论文部分内容阅读
微软对用户的要求是相当严格的,你除了必须为每一个Windows获得授权,还必须注册和激活,否则,你将可能无法登录系统。然而,对于解决Windows系统缺陷与安全隐患微软却未必会像严格要求用户那样要求自己。一直以来,有许多Windows的漏洞都不能及时地得到修复,即使在最新版本的Windows 7中也是如此。下面,我们将为你找出这些问题中最糟糕的几个,并为你介绍解决这些问题的方法。
可怕:Windows XP删除Vista和Windows 7的数据
同时安装Windows XP、Vista或Windows 7多系统的用户必须注意,虽然在Vista和Windows 7中有非常严格的权限管理制度,但却无法保护系统的数据不被Windows XP所删除,而且,Windows XP确确实实会在没有任何提示的情况下删除Windows Vista和Windows 7系统的数据,这是一个众所周知的系统缺陷。由于微软从Vista开始修改了系统的备份、还原功能,而在此前推出的Windows XP无法正确识别新版本的Volsnap驱动程序,所以导致Windows XP系统会错误地删除新系统的还原信息。对于微软来说,修复这一缺陷需要让Windows XP支持新的技术,需要花费大量的时间进行设计和测试,代价非常昂贵。
当然,这不是唯一的方法,如果你的多个系统在同一个硬盘上,那么我们建议你在启动Windows XP时隐藏其他系统所在的分区。首先,在“开始|运行”输入框中输入“Regedit”打开注册表编辑器,依次单击转到“HKEY_LOCAL_MACHINESYSTEMMountedDevices”,单击“编辑”菜单,指向“新建”,选择“项”,创建一个“Offline”项,单击选择新建的项,单击“编辑”被菜单,指向“新建”,选择“DWORD值”,以隐藏磁盘分区“D”为例,新建DWORD值“DosDevicesD:”,并双击该值将其数据修改为“1”。如此设置之后,在Windows XP启动时,Vista或Windows 7所在的磁盘分区“D”将隐藏起来。
安全:容易受到攻击的系统组件
内核自然是Windows中最关键的一部分,同时也是需要特别加以保护的一部分,如果内核出现问题,那么毫无疑问整个系统也会处于危险之中。但是,令人难以置信的是只需要修改一个注册表键值,Windows的内核模块Win32k.sys就会出错。通过它,攻击者可以轻松地获取Windows 7用户账户控制的最高系统权限。这个漏洞被发现于2010年11月,但是,至本文发稿时仍未修复。错误发生在RtlQueryRegistryValues系统模块,在Win32k.sys查询注册表中相关的键值时,它假定注册表值是REG_SZ类型的,所以提供的是一个UNICODE_STRING结构的堆栈缓冲区,但如果此时注册表值是REG_BINARY类型的,那么它将会错误地解释为是给定的缓冲区长度,从而覆盖堆栈,导致缓冲区溢出,黑客因而可以提升当前用户权限进行更深入的攻击。该漏洞最初发表于编程网站“www.codeproject.com”,并被转载到“http://68.233.235.195/kmax/security-uac.aspx.htm”,但不久上述内容皆被删除。但是,使用上面的网址作为搜索关键字,你将能够找到相关的技术文档以及示例代码。
上面所介绍的漏洞虽然可怕,但是,这毕竟是本地攻击者才能够利用的漏洞,而更可怕的漏洞则来自于微软一直推崇备至的ActiveX。微软从Internet Explorer 3开始在浏览器上加入ActiveX功能,然而,一直以来,ActiveX模块都缺乏完善的安全措施。在过去的3年中,美国政府的漏洞数据库共记录了338项ActiveX相关的错误。甚至微软自己也说,互联网上有一半的ActiveX控件不符合相关的安全标准,该技术有可能被滥用。因此,你应尽量避免使用ActiveX,在IE浏览器中可单击浏览器右上角的“工具”按钮,选择“Internet选项”,单击切换到“安全”选项卡,单击“自定义级别”按钮,禁用“对标记为安全执行脚本的ActiveX控件和插件执行脚本”、“ActiveX控件和插件”,或者使用谷歌浏览器和Firefox浏览器来浏览互联网。
不可靠:漏洞未能及时修复
微软通常在每个月的头两个星期发布最新的安全补丁,但是许多知名的Windows漏洞却没有得到及时修复。
