閱讀英文

共用方式為

  • 發行項
  • 2016/08/18

安全性

Windows 7 中的安全性簡介

Chris Corio

這篇文章的部分根據預先發行的程式碼中。 本文件的所有資訊都有變更。

簡介:

  • Windows 生物識別的架構
  • 延伸的驗證設定檔
  • 移至 Bitlocker
  • UAC 的改良功能

內容

Windows 生物識別的架構
延伸驗證通訊協定
BitLocker 核心的增強功能
移至 BitLocker
UAC 的改良功能
AppLocker
全域的 SACL 和細微的稽核
向上換行

Windows Vista 會介紹各種新的安全性技術,Windows 系統上有重大的影響。 使用者帳戶控制項所清除它,Microsoft 希望讓使用者系統管理員群組,而執行 Windows 輕鬆。 BitLocker 會採用 Windows 用戶端的完整磁碟區加密。 受保護的模式 Internet Explorer 協助,讓瀏覽網際網路是安全的經驗。

在 Windows 7,Microsoft 已經繼續其投資在安全性,加入新的技術,以及增強 Windows Vista 中引入之技術的許多。 在本文中中,,我將提供新的安全性功能和增強功能,您可以在 Windows 7 找到的概觀。

Windows 生物識別的架構

Windows Vista 包含了 Winlogon 經驗的重新設計。 這種經驗會移除 GINA (圖形化識別與驗證) 基礎結構,並加入認證提供者的延伸模型。 認證提供者基礎結構,是一組介面,允許一致性,當協力廠商延伸解決使用者輸入認證,使用者經驗,並將它整合通用 Windows 認證的對話方塊。

Windows 7,Microsoft 已加入新 Windows 生物測定 Framework (WBF)。 使用指紋辨識請讀者成為最常見,它成為清除的公開,管理,定義通用的架構,並使用這些技術是磁碟機的開發和可靠性所需]。 在 WBF 被要讓您更容易支援生物識別驗證裝置。 在 Windows 7,請 WBF 支援只指紋讀者,但它可以在未來展開]。

WBF 核心平台包含這些主要元件:

  • Windows 生物識別的驅動程式介面 (WBDI)
  • Windows 生物測量的服務 (WBS)
  • WBF API
  • WBF 使用者經驗並整合點
  • WBF 管理

Windows 生物識別驅動程式介面 (WBDI) 是用來為生物識別的裝置提供通用的驅動程式介面。 它包含生物識別裝置整合生物特徵的 Framework 的各種不同的介面公開 IOCTL (輸入 / 輸出控制項) 與適當的資料結構。 驅動程式可以在其中一個常見的驅動程式架構包括 Windows 驅動程式模型、 核心模式驅動程式 Framework 和使用者模式驅動程式中實作 Framework (UMDF)。 因為它提供更高的可靠性的 Windows 的其他好處,以防生物識別裝置驅動程式中發生的損毀,UMDF,但是,會是建議驅動程式 Framework (生物識別裝置。

Windows 生物測量的服務 (WBS) 會是在主要的元件,繫結一起 WBF。 WBS 生物識別裝置驅動程式介面,並且也公開的 Windows 生物測定 Framework API,允許與這些裝置進行互動的應用程式中。

WBS 的重要功能會是它永遠不會顯示未經授權的應用程式的使用者的實際生物識別資料。 這是很重要的因為在不同資料的密碼的其他人變更他們的生物識別簽名碼,一旦被入侵的很難。 而,WBS 所公開的控制代碼 (通常是 GUID 或一個 SID),可允許間接使用生物特徵資料的應用程式。

WBS 也會管理生物識別驗證裝置的集的區。 這個讓您控制如何生物識別裝置使用中。 某些裝置可以用來任何認證] 對話方塊的例如,在登入提示 」 或 「 UAC 提示。 例如,您可以設定家長控制項,在您的主系統上,並在系統上所需要提高權限是您可以只 swipe 您的手指,以提高權限。 生物識別裝置的這個集區被指系統集區。 有兩個裝置的其他集區。 沒有可讓提供驗證無法與 Windows 驗證基礎結構整合的應用程式在私人集區。 而且沒有為裝置,您可能已經猜到,符合先前的兩個集區都在未指定集區。

