[1] 一只 U 盘的 WINDOWS 7 之旅:与 BITLOCKER TO GO 的亲密接触

Hello,大家好!我是一只 U 盘 ,跟随我的主人已经一年多了。 主人经常把我带到外面的公共计算机上使用,像打印社啦、公共机房啦,搞得我常常受病毒侵袭,遍体鳞伤,主人面对体无完肤的我,通常采取最暴力的解决办法——格式化,这种“低级手术”我不知道遭受过多少次了。还不止这些,有一次,主人竟然把我落在朋友家里,他的那位朋友抑制不住好奇心,把我彻头彻尾看了个遍,主人的私人文件都被偷窥了,他把我还给主人时还说什么也没看,主人不信也无可奈何。我多么想向主人哭诉这一切,可是……唉,真是诉不尽的伤心泪,道不完的辛酸水! 不过,谁都有翻身的一天,盘也不例外!自从主人换了新系统 Windows 7,情况可就大不一样啦!且听我慢慢道来。 记得有一天,主人照例把我带到办公室里,插到他的工作机上。咦?怎么感觉今天的环境大不一样呢!全新的界面,真令人耳目一新啊!原来是久闻大名的 Windows 7。注意!下面的操作可是我人生的转折点。 主人对我右击(图1-1)了一下,选择了“启用 BitLocker”(后来发现在控制面板的 BitLocker 驱动器加密也可以找到); 弹出来一个框框“BitLocker 驱动器加密”要选择加密方式(图1-2),主人选了“使用密码解锁驱动器”(也可以选择智能卡),然后输入两遍密码(注意密码长度最短是8,这点可以体现 BitLocker To Go 的高安全性); 进入下一步,要求保存恢复密钥到一个文本文件或者打印出来(图1-3,因为 BitLocker 的加密安全级别非常高,为了防止忘记密码,可以将恢复密钥保存到文件或者打印出来以防不测),另外,保存在文本文件里的恢复密钥不是密钥明文(图1-4),而是经过高强度加密的密文; 进入下一步,点击“开始加密”按钮即刻加密吧,加密时间当然取决于我的容量啦。 加密之后会怎样呢?拔下后重新插入,发现弹出一个新对话框(图2,注意不再有以前的自动播放),显示我是受 BitLocker 保护的,需要输入密码才可以访问。为了方便使用大家可以勾选“在此计算机上自动解锁”,这样下次插入就不需要手动输入密码了。最后点击“解锁”按钮解锁后就可以正常操作啦~ 上面就是我与 BitLocker To Go 第一次亲密接触。 当天晚上,随主人回到家里,来到他的家庭机上,我想,这下糟了,这台还是 XP 系统,肯定识别不了我了。果然插上后我的身上多了个锁状的图标 ,能不能打开呢?主人双击了一下,果然不能直接打开,而是弹出一个新框——“BitLocker To Go 阅读器”(又是一个新名词,图3),输入密码后,点击“解锁”按钮就看到文件了。顾名思义,阅读器只能读取,不能写入。   第二天,主人又把我带到外面的打印社去打印材料,还是 Windows XP 机器,这次终于不用再提心吊胆提防病毒啦。主人输入解锁密码,在只读状态下就把材料都打印完了。病毒你写不进去,看你还怎么猖狂! 后来还发现在 Vista 上和 XP 上的情况完全相同,只读不写也不能删除。看来 Windows 7 在向下兼容方面考虑的很周全。Windows 7 暂时还不普及,被…

