自2001年微软发布windows xp以来至今,信息安全形势发生了很大的变化。2002年9月9日,微软发布了windows xp sp1 ,对windows xp进行了325处修补,其中33处和安全性有关 。此后的两年间,针对windows xp sp1的安全公告多达64个,其中紧急(critical)和重要(important)级别的安全公告超过80% 。在此期间,恶意攻击的另一个特点是利用操作系统的安全漏洞进行攻击,而用户的系统设置、网络环境和安全意识,也给这些攻击提供了可乘之机。
事实上,在windows xp发布一年后,微软开始实施了可信赖计算的计划 。在可信赖计算白皮书 中,微软提出了实施可信赖计算的手段(means):
设计安全:减少软件漏洞
默认安全:减少攻击面
部署安全:安全措施更容易实施
用户沟通:帮助用户学会自我防护
在windows xp sp2中,上述方法和理念得到了很好的实践。首先,尽管sp2并不是一个新的操作系统,但在其所有818项修复中有140项是属于基础操作系统方面的(base operating system)修复 ,以弥补设计阶段的软件漏洞。此外,默认情况下的windows防火墙、internet explorer、outlook express、windows update等都处于安全设置状态。第三,windows安全中心不仅方便了对系统的安全设置,也会智能地提示用户安全性问题,例如,当没有及时更新病毒防护软件时,会弹出安全警告。
windows xp sp2特性概述
在windows xp sp2中,微软提供了多种安全技术帮助用户抵御恶意软件和其它风险,从而提高了windows xp的整体安全防范能力。这些安全技术包括:
网络保护 此类安全技术包括了windows防火墙增强和远端过程调用接口限制(rpc remote procedure call),该技术有助于对类似冲击波(msblaster)等基于网络的攻击行为提供更好的保护。这些增强措施包括:默认开启windows防火墙、关闭端口除非该端口被使用、改进的配置用户界面、改进的windows防火墙开启时应用程序兼容性和通过组策略对windows防火墙的企业管理工具。远端过程调用服务的受攻击面(attack surface)被减少,该对象以较低的权限级别运行。dcom架构也增加了访问控制限制以减少被网络攻击击中的风险。
内存保护 某些软件允许过多的数据复制到计算机内存中,恶意软件的攻击可以利用这一安全性弱点。通常这种现象被称作缓冲溢出。虽然,任何单一技术都不能完全消除这种问题,微软正在从不同角度采用多种安全技术减轻这类攻击。首先,利用最新的编译技术将核心windows组件重新编译,增加了对缓冲溢出的保护。此外,微软正在与微处理器厂家合作以使windows支持微处理器上基于硬件的数据执行保护(dep data execution prevention)特性。数据执行保护通过cpu将应用程序所有的内存位置标记为不可执行,除非这些位置显式地包含可执行代码。这样,当蠕虫或病毒插入到程序代码并进入到标记为仅为数据的存储部分,应用程序或windows组件将不会运行它。
若要查看和设置数据执行保护,单击"开始"按钮,在弹出的菜单中,右键单击"我的电脑",并在快捷菜单中选择"属性"。在打开的"系统属性"对话框中,选择"高级"选项卡,在性能选项中单击"设置"按钮,在打开的"性能选项"对话框中选择"数据执行保护"选项卡。
电子邮件处理 安全技术有助于中止通过电子邮件和即时消息传播的病毒(如sobig.f)。这些技术包括安全性增强的默认设置、利用附件执行服务(aes attachment execution service)应用程序接口的改进的附件控制。从而增强了microsoft outlook、outlook express和windows messenger等通信应用的安全性和可靠性。其结果是,通过e-mail和即时消息传递的潜在不安全附件被隔离,并尽可能少地影响系统的其它部分。
浏览安全 microsoft internet explorer中的安全技术提供了抵御web中恶意内容的防护。改进之一是锁定本机区域以免运行恶意脚本和增强组织有害web下载。此外,更好的用户控制和用户界面可帮助阻止恶意activex控件和间谍软件在用户不知情的情况下运行。
计算机维护 安全方案中非常重要的一部分是保持计算机最新的软件和安全更新,并且了解更新在保护计算机安全中的重要性。具有安全性攻击和趋势的知识同样也很重要。例如,一些已知病毒和蠕虫的有效攻击开始前若干天或若干周,相应的软件更新已经可用。所增加的新技术帮助最终用户保持最新。这些技术包括安全中心,提供了关于计算机安全性信息的统一位置,还有windows installer,提供了软件安装的安全性选项。
安全中心
安全中心是windows xp sp2进行安全性设置和管理的统一界面,可以从控制面板访问安全中心,也可以在需要进行安全性设置的时候,从告警信息提示中快速地打开安全中心。安全中心如下图所示。
安全中心自动监控防火墙、自动更新和病毒防护的状态,如果这些设置出现异常时,根据不同的严重程度,以不同的颜色和方式进行警告。例如,修改了自动更新的默认设置后,安全中心中有关自动更新的基础标记就会变为黄色,并提示检查设置。如下图所示。