每個裝置,裝置集區的一部分實際上所使用的資料類別,稱為生物測量的單位 WBS 離開抽取。 生物測量的單位是插入 WBS 的生物識別服務提供者 (BSP) 實作原則與一組生物識別裝置特定的行為。 生物測量單位,可讓 BSP,以提供任何功能特定的裝置可能不支援,例如指紋辨識資料儲存或處理指紋資料後的已取得的裝置。

第三個主要元件,WBF 會是的也稱為 WinBio * API,應用程式和使用者模式元件可以用來直接與裝置互動的 API 組。 這包括與裝置進行互動,取得使用者的指紋,與它相關聯與特定使用者帳戶,以及驗證使用者登入或 UAC 的工作原始註冊過程。 這些 API 也會公開特定的生物識別裝置和其特性相關的資料。 此外,WBF API 可以延伸,以允許與特定的裝置專屬的層面互動的應用程式。

在 WBF 會公開兩種設定的生物識別裝置使用的主要方式。 使用的使用者沒有在控制台 Applet,公開在幾個位置。 您可以找到 [硬體] 及 [音效] 下的生物識別裝置控制台]。 從這個位置,使用者可以啟動協力廠商指紋管理應用程式。 Windows 7 未提供內建的指紋管理應用程式,所以任何協力廠商或 OEM 將必須撰寫自己。 (請注意在 Windows 生物測定架構支援本機和網域登入,以及透過內建的生物科技辨識認證提供者的指紋-基礎 UAC)。

Windows 的生物測定架構也可以透過 「 群組原則來管理。 系統管理員可以啟用或停用,整個的架構,以及管理哪些類型的登入在 (的範例,本機和網域登入可以設定不同),可以使用生物科技辨識。

延伸驗證通訊協定

Windows 7 加強家用及小型網路經驗,與功能,稱為 Homegroup。 使用者可以共用例如媒體檔案,家中電腦之間的資料,並使用的線上的識別碼,來驗證這些電腦之間中。 使用者,就必須為了讓這項功能運作的線上識別碼,明確連結其 Windows 使用者的帳戶。 由稱為公開金鑰為基礎者的新通訊協定或 PKU2U 啟用驗證。

Windows 7 至交涉的驗證封裝 Spnego.dll 也引入了副檔名。 SpNego 是決定驗證時,應該使用哪一個 [驗證] 通訊協定。 Windows 7 之前, 它通常是 Kerberos 和 NTLM (Windows 挑戰 / 回應) 之間選擇。 NegoEx 副檔名視為的驗證通訊協定由 Windows,並將它支援兩個 Microsoft 安全性支援提供者: PKU2U 和 Live。 它也是可擴充,以便開發其他的安全性支援提供者。

這兩個這些功能運作連線到另一個的電腦,在 [Homegroup 使用的線上的 ID。 當其中一部電腦會連線到另一個中時,交涉副檔名會呼叫 PKU2U 安全性支援提供者在登入的電腦上。 PKU2U 的安全性支援提供者會從憑證授權單位的原則引擎中取得憑證,並交換對等電腦之間 (連同其他中繼資料) 原則。 當驗證對等電腦上,憑證傳送至登入對等電腦的驗證,、 使用者的憑證對應到安全性語彙基元,且在登入完成。

BitLocker 核心的增強功能

使用 Windows Vista,Microsoft 引入 BitLocker。 這是設計用來保護筆記型電腦和例如分公司伺服器的桌上型電腦上的資料,即使電腦會遺失,或屬於妥善的完整磁碟區加密解決方案。 在 Windows 7,許多增強功能已做 BitLocker 的管理。 這些會包括透過所有介面 (UI、 管理-bde 命令列工具和 WMI 提供者) 的一致性強制,以及不同的固定的資料磁碟機群組原則設定。 也有新的群組原則設定,可讓您更新您的密碼] 和 [非作業系統的磁碟機上的智慧卡與整合,而且也可以變更與自動解除鎖定的行為。

