Windows7安全性分析.ppt

Windows7安全性分析 物理与电信工程学院江捷刘卓俊王骏昂资源 新浪微盘邮箱 略Q群 极品讨论组微博 忘了 本课件模版系盗用华南师范大学物理与电信工程学院唐小煜老师 请作者谅解 Windows7的安全性 目录 一 保护内核二 更安全的网页浏览 InPrivate 保护模式 三 安全工具和应用软件Windows防火墙WindowsDefender反间谍软件MicrosoftSecurityEssentials反病毒软件四 监控ActionCenter五 系统及数据加密 登陆 文件 全盘 一 保护内核 1 内核是操作系统的核心 这也使得它成为恶意软件和其他攻击的主要目标 基本上 如果攻击者能够访问或操控操作系统的内核 那么他们可以在其他应用程序甚至操作系统本身都无法检测到的层次上执行恶意代码 微软开发了 内核模式保护 来保护核心 并确保不会出现未获授权的访问 Windows7内核组成 Windows7的内核分为几层 首先最底层当然是硬件 上面是硬件的抽象层 与硬件抽象层直接对话的是操作系统的内核 文件系统和其它的内核模式下的DRIVER可以通过调用内核封装好的API EXPORTEDDRIVERSUPPORTROUTINES 来与系统内核通信 再往上就是USERMODE运行的空间了 这幅图上面画的已经很清楚了 用户模式的DRIVER与WIN32API是调用的关系 也就是从某种意义上说用户模式的DRIVER其实就是一个应用程序 但是真正的用户驱动程序不与用户模式的DRIVER直接对话也是通过WIN32API来进行通信的 我们总结一下内核模式与用户模式的最大不同就是一个是基于WIN32API的 一个是基于系统内核调用的 他们所调用的函数接口不同 工人方式不同 所用数据结构也不一样 但是有一点是一样的 用户的应用程序不与驱动直接对话 而是统一调用WIN32API Windows7内核组成 在Windows里面有一个叫做SSDT的东西 SSDT的全称是SystemServicesDescriptorTable 系统服务描述符表 这个表就是一个把Ring3的Win32API和Ring0的内核API联系起来 SSDT并不仅仅只包含一个庞大的地址索引表 它还包含着一些其它有用的信息 诸如地址索引的基地址 服务函数个数等 正因为它是连接了内核模式和用户模式的函数 所以黑客只要把这张表给偷梁换柱 换成自己写的函数 病毒 恶意程序 地址 就可以实现其狂妄的目的了 因此 微软在它的第一版x64系统 XPx64 上引入了一项新技术 当然包括Windows7 新增了一个内核检查措施 称为KernelPatchProtection又名PatchGuard 简称KPP 对内核本身和重要的数据结构进行保护 Windows7内核模式保护 2 地址空间层随机化 ASLR 通过将关键的操作系统功能在内存中进行随机分布 可以将攻击者阻止在他们踌躇于从何处进行攻击时 微软还开发了数据执行保护 DEP 以防止那些可能包含数据的文件或存储在保留给数据区域的文件去执行任何类型的代码 DEP对堆栈溢出的保护在栈溢出介绍中提及到Windows体系结构下函数堆栈布局 地址从高向低 如表1 如果发生堆栈溢出 恶意代码通过覆盖在堆栈 stack 上的局部变量 从而修改函数的返回地址 而导致恶意代码执行 表2是这类攻击方式的堆栈结构的一个典型例子 DEP保护 栈溢出攻击过程是这样的 不采用ASR技术的进程 因其地址空间固定 攻击这可预先得出攻击代码的地址 将起覆盖到某函数返回地址的位置 使函数返回时跳转到攻击代码的位置执行 当DEP保护机制被使用后 由于恶意代码是存放在系统的数据页面 堆栈页面上 那么函数返回时 指令寄存器EIP将跳转到恶意代码的入口地址 此时该页面是非可执行的 non executable 于是DEP就会触发系统异常而导致程序中止 ASR技术 ASR技术主要对进程的栈 堆 主程序代码段 静态数据段 共享库 GOT GlobalOffsetTable 等所在的地址进行随机化 采用了ASR技术后 因为攻击代码的地址不固定 攻击者只能猜测该地址 所以不能保证正确跳转到攻击代码的位置 二 更安全的网页浏览 Windows7附带了当前功能最强大的网页浏览器版本IE8 您也可以在其他的Windows操作系统版本上下载并运行IE8 所以它不是专用于Windows7的 但它确实带来了一些安全性能上的提升 InPrivate浏览方式提供了私密上网的能力 IE8另一个安全上的改进是保护模式 1 InPrivate浏览 InPrivate浏览可让您在Web上冲浪时不会在InternetExplorer中留下任何隐私信息痕迹 InPrivate浏览方式提供了私密上网的能力 就像inprivate 私下地 这个名字它所揭示的一样 当你启动一个InPrivate浏览窗口时 