4

[2] Windows 7 + IE 8,浏览网页不用怕

长久以来,上网被挂马就像挤公交车被偷钱包一样,让人见多不怪。国内木马传播最主要的途径是通过在网页上挂马,受害用户浏览到被挂马的页面,就可能中招。每台中招肉鸡的控制权可以卖2毛钱,由于国内黑客比较有经济头脑,导致中国的挂马行业异常繁荣。针对铺天盖地的盗号木马,游戏、聊天软件纷纷推出了新奇的防盗号措施,让不少网友得到了心理上的安全感,觉得只要帐号不被盗,中木马也没啥关系——毕竟没当过陈冠希就很难知道信息安全的重要性。不过,随着近来“XX门”事件越来越多,越来越火爆,可能有不少网友在看热闹的闲暇,对保护隐私的问题有了未雨绸缪的顾虑。 那我们该如何做才能防止在上网的时候被木马入侵呢? 在后XP时代,有朋友这么问我,我说:装上所有软件的所有安全补丁,卸掉山寨软件。——但是他还是会中招,不是因为我的建议有问题,而是因为: 0Day 漏洞(即还没有安全补丁修复的漏洞); 他舍不得删掉某些著名的流行的必备的“山寨软件”,而这些软件有漏洞,并且被挂马者利用。 并不是因为 Windows 7 推出了,所以我“喜新厌旧”,说 Windows XP 如何不安全。计算机技术是飞速发展的,攻击技术当然也不例外。XP作为目前最主流的操作系统,比起之前的9x系统可谓鸟枪换炮,它区分了内核模式与用户模式,为系统内核提供了强有力的保护。然而9年过去了,攻击技术上升到了新高度:堆溢出、栈溢出、Heap Spray,等等。由于内存地址的可预测性,安全研究者在XP中往往可以挖掘出各种软件的细微漏洞,从而入侵目标系统。于是在后XP时代,安全是建立在不断打补丁修漏洞的基础上。 那么在 Windows 7 中,情况又是怎样的呢?DEP 阻止任意内存地址代码执行,ASLR 使内存基址随机化让代码地址变得不可预测。在这两种情况下,一旦有内存漏洞被触发,相应进程就会崩溃退出,从而阻止漏洞被进一步利用。外加使用 IE8 上网,由于IE保护模式的作用,所有网页进程都运行在低权限模式。在这多重机制保护之下,即使Windows或者其他软件被挖掘出任意地址执行漏洞,攻击者还是没办法真正地执行他想执行的代码。也就是说,Windows 7 的安全是建立在它的内存保护机制之上的,用户不必再为各种山寨软件的漏洞而提心吊胆。 撇开“纵深防御”不谈,一台“裸奔”的 Windows 7,不打任何补丁,不装任何杀毒软件,在正常浏览网页(不去主动运行 exe 木马)情况下,安全也是有保障的。(当然,作为专业的安全工程师,我不会建议任何人这么做,呵呵) 当然这也不是说 Windows 7 永远牢不可破。所谓道高一尺魔高一丈,随着攻击技术的进一步发展,很有可能发明新的技巧绕过这些安全特性。但是截至目前,防御方还处于全面优势的格局。假如有悲观人士认为,反正这些保护迟早还是会被攻破的,那我只能对他说:装个98,让 CIH 烧你的主板去吧。 还是回到原先的问题: 那我们该如何做才能防止在上网的时候被木马入侵呢? 装个 Windows 7,上网不用怕。 *欢迎转载,转载请注明出处 产品安全支持专家 Dennis Song

1

[3] Windows 7 的操作中心:安全任我行

在 Windows 7 中,您可能一下子就注意到了屏幕右下角出现了一个新的图标——小旗子。这个就是 Windows 7 的“操作中心”,它取代了 Windows XP 和 Windows Vista 中的“安全中心”。 “操作中心”能够自动监测系统安全和系统维护方面的情况,及时给出相关消息提示,帮助我们更加方便、可靠地维护管理系统。它主要提供“安全”和“维护”两大类消息,从以下多个方面监测系统,而且我们还可以设置是否需要开启这些消息提示。 类别 项目 安全 网络防火墙* Windows Update* 病毒防护* 间谍软件和不需要的软件防护 Internet 安全设置* 用户帐户控制 网络访问保护 维护 检查问题报告的解决方案 备份 检查更新 疑难解答:系统维护 *您可能已经注意到了,部分项目是以前“安全中心”中涉及的管理内容。 接下来我们可以通过两个例子来了解一下它的主要功能和使用方法。 怎样解除红色警报 某天,不知什么原因,小旗子上出现了一个红叉,引起了我的注意。我打开了“操作中心”,想看看究竟发生了什么情况。 提示:两种打开操作中心的方法 最简单的方法:单击图标,点击打开操作中心的超链接。 肯定可以找得到的方法:“开始”→“控制面板”→“系统和安全”→“操作中心”。 嗯,有红色重要信息!Windows Update 好像关闭了。我可是让 Windows Update 自动下载自动安装的。不过我一下子想不起来到哪里可以重新开启 Windows Update 了,还好操作中心有个“更改设置(C)…”(图1)的按钮,我来试一下。 图1:更改设置 呵呵,确实可以帮我改回默认设置。小旗子上的红叉消失了。 怎样消除黄色提示 几天后,我打开了操作中心注意到在维护分类下面有个黄色提示。 图2:关闭 Windows 备份 对了,我装机后一直没有备份过。不过我向来喜欢彻彻底底的重新安装。这消息要是老出现在这里太烦了,我要关掉它。不知道点击关闭有关“Windows…

