自從微軟啟動并積極推進自己的可信賴計算項目之后，微軟在推出的每個版本的Windows系統(tǒng)中都加入了新的安全功能并且一次次提升了Windows系統(tǒng)的安全水平。最新發(fā)布的Windows 8雖然在全新的UI和視覺效果上受到了褒貶不一的評價，但其安全性能一如既往的得到了全面的提升，這是不爭的事實。下面我們就來看看Windows 8系統(tǒng)中新加入的各種安全功能。

Windows 8 基礎(chǔ)版安全功能

本部分介紹的安全功能包含在Windows 8系統(tǒng)的各個版本中。不論是面向家庭用戶的Windows 8系統(tǒng)還是面向企業(yè)的Windows 8系統(tǒng)，大家都可以使用到以下安全功能。：

支持UEFI Secure Boot

Secure Boot 安全啟動功能是windows8系統(tǒng)中新加入的一項非常重要的安全功能，不過也有人質(zhì)疑這項功能，因為在某些情況下該功能存在潛在的問題。UEFI (統(tǒng)一可擴展固件接口 - 當(dāng)前版本2.3.1)開發(fā)的主要目的是作為下一代電腦產(chǎn)品的固件接口，代替目前傳統(tǒng)PC機上廣泛使用的BIOS接口。啟用Secure Boot功能后， Windows 8可以有效抵御底層惡意軟件的攻擊，如rootkits的攻擊。在帶有 Secure Boot 功能的操作系統(tǒng)中，系統(tǒng)會將所有啟動組件的數(shù)字簽名提交給系統(tǒng)的反惡意軟件驅(qū)動部分進行審核，從而發(fā)現(xiàn)可疑的啟動組件。如果某個啟動組件的簽名異常(被篡改)，那么Windows Recovery Environment 就會啟動并嘗試修復(fù)操作系統(tǒng)。而 rootkit的攻擊手法通常是篡改系統(tǒng)的關(guān)鍵啟動文件，從而在系統(tǒng)啟動過程中先于各種反病毒軟件被激活。Secure Boot會發(fā)現(xiàn)任何形式的篡改內(nèi)容并預(yù)防rootkit被載入。Windows8的這個功能是企業(yè)所必備的，并且企業(yè)應(yīng)該防止員工擅自禁用該功能。

SmartScreen 過濾器

SmartScreen智能屏幕技術(shù)最初出現(xiàn)在IE瀏覽器中，而如今正式被加入到新一代的Windows操作系統(tǒng)中。據(jù) NSS Labs, 的評測顯示，該功能是目前市場上各種瀏覽器安全功能中檢測和屏蔽社交引擎惡意軟件效果最好的。 SmartScreen 功能具備一個基于 URL 的信譽系統(tǒng)以及一個基于文件/應(yīng)用信譽系統(tǒng)。URL信譽系統(tǒng)可以防止用戶遭受釣魚網(wǎng)站以及社交引擎攻擊，而文件信譽系統(tǒng)可以監(jiān)視通過瀏覽器下載的文件，確保文件是安全可靠的。如果某個下載的文件被認定為可疑文件或惡意文件，系統(tǒng)會阻止該文件的下載活動，并將如下信息反饋給用戶：

圖 A

如果下載的文件在文件信譽系統(tǒng)中沒有記錄，或者系統(tǒng)無法識別，將會顯示以下警告信息：

圖 B

對于未知的文件，大部分用戶還是會繞過警告信息而主動去打開文件，但是由于有管理控制，用戶無法擅自關(guān)閉這種警告信息。

集成反惡意軟件程序Windows Defender

由于Windows Defender 中新加入了Microsoft Security Essentials 中的技術(shù)，具備了反病毒能力，Windows 8現(xiàn)在擁有了完整的反病毒和反惡意軟件解決方案。新版的Windows Defender 在提高性能的同時還降低了內(nèi)存/CPU的占用率。雖然很多企業(yè)仍然會使用企業(yè)自己購買的第三方反病毒軟件，但企業(yè)也應(yīng)該向第三方反病毒廠商進行咨詢，尤其是其產(chǎn)品是否能夠支持Windows8系統(tǒng)，因為如果能夠支持Secure Boot功能，將讓企業(yè)的安全環(huán)境響應(yīng)速度更快，減少潛在的安全盲區(qū)。

圖片密碼

圖片密碼功能是Windows8系統(tǒng)新增加的基于觸摸屏的安全登錄方案，用戶可以選擇系統(tǒng)內(nèi)的某個圖片，并在圖片上依次完成三個手勢動作完成登錄行為。系統(tǒng)會記錄用戶的點擊位置和順序，作為登錄密碼，而點擊的位置與圖片綁定，從而提高安全性。比如用戶可以選擇一張雙人照片，并在其中一人的臉上畫一個微笑的嘴型，再在另一個臉上點擊兩只眼睛，作為自己的登錄密碼。這與傳統(tǒng)的密碼方式相比看上去有些兒戲，但是其安全性絲毫不遜于強健的密碼。

