《windows7安全性分析》由会员分享,可在线阅读,更多相关《windows7安全性分析(42页珍藏版)》请在金锄头文库上搜索。
1、Windows 7 安全性分析,物理与电信工程学院 江捷 刘卓俊 王骏昂 资源:新浪微盘 邮箱:略 Q 群:极品讨论组 微博:忘了,本课件模版系盗用华南师范大学物理与电信工程学院唐小煜老师,请作者谅解,Windows 7 的安全性(目录),一、保护内核 二、更安全的网页浏览(InPrivate、保护模式) 三、安全工具和应用软件 Windows防火墙 Windows Defender反间谍软件 Microsoft Security Essentials反病毒软件 四、监控Action Center 五、系统及数据加密(登陆、文件、全盘),一、保护内核,1.内核是操作系统的核心,这也使得它成为恶
2、意软件和其他攻击的主要目标。基本上,如果攻击者能够访问或操控操作系统的内核,那么他们可以在其他应用程序甚至操作系统本身都无法检测到的层次上执行恶意代码。微软开发了“内核模式保护”来保护核心,并确保不会出现未获授权的访问。,Windows 7 内核组成,Windows7的内核分为几层,首先最底层当然是硬件,上面是硬件的抽象层,与硬件抽象层直接对话的是操作系统的内核,文件系统和其它的内核模式下的DRIVER可以通过调用内核封装好的API(EXPORTED DRIVER SUPPORT ROUTINES)来与系统内核通信。再往上就是USER MODE运行的空间了,这幅图上面画的已经很清楚了,用户模式
3、的DRIVER与WIN32API是调用的关系,也就是从某种意义上说用户模式的DRIVER其实就是一个应用程序。但是真正的用户驱动程序不与用户模式的DRIVER直接对话也是通过WIN32API来进行通信的。 我们总结一下内核模式与用户模式的最大不同就是一个是基于WIN32API的,一个是基于系统内核调用的,他们所调用的函数接口不同,工人方式不同,所用数据结构也不一样。但是有一点是一样的,用户的应用程序不与驱动直接对话,而是统一调用WIN32API.,Windows 7 内核组成,在Windows里面有一个叫做SSDT的东西,SSDT 的全称是 System Services Descriptor
4、 Table,系统服务描述符表。 这个表就是一个把 Ring3 的 Win32 API 和 Ring0 的内核 API 联系起来。 SSDT 并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。 正因为它是连接了内核模式和用户模式的函数,所以黑客只要把这张表给偷梁换柱,换成自己写的函数(病毒、恶意程序)地址,就可以实现其狂妄的目的了。 因此,微软在它的第一版x64系统(XP x64)上引入了一项新技术。当然包括Windows7,新增了一个内核检查措施,称为Kernel Patch Protection又名PatchGuard,简称KPP,对内
5、核本身和重要的数据结构进行保护。,Windows 7 内核模式保护,2.地址空间层随机化(ASLR)通过将关键的操作系统功能在内存中进行随机分布,可以将攻击者阻止在他们踌躇于从何处进行攻击时。微软还开发了数据执行保护(DEP),以防止那些可能包含数据的文件或存储在保留给数据区域的文件去执行任何类型的代码。,DEP对堆栈溢出的保护 在栈溢出介绍中提及到Windows体系结构下函数堆栈布局(地址从高向低)如表1: 如果发生堆栈溢出,恶意代码通过覆盖在堆栈(stack)上的局部变量,从而修改函数的返回地址,而导致恶意代码执行。表2是这类攻击方式的堆栈结构的一个典型例子。,DEP保护,栈溢出攻击过程是