0

[4] Windows 7 的用户账户控制:安全性和易用性的完美统一

大家都知道用标准用户账号(非管理员账号)登录系统比直接使用管理员账号要安全很多。大多数的安全攻击行为都是发生在当前用户环境中。 即使标准用户账号权限被恶意软件利用, 由于其权限较小,最终造成的可能影响也相应较低。但是大家可能都有这样的经历:在以前的操作系统和应用程序上,使用标准用户账号常常会碰到这样那样的权限问题。这也导致了很多人都习惯平时直接用管理员账号登陆。 Vista 中引入 User Account Control(UAC)的一个目的是:即使管理员账号登录也可以获得标准用户对应的安全性。平时 UAC 会把管理员账号“限制”在标准用户权限内;当某个操作确实需要管理员权限时,UAC 会通过安全桌面提示当前用户,得到用户同意后才继续。 Vista 的 UAC 功能出发点还是很好的。但是由于过于频繁的提示,也导致了很多的误会。很多人会因为这个原因关闭 UAC,并且继续使用管理员账号作为日常账号,从而导致安全隐患。 Windows 7 在这方面比以前的操作系统改进了很多。Window 7 非常清晰地传达了这样一个信息:应该鼓励用户在日常工作中使用标准用户账号;开发人员在开发软件时,针对的缺省执行环境应该是标准用户账号,而不是最高权限的管理员用户。在 Windows 7 中,你会发现,使用标准用户账号也可以非常方便地完成日常工作。 安全性和易用性达到了非常合理的平衡。 UAC 在 Windows 7 中对于权限提升的情况还是会弹出提示,但是对于管理员来说,这种情况已经大大减少了。这是因为一方面 Windows 7 减少了系统对用户管理员权限的需求,另一方面对UAC 也增加了人性化配置。具体来说,除了 Vista 上对 UAC“开”和“关”两个选择之外,Windows 7 还增加了介于两者之间的 UAC 配置,如下图(图1)。 图1:管理员账户的 UAC 选项 说明: 设定(UAC 滑竿从上往下) 说明 安全性 始终通知 (安全桌面) 这和VISTA里启用UAC时一样。无论是程序还是管理员做的修改,只要需要管理员权限, UAC 都会提示。 最高…

1

[5] Windows 7 的“Troubleshooting”(疑难解答)真牛

许多企业都设有电脑维护人员,他们的日常工作常常是帮用户解决一些个人电脑使用上的问题,而通常这些问题都是一些诸如不能上网的问题。这些问题客户有时自己很难解决,非得让电脑维护人员到现场才行。而 Windows 7 则提供给了客户自己解决 常见问题的机会,客户可以通过 Windows 7 自带的“疑难解答” 工具,让 Windows 自己发现并自己解决问题。这样无疑节省了解决问题的时间,降低了公司 IT 支持工作的成本。 以下列举一些场景,作为 Windows 7 疑难解答功能的说明。 场景一: 在公司内部,客户端的 IE 是通过代理自动检测设置上网,某天用户打开 IE 浏览器发现不能连接任何网站。尝试点击 IE 的“诊断连接问题”(图1),让 IE 自己检查这个问题。 发现网卡已经被禁用,点击“尝试以管理员身份进行这些修复”(图2)。 网卡自动启动。 图1:诊断连接问题 图2:尝试以管理员身份进行这些修复   还是不能上网,继续检测,发现原来 IE 代理中的自动检测设置没有勾上,自动勾上,问题解决(图3)。 图3:修复问题   场景二: 用户访问一个远程的共享文件夹,发现访问不了,我们来试试 Windows 7 的疑难解答功能, 单击右下脚的“小旗帜”,打开“操作中心”(图4),点击“疑难解答”, 点击访问其他计算机上的共享文件和文件夹。 输入远程共享文件夹,发现原来是共享没有权限(图5),这时就可以通知网管把共享权限打开。 图4:打开操作中心 图5:找到问题   除以上的功能,Windows 7 还提供许多常用排错工具,打开“控制面板”, 点击“系统和安全” 下的“查找并解决问题”,即可看到(图6)。 图6:查找并解决问题 您可以看到…

