Windows 10在安全方面有許多明顯改進(jìn)，本文著重從三方面進(jìn)行分析，即系統(tǒng)新的 Defender程 序、Device Guard技術(shù)，以及AppLocker在Windows 10的地位。

從 Defender說(shuō)起

在Windows 10中內(nèi)置的程序Defender，能夠?qū)τ脩舸蜷_(kāi)的應(yīng)用、下載包件自動(dòng)掃描檢測(cè)，并提供有深層檢測(cè)選項(xiàng)，盡管它與專(zhuān)業(yè)防御工具相比有很多不足之處，但是當(dāng)用戶安裝了其他第三方殺毒工具之際， Defender就會(huì)自動(dòng)退隱。值得指出的是，假如日后用戶一旦卸載了第三方殺毒工具，Defender立即又會(huì)重新上崗擔(dān)負(fù)起衛(wèi)士之責(zé)。

圖1 AppLocker對(duì)當(dāng)前應(yīng)用的控制窗口

用戶可以選擇將Defender關(guān)閉或打開(kāi)。在Windows 10中的具體操作方式為：從“開(kāi)始”程序選Malware（惡 意軟件），而前兩個(gè)大牌工具也就是99.9%而已，實(shí)際差距能有多少呢！擇“設(shè)置”菜單，點(diǎn)擊“升級(jí)與安全”后選擇“Windows Defender”，從 右 側(cè) 面 板的“實(shí)時(shí)保護(hù)”按鈕下選擇“Off”（關(guān)閉）或“On”（開(kāi)啟）選項(xiàng)。

按照專(zhuān)業(yè)機(jī)構(gòu)AVComparatives公布的防御工具排名，與測(cè)試成績(jī)?yōu)?分的BitDefender及Kaspersky相比，Defender僅為3.5分，但是在上千的樣例實(shí)際測(cè)試中它竟然能夠識(shí)別99%的

回看AppLocker

在Windows 7中提供的AppLocker，讓管理員可以通過(guò)限制某些程序訪問(wèn)系統(tǒng)。為此，我們可以運(yùn)行組策略編輯器，在本地計(jì)算機(jī) 策 略“Local Computer Policy”下轉(zhuǎn)到 Computer ConfigurationWindows S e t t i n g sS e c u r i t y SettingsApplication C o n t r o l P o l i c i e sAppLocker， 即 可 看 到AppLocker對(duì)當(dāng)前應(yīng)用的控制窗口（如圖1所示）。

在“Configure Rule Enforcement” 欄 目 下點(diǎn) 擊“Configure Rule Enforcement” 鏈 接 后 即可進(jìn)入AppLocker屬性窗口，然后勾選“Executable rules”使之生效?，F(xiàn)在，筆者通過(guò)演示禁止某用戶運(yùn)行Windows系統(tǒng)附件中的小游戲來(lái)說(shuō)明AppLocker的操作過(guò)程。

假設(shè)是第一次設(shè)置AppLocker，那么在AppLocker屬性窗口內(nèi)選擇生成規(guī)則“Create New Rule…” 后就會(huì)打開(kāi)向?qū)С绦駽reate Executable Rules，在“Action”下的“Permissions”下選擇“Deny”，然后添加要禁止的用戶后進(jìn)入“下一步”，在Conditions窗口內(nèi)點(diǎn)擊Conditions欄目后選擇路徑“Path”，然后瀏覽找到游戲文件夾“Microsoft Games”，接下去我們可以設(shè)定對(duì)文件夾中的哪些文件保持運(yùn)行，但此時(shí)我們要禁用文件夾內(nèi)所有文件，所以直接跳到下一步；此時(shí)可以加入對(duì)設(shè)置規(guī)則的描述信息，然后點(diǎn)擊“Create”；為確保規(guī)則生效，我們需要轉(zhuǎn)到“Services”欄目?jī)?nèi)開(kāi)啟“Application Identification”，在默認(rèn)時(shí)它并沒(méi)有激活。之后當(dāng)該用戶再次運(yùn)行小游戲時(shí)就會(huì)收到該程序已被組策略禁運(yùn)，更多幫助請(qǐng)聯(lián)系系統(tǒng)管理員之類(lèi)的提示信息。

Device Guard能成為“鋼鐵戰(zhàn)士”嗎？

那么，Windows 10中的Device Guard與AppLocker有何區(qū)別呢？眾所周知，應(yīng)用控制或曰白名單技術(shù)是企業(yè)對(duì)抗Malware的一種重要手段。白名單最初出現(xiàn)在Windows XP中，作為一種SRP (Software Restriction Policies)策略并沒(méi)有得到推廣，于是在隨后的Windows 7中出現(xiàn)的AppLocker便成為其替代品，技術(shù)有了明顯改善，盡管如此，在Windows 10中又出現(xiàn)了全新的所謂設(shè)備衛(wèi)士Device Guard意欲何為呢？

我們看到，伴隨Device Guard而來(lái)的還有其他一些技術(shù)比如KMCI（Kernel Mode Code Integrity）以及 UMCI（User Mode Code Integrity）。 嚴(yán) 格 地 說(shuō)，KMCI在Windows Vista已現(xiàn)端倪，而UMCI則是在Windows 10中首現(xiàn)，它們倆所促成的安全策略涉及所運(yùn)行的驅(qū)動(dòng)程序、用戶模式二進(jìn)制代碼、MSIs乃至腳本Scripts都需要有可信任簽名；UMCI更是要求一種基于硬件的虛擬化安全保護(hù)VBS (Virtualization-Based Security)，這 對(duì) 于Windows內(nèi)核免遭Malware入侵十分重要。我們可以通過(guò)Windows 10中的組策略Group Policy進(jìn)行VSM(Virtual Secure Mode)設(shè)置，從而讓VBS生效。

那么，這是否意味著Device Guard就完全替代了AppLocker，就像后者替代白名單那樣呢？筆者從Windows 10的理論體系中的看法是，Device Guard應(yīng)該是系統(tǒng)的第一道基礎(chǔ)防線，在此基礎(chǔ)上結(jié)合使用AppLocker，由后者攔截某些指定的應(yīng)用程序。Device Guard提供的是一種底層保護(hù)，AppLocker則是對(duì)應(yīng)用層進(jìn)行防驗(yàn)。

值得說(shuō)明的是，在Windows 10企業(yè)版本中的Device Guard并沒(méi)有提供GUI界面；另外，在最近面世的 Windows 10 Creators Update版本中Device Guard又有了新的改進(jìn)，比如可以進(jìn)一步控制插件Plug-ins、附件Add-ins以及模塊是否準(zhǔn)運(yùn)。