在 Windows Vista 中, 有相關的困難以準備將 BitLocker 安裝作業系統磁碟機的磁碟分割的抱怨 — 尤其是當作業系統已經安裝。 有已經解決這個問題,與在 Windows 7 中找到的兩個增強功能。 先,預設 7 安裝 Windows 時使用者將會取得在作業系統的磁碟機上運作的 BitLocker 需要在不同的 Active 系統磁碟分割。 這可以消除許多環境中所需要的第二個步驟。 此外,您可以分割磁碟機的 BitLocker 做為 BitLocker 安裝程式的一部分如果您已經沒有個別的系統磁碟分割 (請參閱 [圖 1 )。。

fig01.gif

[圖 1 準備的 BitLocker 磁碟機

移至 BitLocker

在最明顯的也是最重要之一就是,移,BitLocker 是設計來保護在卸除式資料磁碟機上的資料。 它可讓您在 USB 快閃磁碟機和外部硬碟機中設定 BitLocker 磁碟機加密。 設計目標 BitLocker 到呼叫要容易使用,讓它在現有的磁碟機上運作的功能以允許的資料,必要時,復原,並讓資料必須在 Windows Vista 和 Windows XP 系統上的可用。

有許多的 IT 管理員,以利用這項功能的管理增強功能。 最值得注意的是新群組原則設定可讓您為已讀取設定卸除式磁碟機,除非使用到的 BitLocker 加密,只。 這是絕佳步驟向前確保員工的 USB 快閃磁碟機放錯位置時保護重要的公司資料。

也明顯是能夠從任何 BitLocker 到裝置無法存取資料時,復原資料。 這項技術稱為資料修復代理,加密的檔案系統 (EFS) 功能從已連接,並允許使用金鑰建立企業的攜帶型磁碟機上的公司資料的簡單復原中。

取得 BitLocker 到 Windows XP 和 Windows Vista 的功能,需要一些 reengineering 核心的 BitLocker 功能。 要執行這項操作,小組會重整的 BitLocker 保護的 FAT 磁碟區的方法。 BitLocker 行為已修改重疊探索區到實體、 原始磁碟區與 virtualize 覆寫在區塊中。 探索磁碟區會包含 [BitLocker 到讀取器,以及一個讀我檔案。 這稱為混合 BitLocker 磁碟機。 預設狀況下,FAT 磁碟機加密時, 會建立一個混合式 BitLocker 磁碟機。 探索磁碟機為可見,只能在 Windows XP 和 Windows Vista 作業系統上大小寫。

讀取器也可以使用在 「 Microsoft 下載中心 Windows 7 發行之後。 應用程式會提供使用密碼金鑰保護裝置的 BitLocker 磁碟機的唯讀存取。 請注意使用 BitLocker,進行讀取時,並非可用的智慧卡驗證。

UAC 的改良功能

使用者帳戶控制 」 (UAC) 是一種經常誤解的技術時。 先關閉的實際功能,而不是只在提示字元的集合。 這些功能包括檔案和登錄重新導向,安裝程式偵測,UAC) 提示、 ActiveX Installer 服務,以及更多。 這些功能所有被設計,讓 Windows 使用者以使用者帳戶不是 Administrators 群組的成員執行。 這些帳戶通常稱為標準使用者,,廣泛描述為以最低權限執行。 金鑰是當使用者會執行與標準的使用者帳戶,經驗通常更安全且可靠。

許多開發人員已經開始目標應用程式適用於標準使用者。 公司現在有一個更清楚的路徑,向部署可讓這些公司,以減少支援成本及其電腦的整體 TCO (的擁有權總成本) 的標準使用者帳戶。 在的主系列可用於標準使用者帳戶以及使用家長控制項的子系以建立更安全的環境。

