解读安全Win8背后的推手
2012-11-19俞木发
俞木发
我们知道Win8有着美伦美奂的界面,但在Win8光鲜界面的背后有哪些安全组件在幕后保护系统?它们是通过什么手段保护Win8的呢?
UEFI安全启动技术
现在病毒、木马为了避免自身被杀毒软件查杀,在启动优先权上一直在和杀毒软件竞争。为了赢得启动的优先权,恶意软件正在将系统启动路径作为首选攻击目标。此类攻击很难防范,因为恶意软件可以比杀毒软件更早启动,从而控制杀毒软件(将其禁止启动,或者运行在系统底层使得杀毒软件无法将其查杀)。为了对这类优先启动的恶意软件进行防护,Win8引入了UEFI安全启动技术。
为了更好地了解UEFI安全启动,我们先来了解一下一般操作系统的启动流程。在按下电源完成自检后,电脑将执行特定的启动代码,包括配置处理器、内存和硬件外围设备,以便为启动操作系统做准备。对于所有操作系统(包括Linux、Unix、Windows)此过程都是一样的,之后将启动系统,在切换到操作系统加载程序之前,固件将检查硬件外围设备(如网卡、存储设备或视频卡)中固件代码的签名。此设备代码称为“可选 ROM”,通过确保该设备已为切换到操作系统准备就绪,从而继续执行配置过程。
在启动过程这一部分中,固件将检查固件模块中嵌入的签名,如果该签名与固件中的签名数据库匹配,则将允许执行该模块。这些签名存储在固件中的数据库中,这些数据库包含“允许”和“禁止”列表,用于确定是否可继续执行启动过程。Win8利用UEFI安全启动以及固件中存储的证书与平台固件之间创建一个信任根。借助 Windows 8的安全启动体系结构及其建立的信任根,通过确保在加载操作系统之前,仅能够执行已签名并获得认证的“已知安全”代码和启动加载程序,可以防止用户在根路径中执行恶意代码,从而阻止恶意程序通过它的启动代码启动。
智能窗口技术
在用户日常的操作中,最有可能带来病毒的就是用户的下载活动,恶意程序大多是由于用户在上网时通过浏览器下载并在其中激活的。因此早在Win7,IE就新增了智能窗口技术(在Win8中称之为“Windows SmartScreen筛选器”),用户(或恶意程序在后台)通过IE下载可执行程序并试图运行时,IE就会弹出一个提示窗口,通知用户该选择哪种操作。由于应用程序不仅在IE中运行,在日常的操作中我们也会经常在其他位置如资源管理器、某个文件夹中启动程序。因此在Win8中,微软将智能窗口技术扩展到了整个系统中。
智能窗口技术组成
智能窗口技术由两部分组成:网址信誉检验系统和文件信誉检验系统。
1.网址信誉检验系统是用来帮助用户防范钓鱼网站的,微软会定期收集最近网络出现的各种钓鱼网站,并且将其收录在数据库中。当我们在IE启用SmartScreen技术后,如果在访问某一个网站,假设这个网站已经被收集在微软钓鱼网站数据库中,IE就会出现提示,以阻止我们对该网站的访问,避免我们遭受损失。
当然,Win8系统中对于网址的访问并不仅仅局限于浏览器,我们在QQ聊天窗口、WORD文档,MSN窗口点击网址链接时,Win8的智能窗口技术都会对网址进行识别。
2.文件信誉检验系统则可以对文件下载进行验证,验证的依据也是微软建立的文件数据库。因为在默认情况下,Win8系统会在后台将用户下载与安装应用的所有信息都发送到微软的服务器上。
微软根据用户发送过来的信息,将收集到的文件在微软服务器上建立文件信息数据库,同时建立对应的黑、白名单(对应允许和阻止运行)。
Win8系统一方面通过网址信誉检验系统避免用户访问到钓鱼网站或者其他恶意网站,以保护用户的浏览安全;另一方面借助文件信誉检验系统,通过收集到的文件信息数据库来识别用户下载的应用(程序),从而确保用户在Win8中自动运行的程序都是安全可靠的。采用智能窗口技术的Win8相当于有了安全软件的恶意网站拦截功能和下载保护功能,安全性大大提升!