您的位置:網(wǎng)站首頁 > 電器維修資料網(wǎng) > 正文 >
Win8各個(gè)版本中的安全功能區(qū)別
來源: 日期:2013-11-19 19:18:16 人氣:標(biāo)簽:
windows 8 基礎(chǔ)版安全功能
本部分介紹的安全功能包含在win8系統(tǒng)的各個(gè)版本中。不論是面向家庭用戶的windows 8系統(tǒng)還是面向企業(yè)的windows 8系統(tǒng),大家都可以使用到以下安全功能。:
支持uefi secure boot
secure boot 安全啟動(dòng)功能是windows8系統(tǒng)中新加入的一項(xiàng)非常重要的安全功能,不過也有人質(zhì)疑這項(xiàng)功能,因?yàn)樵谀承┣闆r下該功能存在潛在的問題。uefi (統(tǒng)一可擴(kuò)展固件接口 - 當(dāng)前版本2.3.1)開發(fā)的主要目的是作為下一代電腦產(chǎn)品的固件接口,代替目前傳統(tǒng)pc機(jī)上廣泛使用的bios接口。啟用secure boot功能后, windows 8可以有效抵御底層惡意軟件的攻擊,如rootkits的攻擊。在帶有 secure boot 功能的操作系統(tǒng)中,系統(tǒng)會(huì)將所有啟動(dòng)組件的數(shù)字簽名提交給系統(tǒng)的反惡意軟件驅(qū)動(dòng)部分進(jìn)行審核,從而發(fā)現(xiàn)可疑的啟動(dòng)組件。如果某個(gè)啟動(dòng)組件的簽名異常(被篡改),那么windows recovery environment 就會(huì)啟動(dòng)并嘗試修復(fù)操作系統(tǒng)。而 rootkit的攻擊手法通常是篡改系統(tǒng)的關(guān)鍵啟動(dòng)文件,從而在系統(tǒng)啟動(dòng)過程中先于各種反病毒軟件被激活。secure boot會(huì)發(fā)現(xiàn)任何形式的篡改內(nèi)容并預(yù)防rootkit被載入。windows8的這個(gè)功能是企業(yè)所必備的,并且企業(yè)應(yīng)該防止員工擅自禁用該功能。
smartscreen 過濾器
smartscreen智能屏幕技術(shù) 初出現(xiàn)在ie瀏覽器中,而如今正式被加入到新一代的windows操作系統(tǒng)中。據(jù) nss labs, 的評(píng)測顯示,該功能是目前市場上各種瀏覽器安全功能中檢測和屏蔽社交引擎惡意軟件效果 好的。 smartscreen 功能具備一個(gè)基于 url 的信譽(yù)系統(tǒng)以及一個(gè)基于文件/應(yīng)用信譽(yù)系統(tǒng)。url信譽(yù)系統(tǒng)可以防止用戶遭受釣魚網(wǎng)站以及社交引擎攻擊,而文件信譽(yù)系統(tǒng)可以監(jiān)視通過瀏覽器下載的文件,確保文件是安全可靠的。如果某個(gè)下載的文件被認(rèn)定為可疑文件或惡意文件,系統(tǒng)會(huì)阻止該文件的下載活動(dòng),并將如下信息反饋給用戶:
圖 a
如果下載的文件在文件信譽(yù)系統(tǒng)中沒有記錄,或者系統(tǒng)無法識(shí)別,將會(huì)顯示以下警告信息:
圖 b
對于未知的文件,大部分用戶還是會(huì)繞過警告信息而主動(dòng)去打開文件,但是由于有管理控制,用戶無法擅自關(guān)閉這種警告信息。
集成反惡意軟件程序windows defender
由于windows defender 中新加入了microsoft security essentials 中的技術(shù),具備了反病毒能力,windows 8現(xiàn)在擁有了完整的反病毒和反惡意軟件解決方案。新版的windows defender 在提高性能的同時(shí)還降低了內(nèi)存/cpu的占用率。雖然很多企業(yè)仍然會(huì)使用企業(yè)自己購買的第三方反病毒軟件,但企業(yè)也應(yīng)該向第三方反病毒廠商進(jìn)行咨詢,尤其是其產(chǎn)品是否能夠支持windows8系統(tǒng),因?yàn)槿绻軌蛑С謘ecure boot功能,將讓企業(yè)的安全環(huán)境響應(yīng)速度更快,減少潛在的安全盲區(qū)。
圖片密碼
圖片密碼功能是windows8系統(tǒng)新增加的基于觸摸屏的安全登錄方案,用戶可以選擇系統(tǒng)內(nèi)的某個(gè)圖片,并在圖片上依次完成三個(gè)手勢動(dòng)作完成登錄行為。系統(tǒng)會(huì)記錄用戶的點(diǎn)擊位置和順序,作為登錄密碼,而點(diǎn)擊的位置與圖片綁定,從而提高安全性。比如用戶可以選擇一張雙人照片,并在其中一人的臉上畫一個(gè)微笑的嘴型,再在另一個(gè)臉上點(diǎn)擊兩只眼睛,作為自己的登錄密碼。這與傳統(tǒng)的密碼方式相比看上去有些兒戲,但是其安全性絲毫不遜于強(qiáng)健的密碼。
windows reader
windows 8內(nèi)置了一個(gè)全新的文檔閱讀器windows reader,該工具中也蘊(yùn)含了一個(gè)新的安全功能。windows reader支持 pdf 文檔,而pdf文檔正是目前被攻擊頻率 高的文檔格式之一。在操作系統(tǒng)中內(nèi)置一個(gè)輕量級(jí)的pdf閱讀器,并通過windows update進(jìn)行定期更新,將有助于系統(tǒng)防范基于pdf格式文件的各種攻擊行為,降低系統(tǒng)的安全盲區(qū)。