Windows 7 包含許多增強功能改進標準使用者經驗,並新的組態設定提供更能掌當系統管理員核准模式中執行時,使用者帳戶控制提示]。 目標是提升可用性,同時繼續清除讓獨立軟體廠商的預設安全性內容,其目標是標準使用者。 在練習,這些變更會表示中的 Windows 7 的一般系統管理工作都不會提示使用者。 這是指出 「 通知我當程式嘗試在對我的電腦進行變更時,只有 」 的設定。

最方法這個運作是相當簡單。 處理序在建立時該原則會檢查是否啟用此設定。 如果正在建立處理序是藉由檢查 Windows 目錄檔案,其的簽名碼的已驗證的 Windows 的一部分則會將處理序建立沒有提示。 此設定不會提示變更 Windows 設定值時,但而可讓您專注於所要求的非 Windows 的應用程式 (例如,安裝新的軟體) 的管理變更。 想更大的控制項經常,變更 Windows 設定值,而在其他的通知的人此設定會產生較少的整體提示,並讓為零的剩餘通知他們看的機碼上使用者中。

其他重大的變更,是數個元件不再需要系統管理員權限。 舉例來說,使用者可以設定是否應該在高 DPI 模式常用功能中顯示其桌上型電腦,取得更大的電腦螢幕和像素大小變小。 另一個範例是標準使用者現在可以重設其網路連線,實際上是在登入電腦時,常見的要求 Microsoft 有聽到從家庭使用者及企業)。

fig02.gif

[圖 2] 時安裝的 ActiveX 控制項的使用者帳戶控制

減少提示也表示簡化多個提示的單一使用者的動作發生的區域。 在 Windows 7,執行個體,安裝 ActiveX 控制項在 Internet Explorer 中是更更平滑。 在 Windows Vista,Internet Explorer 7 會建立 IEInstal.exe 處理序執行 ActiveX 控制項的安裝。 這會導致 UAC 提示要求是否要的安裝的 IE 新增 」,以系統管理員的權限來執行。 此提示不提供多的內容,完全哪些要安裝的相關,並且 Internet Explorer 會立即提示核准特定的控制項。 在 Windows 與 Internet Explorer 8 的 7,安裝程序已修改以使用 ActiveX Installer 服務擷取 ActiveX 控制項的發行者資訊,並顯示它在安裝經驗 (請參閱 [圖 2 )。 新的方法也會移除在第二個提示字元中安裝 ActiveX 控制項時。

AppLocker

在可靠性和企業桌上型電腦的安全性,會增加能夠控制哪些應用程式在的使用者或組使用者,執行可以提供重要。 整體的應用程式的鎖定原則,可以降低電腦的企業,TCO。 Windows 7 將加入 AppLocker,新功能,可控制應用程式執行,而變得更容易撰寫的企業應用程式的鎖定原則。

討論在文章標題的最後一個年份的安全性問題的應用程式鎖定原則 Durga Prasad Sayana 」 和 「 我 」 使用軟體限制原則的應用程式鎖定." 文件,我們詳細說明數的企業建立這類原則時,必須克服的挑戰。 一些這些挑戰包括:

  • 瞭解哪些軟體用於您的環境
  • 不同的使用者就知道哪些應用程式應該允許執行
  • 知道如何撰寫所需的原則
  • 決定是否在原則會運作正確部署時

位址這些上,AppLocker 提供新的方法,可以稽核的應用程式的鎖定原則如何。 它能夠控制如何使用者會執行所有類型的應用程式 — 在可執行檔,指令碼、 Windows Installer 檔案和 DLL。 並提供新的應用程式鎖定原則的基本詳細且不限於中斷進行,因為輕鬆地在應用程式更新。 Windows 7 也會包含舊版的軟體限制原則 (SRP) 規則中的支援,但是不支援新的 AppLocker 規則在 Windows XP 和 Windows Vista 上。

