全球兩大主流操作系統(tǒng)是怎么保護系統(tǒng)和數(shù)據(jù)不受惡意軟件、未授權(quán)訪問、硬件漏洞等等威脅的侵害的呢？

一句“PHP是世界上最好的編程語言”可以成功惹毛一票程序員。同樣，隨口一句“Windows系統(tǒng)比Mac系統(tǒng)更安全（或反之）”也能讓IT安全人員吵個不可開交。事實上，只要保持默認安全設(shè)置并遵從其最佳實踐建議，這兩個操作系統(tǒng)都足夠安全，但在幾十年的用戶爭奪戰(zhàn)之后，這個話題已經(jīng)演變成了技術(shù)信仰問題。兩方陣營針鋒相對，沒有中間路線可走。老好人似的說“兩個操作系統(tǒng)都安全”不過是成為雙方共同的敵人而已。

話雖如此，卻不是每個人都知道這兩種最流行的操作系統(tǒng)到底因為什么而安全。于是，排除掉那些附加的企業(yè)功能，我們不妨先就操作系統(tǒng)本身帶有的基本安全功能來做一番概述和比較。

[[232182]]

0. 操作系統(tǒng)基本安全能力

微軟 Windows 10 安全

Windows誕生的頭10年，這款微軟旗艦產(chǎn)品輕易坐穩(wěn)史上最好攻擊操作系統(tǒng)(OS)的寶座。成功攻擊的數(shù)量讓公眾對Windows的安全性失去了信任。于是，微軟共同創(chuàng)始人比爾·蓋茨在2002年1月15日寫下了著名的“可信計算”備忘錄，指引微軟投入更多資源到提升Windows安全性上。

微軟不僅讓W(xué)indows從出廠時就更安全，還創(chuàng)新或協(xié)作創(chuàng)新了數(shù)十項計算機安全技術(shù)。蓋茨2002備忘錄的最重要成果之一，就是安全開發(fā)生命周期(SDL)的大規(guī)模采用。SDL讓每個軟件開發(fā)項目從一開始就引入安全編碼和安全實踐。這是安全教育、安全要求和安全工具的結(jié)合，而微軟將其經(jīng)驗全部共享了出來。

SDL大幅減小了每千行代碼的漏洞率，增加了很多安全功能和選擇，縮小了攻擊界面，提供了更安全的默認設(shè)置。Windows 10 的安全性，正是微軟提供適度安全的跨設(shè)備通用操作系統(tǒng)工作的延續(xù)。

蘋果 MacOS 安全

很長時間以來，Mac用戶都無需擔(dān)心病毒和惡意軟件。現(xiàn)實世界中，Mac操作系統(tǒng)的漏洞極少有被利用的。Mac用戶也經(jīng)常被提醒注意潛在安全威脅，但大部分時候不過是因為其用Windows的同事成為了惡意軟件的攻擊目標(biāo)。每版Windows中那數(shù)不清的漏洞，再加上Windows那龐大的用戶基礎(chǔ)，令PC成為了黑客的最佳攻擊目標(biāo)。

直到今天，Mac系統(tǒng)的潛在威脅情況仍不像其他平臺那般嚴峻，但Mac用戶已經(jīng)不能再無視被黑的可能性了。隨著時間流逝，隨著越來越多的蘋果設(shè)備進入消費市場，威脅只會越來越多，越來越復(fù)雜高端。

其實，蘋果設(shè)備威脅已經(jīng)初露端倪：2017年是安全事件爆發(fā)的一年。2月，虛假 Adobe Flash 安裝包內(nèi)嵌MacDownloader惡意軟件，可致Keychain數(shù)據(jù)(包含用戶名和口令等個人信息)滲漏。去年秋天，最新Mac操作系統(tǒng) High Sierra 的發(fā)售版中檢測到數(shù)個漏洞，可令黑客繞過口令獲取特定區(qū)域的root權(quán)限。之后不久，名為“幽靈”和“熔斷”的處理器漏洞曝光，世界上大部分計算機都受影響。

1. 啟動保護

Windows 10：

在預(yù)啟動、啟動和啟動后防護上，微軟一直走在前列。其中一些防護措施是從其他開源操作系統(tǒng)項目中借鑒過來的，有些則來自于業(yè)界倡議，但大多是微軟自主研發(fā)的。如今，微軟將很多保護技術(shù)都納入了 Windows Defender System Guard 旗下，啟動保護就是其中的“Secure Boot(安全啟動)”。

Secure Boot 要求預(yù)啟動過程檢查計算機是否在主板上安裝并啟用了更安全的最新版統(tǒng)一可擴展固件接口(UEFI)和可信平臺模塊(TPM)。這兩個芯片在接受新代碼或設(shè)置變更之前都會進行加密驗證，驗證不通過就不允許寫入和修改，還能加密評估和驗證啟動過程。前期驗證過的組件往往會安全存儲下后面組件之前被驗證過的散列值，只有二者匹配，啟動過程才會繼續(xù)。微軟也將該啟動過程稱為 “Measured Boot(測量啟動)”或“ Trusted Boot(可信啟動)”。