微软对许多认为不重要的漏洞都不予理睬,有时历经多年也不去修复,2002年的Windows File Protection(WFP)漏洞就是其中的一例。其次,由于微软终止了Windows XP的在线更新服务,所以根据FSecure安全专家的报告,仅因为缺乏MS08-067这一补丁,在短短一天之内,就有100万台电脑通过USB存储设备感染了“Conficker”蠕虫病毒。另外,安全专家Chris Evans发现,一个大约两年前披露的CSS漏洞至今仍然在影响着IE浏览器,使用该漏洞,攻击者可以劫持用户的认证浏览会话,窃取个人信息,可以将浏览器定向到一个恶意网站,迫使受害者发送信息到Twitter或其他社交网站上。这个漏洞在被披露之后,苹果、谷歌、Mozilla和Opera等浏览器制造商都已经纠正了该错误,但是,Chris Evans没有成功说服微软修复该漏洞,对于微软来说,这或许又是一个微不足道的问题。
不可信:夸大IE8的安全性
微软自2010年3月8日开始宣传其IE8浏览器,口号是“With security in Internet”(安全的上网体验),然而,我们并没有看到IE8在安全方面有任何值得称道之处。无论是对弹出窗口的过滤、第三方Cookie的处理,还是不在浏览器上留下任何冲浪痕迹的“Private浏览”方式,与其他浏览器相比都没有什么优势,这些也并不是IE所首创。相反,由于IE8所标榜的这些安全功能的存在,该浏览器与网上银行以及其他金融服务提供者的网页兼容性极差。其次,类似上面曾经提到的CSS安全漏洞,IE8并没有很好地解决,对于当前最严重的钓鱼网站与诈骗网页,IE8给出的解决方案也并不能够真正解决问题,而对于如何避免跨站点脚本攻击,IE8提供了一个过滤跨站脚本的XSS筛选器,然而,恰恰是该筛选器导致了IE8更容易受到跨站点脚本攻击。
失败:安全功能名存实亡
微软在IE8中添加了一个防御跨站点脚本攻击的XSS筛选器,跨站点脚本攻击是当前黑客最喜欢使用的一种攻击方法,互联网上有许多网站可以实施类似的攻击。通过跨站点脚本攻击,黑客只需要在网页上插入攻击代码,即可在用户访问这些网页时实现盗取信息或者执行特定命令的目的。但是,遗憾的是IE8过滤跨站脚本的XSS筛选器本身存在漏洞,攻击者只需简单地在攻击代码中插入一些字符,即可轻松地绕过跨站脚本过滤器,操纵XSS筛选器。在2010年的黑客安全大会(Black Hat Europe)上,安全专家演示了通过该筛选器漏洞实施的攻击。而为了解决跨站点脚本筛选器的漏洞,微软已经3次发布用于该过滤筛选器的修复补丁。
相比之下,大部分用户宁愿在访问可疑网站时关闭脚本程序。在Firefox浏览器中,使用附加组件NoScript(noscript.net)可以轻松地完成这一任务。除了XSS筛选器以外,安全功能方面的失败对于微软来说还有许多,例如OneCare就曾在Virus Bulletin测试中以无法识别超过18%的病毒样本而无法通过测试。
矛盾:左右互搏的开发队伍
在微软为全球开发人员、设计人员、互联网内容提供商以及商业用户举办的MIX大会上,一直被微软推崇的Silverlight被确立为Windows Phone 7的唯一应用开发平台。然而,过了没多久,在微软专业开发者大会上,Silverlight却被冷落,并且微软服务器与开发工具事业部负责人Bob Muglia也承认,微软的政策发生了转变,HTML5将是未来跨平台解决方案的唯一选择。
在微软,类似的情况时有发生,团队之间的竞争,导致产品不时出现一些莫名其妙的问题。IE8浏览器提供的一项新的功能“InPrivate浏览”可以用于防止IE8存储有关浏览会话的数据,避免其他用户知道你在互联网上做什么,与此同时,IE8还提供了一项强大的过滤功能“InPrivate筛选”,然而,许多用户会发现这一功能有点不太正常,打开浏览器总是处于默认关闭的状态,不论该功能原来是否打开,这一奇怪现象可能与“InPrivate筛选”能够用于广告过滤而微软公司涉足广告营销领域有关。
当然,如果你希望让“InPrivate筛选”功能恢复正常也是有办法的。首先,打开注册表编辑器,依次单击展开到“HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerSafetyPrivacIE”,单击“编辑”菜单,指向“新建”,选择“DWORD值”,新建一个“StartMode”值,双击该值将其数据修改为“1”。完成设置后,“InPrivate筛选”功能将恢复正常,你可以在线查找其他用户的过滤设置文件,通过“InPrivate筛选设置”功能导入以完善其过滤功能。
过时:附件功能形同虚设
Windows 7的大部分附件功能与早已面临淘汰的Windows XP相差无几,实在难以满足用户的应用需要,对于大部分的用户来说,附件功能可以说只是一个摆设。Windows 7的画图功能有一个新的界面,但是功能简单,支持的文件格式也极少,而免费图像编辑软件Paint.NET(www.getpaint.net),功能已经接近于Photoshop,安装一个PSD插件,甚至还可以处理Photoshop格式的文件。文档编辑软件“写字板”也同样无法和Notepad++(notepad-plus-plus.org)之类的免费软件相比,就连最简单的文件压缩软件,Windows也仅能够支持ZIP之类的文件压缩格式,而免费的压缩软件7zip(www.7-zip.org)则可以支持几乎所有的文件压缩算法。基本上,对于大部分用户来说,Windows 7附件中的功能都是形同虚设。
Windows是间谍?
许多大机构都收集用户的数据,其目的或许并无恶意,但是由于个人信息被收集和滥用的问题日益严重,因而,无论各大机构对于类似的行为给出什么样的解释,大部分用户仍然心存疑虑,关闭所有收集数据的途径是许多用户的选择。不过,关闭特定的功能将有何损失?这是你必须知道的。
Windows正版增值计划
Windows在验证当前系统是否是正版软件时,将检查包括MAC地址、硬盘序列号等相关的信息。要删除系统的Windows Genuine Advantage(WGA)信息需要进行比较复杂的操作,也有一些工具软件能够简单地进行处理。但是,严格来说这些软件都是非法的,并且你必须了解的是,如果你删除WGA信息,那么系统只能够接收到重要的安全更新,一些严格要求必须通过正版验证方可安装的软件将无法使用。
微软SpyNet
微软的反间谍软件Defender和病毒防御软件Security Essentials皆通过SpyNets收集相关的信息,以识别更多可疑的程序,但是,由于安全软件收集的信息相对范围比较广泛,所以许多用户宁愿不能够得到足够的保障也不愿意让自己的信息被收集,对于这些用户来说,可以在软件上选择不加入SpyNets。以Security Essentials为例,你可以在软件主界面上单击切换到“设置”选项卡,单击“Microsoft SpyNet”并选择“我不想加入SpyNet”即可。如果你所使用版本的软件未提供相关的选项,则可以使用注册表编辑器,将“HKEY_LOCAL_ MACHINESOFTWAREMicrosoftMicros oft AntimalwareSpyNet”项下的“SpyNetReporting”键值的数据设为“0”即可。
不过,在决定不加入SpyNet之前,你必须了解,这将导致相关的安全软件检测到未分类的程序时,无法得到警报信息。另外,使用Windows 7的用户必须了解,如果你决定退出SpyNet,那么系统的动态签名服务也将被禁止,该服务用于检测程序的签名,当它检测到一个未知的程序时,将向指定的服务器查询程序的签名,可以通过匹配签名发现已知的恶意软件。
Windows的神秘力量
当然,Windows也并非一无是处,在Vista和Windows 7中,也同样有一些值得称道之处。
内存保护:从Vista开始,Windows采用了ASLR(Address space layout randomization,地址空间布局随机化)和DEP(Data execution prevention,数据执行保护)技术,使黑客难以对Windows主存储器进行访问,因而,Windows系统变得比Linux或Mac OS X更难被破解。
SSD功能:Windows 7是第一个可以识别和支持最新固态硬盘控制器的操作系统,并且,系统中各项功能也根据固态硬盘的特性进行了调整,因而,在Windows 7中使用固态硬盘能够获得更佳的性能,同时,硬盘的寿命也更有保障。
GPU加速:在Windows 7中播放高清视频对于硬件的要求大幅降低,这是由于系统能够充分发挥显示卡芯片的性能,只要硬件使用通过微软认证的驱动程序,就可以利用图形芯片的硬件加速功能。
可怕:Windows XP删除Vista和Windows 7的数据
同时安装Windows XP、Vista或Windows 7多系统的用户必须注意,虽然在Vista和Windows 7中有非常严格的权限管理制度,但却无法保护系统的数据不被Windows XP所删除,而且,Windows XP确确实实会在没有任何提示的情况下删除Windows Vista和Windows 7系统的数据,这是一个众所周知的系统缺陷。由于微软从Vista开始修改了系统的备份、还原功能,而在此前推出的Windows XP无法正确识别新版本的Volsnap驱动程序,所以导致Windows XP系统会错误地删除新系统的还原信息。对于微软来说,修复这一缺陷需要让Windows XP支持新的技术,需要花费大量的时间进行设计和测试,代价非常昂贵。
当然,这不是唯一的方法,如果你的多个系统在同一个硬盘上,那么我们建议你在启动Windows XP时隐藏其他系统所在的分区。首先,在“开始|运行”输入框中输入“Regedit”打开注册表编辑器,依次单击转到“HKEY_LOCAL_MACHINESYSTEMMountedDevices”,单击“编辑”菜单,指向“新建”,选择“项”,创建一个“Offline”项,单击选择新建的项,单击“编辑”被菜单,指向“新建”,选择“DWORD值”,以隐藏磁盘分区“D”为例,新建DWORD值“DosDevicesD:”,并双击该值将其数据修改为“1”。如此设置之后,在Windows XP启动时,Vista或Windows 7所在的磁盘分区“D”将隐藏起来。
安全:容易受到攻击的系统组件
内核自然是Windows中最关键的一部分,同时也是需要特别加以保护的一部分,如果内核出现问题,那么毫无疑问整个系统也会处于危险之中。但是,令人难以置信的是只需要修改一个注册表键值,Windows的内核模块Win32k.sys就会出错。通过它,攻击者可以轻松地获取Windows 7用户账户控制的最高系统权限。这个漏洞被发现于2010年11月,但是,至本文发稿时仍未修复。错误发生在RtlQueryRegistryValues系统模块,在Win32k.sys查询注册表中相关的键值时,它假定注册表值是REG_SZ类型的,所以提供的是一个UNICODE_STRING结构的堆栈缓冲区,但如果此时注册表值是REG_BINARY类型的,那么它将会错误地解释为是给定的缓冲区长度,从而覆盖堆栈,导致缓冲区溢出,黑客因而可以提升当前用户权限进行更深入的攻击。该漏洞最初发表于编程网站“www.codeproject.com”,并被转载到“http://68.233.235.195/kmax/security-uac.aspx.htm”,但不久上述内容皆被删除。但是,使用上面的网址作为搜索关键字,你将能够找到相关的技术文档以及示例代码。
上面所介绍的漏洞虽然可怕,但是,这毕竟是本地攻击者才能够利用的漏洞,而更可怕的漏洞则来自于微软一直推崇备至的ActiveX。微软从Internet Explorer 3开始在浏览器上加入ActiveX功能,然而,一直以来,ActiveX模块都缺乏完善的安全措施。在过去的3年中,美国政府的漏洞数据库共记录了338项ActiveX相关的错误。甚至微软自己也说,互联网上有一半的ActiveX控件不符合相关的安全标准,该技术有可能被滥用。因此,你应尽量避免使用ActiveX,在IE浏览器中可单击浏览器右上角的“工具”按钮,选择“Internet选项”,单击切换到“安全”选项卡,单击“自定义级别”按钮,禁用“对标记为安全执行脚本的ActiveX控件和插件执行脚本”、“ActiveX控件和插件”,或者使用谷歌浏览器和Firefox浏览器来浏览互联网。
不可靠:漏洞未能及时修复
微软通常在每个月的头两个星期发布最新的安全补丁,但是许多知名的Windows漏洞却没有得到及时修复。
微软对许多认为不重要的漏洞都不予理睬,有时历经多年也不去修复,2002年的Windows File Protection(WFP)漏洞就是其中的一例。其次,由于微软终止了Windows XP的在线更新服务,所以根据FSecure安全专家的报告,仅因为缺乏MS08-067这一补丁,在短短一天之内,就有100万台电脑通过USB存储设备感染了“Conficker”蠕虫病毒。另外,安全专家Chris Evans发现,一个大约两年前披露的CSS漏洞至今仍然在影响着IE浏览器,使用该漏洞,攻击者可以劫持用户的认证浏览会话,窃取个人信息,可以将浏览器定向到一个恶意网站,迫使受害者发送信息到Twitter或其他社交网站上。这个漏洞在被披露之后,苹果、谷歌、Mozilla和Opera等浏览器制造商都已经纠正了该错误,但是,Chris Evans没有成功说服微软修复该漏洞,对于微软来说,这或许又是一个微不足道的问题。
不可信:夸大IE8的安全性
微软自2010年3月8日开始宣传其IE8浏览器,口号是“With security in Internet”(安全的上网体验),然而,我们并没有看到IE8在安全方面有任何值得称道之处。无论是对弹出窗口的过滤、第三方Cookie的处理,还是不在浏览器上留下任何冲浪痕迹的“Private浏览”方式,与其他浏览器相比都没有什么优势,这些也并不是IE所首创。相反,由于IE8所标榜的这些安全功能的存在,该浏览器与网上银行以及其他金融服务提供者的网页兼容性极差。其次,类似上面曾经提到的CSS安全漏洞,IE8并没有很好地解决,对于当前最严重的钓鱼网站与诈骗网页,IE8给出的解决方案也并不能够真正解决问题,而对于如何避免跨站点脚本攻击,IE8提供了一个过滤跨站脚本的XSS筛选器,然而,恰恰是该筛选器导致了IE8更容易受到跨站点脚本攻击。
失败:安全功能名存实亡
微软在IE8中添加了一个防御跨站点脚本攻击的XSS筛选器,跨站点脚本攻击是当前黑客最喜欢使用的一种攻击方法,互联网上有许多网站可以实施类似的攻击。通过跨站点脚本攻击,黑客只需要在网页上插入攻击代码,即可在用户访问这些网页时实现盗取信息或者执行特定命令的目的。但是,遗憾的是IE8过滤跨站脚本的XSS筛选器本身存在漏洞,攻击者只需简单地在攻击代码中插入一些字符,即可轻松地绕过跨站脚本过滤器,操纵XSS筛选器。在2010年的黑客安全大会(Black Hat Europe)上,安全专家演示了通过该筛选器漏洞实施的攻击。而为了解决跨站点脚本筛选器的漏洞,微软已经3次发布用于该过滤筛选器的修复补丁。
相比之下,大部分用户宁愿在访问可疑网站时关闭脚本程序。在Firefox浏览器中,使用附加组件NoScript(noscript.net)可以轻松地完成这一任务。除了XSS筛选器以外,安全功能方面的失败对于微软来说还有许多,例如OneCare就曾在Virus Bulletin测试中以无法识别超过18%的病毒样本而无法通过测试。
矛盾:左右互搏的开发队伍
在微软为全球开发人员、设计人员、互联网内容提供商以及商业用户举办的MIX大会上,一直被微软推崇的Silverlight被确立为Windows Phone 7的唯一应用开发平台。然而,过了没多久,在微软专业开发者大会上,Silverlight却被冷落,并且微软服务器与开发工具事业部负责人Bob Muglia也承认,微软的政策发生了转变,HTML5将是未来跨平台解决方案的唯一选择。
在微软,类似的情况时有发生,团队之间的竞争,导致产品不时出现一些莫名其妙的问题。IE8浏览器提供的一项新的功能“InPrivate浏览”可以用于防止IE8存储有关浏览会话的数据,避免其他用户知道你在互联网上做什么,与此同时,IE8还提供了一项强大的过滤功能“InPrivate筛选”,然而,许多用户会发现这一功能有点不太正常,打开浏览器总是处于默认关闭的状态,不论该功能原来是否打开,这一奇怪现象可能与“InPrivate筛选”能够用于广告过滤而微软公司涉足广告营销领域有关。
当然,如果你希望让“InPrivate筛选”功能恢复正常也是有办法的。首先,打开注册表编辑器,依次单击展开到“HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerSafetyPrivacIE”,单击“编辑”菜单,指向“新建”,选择“DWORD值”,新建一个“StartMode”值,双击该值将其数据修改为“1”。完成设置后,“InPrivate筛选”功能将恢复正常,你可以在线查找其他用户的过滤设置文件,通过“InPrivate筛选设置”功能导入以完善其过滤功能。
过时:附件功能形同虚设
Windows 7的大部分附件功能与早已面临淘汰的Windows XP相差无几,实在难以满足用户的应用需要,对于大部分的用户来说,附件功能可以说只是一个摆设。Windows 7的画图功能有一个新的界面,但是功能简单,支持的文件格式也极少,而免费图像编辑软件Paint.NET(www.getpaint.net),功能已经接近于Photoshop,安装一个PSD插件,甚至还可以处理Photoshop格式的文件。文档编辑软件“写字板”也同样无法和Notepad++(notepad-plus-plus.org)之类的免费软件相比,就连最简单的文件压缩软件,Windows也仅能够支持ZIP之类的文件压缩格式,而免费的压缩软件7zip(www.7-zip.org)则可以支持几乎所有的文件压缩算法。基本上,对于大部分用户来说,Windows 7附件中的功能都是形同虚设。
Windows是间谍?
