閉或打開(kāi)。在Windows 10中的具體操作方式為:從“開(kāi)始”程序選Malware(惡 意軟件),而前兩個(gè)大牌工具也就是99.9%而已,實(shí)際差距能有多少呢!擇“設(shè)置”菜單,點(diǎn)擊“升級(jí)與安全”后選擇“Windows Defender”,從 右 側(cè) 面 板的“實(shí)時(shí)保護(hù)”按鈕下選擇“Off”(關(guān)閉)或“On”(開(kāi)啟)選項(xiàng)。
按照專(zhuān)業(yè)機(jī)構(gòu)AVComparatives公布的防御工具排名,與測(cè)試成績(jī)?yōu)?分的BitDefender及Kaspersky相比,Defender僅為3.5分,但是在上千的樣例實(shí)際測(cè)試中它竟然能夠識(shí)別99%的
在Windows 7中提供的AppLocker,讓管理員可以通過(guò)限制某些程序訪問(wèn)系統(tǒng)。為此,我們可以運(yùn)行組策略編輯器,在本地計(jì)算機(jī) 策 略“Local Computer Policy”下轉(zhuǎn)到 Computer ConfigurationWindows S e t t i n g sS e c u r i t y SettingsApplication C o n t r o l P o l i c i e sAppLocker, 即 可 看 到AppLocker對(duì)當(dāng)前應(yīng)用的控制窗口(如圖1所示)。
在“Configure Rule Enforcement” 欄 目 下點(diǎn) 擊“Configure Rule Enforcement” 鏈 接 后 即可進(jìn)入AppLocker屬性窗口,然后勾選“Executable rules”使之生效?,F(xiàn)在,筆者通過(guò)演示禁止某用戶運(yùn)行Windows系統(tǒng)附件中的小游戲來(lái)說(shuō)明AppLocker的操作過(guò)程。
假設(shè)是第一次設(shè)置AppLocker,那么在AppLocker屬性窗口內(nèi)選擇生成規(guī)則“Create New Rule…” 后就會(huì)打開(kāi)向?qū)С绦駽reate Executable Rules,在“Action”下的“Permissions”下選擇“Deny”,然后添加要禁止的用戶后進(jìn)入“下一步”,在Conditions窗口內(nèi)點(diǎn)擊Conditions欄目后選擇路徑“Path”,然后瀏覽找到游戲文件夾“Microsoft Games”,接下去我們可以設(shè)定對(duì)文件夾中的哪些文件保持運(yùn)行,但此時(shí)我們要禁用文件夾內(nèi)所有文件,所以直接跳到下一步;此時(shí)可以加入對(duì)設(shè)置規(guī)則的描述信息,然后點(diǎn)擊“Create”;為確保規(guī)則生效,我們需要轉(zhuǎn)到“Services”欄目?jī)?nèi)開(kāi)啟“Application Identification”,在默認(rèn)時(shí)它并沒(méi)有激活。之后當(dāng)該用戶再次運(yùn)行小游戲時(shí)就會(huì)收到該程序已被組策略禁運(yùn),更多幫助請(qǐng)聯(lián)系系統(tǒng)管理員之類(lèi)的提示信息。
那么,Windows 10中的Device Guard與AppLocker有何區(qū)別呢?眾所周知,應(yīng)用控制或曰白名單技術(shù)是企業(yè)對(duì)抗Malware的一種重要手段。白名單最初出現(xiàn)在Windows XP中,作為一種SRP (Software Restriction Policies)策略并沒(méi)有得到推廣,于是在隨后的Windows 7中出現(xiàn)的AppLocker便成為其替代品,技術(shù)有了明顯改善,盡管如此,在Windows 10中又出現(xiàn)了全新的所謂設(shè)備衛(wèi)士Device Guard意欲何為呢?
我們看到,伴隨Device Guard而來(lái)的還有其他一些技術(shù)比如KMCI(Kernel Mode Code Integrity)以及 UMCI(User Mode Code Integrity)。 嚴(yán) 格 地 說(shuō),KMCI在Windows Vista已現(xiàn)端倪,而UMCI則是在Windows 10中首現(xiàn),它們倆所促成的安全策略涉及所運(yùn)行的驅(qū)動(dòng)程序、用戶模式二進(jìn)制代碼、MSIs乃至腳本Scripts都需要有可信任簽名;UMCI更是要求一種基于硬件的虛擬化安全保護(hù)VBS (Virtualization-Based Security),這 對(duì) 于Windows內(nèi)核免遭Malware入侵十分重要。我們可以通過(guò)Windows 10中的組策略Group Policy進(jìn)行VSM(Virtual Secure Mode)設(shè)置,從而讓VBS生效。
那么,這是否意味著Device Guard就完全替代了AppLocker,就像后者替代白名單那樣呢?筆者從Windows 10的理論體系中的看法是,Device Guard應(yīng)該是系統(tǒng)的第一道基礎(chǔ)防線,在此基礎(chǔ)上結(jié)合使用AppLocker,由后者攔截某些指定的應(yīng)用程序。Device Guard提供的是一種底層保護(hù),AppLocker則是對(duì)應(yīng)用層進(jìn)行防驗(yàn)。
值得說(shuō)明的是,在Windows 10企業(yè)版本中的Device Guard并沒(méi)有提供GUI界面;另外,在最近面世的 Windows 10 Creators Update版本中Device Guard又有了新的改進(jìn),比如可以進(jìn)一步控制插件Plug-ins、附件Add-ins以及模塊是否準(zhǔn)運(yùn)。