论文部分内容阅读
摘要:Windows系统一直是黑客最主要的攻击目标,在多个版本中虽然系统防御功能不断提升,但是依旧显得“魔高一丈”。Windows 10中加入了多种防御功能,安全门槛已比过去抬高很多,其安全机制有人说就连黑客也“肃然起敬”。本文具体分析了Win10的最主要的三项安全技术。
关键词:Win 10;Defender;AppLocker;Device Guard
Win 10在安全方面有许多明显改进,本文着重从三方面进行分析,即系统新的 Defender程序、Device Guard技术以及AppLocker在Win 10的地位。
一、 从Defender说起
在Win 10中内置的程序Defender,能够对用户打开的应用、下载包件自动扫描检测,并提供有深层检测选项,尽管它与专业防御工具相比有很多不足之处,但是当用户安装了其他第三方杀毒工具之际,Defender就会自动退隐。值得指出的是,假如日后用户一旦卸载了第三方杀毒工具,Defender立即又会重新上岗担负起卫士之责。
用户可以选择将Defender关闭或打开。在Win 10中的具体操作方式为:从开始程序选择“设置”菜单,点击“升级与安全”后选择“Windows Defender”,从右侧面板的“实时保护”按钮下选择“Off”(关闭)或“On”(开启)。按照专业机构AV-Comparatives公布的防御工具排名,与测试成绩为6分的BitDefender及Kaspersky相比,Defender仅为3.5分,但是在上千的样例实际测试中它竟然能够识别99%的malware(恶意软件),而前两个大牌工具也就是99.9%而已,实际差距能有多少呢!
二、 回看AppLocker
在Win 7中提供的AppLocker,让管理员可以通过限制某些程序访问系统。为此,我们可以运行组策略编辑器,在本地计算机策略“Local Computer Policy”下转到Computer Configuration\Windows Settings\Security Settings\Application Control Policies\AppLocker,即可看到AppLocker对当前应用的控制窗口:在“Configure Rule Enforcement”栏目下点击“Configure rule enforcement”链接后即可进入AppLocker属性窗口,然后勾选“Executable rules”使之生效。现在,笔者通过演示禁止某用户运行Windows系统附件中的小游戏来说明AppLocker的操作过程。
假设是第一次设置AppLocker,那么在AppLocker属性窗口内选择生成规则“Create New Rule...”后就会打开向导程序Create Executable Rules,在“Action”下的“Permissions”下选择“Deny”,然后添加要禁止的用户后进入下一步,在Conditions窗口内点击Conditions栏目后选择路径“Path”,然后浏览找到游戏文件夹“Microsoft Games”,接下去我们可以设定对文件夹中的哪些文件保持运行,但此时我们要禁用文件夹内所有文件,所以直接跳到下一步;此时可以加入对设置规则的描述信息,然后点击“Create”;为确保规则生效,我们需要转到“services”栏目内开启“Application Identification”,在默认时它并没有激活。之后当该用户再次运行小游戏时就会收到该程序已被组策略禁运,更多幫助请联系系统管理员之类的提示信息。
三、 Device Guard能成为“钢铁战士”吗
那么,Win 10中的Device Guard与AppLocker有何区别呢?众所周知,应用控制或曰白名单技术是企业对抗malware的一种重要手段。白名单最初出现在Win XP中,作为一种SRP(Software Restriction Policies)策略并没有得到推广,于是在随后的Win 7中出现的AppLocker便成为其替代品,技术有了明显改善,尽管如此,在Win 10中又出现了全新的所谓设备卫士Device Guard意欲何为呢?
我们看到,伴随Device Guard而来的还有其他一些技术比如KMCI(Kernel Mode Code Integrity)以及UMCI(User Mode Code Integrity)。严格地说,KMCI在Windows Vista已现端倪,而UMCI则是在Win 10中首现,它们俩所促成的安全策略涉及所运行的驱动程序、用户模式二进制代码、MSIs乃至脚本scripts都需要有可信任签名;UMCI更是要求一种基于硬件的虚拟化安全保护VBS(Virtualization-Based Security),这对于Windows内核免遭malware入侵十分重要。我们可以通过Win 10中的组策略Group Policy进行VSM(Virtual Secure Mode)设置,从而让VBS生效。
那么,这是否意味着Device Guard就完全替代了 AppLocker,就像后者替代白名单那样呢?笔者从Win 10的理论体系中的看法是,Device Guard应该是系统的第一道基础防线,在此基础上结合使用AppLocker,由后者拦截某些指定的应用程序。Device Guard提供的是一种底层保护,AppLocker则是对应用层进行防验。值得说明的是,在Win 10企业版本中的Device Guard并没有提供GUI界面;另外,在最近面世的 Win 10 Creators Update版本中Device Guard又有了新的改进,比如可以进一步控制插件 plugins、附件addins以及模块是否准运。
参考文献:
[1]武新华,李书梅.Windows 10从入门到精通[M].机械工业出版社,2016(4).