IE浏览器不会保存个人网上冲浪的任何相关信息 这意味着 您所输入的信息不会保存在cache中 也没有历史信息记录您访问过的网站 当你在一台共享或者公共的电脑上使用IE8时 比如在图书馆 这项功能就显得特别有用 您可以从 新建选项卡 页面或通过按Ctrl Shift P来启动InPrivate浏览 在您启动InPrivate浏览后 InternetExplorer会打开一个新窗口 InPrivate浏览提供的保护仅在您使用该窗口期间有效 您可以在该窗口中根据您的需要打开尽可能多的选项卡 而且这些选项卡都将受到InPrivate浏览的保护 但是 如果您打开了另一个浏览器窗口 则该窗口不受InPrivate浏览保护 若要结束InPrivate浏览会话 请关闭该浏览器窗口 当您使用InPrivate浏览进行冲浪时 InternetExplorer存储一些信息 例如cookie和临时Internet文件 以便您访问的网页能正常工作 但是 在结束InPrivate浏览会话时 该信息将被丢弃 下表描述了关闭浏览器时InPrivate浏览将丢弃哪些信息以及在浏览会话中它将产生什么影响 2 保护模式 保护模式的实现是基于Windows7的安全组件 这些组件能够确保恶意或未经授权的代码不会被允许在浏览器上运行 保护模式会阻止drive by下载攻击 这些攻击使得用户在访问某个被攻破的网站时就能安装恶意软件到你的系统中 很多Windows7用户已经习惯了使用IE8浏览器 可能并没有注意到IE保护模式的存在 也许因为这个功能实在太 低调 了 平时躲在IE8窗口右下方的角落里 不注意的话 还看不出来 这个功能看似简单 但是面对如今危机四伏的Internet 用户稍一不慎系统便可能被各类插件 脚本或恶意软件侵入 而IE8的保护模式则可以更好的保护您的浏览安全 我们可以把不兼容的网站 该网站所需的插件和保护模式不兼容 添加到IE的可信站点中 步骤如下 双击图1右方的 保护模式 启用 部分 即可打开 Internet安全性 设置对话框 单击其上的 可信站点 部分 然后单击 站点 按钮 如右图所示 接下来在此输入所需的Web站点的URL地址 并单击 添加 按钮 同时确保清空 对该区域中的所有站点要求服务器验证 复选框 然后单击 关闭 按钮 如右图所示 回到前一个对话框 单击其上的 确定 按钮保存所做的设置即可 原来在默认的IE安全设置中 可信站点区域默认不启用保护模式功能 如图1所示 我们可以看到 启用保护模式 的复选框是清空状态 当我们访问的添加到可信站点中的网站时 所启动的IE浏览器并没有启用保护模式 这时候插件就可以正常运行了 综上所述 我们可以看到 IE保护模式既能有效地保护Web浏览器和Windows系统的安全 同时又能方便地启用兼容性设置 确保不会干扰我们的正常使用 确实非常方便 注意事项 1 只有IE浏览器才能享用保护模式带来的好处 第三方的浏览器 或者以IE为内核的一些外挂浏览器无法获得保护模式的功能 2 只有确认安全的网站 才能添加到可信站点区域 错将问题站点添加到可信区域 将会导致系统安全的严重受损 3 最好能够对旧版插件进行改进 以确保插件的兼容性 这样可以大大提高系统安全 三 安全工具和应用软件 由于有了内核式保护以及微软所做的其他改变 再怎样或是否允许应用程序和操作系统的核心功能进行交互方面 旧的杀毒软件和其他安全软件不能和Windows7兼容 像McAfee 赛门铁克 趋势科技以及其他供应商 都提供和Windows7兼容的版本 但如果你不想投入更多的钱 微软也提供免费的安全工具来保护你的系统 Windows防火墙和WindowsDefender反间谍软件工具包含在Windows7的基本安装包中 你也可以下载并安装MicrosoftSecurityEssentials反病毒软件 Windows7防火墙保护你的系统安全 大部分人工作和生活都离不开互联网 可是当前的互联网安全性实在令人堪忧 防火墙对于个人电脑来说就显得日益重要 在XP年代 WinXP自带的防火墙软件仅提供简单和基本的功能 且只能保护入站流量 阻止任何非本机启动的入站连接 默认情况下 该防火墙还是关闭的 所以我们只能另外去选择专业可靠的安全软件来保护自己的电脑 而现在Win7就弥补了这个缺憾 全面改进了Windows7自带的防火墙 提供了更加强大的保护功能 Windows7防火墙的启动 在Windows7桌面上 单击开始菜单处进入控制面板 然后找到 Windows防火墙 功能 Windows7防火墙的基本设置 点击进入 打开或关闭Windows防火墙 设置窗口 点击 启用Windows防火墙 即可开启Windows7的防火墙 Win7提供了三种网络类型供用户选择使用 公共网络 家庭网络或者工作网络 后两者都被Windows7系统视为私人网络 所有网络类型 Win7都允许手动调整配置 