在以往的Windows系统上,绝大多数用户都是以管理员(Admin)权限登录。这是因为太多的操作,如应用程序的安装和运行,操作系统配置的修改等等,都需要管理员权限。
声明:本文来自 信息安全专栏 -- 褚诚云 不代表本站观点
相关文章 Vista最新安全特性分析:改进和局限(上)
4. 权限保护
4.1用户帐号控制(User Account Control)
背景。在以往的Windows系统上,绝大多数用户都是以管理员(Admin)权限登录。这是因为太多的操作,如应用程序的安装和运行,操作系统配置的修改等等,都需要管理员权限。
那么,导致的后果就是,计算机病毒和间谍软件一旦感染系统,也就同时拥有了管理员权限,可以随心所欲地做各种事情,如篡改防火墙的设置,安装Rootkit驱动程序这些必须需要管理员权限的操作。
用户帐号控制的目的就是尽量减少用户权限为管理员级别的时间。换句话说,不到迫不得已,决不运行于管理员模式下。具体而言,指:
· 用户登陆后的缺省权限是非管理员身份
· 如果要执行需要管理员权限的操作,例如修改防火墙设置,用户必须通过特定的用户界面(UAC的对话框)才能将权限升为管理员级别。
图6:用户帐号控制提示
局限性。用户帐号控制有以下两个问题。
第一是用户的接纳程度。如前面指出的,用户帐号控制这个功能是一个典型的牺牲可用性而换取安全性的例子。虽然微软作了很大的努力来尽可能帮助用户来使用这个功能,可能还是会有比例不少的用户觉得不甚方便而选择关闭这个功能。一个再好的安全功能,如果用户不使用的话,也就没有任何效果。
第二是社会工程攻击。所谓社会工程攻击,就是攻击者通过某种手段,例如虚假信息,诱使用户执行一定的动作,已达到控制系统,窃取信息的目的。电子邮件蠕虫就是社会工程攻击的例子,而它的有效程度往往令人惊讶。Sober.Z病毒算是2006年在北美地区最为流行的病毒之一。设想一下,一个普通用户收到下面内容的邮件会有什么反应?
发送者:FBI
标题:你的IP地址被锁定
内容:
你的计算机被监控到参与非法活动,相应IP地址已锁定,请合作回答附件问题!
如果用户已经被邮件的内容诱导打开了邮件附件,那用户帐号控制的对话框会在多大程度上接下来阻止用户呢?
4.2智能卡(Smart Card)/登陆体系
背景:传统的Password 不应该是用户的唯一选择。如果用户选择的密码过于简单,那么容易受到字典攻击(Dictionary Attack)。如果用户被强制选择复杂的,难以记忆的密码,那么他/她也许就会把密码记录在随身的记事本上 …。
智能卡提供了解决这个两难问题的一种方案。要通过系统的身份验证,用户必须提供代表身份的智能卡,并且输入一个对应的密码。这种双重认证的好处是显而易见的。如果用户只是智能卡丢失,或者是只是密码被窃取,攻击方还是无法通过系统的身份验证。事实上,微软公司网络的远程接入,就采用了智能卡+密码的验证方式。
Windows Vista中特别加强了对智能卡的支持。它提供了一套完整的公用密码服务(CSP-cryptographic service provider ),以方便智能卡的部署。
另外,登陆体系被重新设计,可以更加方便的和不同类型的凭证供应方(Credential Provider)交互。这使结合其它的身份验证手段,如指纹验证,更为容易。
一点题外话,个人认为,即使不考虑指纹验证设备的可靠性,价格等因素,指纹验证也有一个让人担心的地方。如果采用智能卡部署,攻击方只要试图窃取密码+智能卡就可以了。如果采用指纹验证的话,攻击方就要窃取密码+用户的手指头?!这句话看似好笑,但万一发生后果可就严重了。所以,智能卡部署应是预计发展的主流方向。
4.3网络权限保护(Network access protection)
背景。远程接入设备,如笔记本电脑或用户的家用电脑,使用越来越普遍。如果一台笔记本电脑被病毒感染,当该笔记本接入到公司内部网络时,病毒可以通过此电脑感染整个内部网络。
网络权限保护就是要求:
· 任何电脑必须通过系统健康检查(policy compliant)后,如是否安装最新的安全补丁,防病毒软件的特征库是否更新等,才能接入公司内部网络
· 未通过系统健康检查的机器会被隔离到一个受控网络。在受控网络中,修复自身的状态已达到系统健康检查的标准,从特定服务器下载专门的系统补丁。完成修复工作后,才能接入公司内部网络。
这样就可确保接入内部网络的机器时刻保持健康状态。
图7:网络权限保护
局限性。通过系统健康检查是否就意味着接入的计算机安全了?无论是安全补丁检查或者是其它检查,并不能百分百保证接入设备的安全。
5. 防止有害软件和恶意入侵
5.1安全中心
安全中心(Windows Security Center)最初出现在Windows XP SP2上,目的是给用户提供一个对系统安全配置信息的集中汇总。在SP2的安全中心上,显示以下系统安全特性的状态信息:防火墙,自动更新,和反病毒软件。
在Windows Vista的安全中心,新增加了以下安全特性的状态信息:
· 反间谍软件
· Internet Explorer 的安全设置
· 用户帐号控制
图8:安全中心
5.2反间谍软件和有害软件删除工具
