Windows Vista 的基礎安全變動
發佈日期: 2006 年 12 月 11 日
作者: 謝合宜
本頁內容
Windows Vista 的基礎安全變動
Windows 作業系統的安全基礎
其他的一些變動
Windows Vista 的基礎安全變動
相信對於期待全新一代 Windows Vista 作業系統的人來說,Vista 所提供的有關安全性的加強功能部分一定有某些程度的了解與認識。不管從網站的資料或 Windows Vista 相關研討會、Webcast 等等,大家對於:
64 位元系統的 Kernel Patch Protection
使用者帳戶控制 (UAC, User Account Control)
Windows Defender
BitLocker 磁碟加密
IE 7.0
核心服務的安全加強
這些相關的安全加強功能部分應該至少都知道一些。所以這篇文章就讓我們來看看:到底基本的安全管制、基礎有哪些變動?
Windows 作業系統的安全基礎
就大家所知道,Windows 作業系統的安全管理的基礎在於幾個非常重要的部分:
使用者帳戶與群組
使用者權力 (User Right)
Permission (ACLs)
資料加密處理
稽核
安全性原則
從 Windows 2000 開始,Microsoft 在這些重要的安全管理措施上提供了相關的使用設定,讓企業的資訊安全管理工作能夠順利的進行,並且可以符合相關管理上的需求。所以讓我們從這幾個面向來看看到底 Windows Vista 的安全基礎的變動情形。
使用者帳戶與群組的使用變動
Administrator 帳戶預設是停用的
對於 Windows 作業系統,大家都很清楚有兩個預設的使用者帳戶:Administrator 與 Guest。Windows 2000/XP/2003 的時候,預設 Guest 帳戶是停用的;而 Administrator 帳戶,因為所謂的 "管理上的需求",預設帳戶是啟用的。不過如果認真的檢討,所有相關的資訊安全處理措施都會強烈建議,要嘛一定重新更名,要嘛一定停用帳戶,不然大家都知道 "系統有個 administrator 管理員帳戶",對於系統安全來說,這實在是個 "公開的安全弱點"。因此預設,Windows Vista 作業系統中的 "administrator" 管理原帳戶是被停用的。
.jpg "圖 1:Administrator 帳戶預設是停用的")
圖 1:Administrator 帳戶預設是停用的
其實對 IT 管理員、甚至一般使用者來說,administrator 帳戶的管理與使用是個很大的難題,尤其在目前企業環境中,幾乎所有電腦的 "administrator" 帳戶的密碼都是一致的!
另外,原來在 Windows XP 中有的兩個管理用帳戶:HelpAssistant 與 SUPPORT_388945a0,也因為 Vista 系統架構的重新調整而不再出現。註解:HelpAssistant 是用於遠端協助時的帳戶,而 SUPPORT_388945a0 是提供給硬體支援時可以透過指令檔 (Script) 來進行處理用的帳戶。
Power Users 群組不再建議使用
記得並能夠理解 Power Users 群組的用途嗎?雖然這個群組在 Windows 2000/XP/2003 中被給予了一些特殊 User Right,讓群組的成員可以進行一些 "基本的管理工作",譬如分享目錄、管理印表機等等;不過呢,不能安裝應用程式,不能安裝驅動程式,不能做的事情還真不少呢!