只要有東西(比如rootkit)試圖修改該預(yù)啟動或OS啟動過程，這兩個芯片之一就會收到警報，要么阻止修改，要么在用戶下次開機時給出重要警告。如果你還記得之前有關(guān)rootkit和引導(dǎo)病毒的大量報道，并且想知道為什么我們?nèi)缃窈孟癫惶犝f此類威脅了，那答案就是如今我們有了 Secure Boot 之類的預(yù)啟動和啟動保護過程。這可謂是對黑客和惡意軟件作戰(zhàn)中少有的幾個大成功之一。

UEFI和TPM都是開放標(biāo)準，任何廠商或OS可用。UEFI替代了容易出漏洞的BIOS，TPM則托管著核心加密功能——包括關(guān)鍵系統(tǒng)密鑰的安全存儲。用了UEFI和TPM，OS供應(yīng)商就能更好地維護其OS產(chǎn)品及其他應(yīng)用(比如數(shù)據(jù)存儲加密)在機器啟動時和啟動后的完整性。

Windows還有個名為“可配置代碼完整性(CI)”的功能，可保證在可信啟動過程完成后只有預(yù)先定義過的可信代碼能夠運行。CI是通用OS在只執(zhí)行可信代碼方面的重大進步，但微軟已測試通過的操作之外的那些普通操作想要合理運用CI，還得經(jīng)過慎重的計劃和測試。不過，如果想盡可能保證Windows操作系統(tǒng)安全，還是可以借助CI的力量。

在防止黑客使用行業(yè)標(biāo)準預(yù)啟動I/O接口(比如直接內(nèi)存存取(DMA)或 IEEE 1394)控制磁盤或設(shè)備方面，微軟也對其所有OS版本進行了改進。對每一家OS供應(yīng)商來說，在不嚴重影響運行速度或削弱OS性能的同時防止這些接口被惡意使用，確實是一項巨大的挑戰(zhàn)。微軟不僅增強了預(yù)啟動I/O接口防護，還更進一步，允許實質(zhì)上已成OS本身一部分的設(shè)備驅(qū)動程序可以按設(shè)備單獨安裝。

Windows 10 還引入了設(shè)備健康認證(DHA)的改進版。DHA可認證操作系統(tǒng)，使其干干凈凈地啟動，還可對其他進程進行執(zhí)行前的驗證。健康檢查中包含什么內(nèi)容取決于OS、OS管理員和他們使用的DHA服務(wù)。客戶可自己進行DHA檢查，也可以將之外包給微軟或第三方提供商。

macOS：

蘋果采用了防護能力弱得多的UEFI早期版本——EFI 1.0，而沒有采用后來更安全的UEFI新版本。但是，蘋果自主研發(fā)了其他很多類似的專利防護技術(shù)。因為是專利技術(shù)，蘋果并未公布其相關(guān)細節(jié)，很難就其預(yù)啟動和啟動防護措施進行對比分析。

不過，Mac上可以啟用多個啟動防護，尤其能夠防止別人訪問Mac硬盤上的數(shù)據(jù)。標(biāo)準用戶賬戶口令可提供對正確啟動的Mac機的基本保護，但防不住能接觸到Mac機且具備“目標(biāo)磁盤模式”知識的黑客。

為防止未授權(quán)訪問，啟動盤可用 FileVault 2 加密，而Mac可以設(shè)置成不能通過固件口令從外部設(shè)備啟動。FileVault 2 采用 AES 256 加密算法進行整盤加密，塊大小128位，AWS-XTS模式，可阻止無解鎖權(quán)限的賬戶看到磁盤上的任何內(nèi)容。

2017年底發(fā)布的 iMac Pro 就加載了蘋果研發(fā)的T2芯片集。該芯片集整合了一系列硬件子系統(tǒng)，并引入了一些最終會用在其他Mac機上的安全功能。

2. 內(nèi)存保護

Windows 10：

微軟在內(nèi)存保護上做了很多工作，通常是為了防止初步漏洞利用、零日漏洞和提權(quán)攻擊。大多數(shù)內(nèi)存保護措施都納入到了 Windows Defender Exploit Guard 中，其中很多都來自于之前被稱作“增強緩解體驗工具包(EMET)”的漏洞利用防護附件。

數(shù)據(jù)執(zhí)行保護(DEP)自 Windows XP 時代就已出現(xiàn)。DEP旨在防止惡意緩沖區(qū)溢出，也就是阻止惡意程序?qū)⒖蓤?zhí)行代碼放到數(shù)據(jù)區(qū)并誘騙OS執(zhí)行該代碼。DEP能令OS拒不執(zhí)行標(biāo)記為數(shù)據(jù)區(qū)域里的任何東西。

