史萊姆論壇 - 查看單個文章

psac · 2006-07-26, 01:02 AM

Windows Vista 安全性和資料保護改進

安全性威脅在不斷地加大。為了防止受到來自 Internet 和無線網路上的威脅，Microsoft Windows 客戶端作業系統也必須加以完善。Windows Vista 是迄今為止最安全、最值得信任的 Windows 作業系統，它可說明各個組織滿懷信心地實現其業務和計算目標。本文將介紹最顯著的安全性改進、這些改進帶來的益處，以及為什麼新功能對 IT 專業人員息息相關。
　　概述
　　為使客戶更加安全，Microsoft 正在技術方面進行基本投資。所做的工作包括使用安全性開發生命週期來開發更安全的軟體，以及提供平台方面的技術創新以提供分層防禦或深層防禦。Windows Vista 中含有許多安全性功能和改進，以保護客戶端電腦免受包括蠕蟲、病毒和其他惡意軟體(統稱為 malware)在內的最新威脅。
　　•「用戶帳戶保護」可提高用戶的工作效率，並允許用戶更改公共設定而不要求具有管理權限。這可防止用戶對其電腦進行具有潛在危險性的更改，而又不限制其執行套用程式的能力。
　　•Windows Vista 的內裝 Web 瀏覽器、Microsoft Internet Explorer (IE) 中包含了許多安全性增強功能，這些增強功能可使用戶免受網頁仿冒和電子欺騙攻擊。新功能包括受保護模式的 Internet Explorer，它有助於防止惡意 Web 站點或 malware 移除或更改用戶資料和組態設定。
　　•Windows Vista 的防 malware 功能可檢測出許多種檔案檔案類型的潛在可疑軟體，並可在用戶允許套用程式進行潛在惡意更改前對用戶進行提示。
　　•防火牆的新出站篩選功能提供了對對等共享套用程式和業務希望對其加以限制的其他類似套用程式的管理控制。
　　•「Windows 服務增強」對破壞進行了限制，攻擊者可在其能夠成功損害服務的不可靠事件中執行這些破壞。這就降低了攻擊者對 Windows Vista 客戶端進行永久性更改或攻擊網路中其他電腦的風險。
　　•管理員可使用「網路存取保護」來防止不符合內部系統執行狀況原則的客戶端與內部網路連接並防止將 malware 潛在地傳播給其他電腦。
　　使用具有相應啟用硬體的電腦的企業用戶將受益於具有「安全啟動」的丟失掉掉或被盜電腦上的資料保護功能。執行有「安全啟動」的電腦會使其硬碟驅動器完全加密，從而使試圖進入電腦的任何人都無法訪問資料、文件、電子郵件和知識產權訊息。
　　最後，為確保 IT 部門具有可供其選項的各種身份驗證機制，Windows Vista 中新增了更便於第三方開發人員增強的身份驗證體系結構。最終使得可在「智能卡」、指紋掃瞄器和其他嚴格的身份驗證形式之間進行更廣泛的選項。總之，這些安全性改進將使用戶在使用其 PC 時更信心十足。
　　用戶帳戶保護
　　如今，許多 Windows 用戶在企業和家中均使用管理權限執行電腦。以管理員身份執行會導致桌面難以管理，且可能需要較高的支持費用。以非管理員的身份佈署桌面則可以節約成本，因為非管理用戶將不再能夠意外誤組態網路或安裝可能影響系統穩定性的套用程式。目前，在沒有管理權限的情況下執行正面臨著挑戰，因為許多套用程式無法執行，且最終用戶會因無法執行一般工作(如增加列印機)而感到很不方便。在 Windows Vista 中，「用戶帳戶保護」初始版本引入了基本的作業系統更改，以增加非管理用戶的經驗。例如，在企業環境中，移動便攜式電腦用戶將能夠設定附加到家庭無線網路上的 WEP 密鑰、安裝列印機、下載和安裝套用程式更新、設定和組態 VPN(虛擬專用網)連接以及執行許多其他標準工作，所有這些操作都是以非管理員身份執行的情況下進行的。
　　預設值情況下，Windows Vista 會以有限權限執行大部分套用程式，即使用戶以管理權限登入到其電腦也會如此。這不會阻止用戶執行已授予其執行權限的管理工作。當用戶嘗試執行管理工作時，Windows Vista 將明確要求其驗證其意圖或提供管理憑據(取決於所選的原則設定)。還可使用「群組原則」設定控制此功能。
　　如果用戶以標準用戶(非「管理員」本地機組的成員)身份登入，他們仍可執行大部分 Windows Vista 套用程式而不需要額外權限。雖然會有一些例外情況，但大部分套用程式無論是在管理員帳戶下還是在標準用戶帳戶下都將執行得一樣好。
　　當需要管理員權限時，您不必按下 Run As(執行為)，因為 Windows Vista 會自動提示您，如圖 1 所顯示。

