• 發行項

Windows Vista 安全性與資料保護改進

Windows Vista 的新功能讓它比舊版 Windows 用戶端作業系統更安全。

發行日期:2005 年 6 月 1 日

作者:Tony Northrup

 

安全性威脅與日俱增。為能防範網際網路和無線網路上的威脅,Microsoft Windows 用戶端作業系統也必須跟著進步。Windows Vista 是目前為止最安全和可靠的 Windows 作業系統,可協助組織更有信心達成企業和電腦運算的目標。本文將說明最重要的安全性改良功能、所提供的助益,以及這些新功能對 IT 專業人員的重要性。

squares

 

概觀 概觀
使用者帳戶控制 使用者帳戶控制
驗證 驗證
反惡意程式碼 反惡意程式碼
網路存取保護 網路存取保護
防火牆 防火牆
Windows Service Hardening Windows Service Hardening
Internet Explorer 增強功能 Internet Explorer 增強功能
資料保護 資料保護

概觀

Microsoft 投入重要的技術投資,讓客戶的作業系統更加安全。我們的努力包含使用安全性開發週期來開發更安全的軟體,以及提供平台上的技術創新以提供分層防禦或深入防禦。Windows Vista 包含許多安全性功能與改進,保護用戶端電腦免於新一代的威脅,包括蠕蟲、病毒以及其他惡意軟體 (以下統稱為惡意程式碼)。

  • 使用者帳戶控制可讓使用者在以標準使用者權限執行時維持工作效率和變更一般設定,而不需要系統管理權限。此舉可避免使用者變更電腦造成潛在的危害,同時又不會限制使用者執行應用程式的能力。
  • Windows Vista 的內建網頁瀏覽器 Microsoft Internet Explorer (IE) 包含許多安全性增強功能,可保護使用者不受網路釣魚和詐騙攻擊。新功能包括 Internet Explorer 受保護模式,可協助保護使用者資料和組態設定,以免被惡意網站或惡意程式碼刪除或變更。
  • Windows Defender 會偵測許多類型的潛在可疑軟體,並可在應用程式進行潛在的惡意變更之前提示使用者。
  • 防火牆的全新輸出篩選功能可提供系統管理控制,以控制點對點分享應用程式和企業想限制的其他類似應用程式。
  • 萬一服務被侵入時,Windows Service Hardening 可減輕攻擊者的傷害。因此,攻擊者永久變更 Windows Vista 用戶端或攻擊網路上其他電腦的風險便能降低。
  • 系統管理員可以使用網路存取保護,防止不符合內部系統健康狀態原則的用戶端連線至內部網路,進而避免惡意程式碼散播至其他電腦的潛在可能。

電腦採用適當輔助硬體的企業使用者透過 BitLocker™ 磁碟機加密,可保護遺失或遭竊電腦上的資料。啟用 BitLocker 的電腦可加密整個 Windows 磁碟區,保護資料、檔案、電子郵件和智慧財產不受未經授權的使用者侵害。

最後,為確保 IT 部門有多種驗證機制可供選擇,Windows Vista 包含新的驗證架構,可更方便協力廠商開發人員進行擴充。這最終將提供更多選擇,包括智慧卡、指紋掃描器和其他形式的強式驗證。結合上述安全性改進功能,使用者將更能安心使用電腦。

頁首頁首

使用者帳戶控制

目前,許多 Windows 的使用者不論在公司或家裡,都是以系統管理權限來執行。以系統管理員的身分執行不但會使桌面難以管理,也可能提高支援成本。使用標準使用者權限部署桌面可以節省成本,因為非系統管理使用者再也無法意外和不當地設定網路,或是安裝可能影響系統穩定性的應用程式。但是,現今在沒有系統管理權限的情況下執行有其困難度,因為許多應用程式將無法執行,使用者也會因為無法執行像新增印表機這種一般工作而倍感挫折。

在 Windows Vista 中,使用者帳戶控制 (UAC) 功能為作業系統帶來了重要的變革,可強化非系統管理使用者的體驗。例如,在企業環境下,攜帶型電腦使用者能夠設定 WEP 金鑰來連接安全無線網路、安裝印表機、下載和安裝應用程式更新、安裝和設定虛擬私人網路 (VPN) 連線以及執行許多其他標準工作,而且全部都能以非系統管理員的身分執行。

