WindowsVista(Longhorn)操作系统新的安全特性.ppt

Windows Vista (Longhorn) 操作系统新的安全特性褚诚云 软件开发组长 微软Windows 安全部门 chchu@提纲l安全启动l代码完整性l设备驱动程序l系统服务保护（Service Hardening）l用户帐号保护 （User Account Protection）lIE浏览器l系统资源保护（Windows Resource Protection)l防火墙l网络权限保护（Network Access Protection）l总结，与XP相比l局限l问/答安全启动：背景lCNN, 2005/1/24：据估计，2004上半年， 11300笔记本电脑，31400掌上电脑，和 20000丢失，三倍于2001年同期数目l密码恢复程序可针对XP的数据安全保护机 制进行系统离线攻击安全启动:目的l即使物理设备丢失,仍 能提供对Windows客户 端的安全保证 l特别针对他人以其他 OS启动试图非法获取 对Windows系统文件的 权限安全启动l基于Trusted Platform Module（ TPM ） Ø m/pcdesign/TPM_secure.mspxl硬盘全加密（Full Volume Encryption: FVM）l用户登陆后，对文件系统的访问如常FVM 硬盘布局加密的加密的 OS OS卷，包括：卷，包括： OSOS，， 页面文件页面文件 临时文件临时文件 数据数据 休眠（休眠（ hibernationhibernation）文件）文件系统分区包括基本系统分区包括基本 引导代码引导代码MBRMBR安全启动架构安全启动：恢复l笔记本突然坏了，怎么办？l恢复密钥代码完整性（Code Integrity）l背景：系统文件可以被恶意篡改。

l系统文件均有数字认证l系统文件被装载内存的时候，会验证其文 件的完整性设备驱动程序l背景：有缺陷或恶意的驱动程序导致系统 崩溃，不稳定，和安全问题lX64平台上，Ø所有的设备驱动程序都必须有数字认证 Ø不允许修改系统的核心状态（Kernel State）l提供用户模式的驱动程序框架系统服务保护：Service Hardeningl背景：系统服务程序（System Service） 被攻击次数日益增多l无需用户交互，即可自动运行l运行于“System”账号下系统服务保护l服务程序运行在最低权限l服务程序有相应的配置文 件，用以指定该服务可以 执行的文件，注册表和网 络行为文件系统注册表网络用户帐号保护 UAPl以前称为LUA - Least-privileged User Account lWC1262：Windows Vista 安全特性深入分 析-用户帐号保护 （UAP/LUA） 用户帐号保护：背景l大部分用户以Admin权限登录l许多应用程序需要Admin权限运行l许多操作系统配置的修改需要Admin权限l计算机病毒，和间谍软件？用户帐号保护：综述l用户登陆后的缺省权限是非Admin身份l必须通过相应的UI才能将权限升为AdminUAP兼容性l应用程序和系统管理工具可在Windows Vista的Beta版本上测试lVisual Studio工具：AppVerifier IE浏览器lIE 7ØWCI311：最新版本IE 7: 先睹为快（上） ØWCI312：最新版本IE 7: 先睹为快（下）IE浏览器：背景lIE的安全漏洞是病毒和间谍软件传播的主 要途径之一l针对普通用户的Phishing攻击IE浏览器：目的lIE运行于低权限模式下。

以更安全访问互 联网，减少安全漏洞的影响范围l对Phishing攻击向用户提出警告IE：低权限模式l权限低于普通用户程序Ø只能对文件系统的特定部分执行写操作Ø不能对高权限的其它进程操作 l敏感操作由代理进程（broker process）执行 Ø修改Internet设置Ø安装ActiveX控件IE：低权限模式架构IE 低权限模式IE 代理进程缓存浏览页面临时文件目录安装驱动程序安装驱动程序修改配置修改配置管理员权限管理员权限普通用户权限普通用户权限Phishingl复制一个官方网站的主 页，诱使用户输入个人 的机密信息，如银行账 号，密码等等实例防止Phishing攻击l保护URL显示lPhishing网页过滤器（ Filter ）系统资源保护（Windows Resource Protection)l保护重要的系统资源 l替代SFP:System File Protection l只有系统信赖的专门安装程序才可以修改 WRP保护的资源 l操作系统的补丁 Ø安装补丁必须有微软的数字认证防火墙l控制应用程序的对外网络连接（application -aware outbound filtering）ØP2P软件l与系统服务保护集成l设置可由系统管理员通过Group Policy管 理 网络权限保护（Network access protection）l背景Ø一台笔记本电脑被病毒感染 Ø当该笔记本接入到公司内部网络时，病毒可以 通过此电脑感染整个内部网络网络权限保护：综述l任何电脑必须通过系统健康检查后才能接 入公司内部网络l确保机器时刻保持健康状态l未通过系统健康检查的机器会被隔离到一 个受控网络网络权限保护lNAP客户端程序包括在Windows Vista中lNAP服务端程序包括在Longhorn Server中安全运行 Ø用户帐号保护 Ø设备驱动程序 Ø系统服务保护 ØIE安全通讯 Ø网络权限保护 Ø防火墙安全维护 Ø系统资源保护 Ø代码完整性安全启动 Ø硬件支持的安全启动 Ø磁盘全加密Version 1.0Version 1.0总结 Windows XPUserKernelAdminSystem Services1. Few layers2. Mostly privileged3. Limited guards between layersWindows VistaSystem ServicesDDDUser Account Protection (LUA)Service HardeningAdminService 1DDDKernelService 2 Service 3DDDLow Privilege ServicesLow rights programs1. Increase # layers2. Segment services3. Reduce size of high risk layersLUA UserSvc 6Svc 7User mode drivers局限lWindows Vista的改进不能解决所有的安全 问题l操作系统只是整个安全解决方案的一部分l物理设备安全l用户教育Ø社会工程方式攻击资源Windows Vista Security: Driver 7。