http://searchwindowssecurity.techtarget.com.cn/imagelist/06/25/69gcw30l0rtm.jpg

　　圖 1:當需要管理員憑據時，Windows Vista 會自動提示您提供該憑據。
　　在沒有管理權限的情況下，某些套用程式將不能在 Windows XP 下執行，因為它們將嘗試對影響整個電腦的文件和註冊表位置(如 C:\Program Files、C:\Windows 或 HKEY_LOCAL_MACHINE)進行更改。如果用戶沒有管理權限，則 Windows Vista 中的註冊表和文件虛擬化會將每個機器的文件和註冊表寫入重新轉發IP到每個用戶的位置。這使得標準帳戶能夠執行這樣一些套用程式，即需要向只有管理員才可對其進行訪問的註冊表或文件系統的區域寫入的套用程式。
　　優點
　　「用戶帳戶保護」允許將各組織移至一個便於管理的桌面，支持費用可能會更低。這有助於減少組織因使用者設定發生更改而不得不重新映像電腦的需要，並會降低由 malware 造成系統級影響的風險。
　　為了瞭解「用戶帳戶保護」的優點，設想一個一般用戶因公出差，在不知道本地機「管理員」密碼的情況下使用了標準用戶帳戶。為了打發在旅館中的時間，他(或她)嘗試從 Internet 下載一個遊戲。然而，此遊戲是一個特洛伊木馬程序，並嘗試安裝 malware(電腦啟動時將自動啟動)。由於該用戶不是管理員，因此遊戲安裝失敗，該用戶的電腦得到了保護，未受到特洛伊木馬程序的攻擊。而後，為了能在旅館列印機上列印我的文件，該用戶需要安裝一個新的列印機驅動程式。為確保該驅動程式不由惡意軟體增加，Windows Vista 提示該用戶驗證他(或她)是否確實想安裝該驅動程式。這樣，「用戶帳戶保護」保護了用戶，而沒有限制其所能執行的操作。
　　為什麼重要
　　使用 Microsoft Windows XP 和 Windows 作業系統的早期版本時，IT 專業人員有以下兩種選項:
　　•授予用戶管理權限並處理因軟體安裝或組態更改不正確而導致的技術求援。
　　•授予用戶有限權限並處理套用程式未正常執行時的技術求援。
　　使用 Windows Vista 時，則不必做出讓步。用戶的工作效率會很高，且可以防止會濫用管理權限的 malware 的攻擊，而且仍可執行幾乎所有的套用程式。當用戶確實需要執行管理工作時，Windows Vista 會驗證其請求。這最終意味著，所需的技術支援將減少，當組態於有限權限下執行的套用程式時所花費的工程時間將更少。

身份驗證

　　功能說明

　　Windows Vista 仍具有對密碼和「智能卡」的內裝身份驗證支持。由於許多客戶正在尋找使用密碼進行身份驗證的替代方法，因此 Windows Vista 使得開發人員向 Windows 中增加其自訂身份驗證方法(如生物尺度和令牌)的操作更為簡單。Windows Vista 還提供了 Kerberos 身份驗證傳輸協定和智能卡登入的增強功能。佈署和系統管理工具 [如自助個人識別碼 (PIN) 重置工具] 使「智能卡」更易於管理。智能卡開發人員的公共「應用程式編程接頭 (API)」模型也使得這些工具更易於開發。