使用者帳戶控制使用 Windows 安全性使用者模型以區分系統管理員和標準使用者。標準使用者帳戶是不具電腦系統管理員權限的帳戶。當帳戶是本機「管理員」帳戶成員的使用者登入 Windows Vista 電腦時,他們預設會以標準使用者的身分登入。當使用者想執行需要系統管理權限的工作 (如安裝應用程式) 時,根據所選擇的安全性原則,Windows Vista 將會明確提示使用者授與權限或認證。這道程序可確保惡意程式碼不會幕後安裝在使用者的電腦上。不過,與 Windows XP 不同的是,標準使用者不會自動遭到封鎖而無法執行需要系統管理權限的工作。Windows Vista 會明確提示標準使用者輸入本機系統管理員帳戶的有效認證,才會允許標準使用者執行工作。

當系統管理員需要使用系統管理權限時,不需要使用 [執行身分],因為 Windows Vista 可自動提示他們輸入必要的認證,如 [圖 1] 所示。

secfeat
圖 1:當應用程式要求系統管理員認證時,Windows Vista 會自動提示您輸入認證。

雖然有部分例外,但大多數應用程式在系統管理員帳戶和標準使用者帳戶之下執行時並無差別。目前許多應用程式會要求系統管理權限,否則無法在 Windows XP 執行,因為它們會嘗試變更使用者無法存取的檔案及登錄位置,例如 C:\Program Files、C:\Windows 或 HKEY_LOCAL_MACHINE。如果使用者沒有系統管理權限,Windows Vista 的登錄與檔案虛擬會將每部機器的檔案及登錄寫入重新導至個別使用者的位置。要是應用程式需要寫入只有系統管理員才能存取的登錄或檔案系統區域,這項功能也可讓標準帳戶執行這些應用程式,而不會做出影響整個系統的變更。

優點

使用者帳戶控制可讓企業移轉至管理更佳、潛在支援成本更低的桌面。

使用者帳戶控制可減少:

  • 組織因為使用者設定變更而需要電腦重新進行映像。
  • 惡意程式碼帶來系統層級影響的風險。

要了解使用者帳戶控制的好處,我們在下文中以 Don Hall 為例,他目前是正在出差的遠端使用者。Don 的膝上型電腦安裝 Windows Vista 並以標準使用者的身分執行。在飯店空閒之餘,Don 上網瀏覽並想下載某個遊戲。但 Don 並不知道,這個遊戲其實是特洛伊木馬程式,它嘗試安裝每次開機都會自動啟動的惡意程式碼。不過,由於惡意程式碼需要系統管理權限才能安裝,而 Don 是以標準使用者身分執行,因此 Don 的電腦不會被惡意程式碼感染。稍後,Don 需要安裝新的印表機驅動程式,以從飯店的印表機列印文件。由於驅動程式是由 IT 部門信任的公司所簽署,Don 將能夠安裝驅動程式,不需要系統管理員權限。使用者帳戶控制藉此保護使用者,同時仍可讓他們維持工作效率。

為什麼它如此舉足輕重

在 Microsoft Windows XP 和早期版本的 Windows 作業系統中,IT 專業人員有兩個選擇:

  • 提供使用者系統管理權限,同時面對不當軟體安裝或設定變更而打來的支援電話。
  • 提供使用者有限的權限,同時面對應用程式無法正常運作而打來的支援電話。

在 Windows Vista 中,則無上述兩難情況。使用者可以維持工作效率,防範惡意程式碼安裝到整個系統,同時仍能夠執行大多數應用程式。這最終可減少支援電話,並能縮短設定應用程式在受限權限下執行所花的設計時間。

頁首頁首

驗證

功能說明

Windows Vista 對於密碼和智慧卡仍提供內建的驗證支援。由於許多客戶希望尋求其他驗證方式來取代密碼,Windows Vista 讓開發人員更容易將自訂驗證方式加入到 Windows,例如生物識別和權杖。Windows Vista 也加強了 Kerberos 驗證通訊協定和智慧卡登入。部署和管理工具,例如自助式個人識別碼 (PIN) 重設工具,讓智慧卡更容易管理。針對智慧卡開發人員所提供的一般應用程式發展介面 (API) 也讓工具開發工作更容易。

優點

Windows Vista 的智慧卡改進功能讓組織能夠更容易部署和支援此內建驗證方法。Windows Vista 對於提供如生物識別和權杖等自訂驗證機制的開發人員有直接的助益,因為他們可以更容易實作這些驗證機制。對於 IT 部門來說,間接獲得的好處就是有更多協力廠商提供的選項可供選擇。

為什麼它如此舉足輕重

對許多組織來說,單一因素驗證並不足夠。高度重視安全性需求的 IT 組織需要多因素驗證。由於開發人員可以更容易建立自訂驗證方法,IT 部門便可有更多的選擇,包括生物測量、智慧卡和其他類型的強式驗證。