經過重新檢討,Windows Vista 還是因為系統升級的需求保留了 Power Users 這個使用者群組,不過已經不再給予特殊使用者權力。所以當然不建議再使用這個群組做特殊的安全管理。
新增群組
除了 Power Users 的改變外,另外 Windows Vista 也提供了幾個新的群組利用在不同的使用情境:
Cryptographic operators:這個群組的成員可以設定作業系統中有關加密的功能
Distributed COM users:這個群組是使用來關於 distributed COM 物件的存取控制
IIS_IUSRS:這就是原來在 Windows XP 上的 IUSR_ComputerName 帳戶,用來允許使用者可以匿名存取 IIS
Event Log Readers:顧名思義,群組的成員可以在本機讀取事件檢視器中的事件紀錄
.jpg "圖 2:新增的使用者群組")
圖 2:新增的使用者群組
新增的系統群組帳戶
作業系統會有一些系統本身進行安全管制用的群組,例如 Interactive 和 Network 或 Everyone 這類。Windows Vista 為了加強本機服務的安全,因此在系統中提供一些新的系統群組:
Local Service 和 Network Service:在以前的作業系統,很大部分的系統服務是使用 Local System 帳戶來進行服務啟動,而 Local System 帳戶可以存取作業系統非常多的元件與磁碟檔案,因此 Windows Vista 透過新的這兩個系統帳戶來讓系統服務一樣可以進行服務提供,可是不會因為服務被入侵或破壞而造成作業系統的嚴重危害
IUSR:Internet User 群組,對應於 IIS 上的連結使用者,對於管理人員的群組原則與 Web 網站的管理工作所提供的系統群組
.jpg "圖 3:Windows Vista 提供新的系統帳戶")
圖 3:Windows Vista 提供新的系統帳戶
User Right 的變動
使用者權力是定義使用者在作業系統可以進行哪些工作的重要設定,所以例如像本機登入 (Logon Locally) 或驅動程式安裝等的設定都是管理人員平時必須詳加檢視確認的工作。在 Windows Vista,前面所提有關 Power Users 群組的權力全部移除之外,因應系統或程式設計與使用者的需求,大致上提供幾個新的使用者權力的使用:
Access Credential Manager as a trusted caller:控制帳號管理
Change the time zone:修改時區,這對全世界到處旅行的商務人員真的非常重要
Create symbolic links:控制應用程式的 symbolic link 的建立
Modify an object label:控制使用者是否可以修改物件的一致性 (Integrity) 標籤
Synchronize directory service data:允許同步目錄服務資料
Increase a process working set:允許增加處理程序的 working set (實際記憶體分頁)
而除了這些新的 User Right,另外一個大的變動是設定操作介面的改變:增加解釋標籤提高對於設定的了解。
.jpg "圖 4:User Right 設定的說明標籤")
圖 4:User Right 設定的說明標籤
權限 (Permission) 的使用變動
大家都知道權限的設定是透過 Access Control List(ACLs) 來處理,因此在 Windows Vista 的明顯變動是設定畫面的變動,把 ACE 與稽核、擁有權的處理部分確實分開。
.jpg "圖 5:ACL 設定畫面的改變")
圖 5:ACL 設定畫面的改變
資料加密的加強
資料、檔案的加密是資訊安全管理極為重要的議題,Windows Vista 作業系統提供了更加嚴謹的資料安全加密機制:
加密檔案系統的改變
除了透過使用者帳戶的憑證來進行檔案加密之外,目前也開始支援透過 Smart Card 進行檔案加密。
.jpg "圖 6:EFS 設定,位於安全性原則的 Public Key Policies 位置")
圖 6:EFS 設定,位於安全性原則的 Public Key Policies 位置
並且可以使用更加複雜的金鑰進行加密運算。而且可以進行對分頁檔 (Pagefile) 的加密,確保應用程式的資料處理的安全。
另外對於離線檔案 (Offline File) 的加密部分,離線檔案是全部儲存在單一的 offline file cache(CSC) 中,Windows XP 是透過 LocalSystem 來對所有的離線檔案進行加密運作,在 Windows Vista 改變成為以每一使用者 (per-user) 的基礎方式來進行離線檔案的加密,讓每個使用者的資料能夠達到最好的保護。
加密演算的加強
資料、資訊的加密會因為所採用的加密演算法的強弱而有所差異,Windows Vista 支援更強的加密演算,讓 EFS 與 IPSec、SSL 的處理運算能夠達到更好的保護。所以除了 EFS 支援 Smart Card 加密,IPSec 也提供了更強的設定畫面與加密演算。而且 IPSec 驗證法除了原來的 Kerbero、Certificate 與 Pre-share key 之外,也開始支援 NTLM v2 驗證協定來應付無 AD 的網路環境。
.jpg "圖 7:IPSec 的設定,位於 Windows Firewall with Advanced Security 管理工具")
圖 7:IPSec 的設定,位於 Windows Firewall with Advanced Security 管理工具
.jpg "圖 8:Key Exchange 支援 AES 與 ECDH(Elliptic Curve Diffie-Hellman) 更強加密")
圖 8:Key Exchange 支援 AES 與 ECDH(Elliptic Curve Diffie-Hellman) 更強加密
.jpg "圖 9:IPSec 資料加密與一致性檢查也支援加強的演算")
圖 9:IPSec 資料加密與一致性檢查也支援加強的演算
稽核的加強
透過稽核原則,管理人員可以設定作業系統協助紀錄很多使用者或應用程式的活動情形。Windows Vista 一樣讓管理人員透過稽核原則來設定系統稽核,並且透過事件檢視器與工作排程的使用加強,讓管理人員足以常方便的了解並進行相關處理的分析與進行。
