2012年8月9日 星期四

Windows 8安全性功能的改善


Windows 8安全性功能的改善

Windows 8新增了Windows SmartScreen機制,並對於既有的3項安全性相關的功能加以改善,此外,新一代系統也特別重視作業系統執行前的安全防護的能力 


在行動作業中心的安全性防護方面,除了既有的防毒、防間諜軟體,以及使用者帳戶控制選項,還多了Windows SmartScreen的防護項目。

作業系統的安全性同樣也是企業所關心的部分。在Windows 8 Release Preview中,對於安全性相關的功能也有不少強化與改善,我們特別針對5項與安全性相關的功能加以介紹,分別是信任式開機(Secured Boot)與測量開機(Measured Boot)、BitLocker、SmartScreen、Windows Defender與使用者帳號控制。

新增Secured Boot,目的是防護OS執行前的安全 
在安全性方面,只要Windows 8作業系統執行在搭配UEFI 2.3.1版本的電腦設備上,便可啟動UEFI的安全開機功能,防止惡意程式碼在Windows 8系統啟動之前執行。這機制的用意是在保護作業系統核心、系統檔案、重要開機驅動程式,並防止部分惡意程式會針對開機程序發動攻擊,Windows預計能自動偵測到惡意程式碼竄改開機程序的狀況,並修復系統。

此外,微軟在這種信任式開機程序之後,加入反惡意程式碼軟體的驗證,以增強系統安全性。據了解,這套系統所用的反惡意程式碼軟體是PC、筆電等OEM廠商的應用程式,會針對BIOS中的Windows認證碼來驗證。這樣一來,管理者也能夠避免使用者在電腦上因為安裝或啟動其他作業系統開機,而間接造成管控上的漏洞。

此外,還有一項與TPM晶片結合的測量開機(Measured Boot)程序機制,可以讓遠端服務來驗證電腦的完整性,防護惡意軟體和病毒載入,以確保電腦安全。

改進BitLocker的加密彈性與速度 

可以只加密已使用磁區的BitLocker
Windows 8的BitLocker可以只加密已使用的硬碟空間,而不像過去只能加密整個硬碟。如此一來,將能夠減少對未使用磁碟區的加密處理時間,讓加密動作更有效率。

BitLocker是Windows Vista時所新增的磁碟加密功能,在電腦遺失、遭竊時,可避免其中的重要資料被他人取得。到了Windows 8,BitLocker有幾項不錯的改進,讓企業更使用此加密功能可以更迅速與便利。

新版的BitLocker在使用上,可以選擇加密整個磁碟機,或是只加密已使用的磁碟空間,而不像過去只有加密整個磁碟的選項。對於使用者來說,可以減少加密未使用磁碟區的時間,讓加密更有效率。此外,BitLocker也開始支援硬體式的加密磁碟機,也就是說,此功能會利用硬體來執行編解碼的任務,以降低處理器的使用率,並提升加密效能。

還有一點很特別的是,由於過去許多人可能因為忘記PIN碼或遺失啟動金鑰,而導致磁碟無法開啟,因此,微軟在安全性與便利性上做出調整,讓沒有系統管理權限的標準使用者,也可以在輸入磁碟機目前的PIN或密碼後,重新變更PIN碼或密碼。

此外,新版BitLocker在部署作業系統之前,便可以先為磁碟區加密。但這主要是透過Windows預先安裝環境(WinPE)來啟用BitLocker,便能夠在Windows系統安裝之前,獲得以加密完成的磁碟區。


針對應用程式,提供執行保護的Windows SmartScreen


針對下載應用程式防護的Windows SmartScreen
簡單來說,Windows SmartScreen的功能和原理,和過去IE中的SmartScreen類似,Windows 8新增的Windows SmartScreen功能中,可針對評價系統無法辨識的應用程式加以警示,而IE中的SmartScreen功能則是針對有害的惡意網站加以警告。

SmartScreen篩選工具是IE 7提出的安全功能,目的在於阻擋釣魚網站與已知的惡意軟體傳播網站。現在這項機制被也延伸到Windows 8系統中,不論使用者透過任何瀏覽器或其他網路下載方式,都可以透過Windows SmartScreen篩選工具,連線至微軟應用程式評價的服務,幫助使用者判斷,從網路下載的不明應用程式是否可安全執行。

其實,Windows SmartScreen的功能和原理,和過去IE 8的SmartScreen類似,只是從原先的網址評價方式延伸至應用程式評價方式。如果被該機制判定為未知的程式,在執行之前將會跳出警示,需經過系統管理員核准才可繼續執行。不過,使用者也可以在Windows 8控制臺的行動作業中心內,變更Windows SmartScreen的設定,像是在執行不明應用程式前,只跳出警示或者關閉篩選工具。

內建整合防毒功能的Windows Defender 
微軟有兩套安全防護相關的軟體,也就是Windows Defender與Microsoft Security Essentials(MSE)。前者重在防間諜軟體,後者重在防毒。

內含可偵測、阻擋病毒定義版本的Windows Defender

在Windows 8 Release Preview中的Windows Defender,我們從軟體的系統資訊中可發現,除了既有的反間諜軟體的功能,還多了反惡意程式碼版本與病毒定義,且它的介面設計的跟Microsoft Security Essentials防毒軟體一樣。

我們實際從Eicar網站下載病毒測試檔,以檢視防護功能。結果發現,這一版本的Windows Defender具有病毒防護的能力,會自動清除偵測到的惡意程式碼,並能自動偵測到病毒,讓下載程式無法持續進行。

過去,Windows Vista已經內建了Windows Defender,MSE則需要額外下載,適用於10人以下的小型企業環境。

而在Windows 8 RP版本中,Windows Defender預設是關閉的,當偵測到系統沒有其他安全產品防護時才會啟動,也就是說當系統使用一段時間後,使用者如果沒有安裝任何防毒軟體,Windows Defender便會自動開啟。

不過,在目前Windows 8 RP中,我們在Windows Defender的系統資訊中看到它列出了所採用的病毒定義版本,而且實際以病毒測試網站Eicar去觀察它的反應,下載檔案時也會出現中斷動作的警示,警告該檔案包含病毒或潛在垃圾軟體進而自動阻擋。而有趣的是,現行Windows 7提供的Windows Defender是6.1, Windows 8 RP所提供的是4.0.8400.0,版本重新調整,似乎和MSE最新版本數字一致。

使用者帳戶控制的改變 
在Windows Vista時,微軟增加了使用者帳戶控制(User Account Control,UAC)防護機制。它的作用在於當使用者更改系統設置或者安裝軟體等執行了影響到系統安全性、穩定性的操作時,會彈出提示框讓使用者確認是否執行。

在Windows 7中,UAC提供使用者更多設定彈性,將安全性分為4個級別的通知等級。這次Windows 8對於使用者帳戶控制又有新的改進,即使你將UAC設定為不要通知時,也無法像過去Windows 7時關閉UAC,系統也不會要求重新開機,此時,UAC仍在背景執行。如果要真正關閉UAC,使用者需要進入系統登錄編輯程式(Regedit)中設定。


轉載自《iThome》