頁首頁首

反惡意程式碼

功能說明

本文前述的使用者帳戶控制和 Internet Explorer 的安全性改進功能 (包括稍後將說明的新受保護模式),可減少惡意程式碼對 Windows Vista 造成的影響。除了這些功能,Windows Vista 還能夠清除許多蠕蟲、病毒、Rootkit 和間諜軟體,因而可確保作業系統的完整性和使用者資料的隱私。Windows Vista 另外也包含 Windows Defender,這項技術可以協助保護電腦免於快顯視窗、拖慢效能的困擾,以及由間諜軟體和其他垃圾軟體所造成的安全性風險。其特色在於即時保護,這套監控系統會針對偵測到的間諜軟體提出建議動作,而且具備全新簡化的介面,能夠盡量減少干擾,協助您維持一貫的工作效率。

注意:Windows Defender 專為個別使用者所設計,不包含企業管理。 

優點

惡意程式碼常會使系統效能變慢,而使用者經常會貿然認定他們的電腦速度太慢或不穩定,需要重新進行映像處理。不幸的是,這會增加整體電腦維護成本。然而,惡意程式碼最大的威脅還是在於安全性。例如,惡意程式碼可能會使機密資料外洩,或造成電腦更多安全性漏洞。因此,Windows Vista 新增的保護和惡意程式碼清除功能可改善網路上電腦的效能和安全性,進而減少支援電話。

為什麼它如此舉足輕重

IT 部門耗費許多資源來解決惡意程式碼所造成的問題:電腦效能變慢、穩定性不佳以及安全性受侵犯。Windows Defender 可移除惡意程式碼軟體,讓使用者能夠進一步控制電腦上的軟體。

頁首頁首

網路存取保護

功能說明

Windows Vista 內建代理程式,如果執行 Windows Vista 的用戶端沒有最新的安全性更新、沒有病毒碼或不符合電腦的健康需求,這個代理程式就會防止它連線至私人網路。網路存取保護可用來保護網路,以防遠端存取用戶端和區域網路 (LAN) 用戶端入侵。代理程式會將 Windows Vista 用戶端運作狀況 (例如已安裝最新更新和最新病毒碼) 報告給伺服器架構的網路存取保護強制服務。隨附於 Windows Server 代號名稱 Longhorn 的網路存取保護基礎結構會判斷是否可讓用戶端存取私人網路或限制的網路。

優點

網路存取保護可強制直接連線至私人網路的攜帶型電腦、遠端電腦和電腦必須符合健康需求。一般來說,帶著電腦出差的使用者常會有數週的時間不能連線至私人網路。等到可以連線時,連線的時間可能很短暫,他們的電腦還來不及下載最新的更新、安全性組態設定和病毒碼。因此,與其他電腦相較,攜帶型電腦常處於較不安全的狀態。網路存取保護可確保使用者在連線到私人網路之前,已經安裝最新的更新,藉以提升這些攜帶型電腦的安全性。

為什麼它如此舉足輕重

病毒和蠕蟲經常會透過感染的攜帶型或遠端電腦進入私人網路。Windows Vista 的網路存取保護與網路存取保護基礎結構搭配使用時,可讓您設定所有用戶端電腦的需求。如果用戶端電腦不符合健康需求,您可以:

  • 防止電腦連線到私人網路,避免散播病毒或蠕蟲的可能。
  • 提供如何更新電腦的指示給使用者,如果有適當的修復技術更可自動更新電腦。
  • 提供限制存取權來存取網路上有限數量的伺服器,讓使用者下載更新。

頁首頁首

防火牆

功能說明

Windows Vista 內建的個人防火牆是建立在 Microsoft Windows XP Service Pack 2 附隨的功能上。它也包含感知應用程式輸出篩選功能,可讓您完整控制流量的方向。例如,Windows Vista 中的 Windows 防火牆可讓系統管理員封鎖應用程式 (例如點對點分享或立即訊息應用程式) 聯繫或回應其他電腦。此外,Windows Vista 防火牆設定可使用群組原則物件設定,大幅簡化了管理性。

優點

許多潛在高風險的應用程式 (如可能透過網際網路傳送個人資訊的點對點分享用戶端應用程式) 都會設計規避封鎖連入連線的防火牆。Windows Vista 的防火牆可讓企業系統管理員針對允許或封鎖的應用程式設定群組原則設定,他們便能夠控制哪些應用程式可以在網路上通訊。

