桌面安全性:採取「深層防禦」措施
「深層防禦」措施代表一種全方位的安全性哲學,可保護計算環境抵抗各種攻擊手段。
Joshua Hoffman
桌上型電腦系統的其中一項真理就是無常為常。在大部分情況下,這是好事。創新與創造使得計算環境樣貌變化多端。因此我們能用不同的新方法與周遭世界互動、合作及聯繫。
然而,隨著桌上型電腦系統樣貌的改變,桌面安全性的範疇也跟著改變。由於平台與資料的本質變了,新的威脅因而產生。IT 專業人員必須保持警覺,並了解有哪些做法和工具能協助遏阻這些威脅。
桌面安全性的「深層防禦」觀念代表一種安全性哲學。這種做法能盡可能保護計算環境抵抗各種潛在不同的攻擊手段。我們將介紹防止垃圾軟體和惡意軟體以保護桌面環境的方法;隨時隨地保護使用者與資料的新技術;以及協助 IT 專業人員管理多元計算環境的工具。
惡意軟體
就技術上來說,狡猾的罪犯會努力不懈地攻擊桌上型電腦。而這意味著使用者會受到手法不斷翻新的脅迫利誘來安裝惡意軟體在自己的機器上。幸好,市面上有一些工具可以保護使用者,同時也保護使用者連接的基礎結構。
使用者帳戶控制 (UAC) 這項功能首先於 Windows Vista 中引入。此控制功能可讓使用者與系統管理員防護在桌上型計算環境中對於系統管理權限的存取。使用者能夠輕鬆地利用標準使用者權限進行作業,藉此將使用者機器上的系統管理功能與惡意軟體相隔離,因為惡意軟體可能會在使用者不知情的情況下試圖存取資料或執行工作。
Windows 7 大幅增強了 UAC 的部分功能。透過減少需要提升權限的系統管理功能的數量來改善使用者經驗。 Windows 7 也針對數位簽署的 Windows 可執行檔加入自動提升權限的功能,並為需要明確提升權限的事件提供新的作業模式以便達到更精細的控制。如需 UAC 如何保護桌上型電腦環境的詳細說明,請參閱 Mark Russinovich 的 2009 年 7 月份的文章《深入了解 Windows 7 使用者帳戶控制》。
AppLocker 是另一項 Windows 7 新功能,可讓系統管理員精確指定環境中允許執行的程式。AppLocker 是根據 Windows XP 與 Windows Vista 中軟體限制原則 (SRP) 引進的基礎所建置。系統管理員可以允許或拒絕在桌上型電腦上安裝特定應用程式。
藉由加入以應用程式數位簽章為基礎的規則,AppLocker 進一步增強 SRP 的使用經驗。這可讓系統管理員識別可能想在組織內部禁止的應用程式,無須隨著程式屬性 (例如日期戳記或版本號碼) 的每次變更而更新規則。AppLocker 中的規則引擎也提供很大範圍的細微度 (請參閱 [圖 1])。因此系統管理員可以輕易建置廣泛的規則,並視需要允許例外狀況。
[圖 1] 在 Windows 7 中設定 AppLocker
此外,AppLocker 規則可以與組織內的特定使用者或群組建立關聯。此功能提供更特定的控制,讓您驗證和強制可以執行特定應用程式的使用者,以支援法規和安全性需求。
UAC 與 AppLocker 提供穩固的機制來控制在任何機器上可以安裝和使用的應用程式。加入 Forefront Client Security 還可以更進一步提供強大的防毒與反間諜軟體引擎,並得到即時檔案保護。萬一惡意程式設法侵入您的桌上型電腦環境,Forefront Client Security 內含不斷更新的篩選器,不僅能有效偵測,還可以抑制威脅。
行動資料
過去十年來,我們觀察到最重大的改變之一就是實際在桌上型電腦上執行的計算變得極少。膝上型電腦、筆記型電腦和各式各樣的行動裝置現已成為計算平台的主流。使用者的行動力更強,其資料也是如此。這的確包含許多優點,但也提高了風險。膝上型電腦和其他可攜式裝置比較容易弄丟、遺失或遭竊,使得機密資訊可能落入未經授權者手中。
