windows 8 基礎版安全功能

本部分介紹的安全功能包含在win8系統的各個版本中。不論是面向家庭用戶的windows 8系統還是面向企業的windows 8系統，大家都可以使用到以下安全功能。：

支持uefi secure boot

secure boot 安全啟動功能是windows8系統中新加入的一項非常重要的安全功能，不過也有人質疑這項功能，因為在某些情況下該功能存在潛在的問題。uefi (統一可擴展固件接口 - 當前版本2.3.1)開發的主要目的是作為下一代電腦產品的固件接口，代替目前傳統pc機上廣泛使用的bios接口。啟用secure boot功能后， windows 8可以有效抵御底層惡意軟件的攻擊，如rootkits的攻擊。在帶有 secure boot 功能的操作系統中，系統會將所有啟動組件的數字簽名提交給系統的反惡意軟件驅動部分進行審核，從而發現可疑的啟動組件。如果某個啟動組件的簽名異常(被篡改)，那么windows recovery environment 就會啟動并嘗試修復操作系統。而 rootkit的攻擊手法通常是篡改系統的關鍵啟動文件，從而在系統啟動過程中先于各種反病毒軟件被激活。secure boot會發現任何形式的篡改內容并預防rootkit被載入。windows8的這個功能是企業所必備的，并且企業應該防止員工擅自禁用該功能。

smartscreen 過濾器

smartscreen智能屏幕技術 初出現在ie瀏覽器中，而如今正式被加入到新一代的windows操作系統中。據 nss labs, 的評測顯示，該功能是目前市場上各種瀏覽器安全功能中檢測和屏蔽社交引擎惡意軟件效果 好的。 smartscreen 功能具備一個基于 url 的信譽系統以及一個基于文件/應用信譽系統。url信譽系統可以防止用戶遭受釣魚網站以及社交引擎攻擊，而文件信譽系統可以監視通過瀏覽器下載的文件，確保文件是安全可靠的。如果某個下載的文件被認定為可疑文件或惡意文件，系統會阻止該文件的下載活動，并將如下信息反饋給用戶：

圖 a

如果下載的文件在文件信譽系統中沒有記錄，或者系統無法識別，將會顯示以下警告信息：

圖 b

對于未知的文件，大部分用戶還是會繞過警告信息而主動去打開文件，但是由于有管理控制，用戶無法擅自關閉這種警告信息。

集成反惡意軟件程序windows defender

由于windows defender 中新加入了microsoft security essentials 中的技術，具備了反病毒能力，windows 8現在擁有了完整的反病毒和反惡意軟件解決方案。新版的windows defender 在提高性能的同時還降低了內存/cpu的占用率。雖然很多企業仍然會使用企業自己購買的第三方反病毒軟件，但企業也應該向第三方反病毒廠商進行咨詢，尤其是其產品是否能夠支持windows8系統，因為如果能夠支持secure boot功能，將讓企業的安全環境響應速度更快，減少潛在的安全盲區。

圖片密碼

圖片密碼功能是windows8系統新增加的基于觸摸屏的安全登錄方案，用戶可以選擇系統內的某個圖片，并在圖片上依次完成三個手勢動作完成登錄行為。系統會記錄用戶的點擊位置和順序，作為登錄密碼，而點擊的位置與圖片綁定，從而提高安全性。比如用戶可以選擇一張雙人照片，并在其中一人的臉上畫一個微笑的嘴型，再在另一個臉上點擊兩只眼睛，作為自己的登錄密碼。這與傳統的密碼方式相比看上去有些兒戲，但是其安全性絲毫不遜于強健的密碼。

windows reader

windows 8內置了一個全新的文檔閱讀器windows reader，該工具中也蘊含了一個新的安全功能。windows reader支持 pdf 文檔，而pdf文檔正是目前被攻擊頻率 高的文檔格式之一。在操作系統中內置一個輕量級的pdf閱讀器，并通過windows update進行定期更新，將有助于系統防范基于pdf格式文件的各種攻擊行為，降低系統的安全盲區。