Windows Reader

Windows 8內(nèi)置了一個全新的文檔閱讀器Windows Reader，該工具中也蘊含了一個新的安全功能。Windows Reader支持 PDF 文檔，而PDF文檔正是目前被攻擊頻率最高的文檔格式之一。在操作系統(tǒng)中內(nèi)置一個輕量級的PDF閱讀器，并通過Windows Update進行定期更新，將有助于系統(tǒng)防范基于PDF格式文件的各種攻擊行為，降低系統(tǒng)的安全盲區(qū)。

ASLR 和溢出減少

Address Space Layout Randomization (ASLR)即地址空間布局隨機化技術(shù)，最早出現(xiàn)在Windows Vista 中，它的本質(zhì)是通過將內(nèi)存中的代碼和數(shù)據(jù)進行隨機存放來避免緩存溢出漏洞的技術(shù)。在Windows 8中，這種隨機化技術(shù)得到了進一步的加強，從而避免了已知的繞過ASLR技術(shù)的攻擊對系統(tǒng)進行破壞。其它降低溢出風(fēng)險的措施還包括修改Windows內(nèi)核和heap，新的完整性檢測方法和類似ASLR的隨機方案。這些提升也會讓IE10獲益： 除了包含 “Enhanced Protected Mode” 沙箱外，IE10還具有 “ForceASLR” 選項，可以將所有加載的模塊在內(nèi)存中進行隨機化的存儲，而不考慮這些模塊是否設(shè)置了ASLR保護(開發(fā)人員可以利用/DYNAMICBASE標記開發(fā)支持ASLR技術(shù)的模塊以便更好的利用該技術(shù)的優(yōu)勢)。

Windows 8 專業(yè)版安全功能

下面我要介紹的安全功能只存在于針對企業(yè)用戶的Windows 8專業(yè)版和Windows8企業(yè)版中：

Bitlocker 和 Bitlocker To Go

Bitlocker是微軟在Vista時代推出的一個全盤加密解決方案，在windows 7中，該方案改名叫Bitlocker To Go，可以支持對移動存儲設(shè)備進行全盤加密。在Windows8中，該方案沒有明顯的改變，只是增加了將Bitlocker To Go加密密鑰備份到SkyDrive賬戶中的功能。

Encrypting File System

EFS加密文件系統(tǒng)是微軟用于加密某個磁盤、文件夾和文件的解決方案。在二十年前的windows NT家族中就出現(xiàn)了EFS，而如今由于Bitlocker, Bitlocker To Go以及市面上各種免費加密方案的推出，EFS已經(jīng)沒有往日的光彩了。

域成員和組策略對象

一般來說，這兩個功能是區(qū)分消費版本W(wǎng)indows系統(tǒng)和企業(yè)版本W(wǎng)indows系統(tǒng)的標志。對于集中化管理來說，活動目錄非常關(guān)鍵。一旦加入活動目錄，管理員就可以建立組策略對象并將其應(yīng)用到域成員上，實現(xiàn)對域成員的各種控制功能，從而提升整體安全性能。Windows 8針對新的操作系統(tǒng)建立了新的策略：

圖 C

Windows 8 企業(yè)版安全功能

最后我要介紹的安全功能只存在于 Windows 8 企業(yè)版中，這些安全功能包括：

Applocker

Applocker是微軟針對應(yīng)用程序控制推出的解決方案。該方案最早出現(xiàn)在Windows 7系統(tǒng)中，通過黑名單和白名單的方式實現(xiàn)對應(yīng)用程序的控制。通過Applocker，管理員可以建立適當(dāng)?shù)牟呗?，限制或允許用戶在電腦上安裝某些應(yīng)用程序。新的 Windows 8 Applocker可以同時管理傳統(tǒng)的桌面應(yīng)用程序和新的Metro apps。

DirectAccess

在個人電腦和企業(yè)網(wǎng)絡(luò)安全連接方面，微軟推出了DirectAccess來代替?zhèn)鹘y(tǒng)的VPN。由于DirectAccess的連接不需要再啟動額外的應(yīng)用程序，因此可以簡單的通過策略應(yīng)用的方式幫助企業(yè)更好的實現(xiàn)遠程連接以及移動計算設(shè)備上的安全連接保障。目前看來，Windows8中的DirectAccess與Windows 7中的DirectAccess沒有什么變化。

Windows To Go

隨著BYOD(攜帶個人設(shè)備辦公)趨勢的發(fā)展，微軟也適時的發(fā)布了Windows To Go。這是一套完全受控的Windows 8 企業(yè)鏡像系統(tǒng)，可以被管理員存儲在U盤中隨身攜帶，并在任何一臺x64硬件結(jié)構(gòu)的 PC上啟動。作為完整的企業(yè)PC鏡像，Windows To Go包含了多種管理功能，比如Windows Update策略管理，企業(yè)反惡意軟件解決方案以及Bitlocker加密工具。目前Windows To Go需要至少32GB的U盤，并且只能在x64電腦上啟動。盡管有這些限制，但Windows To Go仍然是多環(huán)境下的一個相當(dāng)實用的功能，不論是企業(yè)所擔(dān)心的BYOD趨勢所帶來的安全風(fēng)險，還是企業(yè)數(shù)據(jù)的災(zāi)難恢復(fù)，Windows To Go都能起到一定的效果。