Windows 10值得關(guān)注的三項安全功能

■孔毅

Windows 10值得關(guān)注的三項安全功能

■孔毅

在微軟新一代Windows10操作系統(tǒng)的全新主要安全特性當中，我們赫然看到了應(yīng)用程序?qū)彶榕c生物認證兩項標題。軟件巨人在今天的公告中指出，這一切都將隨著Windows新版本免費發(fā)布被交付至現(xiàn)有的Windows7以及Windows8用戶手中。

Windows 10的來臨使得一切關(guān)于Windows即將消亡——特別是考慮到微軟在Windows8版本中武斷地直接推出磁貼界面并移除開始菜單的情況——的傳聞消弭于無形，或者說至少暫時平息了下來。除了我們所喜愛的開始菜單將會強勢回歸、昵稱“小娜”的Cortana個人助手上線以及名為Edge的更新、更快、更具個性的瀏覽器方案的亮相，微軟還會在Windows10當中引入一系列全新安全功能——而且其中大部分將直接登陸Windows10的首發(fā)版本。

Windows安全專家Marc Maiffret指出，隨著Windows10安全功能與全新Windows Store中應(yīng)用程序認證與審查機制的結(jié)合，微軟公司正著手將桌面生態(tài)系統(tǒng)推向與智能手機類似的新方向——這對于安全工作而言無疑算是一個好消息?！捌渲邪簧儆腥さ陌踩珯C制，我們可以利用其在安全保障工作中更好地控制環(huán)境內(nèi)的應(yīng)用程序與代碼，”他解釋稱。

1.Device Guard

微軟公司的全新Device Guard旨在對全部嘗試訪問Windows10設(shè)備及其網(wǎng)絡(luò)體系的應(yīng)用程序進行審查，從而徹底阻斷零日攻擊的出現(xiàn)。它基本上會默認將全部應(yīng)用程序阻斷在外，除了那些擁有特定軟件供應(yīng)商、Windows應(yīng)用程序商店以及企業(yè)自身確認許可的應(yīng)用。

宏基、富士通、惠普、NCR、聯(lián)想、PAR以及東芝等廠商已經(jīng)與微軟方面達成協(xié)議，共同將Device Guard引入自己的Windows設(shè)備當中。其能夠支持銷售系統(tǒng)、ATM機以及其它運行有Windows系統(tǒng)的各類物聯(lián)網(wǎng)型設(shè)備。

“為了幫助用戶免受惡意軟件的侵擾，當某款應(yīng)用程序開始執(zhí)行時，Windows會首先檢測該應(yīng)用是否可信，并在發(fā)現(xiàn)其不可信時向用戶發(fā)出通知。Device Guard能夠利用硬件技術(shù)與虛擬化機制將這一額外許可功能與Windows操作系統(tǒng)中的其它組件隔離開來，而這有助于保護用戶免受已經(jīng)獲得了系統(tǒng)整體權(quán)限的攻擊者或者惡意軟件的騷擾，”微軟公司的Chris Hallum在最近發(fā)布的一篇相關(guān)功能介紹博文當中寫道。

微軟的Hallum同時指出，與其它殺毒及白名單軟件不同，那些能夠進行系統(tǒng)證書篡改或者未知類型的惡意軟件同樣很難脫離Device Guard的法眼，而且其可以同殺毒、白名單乃至其它應(yīng)用程序控制產(chǎn)品協(xié)同工作。

“傳統(tǒng)殺毒解決方案與應(yīng)用程序控制技術(shù)都能夠立足于Device Guard機制，從而阻斷基于可執(zhí)行文件及腳本的惡意軟件，而殺毒工具也將繼續(xù)涵蓋Device Guard力有不逮的JIT應(yīng)用(例如Java)與文件內(nèi)的宏等領(lǐng)域，”Hallum補充道。

有趣的是，Device Guard同樣能夠以虛擬化方式運行，這意味著如果Windows內(nèi)核遭到突破，Device Guard仍然不會受到影響，微軟方面指出。它仍然會審查所運行的軟件是否符合管理策略提出的配置要求。

