[第140期] 與專家互動:如何做好win7的安全管理
在win7發(fā)布時,微軟曾表示W(wǎng)in7是Windows操作系統(tǒng)有史以來開發(fā)出的最安全的版本。這沒有什么大不了的,對不對?在過去的十五年里,微軟對每個Windows版本都這么聲稱過。所有的安全都是相對的,我們只有做到足夠好的預防,才能保證我的系統(tǒng)"相對安全"
如今,桌面操作系統(tǒng)已經(jīng)和互聯(lián)網(wǎng)緊密聯(lián)系在一起。隨著網(wǎng)絡的發(fā)展,網(wǎng)絡世界也成了黑客的樂園,形形色色的電腦病毒無時無刻在困擾我們,令人防不勝防。不少人抱怨自己的電腦嬌氣,抱怨殺毒軟件無能。其實,要想讓你的電腦把病毒拒之門外,使電腦更加安全也不是一件特別復雜的事。
技術門診是51CTO社區(qū)品牌欄目,每周邀請一位客座專家,為廣大技術網(wǎng)友解答疑問。從熱門技術到前沿知識,從技術答疑到職業(yè)規(guī)劃。每期一個主題,站在最新最熱的技術前沿為你引航!
本期門診中,我們邀請了網(wǎng)絡安全專家梁林與我們一起討論交流基于windows 7的桌面操作系統(tǒng)的安全管理。
專家介紹:
姓 名:梁林
擅長領域:網(wǎng)絡安全
CISSP,CSSLP,MS MVP,5年信息安全從業(yè)經(jīng)驗,目前主要從事咨詢和培訓工作,方向為安全管理、網(wǎng)絡安全和惡意軟件防御,精通Windows底層及各種安全分析工具的使用、熟悉Linux平臺,精通網(wǎng)絡安全技術,有豐富的企業(yè)網(wǎng)絡滲透測試及內(nèi)網(wǎng)加固經(jīng)驗,精通各種惡意軟件的內(nèi)部體制,有豐富的惡意軟件分析防御和反匯編經(jīng)驗,并撰有《自己動手搭建惡意軟件樣本行為分析環(huán)境 》一文。(CISSP:信息系統(tǒng)安全認證專家;CSSLP: 軟件安全生命周期認證專家)
查看本期門診精彩實錄:http://doctor.51cto.com/develop-153.html
參與最新技術門診:http://doctor.51cto.com/
精選本期網(wǎng)友提問與專家解答,以供網(wǎng)友學習參考。
Q:梁老師:您好!!
1、我是windows7旗艦版的普通用戶,我現(xiàn)在使用的是破解版的,用了個什么OEM破解的方法,這個對操作系統(tǒng)安全性有影響嗎?
2、還有,很多軟件需要使用管理員身份運行,這是為什么?
3、PowerShell的那個工具與以前的命令提示符那個更加會被黑客利用?為什么再啟動命令提示符時,它提示命令提示符已被停用,如何啟用?謝謝!
A:1、 OEM破解的原理是使用程序模擬了品牌廠商機型的BIOS SLP字串(軟破解),或直接將主板的BIOS刷成帶SLP的品牌BIOS(硬破解),并結合OEM廠商的序列號和證書,使Win 7認為系統(tǒng)是OEM廠商提供的,從而激活Win 7。從原理上說,這種破解方式并不會影響Win 7本身的安全功能。但使用盜版系統(tǒng)本身是存在風險的,廠商可能會檢測破解并禁用自動更新功能;破解程序本身也可能與惡意軟件捆綁。
2、軟件需要管理員身份運行,是因為軟件需要修改系統(tǒng)的注冊表、系統(tǒng)文件夾的權限。通常的應用程序安裝是需要管理員身份的,但對vista/7支持較好的軟件(運行不需要修改系統(tǒng)設置)則可以安裝后直接在用戶權限下執(zhí)行。
3、Powershell可以看作是cmd增加了強大腳本功能的升級版,很難說和cmd相比哪個更易被黑客利用。我在Win 7 PowerShell下是可以用cmd命令啟動cmd的,可能你遇到的情況是cmd本身就已經(jīng)被禁用了。
Q:windows7系統(tǒng)自帶的防火墻相對于XP具體有哪些方面的改進?
A:XP 的Windows防火墻,只是一款初級簡單的防護墻,只能保護入站信息,同時攔截不是用戶主動發(fā)起的入站連接軟件,在XP SP2中才向管理員提供了組策略的配置形式。Vista中Windows防火墻有了較大的提升,它建立在windows過濾平臺的基礎上(WFP),并通過MMC的高級安全性進行細致配置。在Win 7上,windows防火墻更近一步,增加了對移動計算機的多重防火墻策略支持,配置的操作也更為簡化。簡而言之,從XP到Win 7,Windows 防火墻經(jīng)歷了從簡陋到完善的過程,Microsoft也向用戶開放了防火墻的更多底層控制,配置和使用也更為簡便。
Q:您好!請問關閉用戶帳戶控制是不是更容易中病毒,網(wǎng)上說uac是安裝軟件時會提示,可是木馬和病毒并不需要安裝,那uac怎么提高安全性的呢?謝謝!
A:用戶帳戶控制UAC的設計原理,是要控制用戶或應用程序?qū)ο到y(tǒng)文件夾、注冊表、關鍵文件的修改,其設計理念與這幾年流行的HIPS,基于主機的入侵攔截系統(tǒng)相同。所以關閉UAC的話,應用程序?qū)ο到y(tǒng)文件夾、注冊表和關鍵文件的修改將不再受系統(tǒng)和用戶控制,換句話說,雖然關閉UAC后用戶的操作省事了很多,但是感染病毒等惡意軟件、和應用程序沖突導致系統(tǒng)崩潰的風險也會高得多。因此,不建議關閉UAC,Win 7用戶可以通過調(diào)整UAC敏感度的設置,減少UAC對用戶操作的感染。
木馬和病毒運行后需要拷貝自身到系統(tǒng)文件夾,修改注冊表以執(zhí)行自動啟動,這點和軟件安裝的過程是相似的,因此UAC對需要拷貝自身并修改注冊表的惡意軟件有相當顯著的防御作用,而并非一無是處。
Q:我想問粱老師windows7下的xp模式比咱們現(xiàn)在用的xp系統(tǒng)有哪些本質(zhì)上的區(qū)別,是否可以理解為xp模式是一個虛擬鏡像系統(tǒng)。
A:XPmode 就是原來的Hyper-V加一個XP home版的虛擬機,為了提升XPmode的效能,Microsoft強制XPmode只支持在Intel VT硬件虛擬技術的CPU上使用。因此,對不支持Intel VT技術的CPU用戶來說,可使用第三方的虛擬化(如Vmware、Virtual box等)軟件來實現(xiàn)。
Q:梁林先生,您好!我想咨詢一下,WIN7的家庭共享安全性能怎么樣?還有三個工作區(qū)的區(qū)別在哪里?如果想WIN 7 與XP共享能否使用家庭共享?磁盤加密U盤后在XP系統(tǒng)中能否保持加密狀態(tài)?謝謝!
A:1、 Win 7家庭共享的安全性比Windows的之前版本有所提升,這點反映在Windows防火墻對3個區(qū)域的設置。這三個區(qū)域的區(qū)別在于:家庭網(wǎng)絡允許用戶加入HomeGroup,網(wǎng)絡發(fā)現(xiàn)自動開啟,網(wǎng)絡內(nèi)的機器可以互相看到,并交換各種資源及共享硬件;工作網(wǎng)絡,網(wǎng)絡發(fā)現(xiàn)默認開啟,但無法創(chuàng)建和加入HomeGroup,可以加入企業(yè)內(nèi)網(wǎng)的Windows域,加入域后防火墻按照域網(wǎng)絡的模式運行;
公共網(wǎng)絡模式下,網(wǎng)絡發(fā)現(xiàn)關閉,網(wǎng)絡中的其他系統(tǒng)看不到用戶的機器,用戶也不能創(chuàng)建和加入HomeGroup。
2、如果想Win7和XP共享資源,可以用家庭網(wǎng)絡,但可能需要對共享文件的權限和系統(tǒng)帳戶口令進行修改。
3、Win 7下提供了Bitlocker to GO來完成移動儲存設備的加密功能,加密后的U盤可以在Vista和XP中讀(注意,不能寫),如果你需要讀寫功能的話,建議使用開源的 TrueCrypt。Bitlocker to GO更大的好處,其實在于它在企業(yè)環(huán)境下可以統(tǒng)一管理加密密鑰。
Q:梁老師你好,windows7的安全防御怎樣才能做好,我只是定期的更新,安裝了Microsoft Security Essentials殺毒軟件每天升級,windows7會不會還有后門隱患呢?
A:根據(jù)之前國外一些第三方網(wǎng)站的測評,MSE的效能與現(xiàn)有的其他免費殺毒軟件差不多,長處在流行惡意軟件和Rootkit的檢測,但MSE在網(wǎng)頁腳本檢查等方面比較弱。在很少安裝新軟件,平時也就是日常使用的情況下,你現(xiàn)在的系統(tǒng)已經(jīng)算比較安全了;如果你不放心MSE對新病毒的檢測速度,可以考慮試試AVG、小紅傘等第三方的免費殺毒軟件。
#p#
Q:梁老師您好:請問一下,局域網(wǎng)內(nèi)IP欺騙主要是由于什么東西引發(fā)的,IP欺騙用到的IP基本上是當時沒有用到的機子,或都根本沒有用過的IP地址,有的機子上裝了防火墻、殺毒軟件最新版看起來為什么還是源IP欺騙的主機IP呢,在windows環(huán)境下如何能減少這種問題?
A:你說的IP欺騙是因為局域網(wǎng)內(nèi)存在ARP病毒(這類病毒的主要目標是針對其他系統(tǒng)盜號和種植惡意軟件),解決的辦法還是用最新的殺毒軟件徹底清理局域網(wǎng)內(nèi)的每一臺機器,如果網(wǎng)絡環(huán)境變化不大,很少有新增系統(tǒng),可以直接在路由器交換機上配置靜態(tài)ARP,就能夠?qū)RP欺騙攻擊免疫了。
Q:梁老師:您好!我想請教您一下,XP的很多軟件在Win 7中用不了,那么是不是很多XP的病毒在WIN7中也運行不了呢?謝謝!
A:哈,這個問題問得好。從Windows Vista開始,Microsoft在系統(tǒng)中加入了UAC,對應用程序修改系統(tǒng)設置的行為進行了限制,UAC在Windows Vista SP2和Win 7中有了進一步的發(fā)展。這也是為何不少XP程序在Win Vista和7中存在兼容性問題(無法修改注冊表或系統(tǒng)文件夾)。你說的XP病毒在Win 7中運行不了也不是絕對的,準確的說,是大多數(shù)XP病毒能夠在Win 7上運行,但不能感染W(wǎng)in 7系統(tǒng)(因為UAC的存在,病毒不能將自身拷貝到系統(tǒng)文件夾,同時修改注冊表啟動項),但目前最新的一些惡意軟件,已可以以用戶模式執(zhí)行,執(zhí)行后竊取用戶的文件或進行其他工具,直到用戶下一次重啟使其失效為止。建議Win 7用戶最好還是安裝一個支持Win 7的殺毒軟件。
Q:你好,梁老師。我個人還是感覺xp好,用這也習慣了。嘗試著用過windows Vista 和windows7 ,感覺系統(tǒng)反應總是很慢,安裝軟件等操作很麻煩,不好用。 windows7的安全性比xp好在哪呢?
A:作為一個10年前的系統(tǒng),XP比Win Vista和7運行的系統(tǒng)資源肯定要少得多,所以在較老的機器上,自然是XP的速度有明顯的優(yōu)勢。至于安裝軟件麻煩,或者像上面的朋友問到的兼容性問題,也是因為Win 7對用戶權限進行過增強(UAC)帶來的問題。畢竟安全和便捷之間是很難兩者兼得的。在Linux及Unix類系統(tǒng)上也會相同的問題,只有Root(在 win上是管理員)才能安裝軟件,一般用戶是沒法自己修改系統(tǒng)設置的,當然*nix用作桌面的場景在大范圍來看畢竟是少數(shù),即使有也是對*nix較熟悉的用戶在用,所以安裝軟件麻煩這個問題在*nix領域并不突出。
Microsoft將UAC引入Win,也算是在桌面應用中增加高級安全性的有益改進,就我自己的使用感覺而言,Vista和7增加UAC,以及防溢出(DEP、ASLR)之后,因為漏洞、惡意軟件帶來的問題少了很多,處理系統(tǒng)崩潰的次數(shù)也少了很多,這個優(yōu)點不是用幾個所謂多強的安全軟件能帶來的,畢竟機制的改進才是安全問題的根本解決辦法。
Q:梁老師:您好!我請教您一個問題,我家是ADSL 2M接入的,然后通過路由器分配給A,B,C,D。4臺電腦。按理說應該每臺速度能達到50-60K可是為什么A的速度能達到120-130K,而其他三臺則分別為20 20 30K。如果想要4臺電腦平均分配網(wǎng)速,也就是都達到50-60K該怎么操作?
A:建議你換一個支持帶寬管理的路由器。
Q:請問梁老師,win7系統(tǒng)的UAC和VISTA系統(tǒng)的UAC相比,有和區(qū)別?
A:Win 7和Vista 的UAC功能上的區(qū)別不大,但在用戶體驗上,Win 7的UAC增加了對應用程序控制的靈活性,同時降低了對用戶操作的干擾程度。Win 7用戶可以自行在控制面板,調(diào)整提示用戶的頻率。
Q:Windows 7 的兼容性好嗎?如何解決程序兼容性問題?
A:Win 7的兼容性比Windows Vista提升了很多,運行大多數(shù)的老版本軟件是沒有問題的(盡管效能可能比xp有5%左右的下降),但Win 7的安全機制與XP有很大不同,為了系統(tǒng)穩(wěn)定和安全考慮,建議你還是選擇相同軟件的較新版本。在Win 7下可以通過設置軟件的兼容性(在程序上右鍵點擊,選屬性->兼容性->以兼容模式運行)來解決軟件的兼容性問題。或者使用XPmode(只在Win 7旗艦版支持)或其他的第三方虛擬機軟件(如Virtual Box、VMware等),安裝一個XP來執(zhí)行不兼容的軟件,與在實體系統(tǒng)上相比,用虛擬機效能也不會有太大影響。
Q:一個機房有60臺機器,做完XP系統(tǒng)后(系統(tǒng)進行了手工優(yōu)化),使用華超2004版還原卡保護,使用正常.在用F8打開還原卡后,安裝任何一個軟件后再保護起來,過半個小時有一部分計算機就會出現(xiàn)六聲報警音后自動重啟。不知是什么原因,請高手幫忙,謝謝!
A:這個問題應該是還原卡驅(qū)動和xp沖突的問題,建議聯(lián)系廠商解決
Q:最近windows 7 黑屏是什么原因,我用的的破解版的在網(wǎng)上下的是正版的呀,是不是安全低?謝謝!
A:請更詳細的描述問題的起因和表現(xiàn),謝謝
Q:梁老師您好!Windows7系統(tǒng)平臺跟以前我們比較熟悉xp在注冊表、組策略以及各種應用服務上有哪些不同?謝謝!
A:win 7和xp的注冊表在結構上大同小異,都用于保存系統(tǒng)和應用軟件信息及設置,大多數(shù)項的設置和功能也基本相同。組策略也是如此,只是win7的組策略可設置的項更多,管理也更細致。應用服務的情況有所不同,與xp相比,win7在應用服務權限、功能上較大的變化,增加了不少與安全、網(wǎng)絡連接及管理有關的服務。
Q:梁老師:您好,我用的機器是Thinkpad T61,機器本身自帶的是vista商用版操作系統(tǒng),但是我習慣了使用XP,所以沒有裝預裝的系統(tǒng),但是W7發(fā)布后我想試試W7,畢竟微軟明年就不在提供 XP的支持了,我想用同學的一個W7華碩OEM版,不知道我的機器能不能裝他的W7系統(tǒng)。會不會不支持一些服務。
A:OEM版的Win 7和零售版本的對應版本在功能上并無區(qū)別,它們不同在于OEM可以直接通過機器BIOS SLP字串+OEM序列號+OEM證書直接激活,零售版則需要使用正版序列號激活。華碩的OEM版Win 7在TP上能夠安裝并試用,但不能激活。
Q:好像我現(xiàn)在接觸的windows 7系統(tǒng)只是普通版、旗艦版等等,而且用戶的權限沒有達到Administrator,這樣好像很不方便哦!
A:Win Vista和7的用戶權限默認不是administrator,不是vista和7的缺陷,恰恰是microsoft對windows桌面安全的一個重要改進,你可參考上面對UAC的解答。
Q:現(xiàn)在我接觸的一些品牌筆記本電腦中都自帶有一個正版的vista系統(tǒng),但客戶都想要求升級為windows 7系統(tǒng),你覺得用vista好還是windows 7好呢?
A:win 7是vista的升級版本,主要改進了用戶體驗和性能,同時新增了一些針對安全和移動d 功能。就我個人的使用感受而言,Win7的用戶體驗比vista好很多,但在企業(yè)網(wǎng)絡環(huán)境下,win vista和7各有長處,在win 2k8 R2尚未大規(guī)模普及的情況下,Win 2k8+vista的應用要比Win 7單獨使用更方便管理,這點也可從MS自己的軟件保障SA里面都尚未上架Win 7看出一點端倪。
【編輯推薦】
