Windows Vista 安全性與資料保護改進Windows Vista 的新功能讓它比舊版 Windows 用戶端作業系統更安全。發行日期:2005 年 6 月 1 日 作者:Tony Northrup
安全性威脅與日俱增。為能防範網際網路和無線網路上的威脅,Microsoft Windows 用戶端作業系統也必須跟著進步。Windows Vista 是目前為止最安全和可靠的 Windows 作業系統,可協助組織更有信心達成企業和電腦運算的目標。本文將說明最重要的安全性改良功能、所提供的助益,以及這些新功能對 IT 專業人員的重要性。
概觀Microsoft 投入重要的技術投資,讓客戶的作業系統更加安全。我們的努力包含使用安全性開發週期來開發更安全的軟體,以及提供平台上的技術創新以提供分層防禦或深入防禦。Windows Vista 包含許多安全性功能與改進,保護用戶端電腦免於新一代的威脅,包括蠕蟲、病毒以及其他惡意軟體 (以下統稱為惡意程式碼)。
電腦採用適當輔助硬體的企業使用者透過 BitLocker™ 磁碟機加密,可保護遺失或遭竊電腦上的資料。啟用 BitLocker 的電腦可加密整個 Windows 磁碟區,保護資料、檔案、電子郵件和智慧財產不受未經授權的使用者侵害。 最後,為確保 IT 部門有多種驗證機制可供選擇,Windows Vista 包含新的驗證架構,可更方便協力廠商開發人員進行擴充。這最終將提供更多選擇,包括智慧卡、指紋掃描器和其他形式的強式驗證。結合上述安全性改進功能,使用者將更能安心使用電腦。 頁首 使用者帳戶控制目前,許多 Windows 的使用者不論在公司或家裡,都是以系統管理權限來執行。以系統管理員的身分執行不但會使桌面難以管理,也可能提高支援成本。使用標準使用者權限部署桌面可以節省成本,因為非系統管理使用者再也無法意外和不當地設定網路,或是安裝可能影響系統穩定性的應用程式。但是,現今在沒有系統管理權限的情況下執行有其困難度,因為許多應用程式將無法執行,使用者也會因為無法執行像新增印表機這種一般工作而倍感挫折。 在 Windows Vista 中,使用者帳戶控制 (UAC) 功能為作業系統帶來了重要的變革,可強化非系統管理使用者的體驗。例如,在企業環境下,攜帶型電腦使用者能夠設定 WEP 金鑰來連接安全無線網路、安裝印表機、下載和安裝應用程式更新、安裝和設定虛擬私人網路 (VPN) 連線以及執行許多其他標準工作,而且全部都能以非系統管理員的身分執行。 使用者帳戶控制使用 Windows 安全性使用者模型以區分系統管理員和標準使用者。標準使用者帳戶是不具電腦系統管理員權限的帳戶。當帳戶是本機「管理員」帳戶成員的使用者登入 Windows Vista 電腦時,他們預設會以標準使用者的身分登入。當使用者想執行需要系統管理權限的工作 (如安裝應用程式) 時,根據所選擇的安全性原則,Windows Vista 將會明確提示使用者授與權限或認證。這道程序可確保惡意程式碼不會幕後安裝在使用者的電腦上。不過,與 Windows XP 不同的是,標準使用者不會自動遭到封鎖而無法執行需要系統管理權限的工作。Windows Vista 會明確提示標準使用者輸入本機系統管理員帳戶的有效認證,才會允許標準使用者執行工作。 當系統管理員需要使用系統管理權限時,不需要使用 [執行身分],因為 Windows Vista 可自動提示他們輸入必要的認證,如 [圖 1] 所示。
雖然有部分例外,但大多數應用程式在系統管理員帳戶和標準使用者帳戶之下執行時並無差別。目前許多應用程式會要求系統管理權限,否則無法在 Windows XP 執行,因為它們會嘗試變更使用者無法存取的檔案及登錄位置,例如 C:\Program Files、C:\Windows 或 HKEY_LOCAL_MACHINE。如果使用者沒有系統管理權限,Windows Vista 的登錄與檔案虛擬會將每部機器的檔案及登錄寫入重新導至個別使用者的位置。要是應用程式需要寫入只有系統管理員才能存取的登錄或檔案系統區域,這項功能也可讓標準帳戶執行這些應用程式,而不會做出影響整個系統的變更。 優點使用者帳戶控制可讓企業移轉至管理更佳、潛在支援成本更低的桌面。 使用者帳戶控制可減少:
要了解使用者帳戶控制的好處,我們在下文中以 Don Hall 為例,他目前是正在出差的遠端使用者。Don 的膝上型電腦安裝 Windows Vista 並以標準使用者的身分執行。在飯店空閒之餘,Don 上網瀏覽並想下載某個遊戲。但 Don 並不知道,這個遊戲其實是特洛伊木馬程式,它嘗試安裝每次開機都會自動啟動的惡意程式碼。不過,由於惡意程式碼需要系統管理權限才能安裝,而 Don 是以標準使用者身分執行,因此 Don 的電腦不會被惡意程式碼感染。稍後,Don 需要安裝新的印表機驅動程式,以從飯店的印表機列印文件。由於驅動程式是由 IT 部門信任的公司所簽署,Don 將能夠安裝驅動程式,不需要系統管理員權限。使用者帳戶控制藉此保護使用者,同時仍可讓他們維持工作效率。 為什麼它如此舉足輕重在 Microsoft Windows XP 和早期版本的 Windows 作業系統中,IT 專業人員有兩個選擇:
在 Windows Vista 中,則無上述兩難情況。使用者可以維持工作效率,防範惡意程式碼安裝到整個系統,同時仍能夠執行大多數應用程式。這最終可減少支援電話,並能縮短設定應用程式在受限權限下執行所花的設計時間。 頁首 驗證功能說明Windows Vista 對於密碼和智慧卡仍提供內建的驗證支援。由於許多客戶希望尋求其他驗證方式來取代密碼,Windows Vista 讓開發人員更容易將自訂驗證方式加入到 Windows,例如生物識別和權杖。Windows Vista 也加強了 Kerberos 驗證通訊協定和智慧卡登入。部署和管理工具,例如自助式個人識別碼 (PIN) 重設工具,讓智慧卡更容易管理。針對智慧卡開發人員所提供的一般應用程式發展介面 (API) 也讓工具開發工作更容易。 優點Windows Vista 的智慧卡改進功能讓組織能夠更容易部署和支援此內建驗證方法。Windows Vista 對於提供如生物識別和權杖等自訂驗證機制的開發人員有直接的助益,因為他們可以更容易實作這些驗證機制。對於 IT 部門來說,間接獲得的好處就是有更多協力廠商提供的選項可供選擇。 為什麼它如此舉足輕重對許多組織來說,單一因素驗證並不足夠。高度重視安全性需求的 IT 組織需要多因素驗證。由於開發人員可以更容易建立自訂驗證方法,IT 部門便可有更多的選擇,包括生物測量、智慧卡和其他類型的強式驗證。 頁首 反惡意程式碼功能說明本文前述的使用者帳戶控制和 Internet Explorer 的安全性改進功能 (包括稍後將說明的新受保護模式),可減少惡意程式碼對 Windows Vista 造成的影響。除了這些功能,Windows Vista 還能夠清除許多蠕蟲、病毒、Rootkit 和間諜軟體,因而可確保作業系統的完整性和使用者資料的隱私。Windows Vista 另外也包含 Windows Defender,這項技術可以協助保護電腦免於快顯視窗、拖慢效能的困擾,以及由間諜軟體和其他垃圾軟體所造成的安全性風險。其特色在於即時保護,這套監控系統會針對偵測到的間諜軟體提出建議動作,而且具備全新簡化的介面,能夠盡量減少干擾,協助您維持一貫的工作效率。
優點惡意程式碼常會使系統效能變慢,而使用者經常會貿然認定他們的電腦速度太慢或不穩定,需要重新進行映像處理。不幸的是,這會增加整體電腦維護成本。然而,惡意程式碼最大的威脅還是在於安全性。例如,惡意程式碼可能會使機密資料外洩,或造成電腦更多安全性漏洞。因此,Windows Vista 新增的保護和惡意程式碼清除功能可改善網路上電腦的效能和安全性,進而減少支援電話。 為什麼它如此舉足輕重IT 部門耗費許多資源來解決惡意程式碼所造成的問題:電腦效能變慢、穩定性不佳以及安全性受侵犯。Windows Defender 可移除惡意程式碼軟體,讓使用者能夠進一步控制電腦上的軟體。 頁首 網路存取保護功能說明Windows Vista 內建代理程式,如果執行 Windows Vista 的用戶端沒有最新的安全性更新、沒有病毒碼或不符合電腦的健康需求,這個代理程式就會防止它連線至私人網路。網路存取保護可用來保護網路,以防遠端存取用戶端和區域網路 (LAN) 用戶端入侵。代理程式會將 Windows Vista 用戶端運作狀況 (例如已安裝最新更新和最新病毒碼) 報告給伺服器架構的網路存取保護強制服務。