如果关闭了自动更新,则在通知区域会显示windows安全警报 和信息提示,如下图所示。
单击警告信息,则可以打开安全中心,如下图所示。单击"启用自动更新"按钮,就可以恢复到正常安全设置状态。
在安全中心中,可以管理安全设置,这些设置包括了internet选项、自动更新和windows防火墙。此外可以访问有关的资源。并可以设置安全中心通知用户的方式(可以关闭通知,但不建议这样做)。
对于加入到域的windows系统,安全性设置由网络管理员决定,安全中心将不再进行提示通知。
防火墙
windows防火墙是windows xp sp2的重要改进之一。和以前icf(internet connection firewall)不同的是,默认情况下,windows防火墙处于启用的状态,而且一旦防火墙被关闭,安全中心也会发出警告信息。
另一个重要的改进是,windows防火墙在windows启动时将利用静态规则进行状态过滤(stateful filtering),该静态规则被称作启动时策略(boot-time policy)。此时允许计算机运行dns和dhcp等基本网络任务。一旦windows防火墙服务运行,将加载和应用运行时策略(run-time policy)并删除启动时过滤器。
windows防火墙的启动时安全性是基于操作系统的软件防火墙所独有的特性。尽管目前尚未发现任何启动时的网络攻击,windows防火墙的这一安全性设计体现了主动防护、未雨绸缪的设计理念。
可以通过多种方法对windows防火墙进行设置。在"控制面板"中,可以通过"网络和internet连接"以及"安全中心"访问windows防火墙设置。如果网络连接被显示在任务栏右侧的通知区域,鼠标右键单击该网络连接,并选择"更改windows防火墙设置",如下图所示。
"windows防火墙"对话框共有3个选项卡
常规选项卡:可以"启用"或"关闭"windows防火墙,如果启用了防火墙,可以选择"不允许例外",这将阻止所有主动到计算机的通信,并且在阻止时不通知用户。这将适合于较不安全的网络环境。
例外选项卡:默认情况下,windows防火墙允许例外,在例外选项卡中列出了4个程序和服务,并默认允许"远程协助",如下图所示。其它3个程序和服务将根据windows的设置自动启用。例如,如果设置了共享文件夹,则"文件和打印机共享"会被自动启用。
当其它程序被阻止时,会询问用户,如果选择解除阻止,则该程序被添加到例外列表中。如下图所示。
可以将程序添加到例外列表中或删除例外列表中的程序(默认的4个程序和服务除外)。也可以编辑例外程序的通信范围(ip地址)使其只和只定的计算机进行通信,如下图所示。同样的设置也适用于端口。
高级选项卡:可以对选定的一个或多个网络连接进行设置,也可以指定安全日志以记录被丢弃数据包和成功的连接。"还原为默认值"按钮可以方便用户快速设置为默认的安全状态。如下图所示。
自动更新
保持windows系统和软件处于最新的状态,使安全性的重要保障措施之一。实践表明,开启windows自动更新,可以避免几乎所有的利用系统漏洞的恶意攻击。因此windows自动更新被微软认为是保证系统安全的重要的3个重要步骤之一 。事实上,很多用户并没有开启自动更新的功能,致使系统处于被攻击的危险之下,甚至遭到恶意的攻击,造成了不必要的损失。
windows xp sp2默认开启了windows自动更新,如果用户更改了自动更新的设置,将会被提醒或警告,如前所示。windows更新服务已升级到版本5,更新服务效率更高,用户使用更方便。此外自动更新支持支持安全修补程序、关键更新、累积更新包、服务软件包等更多类型。对于慢速网络连接用户,后台智能传输服务(bits background intelligent transfer service)极大地改进了传输带宽效率。在使用windows更新服务时,可以传输较少的数据并更快地传输数据,减少更新对企业网络的压力。主要特性如下:
可以指定时间下载更新,例如指定网络空闲的时段
可以设置只使用部分可用网络带宽
仅下载文件变化的部分。例如如果一个1mb的文件仅变化了一个字节,bits将只传送若干字节,而不是整个1mb文件。
从网络传输失败中恢复。在下载过程中,如果网络失败或连接丢失,bits可以从断点继续传输,而不是重新从头开始下载。
病毒防护集成
windows xp sp2并不包含病毒防护软件,但可以和防病毒软件进行集成,以更好地保证系统的安全。windows xp sp2可以检测是否安装了反病毒软件,如果检测不到 ,将发出警告;对于检测到的反病毒软件,如果没有更新到最新状态,也会受到警告信息;此外,如果关闭了病毒实时监控,或该服务启动失败,也会弹出警告信息。如下图所示。
目前国内主流的反病毒软件厂商,都已经推出了和windows xp sp2兼容的软件产品或补丁程序。
internet explorer
microsoft internet explorer是windows中主要的internet浏览器程序,用户的浏览体验和安全性是windows xp sp2的重要考虑因素。ie的安全同时也成为系统安全的基础。