另外 Win7系统中为每一项设置都提供了详细的说明文字 一般用户在动手设置前有不明白的地方先浏览一遍就可以 如果你选择了 家庭网络 选项 你将可以建立一个 家庭组 在这种环境中 网路发现 会自动启动 你将可以看到网络中其它的计算机和设备 同时他们也将可以看到你的计算机 隶属于 家庭组 的计算机能够共享图片 音乐 视频 文档库以及如打印机这样的硬件设备 如果有你不想共享的文件夹在文档库中 你还可以排除它们 如果你选择的是 工作网络 网路发现 同样会自动启动 但是你将不能创建或是加入 家庭组 如果你的计算机加入了Windows域 通过控制面板 系统和安全 系统 高级系统配置 计算机名选项卡 并通过DC验证 那么防火墙将自动识别网络类型为域环境网络 而 公用网络 类型是当你在机场 宾馆 咖啡馆或使用移动宽带网络联通公共wi fi网络时的适当选择 网路发现 将默认关闭 这样其它网络中的计算机就不会发现你的共享而你也将不能创建或加入 家庭组 对于所有网络类型 默认情况下 windows7防火墙都会阻止对不在可允许程序名单上的程序的连接 Windows7允许你为每种网络类型分别配置设置 从右图可以看出 私有网络和公用网络的配置是完全分开的 在启用Windows防火墙里还有两个选项 1 阻止所有传入连接 包括位于允许程序列表中的程序 这个默认即可 否则可能会影响允许程序列表里的一些程序使用 2 Windows防火墙阻止新程序时通知我 这一项对于个人日常使用肯定需要选中的 方便自己随时作出判断响应 如果需要关闭 只需要选择对应网络类型里的 关闭Windows防火墙 不推荐 这一项 然后点击确定即可 防火墙如果设置不好 阻止网络恶意攻击不给力不说 还可能会阻挡用户自己正常访问互联网 所以之前很多电脑用户都不会去手动设置防火墙 现在情况就不一样了 Windows7系统的防火墙设置相对简单很多 普通的电脑用户也可独立进行相关的基本设置 还原默认设置 Win7新手用户尽可放心大胆去设置 就算操作失误也没关系 Windows7系统提供的防火墙还原默认设置功能可立马帮你把防火墙恢复到初始状态 关于用netsh exe配置系统防火墙 1 查看 开启或禁用系统防火墙打开命令提示符输入输入命令 netshfirewallshowstate 然后回车可查看防火墙的状态 从显示结果中可看到防火墙各功能模块的禁用及启用情况 命令 netshfirewallsetopmodedisable 用来禁用系统防火墙 相反命令 netshfirewallsetopmodeenable 可启用防火墙 关于用netsh exe配置系统防火墙 2 允许文件和打印共享文件和打印共享在局域网中常用的 如果要允许客户端访问本机的共享文件或者打印机 可分别输入并执行如下命令 netshfirewalladdportopeningUDP137Netbios ns 允许客户端访问服务器UDP协议的137端口 netshfirewalladdportopeningUDP138Netbios dgm 允许访问UDP协议的138端口 netshfirewalladdportopeningTCP139Netbios ssn 允许访问TCP协议的139端口 netshfirewalladdportopeningTCP445Netbios ds 允许访问TCP协议的445端口 命令执行完毕后 文件及打印共享所须的端口都被防火墙放行了 3 允许ICMP回显执行命令 netshfirewallseticmpsetting8 可开启ICMP回显 反之执行 netshfirewallseticmpsetting8disable 可关闭回显 四 监控ActionCenter Actioncenter位置点击开始 打开控制面板 系统和安全 操作中心 监控ActionCenter XP用户所熟悉的安全中心以被WindowsActionCenter所取代 ActionCenter是一个包括了安全中心的 更全面的监控Windows7系统的控制台 该ActionCenter的安全部分提供了用户Windows7系统的涉及安全的粗略信息 包括有关防火墙 间谍软件和病毒软件 Windows的更新状态 Internet安全设置和UAC的信息 五 系统及数据加密 一 登陆加密下面以文件夹为例 加密保护内容 右键点击要加密的文件夹 在弹出的菜单上选择 属性 在属性对话框中 点击 高级 按钮 在高级属性对话框中 勾选 加密内容以便保护数据 点击 确定 根据自己加密文件的范围 完成文件的加密 这里一般应选择缺省的第二项 将更改应用于此文件夹 子文件夹和文件 点击 确定 完成加密 解密 只要成功的登陆了 您的加密文件就可以像普通文件一样使用 试一下加密的效果 以另外一个用户名登录 即使这个用户也是管理员 也是无法打开其它用户加密的文件的 卸下硬盘 挂到另一