前    言

操作系統作為計算機系統的核心，其安全性直接關系到個人隱私、企業數據和國家信息的安全。在信息技術快速發展的今天，信息泄露已成為常見的安全威脅，因此保障操作系統安全是防止計算機中重要信息泄露的基本要求。本文分上下兩篇從操作系統的各個層面分析操作系統中可能存在的安全問題及其防護措施。

本文為上篇，從五個方面對操作系統安全防護進行簡要介紹，主要包括操作系統版本、標準操作環境、操作系統防護配置、應用程序管理和應用程序控制，期望可以使讀者對操作系統安全防護有初步的了解。

操作系統版本

舊版本的操作系統，特別是供應商不再支持的操作系統，可能會遭受惡意行為者利用已暴露的漏洞進行攻擊。較新的操作系統版本通常會引入安全功能方面的改進，這使得惡意行為者難以對他們發現的漏洞進行攻擊利用。此外，64位版本的操作系統支持32位版本不具備的額外安全功能。因此使用最新版本的操作系統，并在系統支持的情況下，使用64位版本的操作系統會提高操作系統的安全性。

標準操作環境

允許用戶配置、維護他們自己的工作站和服務器可能導致不一致的操作環境。因為工作站和服務器配置或維護不當時，這樣的操作環境會幫助惡意行為者在網絡上獲得最初的立足點，為他們進行惡意攻擊提供機會。此外，當國有企業從服務提供商等第三方獲得時，還應考慮額外的網絡供應鏈風險，例如意外或故意包含惡意代碼或配置。

標準操作環境(Standard Operating Environment ，SOE)是通過自動化構建過程或映像提供的，旨在促進標準化和一致化的操作環境。為了減少惡意攻擊發生的可能性，應該努力從可信的第三方獲取它們的SOE，同時掃描它們的惡意代碼和配置。同時由于操作環境自然會隨著時間的推移而變化，例如應用補丁或更新、更改配置、添加或刪除應用程序，因此必須至少每年審查和更新SOE，以確保維護最新的版本。

操作系統防護配置

當操作系統以默認狀態部署或使用未經批準的配置時，可能會導致不安全的操作環境，從而允許惡意行為者在網絡上獲得初始立足點。操作系統中存在許多設置，允許將操作系統配置為批準的安全狀態，以便將這種安全風險降至最低。澳大利亞信號理事會(Australian Signals Directorate ，ASD)和供應商制定防護指導，以幫助防護操作系統的配置。

常見的操作系統安全配置如下：

• 開發、實施和維護經過批準的操作系統配置。
• 當ASD和供應商防護指導對操作系統進行防護發生沖突時，要優先考慮最嚴格的防護指導。
• 禁用或刪除不需要的帳戶、組件、服務和操作系統的功能。
• 更改操作系統的默認帳戶或任何預配置的帳戶。
• 禁用可移動介質的自動執行功能。
• 禁用或刪除Internet Explorer 11。
• 禁用或刪除. Net Framework 3.5(包括.Net 2.0和3.0)。
• 開啟操作系統漏洞保護功能。
• 不允許非特權用戶繞過、禁用或修改操作系統的安全功能。
• 禁止非特權用戶運行腳本執行引擎，包括:
• Windows腳本主機(cscript.exe和wscript.exe)
• PowerShell (PowerShell .exe、powershell_ise.exe和pwsh.exe)
• 命令提示符(cmd.exe)
• Windows管理工具(wmic.exe)
• Microsoft超文本標記語言(Hypertext Markup Language，HTML)應用主機(mshta.exe)。

應用程序管理

非特權用戶安裝任何應用程序的能力可以被惡意行為者利用，通過使用社會工程來說服他們安裝惡意應用程序。減輕這種安全風險的一種方法是，允許非特權用戶從組織管理的軟件存儲庫或受信任的應用程序市場安裝經過批準的應用程序，同時也可以減輕系統管理員的負擔。同時，為了防止非特權用戶刪除安全功能或破壞系統功能，非特權用戶不應該有卸載或禁用批準軟件的能力，即：

• 非特權用戶沒有能力安裝未經批準的軟件。
• 非特權用戶沒有能力卸載或禁用已批準的軟件。

應用程序控制

應用程序控制是一種有效的方法，不僅可以防止惡意代碼在工作站和服務器上執行，還可以確保只有經過批準的應用程序才能執行。在開發應用程序控制規則集時，確定批準的文件有：

• 可執行文件(例如.exe和.com文件)
• 軟件庫(例如.dll和..ocx文件)
• 腳本(例如.ps1、.bat、.cmd、.vbs和.js文件)
• 安裝程序(例如.msi、.msp和.mst文件)
• 編譯的HTML(例如.chm文件)
• HTML應用程序(例如.hta文件)
• 控制面板小程序(例如.cpl文件)
• 基于業務需求的驅動程序

此外，用戶最好定義自己的應用程序控制規則集，而不是依賴于來自應用程序控制供應商的規則集，并每年或更頻繁地驗證它們。在實現應用程序控制時，用戶應該使用可靠的方法或方法的組合，例如加密散列規則、發布者證書規則或路徑規則。根據所選擇的方法，可能需要進一步加強，以確保應用程序控制機制和應用程序控制規則集不能被惡意參與者繞過。最后，集中記錄和分析應用程序控制事件可以幫助監控系統的安全狀態，檢測惡意行為并有助于網絡安全事件后的調查。

應用程序控制具有以下特點：

• 應用程序控制可在工作站、面向internet的服務器和非面向internet的服務器上實現。
• 應用程序控制應用于操作系統、web瀏覽器及電子郵件客戶端使用的用戶配置文件和臨時文件夾。
• 應用程序控制將可執行文件、軟件庫、腳本、安裝程序、編譯后的HTML、HTML應用程序和控制面板小程序的執行限制在用戶批準的范圍內。
• 應用程序控制將驅動程序的執行限制為用戶批準的集合。
• 應用程序控制使用加密哈希規則、發布者證書規則或路徑規則實現。
• 使用發行者證書規則實現應用控制時，使用發行者名稱和產品名。
• 使用路徑規則進行應用控制時，只有經過審批的用戶才能修改和寫入經過審批的文件和文件夾。
• 使用路徑規則進行應用控制時，只有經過審批的用戶才能對經過審批的文件和文件夾修改文件系統權限。

小  結

本文主要從操作系統版本、標準操作環境、操作系統防護配置、應用程序管理和應用程序控制五個方面對操作系統安全防護進行簡要介紹，期望可以對想要初步了解操作系統安全防護的讀者有所幫助。下篇將對操作系統安全防護中防護軟件、日志等方面進行介紹。

參考文獻

《Information Security Manual (June 2024)》