　　優點

　　Windows Vista 中的「智能卡」改進使各組織更易於佈署和支持此內裝身份驗證方法。Windows Vista 使實現身份驗證機制更為容易，從而使提供自訂身份驗證機制(如生物尺度和令牌)的開發人員直接受益。這使得 IT 部門間接受益，因為這些部門可從第三方供應商那裡獲得更多的選項。

　　為什麼重要

　　對於許多組織而言，單一因素的身份驗證還不夠。非常重視安全性的 IT 組織需要進行多因素身份驗證。通過使開發人員更易於新增自訂的身份驗證方法，IT 部門將可在生物尺度、「智能卡」以及其他檔案類型的嚴格身份驗證之間進行更多選項。

　　防 Malware

　　功能說明

　　本文前面討論的「用戶帳戶保護」以及 Internet Explorer 的安全性改進(包括將在稍後對其進行討論的新的受保護模式)可降低 Windows Vista 中 malware 傳播的影響。除了這些功能之外，Windows Vista 還可清除許多蠕蟲、病毒和 root kits，從而保護作業系統的完整性和用戶資料的保密性。其還可檢測、清除和既時阻止間諜軟體。

　　注意內裝防間諜軟體的檢測、清除和既時阻止功能主要針對個人用戶。對於通過除啟用/禁用保護以外的群組原則的防 malware，當前計劃中未包含企業管理。

　　優點

　　Malware 通常在用戶電腦的後台執行，從而降低了系統的效能。這通常會導致用戶過早地得出這樣的結論:其電腦執行速度太慢，需要重新映像。從而將增加電腦的維護成本。更糟糕的是，malware 通常有問題，使電腦變得不可靠。

　　然而，Malware 的最大威脅則是對安全性的威脅。Malware 可能會給電腦帶來其他安全漏洞。如果攻擊者利用了這些漏洞，就有可能能夠對保密資料進行訪問。因此，Windows Vista 中新增的 malware 保護可提高網路中電腦的整體效能、減少技術求援並提高安全性。

　　為什麼重要

　　IT 部門在解決 malware 所導致的問題時浪費了許多資源:降低了電腦的效能、可靠性差、安全性受到了影響。Windows Vista 中內裝的防 malware 功能使用戶可更好地控制其電腦上所安裝並執行的軟體。進階用戶可從 Security Center(安全中心)檢視防 malware 軟體的狀態。

　　網路存取保護

　　功能說明

　　Windows Vista 中含有一個代理，如果某客戶端缺少當前安全更新、病毒簽名或不符合安全條件，該代理將阻止該客戶端連線到內部網路。「網路存取保護」可用於保護遠端訪問客戶端和區域網路 (LAN) 連接。該代理將 Windows Vista 客戶端的執行狀況狀態(例如，安裝了當前更新和最新病毒簽名)報告給關於伺服器的網路存取保護增強服務，該服務確定是授予客戶端訪問內部網路的權限還是限定其訪問某個受保護的網路。客戶端的功能取決於「網路存取保護」基礎結構，該結構將包含在 Windows Server "Longhorn" 中。

　　優點

　　「網路存取保護」可提高移動電腦和內部網路的安全性。通常，帶著電腦旅行的用戶不會連續幾個星期與內部網路相連。當他們連接時，連接時間可能會非常短，以至於其電腦還沒來得及下載最新的更新內容、安全組態設定和病毒簽名。因此，移動電腦所處的安全狀態往往不及其他電腦。「網路存取保護」可提高這些移動電腦的安全性，因為它可確保在用戶連線到網路前安裝最新的更新內容。

　　為什麼重要

　　病毒和蠕蟲通常會由與網路相連的遠端客戶端或受感染電腦傳播給受保護的內部網路。Windows Vista 中的「網路存取保護」與即將推出的 Windows Vista Server 一起使用時，您可通過它來設定遠端訪問客戶端執行狀況狀態的要求。如果客戶端電腦不符合執行狀況要求，則可以:

　　•阻止電腦連線到內部網路和潛在地傳播病毒或蠕蟲。
　　•向用戶提供有關如何更新其電腦(或當存在相應的修補技術時如何自動更新其電腦)的說明。
　　•授予對網路中有限數量的伺服器進行訪問的權限，以允許用戶下載更新。