许多大机构都收集用户的数据,其目的或许并无恶意,但是由于个人信息被收集和滥用的问题日益严重,因而,无论各大机构对于类似的行为给出什么样的解释,大部分用户仍然心存疑虑,关闭所有收集数据的途径是许多用户的选择。不过,关闭特定的功能将有何损失?这是你必须知道的。
Windows正版增值计划
Windows在验证当前系统是否是正版软件时,将检查包括MAC地址、硬盘序列号等相关的信息。要删除系统的Windows Genuine Advantage(WGA)信息需要进行比较复杂的操作,也有一些工具软件能够简单地进行处理。但是,严格来说这些软件都是非法的,并且你必须了解的是,如果你删除WGA信息,那么系统只能够接收到重要的安全更新,一些严格要求必须通过正版验证方可安装的软件将无法使用。
微软SpyNet
微软的反间谍软件Defender和病毒防御软件Security Essentials皆通过SpyNets收集相关的信息,以识别更多可疑的程序,但是,由于安全软件收集的信息相对范围比较广泛,所以许多用户宁愿不能够得到足够的保障也不愿意让自己的信息被收集,对于这些用户来说,可以在软件上选择不加入SpyNets。以Security Essentials为例,你可以在软件主界面上单击切换到“设置”选项卡,单击“Microsoft SpyNet”并选择“我不想加入SpyNet”即可。如果你所使用版本的软件未提供相关的选项,则可以使用注册表编辑器,将“HKEY_LOCAL_ MACHINESOFTWAREMicrosoftMicros oft AntimalwareSpyNet”项下的“SpyNetReporting”键值的数据设为“0”即可。
不过,在决定不加入SpyNet之前,你必须了解,这将导致相关的安全软件检测到未分类的程序时,无法得到警报信息。另外,使用Windows 7的用户必须了解,如果你决定退出SpyNet,那么系统的动态签名服务也将被禁止,该服务用于检测程序的签名,当它检测到一个未知的程序时,将向指定的服务器查询程序的签名,可以通过匹配签名发现已知的恶意软件。
Windows的神秘力量
当然,Windows也并非一无是处,在Vista和Windows 7中,也同样有一些值得称道之处。
内存保护:从Vista开始,Windows采用了ASLR(Address space layout randomization,地址空间布局随机化)和DEP(Data execution prevention,数据执行保护)技术,使黑客难以对Windows主存储器进行访问,因而,Windows系统变得比Linux或Mac OS X更难被破解。
SSD功能:Windows 7是第一个可以识别和支持最新固态硬盘控制器的操作系统,并且,系统中各项功能也根据固态硬盘的特性进行了调整,因而,在Windows 7中使用固态硬盘能够获得更佳的性能,同时,硬盘的寿命也更有保障。
GPU加速:在Windows 7中播放高清视频对于硬件的要求大幅降低,这是由于系统能够充分发挥显示卡芯片的性能,只要硬件使用通过微软认证的驱动程序,就可以利用图形芯片的硬件加速功能。