aslr 和溢出減少
address space layout randomization (aslr)即地址空間布局隨機(jī)化技術(shù), 早出現(xiàn)在windows vista 中,它的本質(zhì)是通過將內(nèi)存中的代碼和數(shù)據(jù)進(jìn)行隨機(jī)存放來避免緩存溢出漏洞的技術(shù)。在windows 8中,這種隨機(jī)化技術(shù)得到了進(jìn)一步的加強(qiáng),從而避免了已知的繞過aslr技術(shù)的攻擊對系統(tǒng)進(jìn)行破壞。其它降低溢出風(fēng)險(xiǎn)的措施還包括修改windows內(nèi)核和heap,新的完整性檢測方法和類似aslr的隨機(jī)方案。這些提升也會(huì)讓ie10獲益: 除了包含 “enhanced protected mode” 沙箱外,ie10還具有 “forceaslr” 選項(xiàng),可以將所有加載的模塊在內(nèi)存中進(jìn)行隨機(jī)化的存儲(chǔ),而不考慮這些模塊是否設(shè)置了aslr保護(hù)(開發(fā)人員可以利用/dynamicbase標(biāo)記開發(fā)支持aslr技術(shù)的模塊以便更好的利用該技術(shù)的優(yōu)勢)。
windows 8 專業(yè)版安全功能
下面我要介紹的安全功能只存在于針對企業(yè)用戶的windows 8專業(yè)版和windows8企業(yè)版中:
bitlocker 和 bitlocker to go
bitlocker是微軟在vista時(shí)代推出的一個(gè)全盤加密解決方案,在windows 7中,該方案改名叫bitlocker to go,可以支持對移動(dòng)存儲(chǔ)設(shè)備進(jìn)行全盤加密。在windows8中,該方案沒有明顯的改變,只是增加了將bitlocker to go加密密鑰備份到skydrive賬戶中的功能。
encrypting file system
efs加密文件系統(tǒng)是微軟用于加密某個(gè)磁盤、文件夾和文件的解決方案。在二十年前的windows nt家族中就出現(xiàn)了efs,而如今由于bitlocker, bitlocker to go以及市面上各種免費(fèi)加密方案的推出,efs已經(jīng)沒有往日的光彩了。
域成員和組策略對象
一般來說,這兩個(gè)功能是區(qū)分消費(fèi)版本windows系統(tǒng)和企業(yè)版本windows系統(tǒng)的標(biāo)志。對于集中化管理來說,活動(dòng)目錄非常關(guān)鍵。一旦加入活動(dòng)目錄,管理員就可以建立組策略對象并將其應(yīng)用到域成員上,實(shí)現(xiàn)對域成員的各種控制功能,從而提升整體安全性能。windows 8針對新的操作系統(tǒng)建立了新的策略:
圖 c
windows 8 企業(yè)版安全功能
后我要介紹的安全功能只存在于 windows 8 企業(yè)版中,這些安全功能包括:
applocker
applocker是微軟針對應(yīng)用程序控制推出的解決方案。該方案 早出現(xiàn)在windows 7系統(tǒng)中,通過黑名單和白名單的方式實(shí)現(xiàn)對應(yīng)用程序的控制。通過applocker,管理員可以建立適當(dāng)?shù)牟呗,限制或允許用戶在電腦上安裝某些應(yīng)用程序。新的 windows 8 applocker可以同時(shí)管理傳統(tǒng)的桌面應(yīng)用程序和新的metro apps。
directaccess
在個(gè)人電腦和企業(yè)網(wǎng)絡(luò)安全連接方面,微軟推出了directaccess來代替?zhèn)鹘y(tǒng)的vpn。由于directaccess的連接不需要再啟動(dòng)額外的應(yīng)用程序,因此可以簡單的通過策略應(yīng)用的方式幫助企業(yè)更好的實(shí)現(xiàn)遠(yuǎn)程連接以及移動(dòng)計(jì)算設(shè)備上的安全連接保障。目前看來,windows8中的directaccess與windows 7中的directaccess沒有什么變化。
windows to go
隨著byod(攜帶個(gè)人設(shè)備辦公)趨勢的發(fā)展,微軟也適時(shí)的發(fā)布了windows to go。這是一套完全受控的windows 8 企業(yè)鏡像系統(tǒng),可以被管理員存儲(chǔ)在u盤中隨身攜帶,并在任何一臺(tái)x64硬件結(jié)構(gòu)的 pc上啟動(dòng)。作為完整的企業(yè)pc鏡像,windows to go包含了多種管理功能,比如windows update策略管理,企業(yè)反惡意軟件解決方案以及bitlocker加密工具。目前windows to go需要至少32gb的u盤,并且只能在x64電腦上啟動(dòng)。盡管有這些限制,但windows to go仍然是多環(huán)境下的一個(gè)相當(dāng)實(shí)用的功能,不論是企業(yè)所擔(dān)心的byod趨勢所帶來的安全風(fēng)險(xiǎn),還是企業(yè)數(shù)據(jù)的災(zāi)難恢復(fù),windows to go都能起到一定的效果。
【看看這篇文章在百度的收錄情況】