2006-07-26, 01:02 AM	#29 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	Windows Vista 安全性和資料保護改進安全性威脅在不斷地加大。為了防止受到來自 Internet 和無線網路上的威脅，Microsoft Windows 客戶端作業系統也必須加以完善。Windows Vista 是迄今為止最安全、最值得信任的 Windows 作業系統，它可說明各個組織滿懷信心地實現其業務和計算目標。本文將介紹最顯著的安全性改進、這些改進帶來的益處，以及為什麼新功能對 IT 專業人員息息相關。　　概述　　為使客戶更加安全，Microsoft 正在技術方面進行基本投資。所做的工作包括使用安全性開發生命週期來開發更安全的軟體，以及提供平台方面的技術創新以提供分層防禦或深層防禦。Windows Vista 中含有許多安全性功能和改進，以保護客戶端電腦免受包括蠕蟲、病毒和其他惡意軟體(統稱為 malware)在內的最新威脅。　　•「用戶帳戶保護」可提高用戶的工作效率，並允許用戶更改公共設定而不要求具有管理權限。這可防止用戶對其電腦進行具有潛在危險性的更改，而又不限制其執行套用程式的能力。　　•Windows Vista 的內裝 Web 瀏覽器、Microsoft Internet Explorer (IE) 中包含了許多安全性增強功能，這些增強功能可使用戶免受網頁仿冒和電子欺騙攻擊。新功能包括受保護模式的 Internet Explorer，它有助於防止惡意 Web 站點或 malware 移除或更改用戶資料和組態設定。　　•Windows Vista 的防 malware 功能可檢測出許多種檔案檔案類型的潛在可疑軟體，並可在用戶允許套用程式進行潛在惡意更改前對用戶進行提示。　　•防火牆的新出站篩選功能提供了對對等共享套用程式和業務希望對其加以限制的其他類似套用程式的管理控制。　　•「Windows 服務增強」對破壞進行了限制，攻擊者可在其能夠成功損害服務的不可靠事件中執行這些破壞。這就降低了攻擊者對 Windows Vista 客戶端進行永久性更改或攻擊網路中其他電腦的風險。　　•管理員可使用「網路存取保護」來防止不符合內部系統執行狀況原則的客戶端與內部網路連接並防止將 malware 潛在地傳播給其他電腦。　　使用具有相應啟用硬體的電腦的企業用戶將受益於具有「安全啟動」的丟失掉掉或被盜電腦上的資料保護功能。執行有「安全啟動」的電腦會使其硬碟驅動器完全加密，從而使試圖進入電腦的任何人都無法訪問資料、文件、電子郵件和知識產權訊息。　　最後，為確保 IT 部門具有可供其選項的各種身份驗證機制，Windows Vista 中新增了更便於第三方開發人員增強的身份驗證體系結構。最終使得可在「智能卡」、指紋掃瞄器和其他嚴格的身份驗證形式之間進行更廣泛的選項。總之，這些安全性改進將使用戶在使用其 PC 時更信心十足。　　用戶帳戶保護　　如今，許多 Windows 用戶在企業和家中均使用管理權限執行電腦。以管理員身份執行會導致桌面難以管理，且可能需要較高的支持費用。以非管理員的身份佈署桌面則可以節約成本，因為非管理用戶將不再能夠意外誤組態網路或安裝可能影響系統穩定性的套用程式。目前，在沒有管理權限的情況下執行正面臨著挑戰，因為許多套用程式無法執行，且最終用戶會因無法執行一般工作(如增加列印機)而感到很不方便。在 Windows Vista 中，「用戶帳戶保護」初始版本引入了基本的作業系統更改，以增加非管理用戶的經驗。例如，在企業環境中，移動便攜式電腦用戶將能夠設定附加到家庭無線網路上的 WEP 密鑰、安裝列印機、下載和安裝套用程式更新、設定和組態 VPN(虛擬專用網)連接以及執行許多其他標準工作，所有這些操作都是以非管理員身份執行的情況下進行的。　　