隨附於 Windows Server 代號名稱 Longhorn 的網路存取保護基礎結構會判斷是否可讓用戶端存取私人網路或限制的網路。 優點網路存取保護可強制直接連線至私人網路的攜帶型電腦、遠端電腦和電腦必須符合健康需求。一般來說,帶著電腦出差的使用者常會有數週的時間不能連線至私人網路。等到可以連線時,連線的時間可能很短暫,他們的電腦還來不及下載最新的更新、安全性組態設定和病毒碼。因此,與其他電腦相較,攜帶型電腦常處於較不安全的狀態。網路存取保護可確保使用者在連線到私人網路之前,已經安裝最新的更新,藉以提升這些攜帶型電腦的安全性。 為什麼它如此舉足輕重病毒和蠕蟲經常會透過感染的攜帶型或遠端電腦進入私人網路。Windows Vista 的網路存取保護與網路存取保護基礎結構搭配使用時,可讓您設定所有用戶端電腦的需求。如果用戶端電腦不符合健康需求,您可以:
頁首 防火牆功能說明Windows Vista 內建的個人防火牆是建立在 Microsoft Windows XP Service Pack 2 附隨的功能上。它也包含感知應用程式輸出篩選功能,可讓您完整控制流量的方向。例如,Windows Vista 中的 Windows 防火牆可讓系統管理員封鎖應用程式 (例如點對點分享或立即訊息應用程式) 聯繫或回應其他電腦。此外,Windows Vista 防火牆設定可使用群組原則物件設定,大幅簡化了管理性。 優點許多潛在高風險的應用程式 (如可能透過網際網路傳送個人資訊的點對點分享用戶端應用程式) 都會設計規避封鎖連入連線的防火牆。Windows Vista 的防火牆可讓企業系統管理員針對允許或封鎖的應用程式設定群組原則設定,他們便能夠控制哪些應用程式可以在網路上通訊。 為什麼它如此舉足輕重IT 部門降低安全性風險的最重要方法之一就是限制可以存取網路的應用程式。Windows Vista 內建的個人防火牆便是此策略重要的一環。透過個人防火牆,系統管理員可以允許應用程式在電腦本機上執行,但防止它在網路上通訊。這可提供系統管理員降低安全性風險所需的細微控制,同時又不會影響到使用者的產能。 頁首 Windows Service Hardening功能說明Windows Service Hardening 會限制重要 Windows 服務執行檔案系統、登錄、網路或可讓惡意程式碼自我安裝或攻擊其他電腦等其他資源方面的異常活動。例如,Windows Service Hardening 可以限制遠端程序呼叫 (RPC) 服務,使其不得取代系統檔案或修改登錄。 Windows 服務就佔了 Windows 整體攻擊面中的絕大部分,因為這些服務佔系統中所有「不間斷執行」程式碼的數量最多,而且這些程式碼的權限層級也最高。Windows Vista 預設會限制執行和運作的服務數目。目前,許多系統和協力廠商的服務都是以 LocalSystem 帳戶的身分執行,只要有漏洞,便會對本機電腦造成無法控制的損害,包括磁碟格式化、使用者資料存取或驅動程式安裝。 Windows Service Hardening 在 Windows 服務中引入新概念,可減輕服務遭侵入的可能傷害:
優點Windows Service Hardening 根據深層防禦安全性原則,為服務提供另一層的保護。Windows Service Hardening 並無法防止有弱點的服務遭到入侵,這是由其他 Windows Vista 元件和深層防禦策略 (如 Windows 防火牆和完善的更新程式管理程序) 協助防範。但是萬一攻擊者找到並利用有弱點的服務時,Windows Service Hardening 會縮小攻擊者的破壞範圍。 Windows Service Hardening 也可提供給協力廠商服務撰寫人員採用,這可讓應用程式撰寫人員為其程式碼取得相同的安全性優點。 為什麼它如此舉足輕重安全性危害的代價甚鉅。機密資料可能會洩漏,使用者可能遺失資料,生產力也可能受累。IT 部門可能要花費數週的時間來修復重大侵入所造成的損害。Windows Service Hardening 能夠大幅減輕服務遭侵入的傷害,方法是防止服務變更重要的組態設定或感染網路上的其他電腦。藉由 Windows Service Hardening,原先可能造成重大損失的安全性危害可降為輕度傷害。 