随着间谍软件的日益泛滥,在Windows Vista中集成了微软自身的反间谍软件,Windows Defender,用以检测和清除间谍软件,和其他种类的有害软件,如广告软件,键盘纪录器(Keylogger), Rootkits等等。
有害软件删除工具(MSRT -- Malicious Software Removal Tool )是微软提供的针对威胁最为严重的有害软件删除工具。它可以从微软的下载中心直接下载,也可以通过自动更新来执行。当用户机器从XP系统升级到Windows Vista时,MSRT先对原有系统进行扫描,以减少Windows Vista系统安装失败的几率。
但是,无论是Windows Defender,还是MSRT,都不能替代传统的反病毒产品。Windows Defender并不包括对病毒的检测,MSRT中的病毒检测只涵盖最为流行的病毒类型。
更为重要的事,无论是反病毒软件,还是反间谍软件,工作机理均是基于病毒或间谍软件样本的特征代码进行内存和文件系统的扫描。那么,
· 对于小规模,特定范围传播的病毒(这是计算机病毒发展的最新趋势),反病毒软件公司可能没有得到病毒样本,因此也无法提供特征代码。
· 即使反病毒软件公司提供特征代码,与病毒爆发也有时间间隔。这段时间里,用户是不被保护的。
5.3防火墙
Windows Vista中的防火墙,同Windows XP SP2一样,是缺省打开配置。相对于SP2的防火墙,Windows Vista中的防火墙可以控制应用程序的对外网络连接(application-aware outbound filtering)。这样,系统管理员可以对内部网络中的P2P软件,或是网络聊天软件的使用进行限制。另外,一旦机器被感染,outbound filtering可以在一定程度上减低危害程度。例如,如果防火墙报告一个系统打印服务突然通过一个特殊的网络端口向外发送数据,那么就需要仔细调查了。
但是,outbound filtering 能完全防止一台被感染的机器不对外攻击或发送数据吗?在安全领域中有这样一个事实:通过合理的安全配置可以做到一台好(未感染)的机器不被坏(已感染)的机器攻击。但安全配置不能阻止一台坏(已感染)的机器去攻击替它机器。仔细体会一下上面这两句话。这是因为,一旦系统被感染,其行为是无法事先预测的。例如,攻击代码可以彻底关闭,或修改防火墙配置。或者可以在IE中创建一个远程线程来进行网络操作。而在防火墙这端,只能检测到是IE,而不是恶意代码在发送数据。
另外,inbound filtering 也不能完全杜绝外部攻击吗。举个例子:即使防火墙的inbound filtering毫无挑剔(只打开80端口),一个差劲的SQL查询处理就可以导致SQL inject 攻击。
总之,如同其他安全特性一样,防火墙只是安全环节中的一环。
5.4 IE安全改进
背景。IE是最为流行的互联网应用程序,于是它的安全漏洞也成为病毒和间谍软件传播的主要途径之一。另外,尽管针对普通用户的网络钓鱼(Phishing)攻击日趋严重,以前的IE版本并没有提供任何对抗措施。
IE7为了降低安全漏洞的危害性,引入了保护模式(Protected Mode)这个概念。这是IE7最为重要的改进。在Windows Vista中,IE7运行在保护模式下,这意味着:
· IE7运行权限低于普通用户程序
· 只能对文件系统的特定部分执行写操作
· 不能对高权限的其它进程操作,如创建远程线程等
· 敏感操作,如修改Internet设置,或安装ActiveX控件,由代理进程(broker process)执行。
由于运行在保护模式下,如果IE7出现了安全漏洞,其危害程度一般也会远远低于以往IE安全漏洞。攻击方即使成功攻陷IE7,也很难执行更加严重的破坏,如在系统目录下拷贝文件或修改系统注册信息等。
图9:IE7保护模式
IE7的另外一个重要改进是提供了网络钓鱼的网页过滤器。所谓网络钓鱼,是指复制一个官方网站的主页,诱使用户输入个人的机密信息,如银行账号,密码等等。
当用户访问网站时,网页过滤器会通过分析网页的特性,以及和online服务的数据库对照,可以向用户报警可疑的钓鱼网站,减少用户个人信息泄密的可能。
图10:IE7网页过滤器
其它较大的改进有:
· ActiveX Opt-In。这个安全机制是指,对于系统中已安装的所有ActiveX控件,如果开发方事先没有申明是可以互联网环境下使用的,IE7都缺省禁止使用。这样,攻击者想要恶意使用某个已安装的ActiveX控件,就变得更加困难。对于缺省禁止ActiveX控件,用户可以通过相应的对话框选择允许使用。
· 危险配置报警。IE7的缺省安全配置尽最大可能确保用户访问互联网的安全性。如果出于各种原因,这些配置被修改,安全级别降低到危险水准,IE7就会向用户提出警告,并提供恢复安全配置的选择。
IE7中针对安全方面的改进还有许多,例如新的安全信息状态条,针对cross-domain scripting 攻击的保护等等,这里就不一一阐述了。
局限性。所有这些IE7的安全改进,都阻止不了安全意识不强的用户落入社会工程攻击的圈套。例如,许多间谍软件/广告软件,对通过给用户显示一个虚假的对话框,例如“你的机器已经被间谍软件感染,请下载扫描软件”等等。如果用户不加考虑,就直接选择下载运行的话,系统还是会被间谍软件感染。
京公网安备 11010802021500号