[2]微软平台技术顾问团队.Windows 10开发入门经典[M].清华大学出版社,2016.
作者简介:
苏德水,山东省威海市,威海市初村镇威海职业学院。
关键词:Win 10;Defender;AppLocker;Device Guard
Win 10在安全方面有许多明显改进,本文着重从三方面进行分析,即系统新的 Defender程序、Device Guard技术以及AppLocker在Win 10的地位。
一、 从Defender说起
在Win 10中内置的程序Defender,能够对用户打开的应用、下载包件自动扫描检测,并提供有深层检测选项,尽管它与专业防御工具相比有很多不足之处,但是当用户安装了其他第三方杀毒工具之际,Defender就会自动退隐。值得指出的是,假如日后用户一旦卸载了第三方杀毒工具,Defender立即又会重新上岗担负起卫士之责。
用户可以选择将Defender关闭或打开。在Win 10中的具体操作方式为:从开始程序选择“设置”菜单,点击“升级与安全”后选择“Windows Defender”,从右侧面板的“实时保护”按钮下选择“Off”(关闭)或“On”(开启)。按照专业机构AV-Comparatives公布的防御工具排名,与测试成绩为6分的BitDefender及Kaspersky相比,Defender仅为3.5分,但是在上千的样例实际测试中它竟然能够识别99%的malware(恶意软件),而前两个大牌工具也就是99.9%而已,实际差距能有多少呢!
二、 回看AppLocker
在Win 7中提供的AppLocker,让管理员可以通过限制某些程序访问系统。为此,我们可以运行组策略编辑器,在本地计算机策略“Local Computer Policy”下转到Computer Configuration\Windows Settings\Security Settings\Application Control Policies\AppLocker,即可看到AppLocker对当前应用的控制窗口:在“Configure Rule Enforcement”栏目下点击“Configure rule enforcement”链接后即可进入AppLocker属性窗口,然后勾选“Executable rules”使之生效。现在,笔者通过演示禁止某用户运行Windows系统附件中的小游戏来说明AppLocker的操作过程。
假设是第一次设置AppLocker,那么在AppLocker属性窗口内选择生成规则“Create New Rule...”后就会打开向导程序Create Executable Rules,在“Action”下的“Permissions”下选择“Deny”,然后添加要禁止的用户后进入下一步,在Conditions窗口内点击Conditions栏目后选择路径“Path”,然后浏览找到游戏文件夹“Microsoft Games”,接下去我们可以设定对文件夹中的哪些文件保持运行,但此时我们要禁用文件夹内所有文件,所以直接跳到下一步;此时可以加入对设置规则的描述信息,然后点击“Create”;为确保规则生效,我们需要转到“services”栏目内开启“Application Identification”,在默认时它并没有激活。之后当该用户再次运行小游戏时就会收到该程序已被组策略禁运,更多幫助请联系系统管理员之类的提示信息。
三、 Device Guard能成为“钢铁战士”吗
那么,Win 10中的Device Guard与AppLocker有何区别呢?众所周知,应用控制或曰白名单技术是企业对抗malware的一种重要手段。白名单最初出现在Win XP中,作为一种SRP(Software Restriction Policies)策略并没有得到推广,于是在随后的Win 7中出现的AppLocker便成为其替代品,技术有了明显改善,尽管如此,在Win 10中又出现了全新的所谓设备卫士Device Guard意欲何为呢?
我们看到,伴随Device Guard而来的还有其他一些技术比如KMCI(Kernel Mode Code Integrity)以及UMCI(User Mode Code Integrity)。严格地说,KMCI在Windows Vista已现端倪,而UMCI则是在Win 10中首现,它们俩所促成的安全策略涉及所运行的驱动程序、用户模式二进制代码、MSIs乃至脚本scripts都需要有可信任签名;UMCI更是要求一种基于硬件的虚拟化安全保护VBS(Virtualization-Based Security),这对于Windows内核免遭malware入侵十分重要。我们可以通过Win 10中的组策略Group Policy进行VSM(Virtual Secure Mode)设置,从而让VBS生效。
那么,这是否意味着Device Guard就完全替代了 AppLocker,就像后者替代白名单那样呢?笔者从Win 10的理论体系中的看法是,Device Guard应该是系统的第一道基础防线,在此基础上结合使用AppLocker,由后者拦截某些指定的应用程序。Device Guard提供的是一种底层保护,AppLocker则是对应用层进行防验。值得说明的是,在Win 10企业版本中的Device Guard并没有提供GUI界面;另外,在最近面世的 Win 10 Creators Update版本中Device Guard又有了新的改进,比如可以进一步控制插件 plugins、附件addins以及模块是否准运。
参考文献:
[1]武新华,李书梅.Windows 10从入门到精通[M].机械工业出版社,2016(4).
[2]微软平台技术顾问团队.Windows 10开发入门经典[M].清华大学出版社,2016.
作者简介:
苏德水,山东省威海市,威海市初村镇威海职业学院。