預設值情況下，Windows Vista 會以有限權限執行大部分套用程式，即使用戶以管理權限登入到其電腦也會如此。這不會阻止用戶執行已授予其執行權限的管理工作。當用戶嘗試執行管理工作時，Windows Vista 將明確要求其驗證其意圖或提供管理憑據(取決於所選的原則設定)。還可使用「群組原則」設定控制此功能。　　如果用戶以標準用戶(非「管理員」本地機組的成員)身份登入，他們仍可執行大部分 Windows Vista 套用程式而不需要額外權限。雖然會有一些例外情況，但大部分套用程式無論是在管理員帳戶下還是在標準用戶帳戶下都將執行得一樣好。　　當需要管理員權限時，您不必按下 Run As(執行為)，因為 Windows Vista 會自動提示您，如圖 1 所顯示。　　圖 1:當需要管理員憑據時，Windows Vista 會自動提示您提供該憑據。　　在沒有管理權限的情況下，某些套用程式將不能在 Windows XP 下執行，因為它們將嘗試對影響整個電腦的文件和註冊表位置(如 C:\Program Files、C:\Windows 或 HKEY_LOCAL_MACHINE)進行更改。如果用戶沒有管理權限，則 Windows Vista 中的註冊表和文件虛擬化會將每個機器的文件和註冊表寫入重新轉發IP到每個用戶的位置。這使得標準帳戶能夠執行這樣一些套用程式，即需要向只有管理員才可對其進行訪問的註冊表或文件系統的區域寫入的套用程式。　　優點　　「用戶帳戶保護」允許將各組織移至一個便於管理的桌面，支持費用可能會更低。這有助於減少組織因使用者設定發生更改而不得不重新映像電腦的需要，並會降低由 malware 造成系統級影響的風險。　　為了瞭解「用戶帳戶保護」的優點，設想一個一般用戶因公出差，在不知道本地機「管理員」密碼的情況下使用了標準用戶帳戶。為了打發在旅館中的時間，他(或她)嘗試從 Internet 下載一個遊戲。然而，此遊戲是一個特洛伊木馬程序，並嘗試安裝 malware(電腦啟動時將自動啟動)。由於該用戶不是管理員，因此遊戲安裝失敗，該用戶的電腦得到了保護，未受到特洛伊木馬程序的攻擊。而後，為了能在旅館列印機上列印我的文件，該用戶需要安裝一個新的列印機驅動程式。為確保該驅動程式不由惡意軟體增加，Windows Vista 提示該用戶驗證他(或她)是否確實想安裝該驅動程式。這樣，「用戶帳戶保護」保護了用戶，而沒有限制其所能執行的操作。　　為什麼重要　　使用 Microsoft Windows XP 和 Windows 作業系統的早期版本時，IT 專業人員有以下兩種選項: 　　•授予用戶管理權限並處理因軟體安裝或組態更改不正確而導致的技術求援。　　•授予用戶有限權限並處理套用程式未正常執行時的技術求援。　　使用 Windows Vista 時，則不必做出讓步。用戶的工作效率會很高，且可以防止會濫用管理權限的 malware 的攻擊，而且仍可執行幾乎所有的套用程式。當用戶確實需要執行管理工作時，Windows Vista 會驗證其請求。這最終意味著，所需的技術支援將減少，當組態於有限權限下執行的套用程式時所花費的工程時間將更少。身份驗證　　功能說明　　Windows Vista 仍具有對密碼和「智能卡」的內裝身份驗證支持。由於許多客戶正在尋找使用密碼進行身份驗證的替代方法，因此 Windows Vista 使得開發人員向 Windows 中增加其自訂身份驗證方法(如生物尺度和令牌)的操作更為簡單。Windows Vista 還提供了 Kerberos 身份驗證傳輸協定和智能卡登入的增強功能。佈署和系統管理工具 [如自助個人識別碼 (PIN) 重置工具] 使「智能卡」更易於管理。智能卡開發人員的公共「應用程式編程接頭 (API)」模型也使得這些工具更易於開發。　　優點　　Windows Vista 中的「智能卡」改進使各組織更易於佈署和支持此內裝身份驗證方法。Windows Vista 使實現身份驗證機制更為容易，從而使提供自訂身份驗證機制(如生物尺度和令牌)的開發人員直接受益。