6、这样的:不采用ASR技术的进程,因其地址空间固定,攻击这可预先得出攻击代码的地址,将起覆盖到某函数返回地址的位置,使函数返回时跳转到攻击代码的位置执行。 当DEP保护机制被使用后,由于恶意代码是存放在系统的数据页面(堆栈页面上),那么函数返回时,指令寄存器EIP将跳转到恶意代码的入口地址。此时该页面是非可执行的(non-executable),于是DEP就会触发系统异常而导致程序中止。,ASR技术,ASR技术主要对进程的栈,堆,主程序代码段,静态数据段,共享库,GOT(Global Offset Table)等所在的地址进行随机化。采用了ASR技术后,因为攻击代码的地址不固定,攻击者只能猜测该
7、地址,所以不能保证正确跳转到攻击代码的位置。,二、更安全的网页浏览,Windows 7 附带了当前功能最强大的网页浏览器版本IE8。您也可以在其他的Windows操作系统版本上下载并运行IE8,所以它不是专用于Windows 7的,但它确实带来了一些安全性能上的提升。 InPrivate浏览方式提供了私密上网的能力;IE8另一个安全上的改进是保护模式。,1.InPrivate浏览,InPrivate 浏览可让您在 Web 上冲浪时不会在 Internet Explorer 中留下任何隐私信息痕迹。InPrivate浏览方式提供了私密上网的能力,就像in private(私下地)这个名字它所揭示
8、的一样。当你启动一个InPrivate浏览窗口时,IE浏览器不会保存个人网上冲浪的任何相关信息。这意味着,您所输入的信息不会保存在cache中,也没有历史信息记录您访问过的网站。当你在一台共享或者公共的电脑上使用IE8时(比如在图书馆),这项功能就显得特别有用。,您可以从“新建选项卡”页面或通过按 Ctrl+Shift+P 来启动 InPrivate 浏览。 在您启动 InPrivate 浏览后,Internet Explorer 会打开一个新窗口。InPrivate 浏览提供的保护仅在您使用该窗口期间有效。您可以在该窗口中根据您的需要打开尽可能多的选项卡,而且这些选项卡都将受到 InPriv
9、ate 浏览的保护。但是,如果您打开了另一个浏览器窗口,则该窗口不受 InPrivate浏览保护。若要结束 InPrivate 浏览会话,请关闭该浏览器窗口。,当您使用 InPrivate 浏览进行冲浪时,Internet Explorer 存储一些信息例如 cookie 和 临时 Internet 文件以便您访问的网页能正常工作。但是,在结束 InPrivate 浏览会话时,该信息将被丢弃。下表描述了关闭浏览器时 InPrivate 浏览将丢弃哪些信息以及在浏览会话中它将产生什么影响:,2.保护模式,保护模式的实现是基于Windows 7的安全组件,这些组件能够确保恶意或未经授权的代码不会被
10、允许在浏览器上运行。保护模式会阻止drive-by下载攻击,这些攻击使得用户在访问某个被攻破的网站时就能安装恶意软件到你的系统中,很多Windows7用户已经习惯了使用IE8浏览器,可能并没有注意到IE保护模式的存在,也许因为这个功能实在太“低调”了,平时躲在IE8窗口右下方的角落里,不注意的话,还看不出来。这个功能看似简单,但是面对如今危机四伏的Internet,用户稍一不慎系统便可能被各类插件、脚本或恶意软件侵入,而IE8的保护模式则可以更好的保护您的浏览安全。,我们可以把不兼容的网站(该网站所需的插件和保护模式不兼容)添加到IE的可信站点中,步骤如下: 双击图1右方的“保护模式:启用”部
11、分,即可打开“Internet安全性”设置对话框,单击其上的“可信站点”部分,然后单击“站点”按钮,如右图所示:,接下来在此输入所需的Web站点的URL地址,并单击“添加”按钮,同时确保清空“对该区域中的所有站点要求服务器验证”复选框,然后单击“关闭”按钮,如右图所示: 回到前一个对话框,单击其上的“确定”按钮保存所做的设置即可。,原来在默认的IE安全设置中,可信站点区域默认不启用保护模式功能,如图1所示,我们可以看到“启用保护模式”的复选框是清空状态。当我们访问的添加到可信站点中的网站时,所启动的IE浏览器并没有启用保护模式,这时候插件就可以正常运行了。 综上所述,我们可以看到,IE保护模式