2.Windows Hello

WindowsHello已經(jīng)被微軟方面宣傳為一項密碼殺手型功能，其利用生物識別機制——包括用戶的面孔、虹膜或者指紋——來啟動Windows10設(shè)備，而不再像過去那樣只能使用討厭且安全性低下的密碼內(nèi)容。

微軟公司操作系統(tǒng)部門運營副總裁Joe Belfiore指出，Hello之所以安全性更高，是因為它允許用戶對應(yīng)用程序、企業(yè)內(nèi)容以及在線體驗進行驗證，而無需在用戶設(shè)備或者網(wǎng)絡(luò)服務(wù)器端存儲任何密碼內(nèi)容。

不過問題在于，我們需要一臺具備指紋識別器及掃描軟硬件裝置的設(shè)備，因為只有這樣才能順利通過面孔或者虹膜進行生物特征驗證。此外，該設(shè)備還需要支持Windows Biometric框架。

“我們與硬件合作伙伴密切配合，旨在為WindowsHello提供具備支持能力且搭載有Windows10系統(tǒng)的硬件設(shè)備。我們也興奮地宣布，所有搭載有英特爾RealSense 3D攝像頭(F200)的OEM系統(tǒng)都將支持WindowsHello的面部解鎖功能，其中包括自動登錄Windows，同時支持在無需輸入PIN碼的前提下解鎖‘Passport’，”Belfiore在一篇 Windows10博文中介紹稱。

Maiffret表示，微軟公司目前正在根據(jù)企業(yè)客戶的需求進一步開發(fā)Hello的驗證機制。“這套方案從加密角度講能夠顯著提升安全性水平，因此其完全可以……被引入到企業(yè)環(huán)境下作為正式驗證機制使用，”他指出。

3.Passport

配合前面提到的密切機制清退舉措，Windows10還為我們帶來了一項名為Passport的新功能，允許用戶在無需密碼的前提下登錄應(yīng)用程序、網(wǎng)站以及網(wǎng)絡(luò)。

“Windows10會要求用戶確認對當前設(shè)備的所有權(quán)，而后提供根據(jù)通過PIN碼或者配備有生物識別傳感裝置的設(shè)備通過WindowsHello驗證身份。在通過‘Passport’認證之后，大家將能夠立即訪問更多網(wǎng)站及服務(wù)……包括您最喜愛的電子商務(wù)網(wǎng)站、電子郵件與社交網(wǎng)絡(luò)服務(wù)、金融機構(gòu)以及商業(yè)網(wǎng)絡(luò)”等等，微軟公司指出。

根據(jù)微軟方面的證實，Passport還能夠與微軟的Azure Active Directory服務(wù)相協(xié)作，而用戶的生物認證“簽名”會以安全方式被保存在本地用戶設(shè)備當中，且只用于解鎖設(shè)備及Passport;換言之，這部分信息不會通過網(wǎng)絡(luò)傳輸。

不過雖然目前已經(jīng)成為FIDO聯(lián)盟當中的一員并著力在未來徹底將密碼機制扔進歷史的垃圾堆，但微軟公司并不打算在Windows10中就宣布密碼的消亡。因此用戶或者企業(yè)客戶即使不愿或者無力承擔部署WindowsHello及Passport相關(guān)裝置的費用，也完全可以在Windows10中繼續(xù)使用傳統(tǒng)密碼與密碼管理方案。

與此同時，微軟公司還在Windows10內(nèi)部推出了一些初步但卻非常關(guān)鍵的變更，包括利用容器技術(shù)與虛擬沙箱機制提高桌面系統(tǒng)的安全水平，Maiffret表示?！安贿^我敢肯定，在明年的黑帽大會或者其它類似活動上，就會有人宣稱成功破解了Windows10的沙箱方案，這是不可避免的結(jié)果?！?/p>

盡管如此，微軟公司仍然將其引入了Windows系統(tǒng)，并作為一大足以改變游戲規(guī)則的重要改進，他表示。