為什麼它如此舉足輕重

IT 部門降低安全性風險的最重要方法之一就是限制可以存取網路的應用程式。Windows Vista 內建的個人防火牆便是此策略重要的一環。透過個人防火牆,系統管理員可以允許應用程式在電腦本機上執行,但防止它在網路上通訊。這可提供系統管理員降低安全性風險所需的細微控制,同時又不會影響到使用者的產能。

頁首頁首

Windows Service Hardening

功能說明

Windows Service Hardening 會限制重要 Windows 服務執行檔案系統、登錄、網路或可讓惡意程式碼自我安裝或攻擊其他電腦等其他資源方面的異常活動。例如,Windows Service Hardening 可以限制遠端程序呼叫 (RPC) 服務,使其不得取代系統檔案或修改登錄。

Windows 服務就佔了 Windows 整體攻擊面中的絕大部分,因為這些服務佔系統中所有「不間斷執行」程式碼的數量最多,而且這些程式碼的權限層級也最高。Windows Vista 預設會限制執行和運作的服務數目。目前,許多系統和協力廠商的服務都是以 LocalSystem 帳戶的身分執行,只要有漏洞,便會對本機電腦造成無法控制的損害,包括磁碟格式化、使用者資料存取或驅動程式安裝。

Windows Service Hardening 在 Windows 服務中引入新概念,可減輕服務遭侵入的可能傷害:

  • 引入個別服務安全性識別碼 (SID)。這可讓每個服務都具有身分識別,接著再透過涵蓋使用存取控制清單 (ACL) 的所有物件和資源管理員的現有 Windows 存取控制模型實現存取控制分割。服務現在可以將明確的 ACL 套用到該服務專屬的資源,防止其他服務和使用者存取該項資源。
  • 將服務從 LocalSystem 移至權限較低的帳戶,如 LocalService 或 NetworkService。這可降低服務的整體權限層級,帶來類似使用者帳戶控制的優點。
  • 移除個別服務不必要的 Windows 權限,例如進行偵錯的能力。
  • 將寫入限制存取權杖套用到服務程序。當服務寫入的那組物件受到限制且可以設定時,便可以使用此存取權杖。如果在嘗試寫入資源時沒有明確授與服務 SID 存取權,嘗試就會失敗。
  • 服務會有指派的網路防火牆原則,這可防止取得服務程式正常範圍以外的網路存取權。防火牆原則會直接連結到個別服務的 SID。

優點

Windows Service Hardening 根據深層防禦安全性原則,為服務提供另一層的保護。Windows Service Hardening 並無法防止有弱點的服務遭到入侵,這是由其他 Windows Vista 元件和深層防禦策略 (如 Windows 防火牆和完善的更新程式管理程序) 協助防範。但是萬一攻擊者找到並利用有弱點的服務時,Windows Service Hardening 會縮小攻擊者的破壞範圍。

Windows Service Hardening 也可提供給協力廠商服務撰寫人員採用,這可讓應用程式撰寫人員為其程式碼取得相同的安全性優點。

為什麼它如此舉足輕重

安全性危害的代價甚鉅。機密資料可能會洩漏,使用者可能遺失資料,生產力也可能受累。IT 部門可能要花費數週的時間來修復重大侵入所造成的損害。Windows Service Hardening 能夠大幅減輕服務遭侵入的傷害,方法是防止服務變更重要的組態設定或感染網路上的其他電腦。藉由 Windows Service Hardening,原先可能造成重大損失的安全性危害可降為輕度傷害。

頁首頁首

Internet Explorer 增強功能

功能說明

Windows Vista 將建立在使用者帳戶控制解決方案上,可限制 Internet Explorer 只有足夠權限來瀏覽網站,但預設沒有足夠權限來修改使用者檔案或設定。這項僅限 Windows Vista 的功能稱為受保護模式,將在 Windows Vista Beta 2 中引進。如此一來,即使惡意網站攻擊 Internet Explorer 中的潛在弱點,但網站的程式碼將沒有足夠權限來安裝軟體、將檔案複製到使用者的啟動資料夾,或劫持瀏覽器首頁或搜尋提供者的設定。

為求保護使用者的個人資訊,Internet Explorer:

  • 在瀏覽以安全通訊端層 (SSL) 保護的網站時,新的安全性狀態列會反白顯示,讓使用者輕鬆檢查網站安全性憑證的有效性。
  • 當網站嘗試盜用使用者的機密資訊時,網路釣魚篩選器會發出警告,有助於增進瀏覽網站的安全性。此篩選器的運作方式是,分析網站內容、尋找已知的網路釣魚技巧特性,而且使用全球網路的資料來源判斷是否應信任網站。篩選資料每小時更新數次,有鑑於網路釣魚網站出現的速度和潛在性收集使用者資料的速度,這一點很重要。
  • 只要按一下,即可清除所有快取資料。