Windows Vista引入了很多新的安全特性，比如“地址空間布局隨機化(ASLR)”、“結(jié)構(gòu)化錯誤處理復(fù)寫保護(SEHOP)”和“受保護進程”。ASLR會在每次啟動時為通用關(guān)鍵系統(tǒng)進程分配不同的內(nèi)存空間，讓想操縱并修改這些進程的惡意程序更難以找到它們。

SEHOP會在發(fā)現(xiàn)執(zhí)行錯誤時停止惡意流氓程序的安裝或執(zhí)行過程。這些安全功能連同其他預(yù)防性技術(shù)演進成了微軟現(xiàn)在所謂的 Control Flow Guard (控制流保護)。微軟的每個程序都啟用了該保護措施，Visual Studio 15 之類的編程工具也可使用該安全功能。

EMET在Vista中就已引入，作為幫助防止零日攻擊的附加組件。該工具包含了內(nèi)存保護、數(shù)字證書處理改進(比如證書鎖定)、早期警告和攻擊上報改進(向OS管理員和微軟報告攻擊情況，以便發(fā)現(xiàn)新攻擊的技術(shù)細節(jié))。EMET演化出了15種以上的緩解措施，其經(jīng)驗證的保護功能備受推崇，所以微軟將其整合進了 Windows 10  Creator Update 中(以 Windows Defender Exploit Guard 的姿態(tài)出現(xiàn) )。

macOS：

Mac機在英特爾處理器中內(nèi)置了XD(執(zhí)行禁用)功能，防止用于數(shù)據(jù)存儲和可執(zhí)行指令存儲的內(nèi)存相互訪問。惡意軟件常會利用數(shù)據(jù)內(nèi)存和指令內(nèi)存間的相互訪問來入侵系統(tǒng)，但XD的存在為此類惡意行為設(shè)置了障礙。

Mac機的macOS內(nèi)核同樣應(yīng)用了ASLR，通過隨機分配目標(biāo)地址讓攻擊者難以定位應(yīng)用程序漏洞。基本上，只要啟用了ASLR，黑客就更容易直接搞崩要利用的應(yīng)用，而不是獲得應(yīng)用權(quán)限來作惡。

3. 登錄/身份驗證

Windows 10：

OS一旦啟動起來，最重要的安全功能就是限制誰能登錄了。這一點由登錄身份驗證來實現(xiàn)，通常包括口令、生物特征識別、數(shù)字證書和其他多因子身份驗證設(shè)備，比如智能卡和USB身份驗證令牌。用戶登錄后的登錄憑證防護也特別重要，無論臨時還是永久，不管存儲在內(nèi)存中還是磁盤上，登錄憑證必須保護好，以防惡意憑證竊取和重用攻擊。

Windows 10 對口令策略、生物特征識別、多因子身份驗證和數(shù)字證書身份驗證都支持良好。微軟最新最安全的登錄功能是 Windows Hello，支持人臉識別和指紋識別，可在讓用戶便捷登錄的同時以安全數(shù)字證書技術(shù)保護用戶的登錄憑證安全。用戶仍然可以使用口令或更短些的PIN碼，不過只能作為設(shè)置了更為傳統(tǒng)的身份驗證方法之后的備用選項。Windows Hello 也可用于啟用了該功能的應(yīng)用，比如Dropbox和口令管理器。

由于擔(dān)心內(nèi)存憑證盜竊，微軟創(chuàng)建了 Virtualization Based Security (基于虛擬化的安全：VBS)，將登錄憑證保護在基于硬件的操作系統(tǒng)虛擬化子集中，幾乎不可能受到惡意攻擊的影響。VBS也被稱為 Virtual Secure Mode (虛擬安全模式：VSM)。

微軟基于VBS創(chuàng)建了 Windows Defender Credential Guard 和 Device Guard。Credential Guard保護多種類型的登錄憑證，包括NTLM、Kerberos和其他存在Windows憑證管理器中基于域的非Web憑證。Credential Guard 挫敗了很多流行口令攻擊。想要啟用 Credential Guard，必須得是64位的Windows系統(tǒng)，且開啟了UEFI、TPM(推薦，但非必需)、Secure Boot，并且處理器是帶有恰當(dāng)?shù)奶摂M化擴展的英特爾或AMD處理器。

一直以來，黑客都會利用存儲的服務(wù)憑證來入侵計算機和網(wǎng)絡(luò)。Windows Vista 引入了 Virtual Service Accounts (虛擬服務(wù)賬戶)和 Managed Service Accounts (組管理服務(wù)賬戶：需要開啟活動目錄)。二者都是僅用于服務(wù)的新身份類型，一旦初始化，就會接管隨機化服務(wù)賬戶口令和定期修改的麻煩事，以便即使服務(wù)賬戶口令被盜也不會給公司造成太大損失。

macOS：

可設(shè)置固件口令以防止從非指定啟動盤啟動機器，而且固件口令還會忽略標(biāo)準啟動組合鍵。但要注意：FileVault和固件口令保護都要使用強口令；如果用了弱口令還被黑客猜解出來，那整顆硬盤上的內(nèi)容也就在手握正確憑證的人面前裸奔了。

2017年底推出的 iMac Pro 是第一批搭載了T2芯片集的蘋果產(chǎn)品，特定功能可通過新的 Startup Security Utility (啟動安全使用程序)進行修改。通過整合固件口令保護、Secure Boot 和 External Boot (外部啟動)到單一接口，該實用程序令Mac機抵御非授權(quán)訪問更加簡單易行。Mac機用戶可通過該接口設(shè)置操作系統(tǒng)使用和更新包及第三方軟件安裝的嚴格程度。

4. 提權(quán)防范

Windows 10：

黑客或惡意軟件一旦在系統(tǒng)中建立了橋頭堡，往往會嘗試額外的提權(quán)攻擊以獲取最高管理權(quán)限。Windows Defender Exploit Guard 中包含的緩解措施，就是微軟提權(quán)攻擊防范的第一道防線。不過，微軟防范提權(quán)攻擊的方法不止這一個。

Vista中引入的 User Account Control (用戶賬戶控制：UAC)，就試圖“降級”特權(quán)用戶(比如管理員賬戶)在執(zhí)行標(biāo)準用戶任務(wù)時的權(quán)限，比如讀取電子郵件或打開瀏覽器上網(wǎng)之類的普通操作就用不到管理員權(quán)限。如果某用戶以特權(quán)憑證登錄，UAC會將其權(quán)限分割成2個令牌：一個具有特權(quán)，另一個沒有。默認情況下所有應(yīng)用和任務(wù)都以非特權(quán)令牌執(zhí)行，除非用戶被要求提權(quán)或執(zhí)行的是需要提權(quán)的預(yù)定義任務(wù)。最開始的時候，很多用戶和管理員都覺得UAC特別煩人。如今，大多數(shù)用戶啟用UAC模式也不會覺得受太多干擾了。

macOS：

蘋果操作系統(tǒng)上創(chuàng)建的用戶賬戶大多是管理員賬戶。以這些用戶名和口令登錄系統(tǒng)，能安裝App或修改可影響整個系統(tǒng)的設(shè)置項。幸運的是，macOS內(nèi)置了避免初級用戶用管理員權(quán)限犯傻的保護措施，比如刪除/System文件夾或其內(nèi)容這種事就是默認禁止的。甚至即便無意中以管理員權(quán)限安裝了惡意軟件，內(nèi)置 System Integrity Protection (系統(tǒng)完整性保護)也能作為故障保護機制防止惡意軟件把操作系統(tǒng)搞崩。

macOS也并非沒有漏洞：幾個月前剛曝出蘋果最新版操作系統(tǒng)無需口令就能以root權(quán)限登錄，當(dāng)然這個漏洞剛被曝光就很快打上了補丁。雖然該漏洞被快速修復(fù)，但也提醒了我們，公眾認知中天生防黑的蘋果機，也只是暫時的，漏洞利用隨時可能出現(xiàn)。

5. 數(shù)據(jù)保護

Windows 10：

如果不能保護數(shù)據(jù)，OS安全也就沒有意義了。微軟長期以來都有文件及文件夾加密( Encrypting File System )功能，并在Vista里添加了以BitLocker實現(xiàn)的磁盤卷加密。終極加密密鑰可以存儲在TPM硬件芯片、網(wǎng)絡(luò)、可移動媒體和其他地方。Vista之后的Windows系統(tǒng)增加了其他加密功能和選項，包括使用 BitLocker To Go 對可移動媒體加密和要求可移動媒體必須加密。通過設(shè)置加密選項，系統(tǒng)管理員可以規(guī)劃什么樣的可移動媒體能夠在本機安裝并使用。

macOS：

如前文提到的，macOS可用 FileVault 2 加密啟動盤以防止未授權(quán)訪問。通過固件口令，Mac機可設(shè)置為不能從外部設(shè)備啟動。FileVault 2 采用128位塊大小的 AES 256 加密算法AES-XTS模式進行加密。配合可防止以組合鍵繞過啟動盤啟動的固件口令，經(jīng) FileVault 2 以強口令整盤加密的磁盤基本上是不可能被破解的。

如果磁盤被轉(zhuǎn)到另一臺Mac機，可以使用恢復(fù)密鑰，或者用戶有解鎖權(quán)限也行。恢復(fù)密鑰可保存在管理系統(tǒng)里，比如JAMF，或者存儲在蘋果的iCloud服務(wù)器上躲在 Apple ID 保護之后也可以。

可以使用macOS原生 Disk Utility 應(yīng)用來加密外部磁盤或創(chuàng)建加密磁盤鏡像。

6. 文件完整性保護

Windows 10：

Windows有很多功能都可以為OS和用戶數(shù)據(jù)文件提供完整性保護。Windows ME 引入了名為  System File Protection (系統(tǒng)文件保護：SFP)的OS文件保護進程。一旦系統(tǒng)重要文件被刪除，SFP可確保Windows系統(tǒng)能立即以已知良性的文件副本加以替換。Windows Vista 對SFP進行了升級，演變成還能保護重要Windows注冊表設(shè)置的 Windows Resource Protection (Windows資源保護)——雖然被保護和自動替換的東西整體減小了。

Vista還引入了 Mandatory Integrity Controls (強制完整性控制：MIC)和文件及注冊表虛擬化。MIC會為Windows中每個用戶、文件和進程顯式分配MIC級別(高、中、低)，低級別MIC對象不能修改高級別MIC對象。在文件和注冊表虛擬化保護下，大多數(shù)OS重要文件和注冊表設(shè)置都可抵御低權(quán)限用戶或進程的修改嘗試，低權(quán)限用戶或進程所做的修改只作用于虛擬出來的額外文件或注冊表副本，真正的系統(tǒng)重要文件和注冊表設(shè)置是不受影響的。

在 Windows 8 中，PC Reset (PC重置)和 PC Refresh (PC刷新)功能可供用戶重置設(shè)備到全新狀態(tài)( PC Reset )或近全新狀態(tài)( PC Refresh：保留用戶文件、設(shè)置和某些應(yīng)用)。如果你擔(dān)心中了惡意軟件，最好將系統(tǒng)重置到已知干凈狀態(tài)。

macOS：

2015年 El Capitan 中引入的 System Integrity Protection (系統(tǒng)完整性保護：SIP)，解決的是惡意軟件或黑客獲取到賬戶憑證后的無限制root權(quán)限問題。SIP保護特定重要文件和目錄的內(nèi)容和權(quán)限，即便以root執(zhí)行也無法動作。未簽名的內(nèi)核擴展在SIP保護下無法運行；如果沒有特定權(quán)益，進程代碼注入和實時代碼修改也無法實現(xiàn)。只有經(jīng)恰當(dāng)簽名的應(yīng)用才可以修改受保護的系統(tǒng)目錄，而這些應(yīng)用必須關(guān)聯(lián)開發(fā)者ID，且具備蘋果簽發(fā)的權(quán)益。

7. 加密支持

Windows 10：

從 Windows Vista 開始，微軟不再嘗試自主研發(fā)加密密碼和算法，轉(zhuǎn)而部署廣受推崇的密碼體制(比如ECC和SHA-2)，并經(jīng)常加以更新以防弱密碼攻擊和支持新興加密算法。

macOS：

T2芯片使用硬件加密的 Secure Enclave (安全飛地)存儲Mac的加密密鑰(傳給同一塊芯片上的硬件加密引擎處理)。T2芯片集還控制著2塊用于存儲的NAND閃存，包含了實時無損加/解密數(shù)據(jù)的專用AES加密硬件。

T2芯片集在Mac機啟動過程中確保操作系統(tǒng)軟件不被破壞。在啟動時，T2芯片接管啟動過程，用其硬件加密的 Secure Enclave 來比對密鑰，加載引導(dǎo)程序，確保其有效性，驗證固件，然后驗證讓Mac機真正跑起來的內(nèi)核和驅(qū)動程序。

8. 磁盤/數(shù)據(jù)備份和恢復(fù)

Windows 10：

每個版本的Windows都有多種備份和恢復(fù)文件的方法。自 Windows XP 開始，用戶可使用 System Restore (系統(tǒng)恢復(fù))功能將OS和各種設(shè)置恢復(fù)到之前保存的OS版本。“先前版本”功能在 Windows XP 時代還只是可選項，到了  Windows 8 就已內(nèi)置進系統(tǒng)，可以從之前保存的版本中恢復(fù)出個別文件——只要之前的“先前版本”保存過程覆蓋了這些文件。

從 Windows 8 開始，就可以使用名為 File History (文件歷史)的備份及恢復(fù)功能了。雖然不是完整的系統(tǒng)備份，F(xiàn)ile History 卻往往正好是用戶所需的，尤其是在Windows操作系統(tǒng)已經(jīng)可以單獨恢復(fù)的情況下。File History 默認備份用戶最常用于保存文件和配置的地方，比如“我的文檔”、“音樂”、“文檔”、“視頻”、“桌面”、“下載”和“應(yīng)用數(shù)據(jù)”等，但是用戶也可自行納入或排除文件及文件夾并制定備份日程。

macOS：

2007年開始，Mac機就預(yù)裝了 Time Machine (時光機)服務(wù)，讓備份過程簡單易行，設(shè)置好后就再也不用管了。如果 Time Machine 尚未設(shè)置，插入硬盤就會彈出設(shè)置對話框，供用戶將該硬盤設(shè)置為備份目標(biāo)盤。一旦確認，備份過程即展開。