強制執行) 模式的所有實作 AppLocker 的基礎強制執行代理程式在 appid.sys 驅動程式中實作的頂端。 此驅動程式提供具有核心模式的規則檢查的這類事件,處理序建立和載入的 DLL。 在使用者模式中實作強制執行的應用程式,舊版的 SaferIdentifyLevel API 用來判斷是否可以執行的應用程式。 但是,安全 IdentifyLevel 會立即交給強制檢查執行二進位檔和原則的實際驗證服務。 這是重大架構性的增強功能,透過 「 舊版的軟體限制原則 」 功能。

AppLocker 是要讓您輕鬆撰寫簡單一組規則,Express 的所有可執行,並確保規則可回復性應用程式的更新程式,應用程式的 IT 專業人員。

若要撰寫 AppLocker 原則,有將新的 AppLocker MMC 嵌入式管理單元 UX 處於 [群組原則物件編輯器] 嵌入式管理單元 UX,提供 incredible 改進建立 AppLocker 規則的處理序中。 沒有一個精靈,可讓您建立單一的規則,並且為您根據您的規則喜好設定及您所選取之資料夾,另一個精靈會自動產生規則 (請參閱 [圖 3 )。

fig04.gif

[圖 3] 的 [自動產生規則 AppLocker 原則

您可以檢閱分析的檔案及移除其清單規則建立為它們之前。 您甚至可以取得有關檔案已封鎖的頻率很有用的統計資料,或測試 AppLocker 原則指定的電腦。

在先前的軟體限制原則中很特別難建立原則,是安全性,但也不會中斷從軟體更新。 這是因為缺少的憑證規則的細微性,並在 fragility 雜湊規則,會中斷時的應用程式二進位的已更新]。 若要解決這個問題,AppLocker 可讓您撰寫的規則,結合了憑證和產品名稱、 檔案名稱,與檔案版本。 這使得它更容易指定可以執行任何簽章由特定的廠商特定的產品名稱。

在 Windows 7 AppLocker 原則有其他優點,以及,包括分隔不同類型的執行 (也就是 EXE、 DLL 和 MSI 或指令碼主機)。 這些檔案類型會放入稱為規則的集合的四個連結,而且強制執行每個個別設定]。 例如上,系統管理員也可以在不啟用的指令碼檔案進行檢查的情況下,啟用 AppLocker 檢查可執行檔。

[AppLocker] 原則,儲存 HKLM\Software\Policies\Microsoft\Windows\SrpV2 機碼下。 原則會儲存在 XML 格式,並且會轉譯由應用程式識別碼 (AppID) 服務。 在處理原則時 appid.sys 驅動程式會收到通知,有關新的原則,IOCTL_SRP_POLICY 透過服務,並驅動程式將會重新載入原則。

當接近您的 IT 環境的變更時,第一個工作是評估環境目前運作方式。 然後您可以仔細規劃,並測試,確保其可以順利實施的任何變更。 這是稽核只強制模式的目的。

稽核應用程式的鎖定原則的強制執行的是非常重要。 這不僅會讓您測試原則之前強制執行,但它也提供您在觀賞原則如何在其存留期 (Lifetime) 期間執行的功能,。 一定要知道一特定組的使用者是否需要在某個點的應用程式。 這可以判斷連線至系統,並檢閱 AppLocker 的稽核資訊,查看是否的應用程式的鎖定原則時防止特定的應用程式執行。

AppLocker 事件的主要通道會處於應用程式和服務可以在事件檢視器 」 (Eventvwr.msc) 應用程式中檢視的記錄檔。 為了檢視這些記錄檔項目,尋找 EXE 和 DLL 和 Microsoft\Windows\AppLocker\ 事件通道在 MSI] 與 [指令碼的記錄檔。 可能會產生許多不同的事件,包括是否已在允許或封鎖應用程式,以及是否為原則套用到系統。