| 阻止弹出式窗口
鉴于弹出式窗口被滥用的现实,windows xp sp2的弹出式窗口阻止程序,为用户阻止不必要的弹出式窗口提供了控制选择。默认情况下,大部分的弹出式窗口被阻止。一旦弹出式窗口被阻止,将会显示一个信息提示窗口,并在信息栏中给出提示,同时可以听到声音提示。如下图所示。
信息提示窗口解释了信息栏的功能,可以选中不再新式此信息,则下次阻止了弹出式窗口时不再弹出该窗口。单击"了解信息栏"可打开ie相关内容的帮助窗口。
单击信息栏,可以选择多项操作,如下图所示。如果是第一次访问该站点,可选择"临时允许弹出窗口"以查看弹出窗口的内容是否是有用信息;如果需要该站点的弹出式窗口信息,则可以选择"总是允许来自该站点的弹出窗口";单击"设置"命令,可以对信息栏进行进一步的设置,"关闭弹出窗口阻止程序",将允许任何站点显示弹出窗口;不选中"显示弹出窗口的信息栏"后,在弹出窗口被阻止时,将不显示信息栏。此时可以从ie状态栏中单击按钮 进行设置。
选择"更多设置",可以打开"弹出窗口阻止程序设置"对话框。在该对话框中,可以手工输入允许站点的地址;可以选择是否播放声音和显示信息栏,以及不同的筛选级别(默认级别为中),如下图所示。此外,在打开网页时按下ctrl键,将不会阻止弹出窗口。
|
下列情况下的弹出窗口仍将被显示
通过用户单击链接打开
通过运行在本机的程序打开
由来自web站点的实证(instantiated)activex控件打开
从受信任的站点或本地intranet区域打开
文件下载和安装提示
从ie下载文件时,会出现提示窗口,如下图所示。提示窗口会显示文件的图标和文件的大小。根据下载文件的不同类型和安全性,提示窗口的标题的下方的图示也有所不同。
在安装加载项或下载的程序时,同样会收到安全警告。对于签署过的程序,可以有更多的选项来决定今后如何处理来自同一发行者的程序。
加载项管理和崩溃检测
加载项向ie中添加了多种功能(如额外的工具栏、按钮等),这会使浏览更加有趣或高效。许多加载项都来自internet,大多数加载项在下载到本地计算机之前,都会提示病症的用户的授权下载和安装。但是,有些加载项可能会未经确认即进行下载。还有一些加载项是随 windows安装的。
可以在internet explorer中管理加载项,从"工具"菜单选择"管理加载项"命令,可以打开对话框。如下图所示。
选择"已启用"的加载项,从对话框底部选择"禁用"或者选择"已禁用"的加载项,然后从对话框底部选择"启用"。重新启动internet explorer后设置起效。
如果加载项导致网页不能正常显示或被迫关闭,并弹出崩溃报告检测到加载项问题,则可以在加载项管理器中,仅用该加载项。或者如果是一个activex加载项,可以尝试更新它以解决问题。
outlook express
由于在较早版本的windows xp中,outlook express会利用mshtml控件处理html内容,并自动运行html头中所含的脚本,因而带来潜在的安全隐患。现在,可以选择以纯文本的方式阅读消息,以降低风险。
一些垃圾邮件制造者会在电子邮件消息中包含引用到其站点的图片。以前,当用户收到这些邮件时会自动下载这个图片,其电子邮件地址就被验证有效,并可能被加入到垃圾邮件收件人地址列表中。在windows xp sp2中,outlook express限制下载外部html内容,避免用户被垃圾邮件制造者验证邮件地址而收到垃圾邮件。该特性也方便了拨号上网的用户,免除了下载完邮件并断开网络连接后,在试图阅读邮件时可能自动拨号联网的麻烦。
此外,更新后的outlook express集成了附件执行服务(aes attachment execution service)阻止保存或打开潜在的不安全邮件附件。
windows messenger
在windows messenger中,传输不安全文件会被自动拒绝。要了解通常认为是不安全的文件的列表,请参阅 http://support.microsoft.com/default.aspx?scid=kb;zh-cn;291369
此外,windows messenger还有求用户必须选用不同于其邮件地址的显示名称。这是因为一些病毒程序可以从保存的聊天记录中发现e-mail地址和相关的联系人,从而侵犯用户的隐私。
tablet pc
windows xp tablet pc edition在安装了windows xp sp2后自动升级到 tablet pc 2005。并且在输入面板、手写识别、与office system程序的集成方面有了极大的改进。
windows installer 3.0
其它技术和改进
更好的无线网络支持
蓝牙设备支持
usb设备写保护
添加和删除程序列表中的显示更新选项
更多改进的管理工具
结论
windows xp sp2是对windows xp的一项革命性的改进,它以安全性为出发点,从系统、管理、用户等多方面进行了全面的改进和增强。同时兼顾到易用性和用户体验。windows xp sp2不仅解决了以往出现的问题,更对今后可能引起攻击的弱点进行了预防性修补。以期即使在没有安装补丁的情况下,缓解恶意软件工具及造成的危害。