1天之內(nèi)的數(shù)據(jù)按小時保持備份，1個月之內(nèi)的數(shù)據(jù)按天保存?zhèn)浞荩?個月之前的數(shù)據(jù)會被 Time Machine 整合進周備份集合。如果備份存儲空間告急，Time Machine 會刪除最早的周備份以勻出空間。System Preferences (系統(tǒng)偏好設(shè)置)中可以修改 Time Machine 的設(shè)置。

9. 應(yīng)用保護

Windows 10：

Windows Vista 開始，微軟對應(yīng)用間互操作和應(yīng)用對操作系統(tǒng)本身的操作就管束得特別嚴格了。Vista在操作系統(tǒng)、服務(wù)和終端用戶應(yīng)用之間進行了嚴格的隔離。到了 Windows 8，微軟又更進一步，創(chuàng)建了名為Metro的一類防護更嚴的應(yīng)用。這類應(yīng)用最終得名 Modern Applications (現(xiàn)代應(yīng)用)。

遵循蘋果公司的前例，只能通過 Microsoft Store (微軟應(yīng)用商店)安裝經(jīng)過官方審核通過的 Modern Applications。所有此類應(yīng)用都在專門的沙箱容器中執(zhí)行，相互間只有有限的訪問權(quán)限，與操作系統(tǒng)的互動也有限，且只有啟用了UAC才可以執(zhí)行。

Windows Defender Application Guard 連同Edge瀏覽器一起隨 Windows 10 面世。Edge與其托管的站點和應(yīng)用如今均在基于VBS的虛擬環(huán)境中運行，與操作系統(tǒng)本身是隔離的。Application Guard 中打開的會話無法啟動瀏覽器擴展，不能保存文件到本地文件系統(tǒng)，也不能執(zhí)行其他高風(fēng)險操作。有傳言說 Application Guard 將來會支持更多應(yīng)用。

控制哪些應(yīng)用能執(zhí)行哪些不能執(zhí)行一直以來都是保證高度安全的有效方式(比如應(yīng)用控制、黑名單、白名單)。微軟在 Windows XP 中引入了名為 Software Restriction Policies (軟件限制策略：SRP)的應(yīng)用控制措施。Vista之后，SRP被AppLocker取代。二者都可使管理員能夠按照名稱、位置或數(shù)字證書等條件設(shè)置程序、腳本或安裝包運行與否。

Windows 10 中，CI和 Device Guard 融進了 Windows Defender Application Control (WDAC)，基于硬件強制實施非常細致具體的允許或拒絕策略。管理員可以根據(jù)自身環(huán)境確定適用的應(yīng)用控制級別，還能在AppLocker、CI、Device Guard和WDAC中任選。這些功能將具有恰當(dāng)?shù)目刂萍墑e并在用戶權(quán)限范圍內(nèi)做出一些操作上的權(quán)衡。

macOS：

領(lǐng)先潛在黑客一步的最簡單有效方式就是保持操作系統(tǒng)軟件和應(yīng)用更新。App應(yīng)從可信源下載，比如供應(yīng)商的主站點，或者更可信的 Mac App Store。

Mac App Store 存在于 /Applications 應(yīng)用目錄，里面的每個App都經(jīng)過了蘋果員工的審核并簽署有數(shù)字證書。一旦App被曝行為不當(dāng)，蘋果可終止該App。相對其他選擇，Mac App Store 是應(yīng)用下載最安全的地方了。

但問題是：不是每個應(yīng)用都能在 Mac App Store 找到，有時候不得不從第三方站點下載。這個時候，Gatekeeper就派上用場了。Gatekeeper是軟件數(shù)字簽名檢查器，可以在軟件數(shù)字簽名驗證失敗時終止軟件的安裝過程。App需經(jīng)蘋果代碼簽名才可以執(zhí)行，通過了代碼檢查的應(yīng)用就能正確執(zhí)行。

Gatekeeper在 Security & Privacy System Preference (安全&隱私系統(tǒng)偏好)面板中設(shè)置，有兩個App下載源選項：1. App Store (應(yīng)用商店)；2. App Store 和確定的開發(fā)人員。代碼檢查失敗也想安裝軟件的時候，Security & Privacy 偏好可手動覆蓋，但只有在確定軟件來自可信源的時候才可以這么干。

App沙箱可限制App對系統(tǒng)資源、數(shù)據(jù)和其他App的訪問，也就限制了惡意軟件可能造成的破壞。然而，沙箱的優(yōu)勢也是其劣勢，不是每個應(yīng)用都支持該功能。很多內(nèi)置App(包括內(nèi)置的Web瀏覽器Safari)都提供沙箱保護。

macOS High Sierra 中值得一提的另一個安全功能是：應(yīng)用安裝的任意內(nèi)核擴展都需要顯示授權(quán)才可以執(zhí)行。這可以有效減小惡意軟件偷偷潛入未授權(quán)軟件中的可能性。

10. 瀏覽器保護

Windows 10：

微軟在 Windows 10 中把IE瀏覽器換成了Edge。作為一款十分精簡的瀏覽器，Edge并未與IE共享太多代碼。該瀏覽器不運行傳統(tǒng)高風(fēng)險瀏覽器插件，只接受來自 Microsoft Store 的經(jīng)審核擴展，還具備一鍵設(shè)置重置功能(以防潛在惡意修改)，并可納入 Windows Defender Application Guard 模式。

每個網(wǎng)站和下載項都要經(jīng)過 Windows Defender Smartscreen 篩選器的評估，該篩選器不僅僅針對瀏覽器，而是整個 Windows 10 操作系統(tǒng)都適用。Edge的代碼量和暴露面均大幅減少，因而對應(yīng)用和網(wǎng)站的可執(zhí)行動作也就限制更嚴格。相對IE而言，可謂巨大的進步。

macOS：

每部Mac都預(yù)裝了Safari瀏覽器，附帶反網(wǎng)絡(luò)釣魚技術(shù)、防跨站跟蹤設(shè)置和鏈向 iCloud Keychain 密碼管理系統(tǒng)的強口令生成器。

11. 網(wǎng)絡(luò)/無線保護

Windows 10：

微軟向來引領(lǐng)網(wǎng)絡(luò)和無線安全技術(shù)潮流。除了長期支持無線和網(wǎng)絡(luò)標(biāo)準，微軟還常常早期采用這些標(biāo)準并在大多數(shù)用戶尚未準備好之前就加以推出(比如IPv6和DNSSEC)。長期以來，Windows中內(nèi)置一項網(wǎng)絡(luò)防御功能，是任意網(wǎng)絡(luò)或無線連接的單獨管理能力。Windows可為每個連接分別配置不同的防火墻、路由器和其他安全設(shè)置。

12. 反惡意軟件

Windows 10：

Windows Defender Antivirus 已被證明是頂級無干擾反惡意軟件程序，尤其是以默認狀態(tài)部署并配合Windows的其他反惡意軟功能使用的時候，比如Smartscreen和Exploit Guard。采用名為 Early Loading Antimalware (早期啟動防病毒：ELAM)的功能，Windows可使任意反惡意軟件程序先于其他非基本應(yīng)用，緊跟在關(guān)鍵OS引導(dǎo)進程之后加載。

macOS：

2017年4月，CheckPoint安全研究員發(fā)現(xiàn)有惡意軟件可繞過Gatekeeper。5月，流量視頻轉(zhuǎn)碼器Handbrake被黑，受感染版本攜OSX.PROTON遠程訪問木馬散布。攻擊越來越復(fù)雜，處理潛在數(shù)據(jù)泄露的機制也隨之越來越復(fù)雜。

在Mac機上，可路由網(wǎng)絡(luò)服務(wù)默認是禁用的，很多現(xiàn)代應(yīng)用和服務(wù)也是在沙箱中運行。這意味著App和系統(tǒng)服務(wù)對系統(tǒng)資源只有有限訪問權(quán)；惡意代碼不能與其他App或系統(tǒng)互操作。

蘋果還有更為極端的方式對抗惡意軟件。通過靜默自動更新，蘋果在每臺Mac機上都維護著一份已知惡意軟件威脅的黑名單。Safari、Message和Mail下載的每一個文件都附帶有元數(shù)據(jù)，表明該文件是否安全、文件下載的源地址和下載當(dāng)時的時間戳。任何被標(biāo)為不安全的文件在打開時都會彈出警告信息，用戶可選擇直接將該文件投入回收站。

特定程序及任何相關(guān)文件都會被自動刪除，該程序所做的任何修改都會被記錄并撤銷。如果該操作切實發(fā)生了，管理員用戶下次登錄Mac時就會收到“已發(fā)生改動”的通知。

13. 防火墻

Windows 10：

自 Windows XP SP2 起，Windows系統(tǒng)便默認安裝了一直開啟的 Windows Firewall (Windows防火墻)。Windows Firewall 有數(shù)十條內(nèi)置規(guī)則，拒絕一切非例外處理的入站連接，允許用戶、組、管理員、網(wǎng)絡(luò)、服務(wù)或應(yīng)用創(chuàng)建額外的規(guī)則。Windows Firewall 不對用戶產(chǎn)生太多干擾，而且是通用的，也很容易與IPSEC一起配置。唯一的缺點就是糟糕的日志記錄(有時候是太多了)和缺乏重大已確認即時安全事件的通告，比如拒絕服務(wù)攻擊或端口掃描等，而這些正是其他第三方防火墻通常所具備的。

macOS：

所有Mac機發(fā)售時都已內(nèi)置防火墻服務(wù)，但默認是關(guān)閉的。可通過 Security & Privacy System Preference (安全&隱私系統(tǒng)偏好)面板配置該防火墻，可以啟用 Stealth Mode (隱身模式)讓計算機無視ICMP請求和連接嘗試。