12、既能有效地保护Web浏览器和Windows系统的安全,同时又能方便地启用兼容性设置,确保不会干扰我们的正常使用,确实非常方便。,注意事项:,1.只有IE浏览器才能享用保护模式带来的好处,第三方的浏览器、或者以IE为内核的一些外挂浏览器无法获得保护模式的功能。 2.只有确认安全的网站,才能添加到可信站点区域。错将问题站点添加到可信区域,将会导致系统安全的严重受损。 3.最好能够对旧版插件进行改进,以确保插件的兼容性,这样可以大大提高系统安全。,三、安全工具和应用软件,由于有了内核式保护以及微软所做的其他改变,再怎样或是否允许应用程序和操作系统的核心功能进行交互方面,旧的杀毒软件和其他安全软件不能
13、和Windows 7兼容。 像McAfee、赛门铁克、趋势科技以及其他供应商,都提供和Windows 7兼容的版本,但如果你不想投入更多的钱,微软也提供免费的安全工具来保护你的系统。 Windows防火墙和Windows Defender反间谍软件工具包含在Windows 7的基本安装包中。你也可以下载并安装Microsoft Security Essentials反病毒软件。,Windows 7防火墙保护你的系统安全,大部分人工作和生活都离不开互联网,可是当前的互联网安全性实在令人堪忧,防火墙对于个人电脑来说就显得日益重要,在XP年代,WinXP自带的防火墙软件仅提供简单和基本的功能,且只能
14、保护入站流量,阻止任何非本机启动的入站连接,默认情况下,该防火墙还是关闭的,所以我们只能另外去选择专业可靠的安全软件来保护自己的电脑。而现在Win7就弥补了这个缺憾,全面改进了Windows 7 自带的防火墙,提供了更加强大的保护功能,Windows 7 防火墙的启动,在Windows 7 桌面上,单击开始菜单处进入控制面板,然后找到“Windows防火墙”功能。,Windows 7 防火墙的基本设置,点击进入“打开或关闭Windows防火墙”设置窗口,点击“启用Windows防火墙”即可开启Windows 7 的防火墙。 Win7提供了三种网络类型供用户选择使用:公共网络、家庭网络或者工作网
15、络,后两者都被Windows 7 系统视为私人网络。所有网络类型,Win7都允许手动调整配置。另外,Win7系统中为每一项设置都提供了详细的说明文字,一般用户在动手设置前有不明白的地方先浏览一遍就可以。,如果你选择了“家庭网络”选项,你将可以建立一个“家庭组”。在这种环境中,“网路发现”会自动启动,你将可以看到网络中其它的计算机和设备,同时他 们也将可以看到你的计算机。隶属于“家庭组”的计算机能够共享图片、音乐、视频、文档库以及如打印机这样的硬件设备。如果有你不想共享的文件夹在文档库 中,你还可以排除它们。 如果你选择的是“工作网络”,“网路发现”同样会自动启动,但是你将不能创建或是加入“家庭
16、组”。如果你的计算机加入了Windows域(通过控制面 板系统和安全系统高级系统配置计算机名 选项卡)并通过DC验证,那么防火墙将自动识别网络类型为域环境网络。 而“公用网络”类型是当你在机场、宾馆、咖啡馆或使用移动宽带网络联通公共wi-fi网络时的适当选择,“网路发现”将默认关闭,这样其它网络中的计 算机就不会发现你的共享而你也将不能创建或加入“家庭组”。 对于所有网络类型,默认情况下,windows 7防火墙都会阻止对不在可允许程序名单上的程序的连接,Windows7允许你为每种网络类型分别配置设置,从右图可以看出,私有网络和公用网络的配置是完全分开的,在启用Windows防火墙里还有两个选项: 1、“阻止所有传入连接,包括位于允许程序列表中的程序”,这个默认即可,否则可能会影响允许程序列表里的一些程序使用。 2、“Windows防火墙阻止新程序时通知我”这一项对于个人日常使用肯定需要选中的,方便自己随时作出判断响应。,如果需要关闭,只需要选择对应网络类型里的“关闭Windows防火墙(不推荐)”这一项,然后点击确定即可,防火墙如果设置不好