優點

Internet Explorer 的新功能可協助使用者存取網際網路上的資源,同時又能將安全性威脅降至最低。降低惡意網站所帶來的風險有助於減少潛在的安全性成本。

為什麼它如此舉足輕重

惡意網站可能會侵害使用者的電腦,即使他們只是瀏覽看起來安全的網站也難防入侵。Windows Vista 的 Internet Explor 經過改良,可大幅降低瀏覽器遭入侵的風險,進而減少安全性風險。結合運用使用者帳戶控制和 Internet Explorer 的全新受保護模式,您將不會再像以往那樣接到眾多關於使用者抱怨首頁被變更或 Internet Explorer 出現不想要的工具列等的支援電話。

頁首頁首

資料保護

功能說明

公司智慧財產遭竊或遺失逐漸成為組織關注的焦點。Windows Vista 已在文件、檔案、目錄和電腦層級上改進資料保護的支援。整合的「版權管理」用戶端可讓組織在文件使用上強制原則。加密檔案系統提供使用者型檔案和目錄加密,現在加密檔案系統的增強功能允許加密金鑰儲存在智慧卡上,以提供更好的加密金鑰保護。此外,新的 BitLocker 磁碟機加密企業功能新增了電腦層級資料保護功能。在有適當輔助硬體的電腦上,BitLocker 磁碟機加密可完整加密系統磁碟區,包括 Windows 系統檔案和休眠檔案,萬一電腦遺失或遭竊,有助於保護資料不受侵害。為了提供容易部署及管理的方案,可信任平台模組 (TPM) 1.2 晶片會用來儲存加密及解密 Windows 硬碟磁區的金鑰。為確保此功能對使用者容易使用,需要 TPM 和企業管理基礎結構。

BitLocker 完整磁碟區加密會將對稱式加密金鑰密封在可信賴平台模組 (TPM) 1.2 晶片中。TPM 晶片是新型電腦配備的硬體元件,可儲存金鑰、密碼和數位憑證。

BitLocker 也會將核心作業系統檔案的測量值儲存在 TPM 晶片中。每次電腦啟動時,Windows Vista 便會確認作業系統檔案未被離線攻擊所修改。離線攻擊是指攻擊者啟動替代作業系統,以取得系統的控制權。如果發現檔案遭修改,Windows Vista 會警示使用者並拒絕釋出存取 Windows 所需的金鑰。系統接著會進入修復模式,提示使用者提供修復金鑰,才能存取開機磁碟區。

修復模式在磁碟機移至其他系統時也很有用。修復模式需要 BitLocker 啟用時產生的修復金鑰,而此金鑰是每台電腦專屬的。因此,BitLocker 適合已建置管理基礎結構來儲存修復金鑰 (如 Active Directory) 的企業。否則,如果電腦故障而將磁碟機移至其他電腦,將無法取得修復金鑰,資料可能因此遺失。

優點

Windows XP 和早期版本的 Windows 很難抵擋離線攻擊,如果電腦遺失或遭竊,便很容易取得其中的使用者資料。與作業系統執行時發生的線上攻擊 (因此可以使用防火牆和防毒軟體來防禦) 不同的是,離線攻擊是在作業系統關閉時發生。最常見的離線攻擊類型包括:

  • 使用開機磁片啟動離線電腦,然後重設系統管理員密碼,攻擊者因而得以啟動作業系統並通過驗證。
  • 使用不同的作業系統直接存取電腦的硬碟,以規避檔案權限。

BitLocker 可用來防範上述攻擊。這對於容易遭竊的攜帶型電腦更是十分有價值。

為什麼它如此舉足輕重

遺失或遭竊的電腦通常存有機密的企業智慧財產或關於客戶的個人識別資訊。當電腦遭竊的消息公諸於世,也就是企業通知客戶他們的個人資料遺失時,可能會讓組織背上資料外洩的惡名。這可能會讓客戶失去信心,媒體也會有負面的報導。

透過 Windows Vista 的完整磁碟區加密,您可以大幅降低攻擊者利用離線攻擊入侵機密檔案的風險。萬一膝上型電腦遺失或遭竊,完整磁碟區加密可確保攻擊者將無法存取電腦中敏感的公司或客戶資料。

注意:本網站上所討論的功能可能有所異動,由於行銷、技術或其他原因,有些功能可能未包含在最終產品內。 


頁首頁首