14. 遠程訪問

Windows 10：

雖然微軟建議所有遠程管理都通過PowerShell或 Microsoft Management Consoles (微軟管理控制臺：MMC)進行，但 Remote Desktop (遠程桌面)控制臺及協(xié)議(RDP)依然是管理員們遠程訪問Windows計算機的最常見方式。RDP已歷經(jīng)多次升級，如今用戶可以數(shù)字證書身份驗證連接，并使用 Windows Defender Credential Guard 保護管理員憑證。

macOS：

Mac支持多種遠程訪問協(xié)議，包括對SSH和sftp的原生支持。用戶也可通過 Apple Remote Desktop (蘋果遠程桌面)遠程管理Mac機，遠程屏幕共享則可通過對VNC的原生支持實現(xiàn)，而iCloud訂閱用戶還可啟用 Back to my Mac (回到我的Mac)從任意一臺以相同 Apple ID 登錄的Mac機遠程訪問自己的Mac。

15. 安全配置

Windows 10：

本地安全策略在 Windows NT 4 SP4 中就已引入，并以 Active Directory Group Policies (活動目錄組策略)在 Windows 2000 和XP中進行了大幅擴展。今天，沒有哪個操作系統(tǒng)像Windows一樣有那么多內(nèi)置的點擊式安全配置選項。Windows操作系統(tǒng)和其他流行應(yīng)用(比如Office辦公套件)有數(shù)千種安全設(shè)置可用。管理員可用PowerShell腳本完成他們可以手動或使用組策略來完成的事情。

16. 修復(fù)

Windows 10：

Windows操作系統(tǒng)和微軟應(yīng)用程序修復(fù)是內(nèi)置并默認開啟的。Windows至少每天都會檢查有沒有新的補丁，默認自動應(yīng)用這些補丁而無需管理員或中斷用戶的干預(yù)。新安裝使用一組不容易關(guān)閉的內(nèi)置硬編碼防火墻規(guī)則，這些規(guī)則可保護PC抵御大多數(shù)網(wǎng)絡(luò)攻擊，同時又可及時獲取補丁進行修復(fù)。這得感謝2003年的MS-Blaster(沖擊波)蠕蟲，若非這款讓管理員不得不先感染了才能實施修復(fù)的蠕蟲，微軟的修復(fù)策略和過程也不會是現(xiàn)在的樣子。

macOS：

蘋果一貫在修復(fù)重大漏洞利用上反應(yīng)迅速。

17. 隱私

Windows 10：

背著侵犯終端用戶隱私的罵名幾十年后，微軟如今是隱私權(quán)的強力支持者，提供各種各樣的個性設(shè)置，管理員或用戶可甚為細致地決定哪些信息可以被收集而哪些不可以。

macOS：

蘋果高管一直走在用戶隱私問題最前列，某些情況下，為了保護用戶數(shù)據(jù)，甚至不惜公然與聯(lián)邦政府對壘。蘋果不收集轉(zhuǎn)賣用戶數(shù)據(jù)，指紋、人臉數(shù)據(jù)之類安全信息從不漏出蘋果設(shè)備，蘋果的隱私政策直截了當(dāng)，令人耳目一新，值得一讀。

18. 日志

Windows 10：

根據(jù)安裝的功能和服務(wù)，微軟產(chǎn)品有幾十種日志文件可供安全分析。其中最中心的是 Windows Event Log (Windows事件日志)服務(wù)。以前該服務(wù)包含3個主要日志(安全日志、系統(tǒng)日志和應(yīng)用日志)，如今，其所含日志數(shù)量已超100，且是可配置的XML詳細日志。日志或具體事件可以轉(zhuǎn)發(fā)給其他收集器并觸發(fā)控制臺消息或其他應(yīng)用程序。若說有什么美中不足，那就是記錄了太多太多微不足道的事件。在計算機安全界，噪音太多的問題比缺乏足夠的有用信息更嚴重。

macOS：

去年推出的 macOS Sierra 引入了統(tǒng)一日志系統(tǒng)，為了提供統(tǒng)一高效的API來捕捉并存儲所有系統(tǒng)和應(yīng)用活動。可配置日志記錄不同程度的細節(jié)，這些記錄下來的數(shù)據(jù)可用內(nèi)置的Console應(yīng)用查看。