aslr 和溢出減少

address space layout randomization (aslr)即地址空間布局隨機化技術， 早出現在windows vista 中，它的本質是通過將內存中的代碼和數據進行隨機存放來避免緩存溢出漏洞的技術。在windows 8中，這種隨機化技術得到了進一步的加強，從而避免了已知的繞過aslr技術的攻擊對系統進行破壞。其它降低溢出風險的措施還包括修改windows內核和heap，新的完整性檢測方法和類似aslr的隨機方案。這些提升也會讓ie10獲益： 除了包含 “enhanced protected mode” 沙箱外，ie10還具有 “forceaslr” 選項，可以將所有加載的模塊在內存中進行隨機化的存儲，而不考慮這些模塊是否設置了aslr保護(開發人員可以利用/dynamicbase標記開發支持aslr技術的模塊以便更好的利用該技術的優勢)。

windows 8 專業版安全功能

下面我要介紹的安全功能只存在于針對企業用戶的windows 8專業版和windows8企業版中：

bitlocker 和 bitlocker to go

bitlocker是微軟在vista時代推出的一個全盤加密解決方案，在windows 7中，該方案改名叫bitlocker to go，可以支持對移動存儲設備進行全盤加密。在windows8中，該方案沒有明顯的改變，只是增加了將bitlocker to go加密密鑰備份到skydrive賬戶中的功能。

encrypting file system

efs加密文件系統是微軟用于加密某個磁盤、文件夾和文件的解決方案。在二十年前的windows nt家族中就出現了efs，而如今由于bitlocker, bitlocker to go以及市面上各種免費加密方案的推出，efs已經沒有往日的光彩了。

域成員和組策略對象

一般來說，這兩個功能是區分消費版本windows系統和企業版本windows系統的標志。對于集中化管理來說，活動目錄非常關鍵。一旦加入活動目錄，管理員就可以建立組策略對象并將其應用到域成員上，實現對域成員的各種控制功能，從而提升整體安全性能。windows 8針對新的操作系統建立了新的策略：

圖 c

windows 8 企業版安全功能

后我要介紹的安全功能只存在于 windows 8 企業版中，這些安全功能包括：

applocker

applocker是微軟針對應用程序控制推出的解決方案。該方案 早出現在windows 7系統中，通過黑名單和白名單的方式實現對應用程序的控制。通過applocker，管理員可以建立適當的策略，限制或允許用戶在電腦上安裝某些應用程序。新的 windows 8 applocker可以同時管理傳統的桌面應用程序和新的metro apps。

directaccess

在個人電腦和企業網絡安全連接方面，微軟推出了directaccess來代替傳統的vpn。由于directaccess的連接不需要再啟動額外的應用程序，因此可以簡單的通過策略應用的方式幫助企業更好的實現遠程連接以及移動計算設備上的安全連接保障。目前看來，windows8中的directaccess與windows 7中的directaccess沒有什么變化。

windows to go

隨著byod(攜帶個人設備辦公)趨勢的發展，微軟也適時的發布了windows to go。這是一套完全受控的windows 8 企業鏡像系統，可以被管理員存儲在u盤中隨身攜帶，并在任何一臺x64硬件結構的 pc上啟動。作為完整的企業pc鏡像，windows to go包含了多種管理功能，比如windows update策略管理，企業反惡意軟件解決方案以及bitlocker加密工具。目前windows to go需要至少32gb的u盤，并且只能在x64電腦上啟動。盡管有這些限制，但windows to go仍然是多環境下的一個相當實用的功能，不論是企業所擔心的byod趨勢所帶來的安全風險，還是企業數據的災難恢復，windows to go都能起到一定的效果。

相關文章

• 上一篇： PWM控制芯片+Royer結構驅動電路構成的基本形式
• 下一篇： DC/DC和LDO電源的異同