這使得 IT 部門間接受益，因為這些部門可從第三方供應商那裡獲得更多的選項。　　為什麼重要　　對於許多組織而言，單一因素的身份驗證還不夠。非常重視安全性的 IT 組織需要進行多因素身份驗證。通過使開發人員更易於新增自訂的身份驗證方法，IT 部門將可在生物尺度、「智能卡」以及其他檔案類型的嚴格身份驗證之間進行更多選項。　　防 Malware 　　功能說明　　本文前面討論的「用戶帳戶保護」以及 Internet Explorer 的安全性改進(包括將在稍後對其進行討論的新的受保護模式)可降低 Windows Vista 中 malware 傳播的影響。除了這些功能之外，Windows Vista 還可清除許多蠕蟲、病毒和 root kits，從而保護作業系統的完整性和用戶資料的保密性。其還可檢測、清除和既時阻止間諜軟體。　　注意內裝防間諜軟體的檢測、清除和既時阻止功能主要針對個人用戶。對於通過除啟用/禁用保護以外的群組原則的防 malware，當前計劃中未包含企業管理。　　優點　　Malware 通常在用戶電腦的後台執行，從而降低了系統的效能。這通常會導致用戶過早地得出這樣的結論:其電腦執行速度太慢，需要重新映像。從而將增加電腦的維護成本。更糟糕的是，malware 通常有問題，使電腦變得不可靠。　　然而，Malware 的最大威脅則是對安全性的威脅。Malware 可能會給電腦帶來其他安全漏洞。如果攻擊者利用了這些漏洞，就有可能能夠對保密資料進行訪問。因此，Windows Vista 中新增的 malware 保護可提高網路中電腦的整體效能、減少技術求援並提高安全性。　　為什麼重要　　IT 部門在解決 malware 所導致的問題時浪費了許多資源:降低了電腦的效能、可靠性差、安全性受到了影響。Windows Vista 中內裝的防 malware 功能使用戶可更好地控制其電腦上所安裝並執行的軟體。進階用戶可從 Security Center(安全中心)檢視防 malware 軟體的狀態。　　網路存取保護　　功能說明　　Windows Vista 中含有一個代理，如果某客戶端缺少當前安全更新、病毒簽名或不符合安全條件，該代理將阻止該客戶端連線到內部網路。「網路存取保護」可用於保護遠端訪問客戶端和區域網路 (LAN) 連接。該代理將 Windows Vista 客戶端的執行狀況狀態(例如，安裝了當前更新和最新病毒簽名)報告給關於伺服器的網路存取保護增強服務，該服務確定是授予客戶端訪問內部網路的權限還是限定其訪問某個受保護的網路。客戶端的功能取決於「網路存取保護」基礎結構，該結構將包含在 Windows Server "Longhorn" 中。　　優點　　「網路存取保護」可提高移動電腦和內部網路的安全性。通常，帶著電腦旅行的用戶不會連續幾個星期與內部網路相連。當他們連接時，連接時間可能會非常短，以至於其電腦還沒來得及下載最新的更新內容、安全組態設定和病毒簽名。因此，移動電腦所處的安全狀態往往不及其他電腦。「網路存取保護」可提高這些移動電腦的安全性，因為它可確保在用戶連線到網路前安裝最新的更新內容。　　為什麼重要　　病毒和蠕蟲通常會由與網路相連的遠端客戶端或受感染電腦傳播給受保護的內部網路。Windows Vista 中的「網路存取保護」與即將推出的 Windows Vista Server 一起使用時，您可通過它來設定遠端訪問客戶端執行狀況狀態的要求。如果客戶端電腦不符合執行狀況要求，則可以: 　　•阻止電腦連線到內部網路和潛在地傳播病毒或蠕蟲。　　•向用戶提供有關如何更新其電腦(或當存在相應的修補技術時如何自動更新其電腦)的說明。　　•授予對網路中有限數量的伺服器進行訪問的權限，以允許用戶下載更新。
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次