除了事件檢視器與工作排程的加強讓稽核更方便之外,線在 Windows Vista 可以稽核的事件比 Windows XP 多更多更多,例如登錄檔的修改、系統安全狀態的改變等等,目前都提供,讓作業系統的各種活動更加透明。目前可以透過 "auditpol" 指令來取得所可以稽核的事件情形。
C:\user\tony\auditpol /list /subcategory:* Category/Subcategory System Security State Change Security System Extension System Integrity IPsec Driver Other System Events Logon/Logoff Logon Logoff Account Lockout IPsec Main Mode IPsec Quick Mode IPsec Extended Mode Special Logon Other Logon/Logoff Events Object Access File System Registry Kernel Object SAM Certification Services Application Generated Handle Manipulation File Share Filtering Platform Packet Drop Filtering Platform Connection Other Object Access Events Privilege Use Sensitive Privilege Use Non Sensitive Privilege Use Other Privilege Use Events Detailed Tracking Process Creation Process Termination DPAPI Activity RPC Events Policy Change Audit Policy Change Authentication Policy Change Authorization Policy Change MPSSVC Rule-Level Policy Change Filtering Platform Policy Change Other Policy Change Events Account Management User Account Management Computer Account Management Security Group Management Distribution Group Management Application Group Management Other Account Management Events DS Access Directory Service Access Directory Service Changes Directory Service Replication Detailed Directory Service Replication Account Logon Credential Validation Kerberos Ticket Events Other Account Logon Events
Windows Vista 可以進行稽核的事件清單
安全性選項 (Security Options) 的變動
在安全性原則中的安全性原則,主要是用來控制作業系統一些比較特殊的安全控管,例如登入畫面不留存上次登入使用者帳戶名稱、需要 Smart Card 進行登入等。
.jpg "圖 10:安全性選項的設定")
圖 10:安全性選項的設定
從 Windows XP 開始,安全性選項每一個設定的功能說明在 Help 電子說明已經都具有,所以就讓我們來看 Windows Vista 在這個部分的變動情形:
預設值有變動的安全性選項
透過重新的安全檢視以及與舊版作業系統相容性的考量,Windows Vista 將原來在 Windows XP 的一些安全性選項預設值做了修改,讓 Windows Vista 的電腦在網路環境能夠不被任意存取或被嘗試管理:
Network access: Named pipes that can be accessed anonymously
Network access: Remotely accessible registry paths
Network access: Shares that can be accessed anonymously
Network security: Do not store LAN Manager hash value on next password change,預設改為 Enable
Network security: LAN Manager authentication level,預設改為 Send NTLM v2 response only
Devices: Allowed to format and eject removable media
Devices: Restrict CD-ROM access to locally logged-on user only
Interactive logon: Require smart card
新的安全性選項
除了原有的安全性選項預設值的變動,Windows Vista 也新增幾個新的選項可以使用:
Network access: Remotely accessible registry paths and subpaths
Network access: Restrict anonymous access to Named Pipes and Shares
System settings: Optional subsystems
System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies
當然也新增了一些跟使用者帳戶控制 (UAC) 相關的安全性選項。
.jpg "圖 11:使用者帳戶控制相關的安全性選項")
圖 11:使用者帳戶控制相關的安全性選項
其他的一些變動
當然除了前面所提到的這些安全相關的細部變動之外,最重要的群組部分當然也新增相關於 Windows Vista 系統新功能的原則設定,因此例如像 IE 7.0、BitLocker、Smart Card 以及 USB 周邊設備的管制,在新的 Windows Vista 中都提供出來。因此只要搭配 Active Directory 的集中控管方式,將讓IT管理人員進行各種管理措施能夠非常方便的進行。
相關參考資料: