試析Windows 10中的三條安全防線

Windows 10在安全方面有許多明顯改進，本文著重從三方面進行分析，即系統新的 Defender程 序、Device Guard技術，以及AppLocker在Windows 10的地位。

從 Defender說起

在Windows 10中內置的程序Defender，能夠對用戶打開的應用、下載包件自動掃描檢測，并提供有深層檢測選項，盡管它與專業防御工具相比有很多不足之處，但是當用戶安裝了其他第三方殺毒工具之際， Defender就會自動退隱。值得指出的是，假如日后用戶一旦卸載了第三方殺毒工具，Defender立即又會重新上崗擔負起衛士之責。

圖1 AppLocker對當前應用的控制窗口

用戶可以選擇將Defender關閉或打開。在Windows 10中的具體操作方式為：從“開始”程序選Malware（惡 意軟件），而前兩個大牌工具也就是99.9%而已，實際差距能有多少呢！擇“設置”菜單，點擊“升級與安全”后選擇“Windows Defender”，從 右 側 面 板的“實時保護”按鈕下選擇“Off”（關閉）或“On”（開啟）選項。

按照專業機構AVComparatives公布的防御工具排名，與測試成績為6分的BitDefender及Kaspersky相比，Defender僅為3.5分，但是在上千的樣例實際測試中它竟然能夠識別99%的

回看AppLocker

在Windows 7中提供的AppLocker，讓管理員可以通過限制某些程序訪問系統。為此，我們可以運行組策略編輯器，在本地計算機 策 略“Local Computer Policy”下轉到 Computer ConfigurationWindows S e t t i n g sS e c u r i t y SettingsApplication C o n t r o l P o l i c i e sAppLocker， 即 可 看 到AppLocker對當前應用的控制窗口（如圖1所示）。

在“Configure Rule Enforcement” 欄 目 下點 擊“Configure Rule Enforcement” 鏈 接 后 即可進入AppLocker屬性窗口，然后勾選“Executable rules”使之生效?，F在，筆者通過演示禁止某用戶運行Windows系統附件中的小游戲來說明AppLocker的操作過程。

假設是第一次設置AppLocker，那么在AppLocker屬性窗口內選擇生成規則“Create New Rule…” 后就會打開向導程序Create Executable Rules，在“Action”下的“Permissions”下選擇“Deny”，然后添加要禁止的用戶后進入“下一步”，在Conditions窗口內點擊Conditions欄目后選擇路徑“Path”，然后瀏覽找到游戲文件夾“Microsoft Games”，接下去我們可以設定對文件夾中的哪些文件保持運行，但此時我們要禁用文件夾內所有文件，所以直接跳到下一步；此時可以加入對設置規則的描述信息，然后點擊“Create”；為確保規則生效，我們需要轉到“Services”欄目內開啟“Application Identification”，在默認時它并沒有激活。之后當該用戶再次運行小游戲時就會收到該程序已被組策略禁運，更多幫助請聯系系統管理員之類的提示信息。

Device Guard能成為“鋼鐵戰士”嗎？

那么，Windows 10中的Device Guard與AppLocker有何區別呢？眾所周知，應用控制或曰白名單技術是企業對抗Malware的一種重要手段。白名單最初出現在Windows XP中，作為一種SRP (Software Restriction Policies)策略并沒有得到推廣，于是在隨后的Windows 7中出現的AppLocker便成為其替代品，技術有了明顯改善，盡管如此，在Windows 10中又出現了全新的所謂設備衛士Device Guard意欲何為呢？

我們看到，伴隨Device Guard而來的還有其他一些技術比如KMCI（Kernel Mode Code Integrity）以及 UMCI（User Mode Code Integrity）。 嚴 格 地 說，KMCI在Windows Vista已現端倪，而UMCI則是在Windows 10中首現，它們倆所促成的安全策略涉及所運行的驅動程序、用戶模式二進制代碼、MSIs乃至腳本Scripts都需要有可信任簽名；UMCI更是要求一種基于硬件的虛擬化安全保護VBS (Virtualization-Based Security)，這 對 于Windows內核免遭Malware入侵十分重要。我們可以通過Windows 10中的組策略Group Policy進行VSM(Virtual Secure Mode)設置，從而讓VBS生效。

那么，這是否意味著Device Guard就完全替代了AppLocker，就像后者替代白名單那樣呢？筆者從Windows 10的理論體系中的看法是，Device Guard應該是系統的第一道基礎防線，在此基礎上結合使用AppLocker，由后者攔截某些指定的應用程序。Device Guard提供的是一種底層保護，AppLocker則是對應用層進行防驗。

值得說明的是，在Windows 10企業版本中的Device Guard并沒有提供GUI界面；另外，在最近面世的 Windows 10 Creators Update版本中Device Guard又有了新的改進，比如可以進一步控制插件Plug-ins、附件Add-ins以及模塊是否準運。