數字簽名助力系統安全

引言： 為了確保系統運行的安全性，有時不得不采取一系列的安全技術，其中數字簽名技術是保護網絡傳輸安全的重要技術之一，它既能識別計算機系統中的一些核心程序究竟有沒有受到惡意破壞或攻擊，又能確保數據傳輸的完整性和發送數據的不可否認性等。

為了確保系統運行的安全性，有時不得不采取一系列的安全技術，比如密鑰管理、加密保護、安全協議、身份認證、防火墻等技術。其中數字簽名技術是保護網絡傳輸安全的重要技術之一，它既能識別計算機系統中的一些核心程序究竟有沒有受到惡意破壞或攻擊，又能確保數據傳輸的完整性和發送數據的不可否認性等。

留下數字簽名程序

正常情況下，那些經過數字簽名認證的程序是安全、可靠的，沒有經過數字簽名的程序存在這樣或那樣的問題，將其下載安裝到計算機系統中，或許會給系統的安全運行帶來影響。所以，建議只留下數字簽名程序，盡可能趕走所有沒有數字簽名的程序，真正杜絕一切安全隱患。

圖1 文件簽名驗證

圖2 驅動程序驗證程序管理器

留下數字簽名程序，必須先弄清楚本地系統中，究竟有哪些程序是數字簽名程序，還有哪些程序沒有經過數字簽名。在Windows 7系統環境下，使用系統自帶的“Verifier”命令，就能快速找到未經數字簽名的程序，具體操作為：逐一點選“開始”、“運行”命令，展開系統運行對話框，輸 入“Sigverif”命令，進入如圖1所示的設置界面。單擊“開始”按 鈕，Windows 7系統就會智能掃描分析系統中的所有程序文件，掃描操作結束后，從對應命令返回的結果界面中，可以直觀地看到所有未經數字簽名的程序。

如果只想尋找本地系統中未經數字簽名的設備驅動程序時，也能通過“Verifier”命令來完成對設備驅動程序的快速識別，只要在系統運行對話框中，執行“Verifier”字符串命令，在其后彈出的設置窗口中，勾選“創建標準設置”選項，同時點擊“下一步”按鈕，切換到如圖2所示的設置界面，在這里會看到該命令為用戶提供了不少功能選項。在默認狀態下，目標命令會勾選“自動選擇未經簽名的驅動程序”選項，來搜索識別本地系統中的所有設備驅動程序有沒有經過數字簽名認證。

識別數字簽名真假

為了不讓各種安全工具輕易識別到，很多狡猾的病毒、木馬程序，常常會通過假冒數字簽名的方式，躲避安全工具的掃描搜索操作。如何才能有效識別出數字簽名的真假情況呢？在“SREng”安全工具的配合下，通過在本地系統中安裝“文件數字簽名驗證程序”插件，就能輕松掃描分析出本地系統中所有程序的數字簽名內容，同時能有效識別出其真假。

首先下載安裝好“SREng”工具，進入該工具的安裝路徑窗口，用鼠標雙擊其中的“plugins”子目錄，之后對“文件數字簽名驗證程序”插件程序進行解壓，并將解壓內容釋放到對應子目錄中。接著啟動運行“SREng”工具，單擊主操作界面中的“擴展”按鈕，找到并雙擊“文件數字簽名驗證程序”，啟動運行對應插件程序。這時會彈出特定插件對話框，點擊“選擇目標”按鈕，切換到文件夾瀏覽對話框，將保存各類程序的文件夾導入進來，比方說，要識別系統文件夾中的各個程序數字簽名是否為真時，只要導入添加“C:Windowssystem”、“C:Windowssystem32”等特定文件夾，再點擊“開始掃描”按鈕，那么目標插件程序就能一邊搜索分析，一邊識別顯示掃描結果了。

如果是特定系統程序的數字簽名搜索分析結果返回為“0x00000000”時，意味著對應程序的數字簽名是真實有效的。反之，當返回結果為“0x800b0100”時，那就表示對應系統程序的數字簽名不是真實有效的，發生這種問題的原因：一是特定系統程序根本就沒有數字簽名，二是對應數字簽名雖然存在但明顯狀態異常。如果某個程序的數字簽名，被“文件數字簽名驗證程序”插件智能識別為“0x800b0100”時，那多半是系統程序已經受到惡意程序的破壞，或者特定程序文件本身就是惡意程序，為了安全考慮，建議立即刪除它們，避免它們威脅系統安全運行。

當然，如果手頭沒有“文件數字簽名驗證程序”之類的外力工具時，也能通過Microsoft MVP設 計的“FileDigitalSignVerify”程序，快速識別特定程序的數字簽名真假情況。例如，要識別本地系統中的注冊表編輯程序數字簽名是否真實有效時，只要先將“FileDigitalSignVerify”程序安裝到計算機系統中，接著以系統管理員權限打開DOS命令行窗口，在該窗口中輸入“FileDigitalSignverify.EXE%SystemRoot%system32 egedit.exe -p”命令，要是命令返回“0x00000000”結果信息，那就意味著注冊表編輯程序的數字簽名是真實的，要是返回“0x800b0100”結果信息，那就表示對應程序數字簽名是假冒的。

強制使用數字簽名

在低版本Windows系統環境中，將一些未經數字簽名的舊設備驅動程序安裝到計算機中，系統不會出現任何安全警告提示，也不會強行終止驅動安裝操作，這樣一來這些未經數字簽名的驅動程序，日后能成為系統安全運行的“定時炸彈”。為了排除這類安全隱患，可以對計算機系統進行如下設置操作，強制安裝到系統中的各類應用程序，必須使用數字簽名技術：