頁首 Internet Explorer 增強功能功能說明Windows Vista 將建立在使用者帳戶控制解決方案上,可限制 Internet Explorer 只有足夠權限來瀏覽網站,但預設沒有足夠權限來修改使用者檔案或設定。這項僅限 Windows Vista 的功能稱為受保護模式,將在 Windows Vista Beta 2 中引進。如此一來,即使惡意網站攻擊 Internet Explorer 中的潛在弱點,但網站的程式碼將沒有足夠權限來安裝軟體、將檔案複製到使用者的啟動資料夾,或劫持瀏覽器首頁或搜尋提供者的設定。 為求保護使用者的個人資訊,Internet Explorer:
優點Internet Explorer 的新功能可協助使用者存取網際網路上的資源,同時又能將安全性威脅降至最低。降低惡意網站所帶來的風險有助於減少潛在的安全性成本。 為什麼它如此舉足輕重惡意網站可能會侵害使用者的電腦,即使他們只是瀏覽看起來安全的網站也難防入侵。Windows Vista 的 Internet Explor 經過改良,可大幅降低瀏覽器遭入侵的風險,進而減少安全性風險。結合運用使用者帳戶控制和 Internet Explorer 的全新受保護模式,您將不會再像以往那樣接到眾多關於使用者抱怨首頁被變更或 Internet Explorer 出現不想要的工具列等的支援電話。 頁首 資料保護功能說明公司智慧財產遭竊或遺失逐漸成為組織關注的焦點。Windows Vista 已在文件、檔案、目錄和電腦層級上改進資料保護的支援。整合的「版權管理」用戶端可讓組織在文件使用上強制原則。加密檔案系統提供使用者型檔案和目錄加密,現在加密檔案系統的增強功能允許加密金鑰儲存在智慧卡上,以提供更好的加密金鑰保護。此外,新的 BitLocker 磁碟機加密企業功能新增了電腦層級資料保護功能。在有適當輔助硬體的電腦上,BitLocker 磁碟機加密可完整加密系統磁碟區,包括 Windows 系統檔案和休眠檔案,萬一電腦遺失或遭竊,有助於保護資料不受侵害。為了提供容易部署及管理的方案,可信任平台模組 (TPM) 1.2 晶片會用來儲存加密及解密 Windows 硬碟磁區的金鑰。為確保此功能對使用者容易使用,需要 TPM 和企業管理基礎結構。 BitLocker 完整磁碟區加密會將對稱式加密金鑰密封在可信賴平台模組 (TPM) 1.2 晶片中。TPM 晶片是新型電腦配備的硬體元件,可儲存金鑰、密碼和數位憑證。 BitLocker 也會將核心作業系統檔案的測量值儲存在 TPM 晶片中。每次電腦啟動時,Windows Vista 便會確認作業系統檔案未被離線攻擊所修改。離線攻擊是指攻擊者啟動替代作業系統,以取得系統的控制權。如果發現檔案遭修改,Windows Vista 會警示使用者並拒絕釋出存取 Windows 所需的金鑰。系統接著會進入修復模式,提示使用者提供修復金鑰,才能存取開機磁碟區。 修復模式在磁碟機移至其他系統時也很有用。修復模式需要 BitLocker 啟用時產生的修復金鑰,而此金鑰是每台電腦專屬的。因此,BitLocker 適合已建置管理基礎結構來儲存修復金鑰 (如 Active Directory) 的企業。否則,如果電腦故障而將磁碟機移至其他電腦,將無法取得修復金鑰,資料可能因此遺失。 優點Windows XP 和早期版本的 Windows 很難抵擋離線攻擊,如果電腦遺失或遭竊,便很容易取得其中的使用者資料。與作業系統執行時發生的線上攻擊 (因此可以使用防火牆和防毒軟體來防禦) 不同的是,離線攻擊是在作業系統關閉時發生。最常見的離線攻擊類型包括:
BitLocker 可用來防範上述攻擊。這對於容易遭竊的攜帶型電腦更是十分有價值。 為什麼它如此舉足輕重遺失或遭竊的電腦通常存有機密的企業智慧財產或關於客戶的個人識別資訊。當電腦遭竊的消息公諸於世,也就是企業通知客戶他們的個人資料遺失時,可能會讓組織背上資料外洩的惡名。這可能會讓客戶失去信心,媒體也會有負面的報導。 透過 Windows Vista 的完整磁碟區加密,您可以大幅降低攻擊者利用離線攻擊入侵機密檔案的風險。萬一膝上型電腦遺失或遭竊,完整磁碟區加密可確保攻擊者將無法存取電腦中敏感的公司或客戶資料。
頁首 |