DNSSec 驗證

這些過去的幾年來 DNS 的相關弱點已成為網際網路上的常見問題。 沒有更瞭解如何破壞 DNS 伺服器,而且開始進行的攻擊者使用的資訊。 這表示使用者可以可能瀏覽的網站,並無法完全確定他不造訪不同,惡意的網站。

Windows Server 2008 R2] 和 [Windows 7 會介紹 DNSSEC 依目前的標準 (RFC 4033、 RFC 4034 和 RFC 4035) 的支援。 Windows Server 2008 R2 會讓 DNS 伺服器提供原始的授權和資料完整性的成品。 基本上,伺服器將能夠附加在回應的 DNS 資料的數位簽章,以及驗證從其他 DNS 伺服器接收到的資料。

Windows 7 會是第一個的用戶端作業系統,以包含必要的片段,以允許用戶端驗證它安全地與通訊 DNS 伺服器,並確認伺服器已執行 DNSSEC 驗證其代表。 這項技術目前所測試過以確保與目前的網際網路基礎結構最大的相容性,並致力於持續在扮演角色在未來保護 DNS 資料。

全域的 SACL 和細微的稽核

Windows 7 會延伸先前的稽核機制提供新功能 [管理稽核使用者,而非只是的物件,讓,並提供檔案物件的 AccessCheck 失敗的詳細資訊。 這可讓新的稽核案例,並提供重大的架構變更相關的稽核。

在其他的 Windows 版本決定是否要稽核物件存取根據物件的安全性描述元是否指定應該要稽核其 SACL 中包含的 「 存取控制項目 (ACE)。 這樣做很容易會監視特定登錄機碼或檔案,查看哪些存取發生在該物件。 不幸的是,也會發生沒有方法可以監看特定使用者所存取。 如果您要這種情況下,您就可能需要開啟使用者可能無法與互動,因此每個存取資源的任何使用者會得到稽核記錄檔中的每個資源的稽核功能。

啟用寬足夠資料集來擷取使用者無法存取上的稽核是相當 arduous 程序。 每個資源必須更新以包括 SACL 中的稽核原則,且此原則的任何變更,就需要更新每個 SACL。 為了克服這項限制,Windows 7 介紹全域物件存取稽核的由 auditpol.exe 管理和可使用 「 群組原則設定。

在全域的 Ojbect Access,稽核會包含 「 全域 SACL 」,是儲存在登錄中與稽核與相關的其他資料 SDDL 字串。 已加入兩個新的 API 管理全域的 SACL: AuditSetGlobalSacl 和 AuditQueryGlobalSacl。 更新全域的 SACL,需要將由沒有系統管理員權限的使用者更新時,防止全域的 SACL 的 SeSecurityPrivilege。

安全性稽核在 Windows 7 也能夠了解為什麼失敗或成功的物件的存取。 如果您偵錯的應用程式失敗,或嘗試瞭解您的安全性原則是否有效,這就會是重要資訊。 在全域物件存取稽核功能和包含的其他存取稽核資料中實作安全新核心模式性 API,SeAccessCheckEx。 NTFS 和詳細的檔案共用在 Windows 7,及啟用時,API 將會放入稽核記錄檔為什麼要存取嘗試成功] 或 [失敗的相關資訊,將會在兩個資源管理員,以使用此 API。 因此這些功能會套用到檔案系統和檔案共用中,現在,可以展開至其他的資源管理員在未來的 Windows 版本。

向上換行

Windows 7 會讓新的案例和讓使用 Windows 了更安全的體驗。 許多這些功能對使用者的經驗 (針對家庭使用者、 商務的使用者和 IT 專業人員) 的強式的焦點,且讓工作更好的 Windows 7 系統。

Chris Corio 會超過五個年份是在 Microsoft Windows 安全性小組的成員。 他在 Microsoft 的主要焦點是,應用程式的安全性技術,並保護 Windows 的管理技術。 您可以到達 Chris,在 winsecurity@chriscorio.com.