逐一點選“開始”、“運行”命令，展開系統運行文本框，在其中執行“gpedit.msc”命 令，打開系統組策略編輯窗口。在該編輯窗口左側顯示區域中，依次選中“本地計算機策略”、“用戶配 置”、“管理模板”、“系統”、“驅動程序安裝”節點選項，找到該節點下的“設備驅動程序的代碼簽名”組策略選項，并用鼠標雙擊之，彈出對應選項設置對話框（如圖3所示），勾選“已啟用”選項，激活“當Windows檢測到一個沒有數字簽名的驅動程序文件時”選項。

接著點擊該選項位置處的下拉按鈕，從下拉列表中大家能看到“忽略”、“警告”、“阻止”等選項，如果選中“警告”選項，那么一旦系統中出現了未經數字簽名的舊設備驅動程序時，計算機系統會出現相關安全警告提示；如果不希望未經數字簽名的舊設備驅動程序在系統中“落戶”時，可以選中“阻止”選項，單擊“確定”按鈕后執行設置保存操作即可。

圖3 設備驅動程序的代碼簽名

圖4 啟動設置

當然，在Windows 8系統環境下，也可以按照如下步驟要求對驅動程序執行強制簽名：首先在Windows 8系統的Metro界面中，調出系統Charm菜單，按下“設置”按鈕，切換到系統設置頁面，點擊“常規”選項卡，在對應選項設置頁面勾選最后一項，對計算機進行重啟。當系統出現啟動菜單時，選擇“疑難解答”選項，點擊高級選項設置頁面中“啟動設置”按鈕，將如圖4所示中的“禁用驅動程序強制簽名”選項取消選中即可。

提示數字簽名安全

用戶賬號控制功能，也稱為UAC功能，它是新版本系統為增強安全防范水平，而設計集成在Windows系統中的一項安全新技術，該技術會對存在安全風險的一些操作提出警告提示，同時要求用戶需要擁有相關權限。此外，善于使用這項新技術，也能對特定程序的數字簽名是否安全作出有效的判斷。例如，當要運行的特定程序或進程具有安全、可信的數字簽名信息時，用戶賬號控制功能會以綠色提示框出現；當特定程序或進程雖然擁有數字簽名信息，但系統認為該數字簽名是陌生信息時，用戶賬號控制功能會以黃色提示框出現；當特定程序或進程沒有數字簽名，或者雖然擁有數字簽名信息，但系統認為該數字簽名是不安全時，用戶賬號控制功能會以紅色提示框出現。在默認狀態下，用戶賬戶控制功能會將所有系統文件數字簽名簽署者識別為Microsoft Windows，當掃描判斷出某個文件不存在數字簽名信息時，那系統會認為對應程序文件可能存在安全威脅，需要用戶及時采取措施進行安全防范。

一般Windows系統已默認開啟了用戶賬戶控制功能，當看到該功能還沒有開啟時，不妨啟動運行：首先打開系統控制面板，依次雙擊該窗口中的“用戶賬戶”、“更改用戶賬戶控制設置”選項，彈出如圖5所示的設置界面。看看移動滑塊位于何處，一旦看到其位于“從不通知”位置處時，那就意味著用戶賬戶控制功能目前還沒有開啟運行，這時只要將滑塊移動到“始終通知”位置處，確認后退出設置界面即可。

巧妙應用數字簽名

相信很多人都會遇到在安裝了特定應用程序后，Windows系統常常會擅自地智能安裝某些陌生的軟件，這種捆綁安裝的方式讓人煩不勝煩。實際上，這就是現在所說的流氓行為。怎樣才能拒絕這種流氓安裝行為呢？巧妙應用數字簽名技術，就能有效拒絕讓人厭煩的流氓程序安裝行為了。

圖5 用戶賬戶控制設置

圖6本地組策略編輯器

對于應用程序來說，數字簽名技術就是其身份證，借助數字簽名信息就能查看到程序的版本信息、開發者名稱信息等。對于特定安全工具來說，將各種非法程序的簽名信息添加到病毒庫中，就能快速有效地發現和刪除這些惡意程序。對于自己不想要的應用程序，不妨打開其右鍵菜單，選擇“屬性”命令，展開對應程序的屬性對話框。點選“數字簽名”選項，在對應選項設置頁面中，按下“詳細信息”按鈕，單擊其后界面中的“查看證書”按鈕，之后在詳細信息標簽頁面中按下“復制到文件”按鈕，依照向導提示導出數字簽名信息到特定文件中。

接下來依次單擊“開始”、“運行”命令，彈出系統運行對話框，輸入“gpedit.msc”命令并回車，打開系統組策略編輯界面。在該編輯界面左側列表中，將鼠標定位到“本地計算機策略”、“計算機配置”、“Windows設置”、“安全設置”、“軟件限制策略”節點上，要是第一次訪問該選項，不妨用鼠標右鍵單擊該選項，選擇右鍵菜單中的“創建軟件限制策略”命令，之后選中右側區域的“其他規則”選項（如圖6所示），打開其右鍵菜單，執行其中的“創建證書規則”命令，在彈出界面中選擇“瀏覽”按鈕，選擇先前導出的證書文件，同時將“安全級別”參數選為“不允許”選項，確認后保存設置。日后當嘗試運行具有上述數字簽名證書的程序時，就會受到該安全策略的攔截，讓其不能正常進行安裝操作。