有一些選項能幫助您與您的使用者防止資料遺失或遭竊。BitLocker 磁碟機加密 (簡稱 BitLocker) 能避免未經授權存取您的膝上型電腦或筆記型電腦。存放在已加密磁碟機上的檔案 (請參閱 [圖 2]) 會受到保護,並阻止未經授權的使用者存取。藉由提供完整磁碟區的資料加密、早期開機元件的完整性檢查,以及在開機時要求 PIN 或內含金鑰材料的 USB 快閃磁碟機,使用者和系統管理員在面對行動裝置遺失或遭竊時,對於資料的完整性會更安心。
[圖 2] BitLocker 磁碟機加密在磁碟機層級鎖定資料
膝上型電腦與筆記型電腦遺失只是問題的一部份。另一個常見的問題是誤放可攜式儲存裝置,像是 USB 快閃磁碟機。USB 快閃磁碟機能夠以低成本存放大量資料,因此是極受歡迎的儲存選項。但是用來儲存敏感資訊時也特別危險。BitLocker To Go 能夠消除這種疑慮,將 BitLocker 功能延伸到卸除式儲存裝置。
隨著使用者行動力的不斷提高,不僅需要保護存放在實體裝置上的資料,也要保護在公用網路上傳送的資料,這點很重要。DirectAccess 是 Windows 7 引進的新功能,可在外出時提高連線到公司網路的安全性。
DirectAccess 利用網際網路通訊協定安全性 (IPsec) 和網際網路通訊協定第 6 版 (IPv6) 等標準型技術,讓使用者從遠端位置順暢地連線到公司網路,無須使用個別的 VPN 連線。DirectAccess 也使用 IPsec 加密方法,像是三重資料加密標準 (3DES) 和進階加密標準 (AES),以便確保傳輸中的資料受到保護。如需進一步了解 DirectAccess 以及搭配使用網路存取保護來增強 DirectAccess 的方法,請參閱 Joseph Davies 撰寫的 2010 年 6 月專欄《The Cable Guy》。
最後,有越來越多應用程式和企業營運系統的工作移轉到雲端,因此網頁瀏覽器更應該盡量為線上計算提供安全的環境。即將發行的 Internet Explorer 9 將建置在許多網際網路安全性功能的強大基礎上,同時也會提供一些討喜的增強功能。
舉例來說,Internet Explorer 9 將包含跨站台指令碼 (XSS) 篩選器,它能偵測這類越來越普遍的攻擊類型。XSS 攻擊的目的是使用惡意程式碼入侵合法的網站。
如果 Internet Explorer 9 的 XSS 篩選器發現任何安全性弱點,便會停用有害的指令碼。Internet Explorer 9 也提供增強的 SmartScreen 篩選器,讓使用者識別和阻止可能包含網路釣魚攻擊、惡意程式碼等等的惡意網站。深入了解 Internet Explorer 9 和下載 Beta 試用版。
簡化管理
身為 IT 專業人員,特別重視維持部署、管理和維護安全性技術和原則的簡便性和效率。Windows 7 提供多種工具來協助您簡化桌面安全性基礎結構的管理。
譬如說,Windows PowerShell Cmdlet 現在適用於群組原則。使用這個強大的命令列殼層和指令碼語言,您現在可以更輕鬆地自動化及管理許多群組原則工作。您可以建立群組原則物件、定義它們與 Active Directory 容器的關聯、設定以登錄為基礎的設定,還有執行其他更多動作。這有助於確保您的環境中的每一台桌上型電腦都遵守系統管理員建立的安全性設定。
控制組織內軟體的部署方式來預防潛在惡意軟體侵入,這是很重要的。ActiveX Installer 服務幫助您使用群組原則來管理 ActiveX 控制項的部署。這麼做可確保您安裝和管理這些豐富的控制項 (藉此增強使用者的網路體驗),而不會危害 UAC 等桌面安全性控制項的完整性。
惡意攻擊會隨著桌上型電腦系統的創新而不斷調整。不過,完善的安全性深層防禦方法能確保您的使用者和關鍵商務資料受到保護。
Joshua Hoffman是 TechNet Magazine 的前任主編。他現在是一名獨立的作者和顧問,為客戶提供技術與觀眾導向市場行銷的建議。Hoffman 同時也擔任 ResearchAccess.com 的主編,這個網站旨在培養和豐富市調社群。他現居美國紐約市。