0

[6] Windows 7 的指纹识别:简约而不简单

Windows 7 在安全方面的重大改进之一就是内置了生物特征识别架构 Windows Biometric Framework(WBF)。生物特征识别最常见的就是指纹识别,这也是目前为止 WBF 支持的唯一识别方式。 最早一些商务笔记本内置了指纹识别设备,目前已经有不少笔记本产品,包括家用型号,都集成了指纹识别设备。相对于传统的用户名和密码登录,指纹识别有许多优点。对用户来说,最头疼的就是设定一个密码然后记住它。密码太简单容易被破解,密码太复杂又会记不住。用指纹代替密码登录就可以完全避免这个问题。但是在 Windows 7 之前,由于需要额外软件支持,指纹登录通常使用不便。用户自行安装操作系统后往往找不到对应的软件。另外这些软件导致的兼容性和稳定性问题也屡见不鲜。 由于上述种种不便,不少用户都弃之不用。Windows 7 的出现将改变这一现状,将生物识别作为标准的登录方式整合入操作系统中,使得生物识别设备能物尽其用。 Windows 7 的指纹识别功能十分简单,使用它不需要任何额外软件。在安装完成后,通常指纹识别设备的驱动程序已经安装完成。这得益于 Microsoft Update 网站上丰富的驱动程序库。下面是一台 Sony 笔记本上的例子: 图1:Sony 笔记本生物识别设备属性   而对大部分用户而言完全不用去在意设备管理器的状况。我们需要做的就是在控制面板中登录自己的指纹: 1. 打开控制面板,找到“生物特征设备”。它的图标就是一枚指纹: 图2:生物特征设备 2. Windows 7 会将已安装的生物特征识别设备罗列出来。这时我们还没登录任何指纹信息。因此点击左侧的“管理指纹数据”: 图3:生物特征识别设备列表 3. 指纹数据管理器的界面十分形象。我们可以为自己的10个手指逐一登录指纹数据,当然通常情况下1到2根手指的数据就足够使用了。在这里我们选择右手食指: 图4:指纹数据管理器 4. 根据提示,将自己的手指划过指纹感应器: 图5:扫描指纹 5. 构建完整的指纹数据通常需要5-10次扫描,一个绿色的进度条会显示完成度: 图6:指纹扫描进度   6. 完成后指纹数据管理器就会在右手食指上显示指纹图标,表示指纹已经登录: 图7:显示指纹图标 7. 重新启动看看效果! <视频>   小贴士: 目前用于笔记本的指纹识别模块基本由 UPEK…

0

[7] Windows 7 应用程序控制策略:深度安全防御

Windows 7 对于用户运行程序有什么好的访问控制方法?相对于 Windows XP 有什么改进?我们如何利用它来完善纵深安全防御机制的一个重要环节?我们将在这篇 blog 中找到答案。 应用程序控制策略(AppLocker)是 Windows 7 的新安全组件,相对于 Windows XP 中的软件限制策略(SRP),它有进一步安全和易用性的提高。那究竟 AppLocker 有哪些具体功能?它如何帮助 IT 管理员控制用户运行程序呢? 有效的向导,帮助 IT 管理员创建默认或者自定义的规则。 将 AppLocker 策略针对不同需要应用到不同的用户组或个人对象上,而非仅仅针对所有计算机帐号,更加细化了用户分类,便于 IT 管理员管理。 根据可执行文件的数字签名属性,针对不同的文件发布者,产品名称,文件名称和文件版本设定不同的策略规则,从而允许或拒绝这些文件运行。让 IT 管理员可以非常方便的选择需要的应用程序针对不同用户做允许/拒绝操作。 对设定的策略做审核,而不是简单的允许/拒绝,IT 管理员可以先查看审核日志评估规则对于客户端的影响,再作合理的规则设置,从而给IT管理员更加方便的测试环境。 可以将 AppLocker 的配置导入/导出,方便在不同计算机或不同备份之间的维护不同的 AppLocker 设置。 还可以通过 PowerShell 的命令行来创建和管理 AppLocker 的策略规则。 软件控制的对象包括可执行程序,脚本,安装文件,动态链接库 DLL。 下面我们举例了解如何部署 AppLocker。 背景:很多软件在发布时已经做了数字签名验证。数字签名能有效地发现伪装的软件或病毒文件(例如病毒文件替换或感染了微软Windows 的默认文件)。通过 AppLocker 的数字签名策略可以设定仅仅允许已经经过数字签名的程序运行。从而防止一些恶意软件或未经授权的软件运行导致系统除问题或者重病毒。 注意:这样的规则会阻止没有数字签名的程序运行。 步骤: 打开组策略编辑器。(开始 → 运行…

0