全球兩大主流操作系統(tǒng)是怎么保護(hù)系統(tǒng)和數(shù)據(jù)不受惡意軟件、未授權(quán)訪問(wèn)、硬件漏洞等等威脅的侵害的呢？

一句“PHP是世界上最好的編程語(yǔ)言”可以成功惹毛一票程序員。同樣，隨口一句“Windows系統(tǒng)比Mac系統(tǒng)更安全（或反之）”也能讓IT安全人員吵個(gè)不可開(kāi)交。事實(shí)上，只要保持默認(rèn)安全設(shè)置并遵從其最佳實(shí)踐建議，這兩個(gè)操作系統(tǒng)都足夠安全，但在幾十年的用戶爭(zhēng)奪戰(zhàn)之后，這個(gè)話題已經(jīng)演變成了技術(shù)信仰問(wèn)題。兩方陣營(yíng)針?shù)h相對(duì)，沒(méi)有中間路線可走。老好人似的說(shuō)“兩個(gè)操作系統(tǒng)都安全”不過(guò)是成為雙方共同的敵人而已。

話雖如此，卻不是每個(gè)人都知道這兩種最流行的操作系統(tǒng)到底因?yàn)槭裁炊踩?。于是，排除掉那些附加的企業(yè)功能，我們不妨先就操作系統(tǒng)本身帶有的基本安全功能來(lái)做一番概述和比較。

[[232182]]

0. 操作系統(tǒng)基本安全能力

微軟 Windows 10 安全

Windows誕生的頭10年，這款微軟旗艦產(chǎn)品輕易坐穩(wěn)史上最好攻擊操作系統(tǒng)(OS)的寶座。成功攻擊的數(shù)量讓公眾對(duì)Windows的安全性失去了信任。于是，微軟共同創(chuàng)始人比爾·蓋茨在2002年1月15日寫(xiě)下了著名的“可信計(jì)算”備忘錄，指引微軟投入更多資源到提升Windows安全性上。

微軟不僅讓W(xué)indows從出廠時(shí)就更安全，還創(chuàng)新或協(xié)作創(chuàng)新了數(shù)十項(xiàng)計(jì)算機(jī)安全技術(shù)。蓋茨2002備忘錄的最重要成果之一，就是安全開(kāi)發(fā)生命周期(SDL)的大規(guī)模采用。SDL讓每個(gè)軟件開(kāi)發(fā)項(xiàng)目從一開(kāi)始就引入安全編碼和安全實(shí)踐。這是安全教育、安全要求和安全工具的結(jié)合，而微軟將其經(jīng)驗(yàn)全部共享了出來(lái)。

SDL大幅減小了每千行代碼的漏洞率，增加了很多安全功能和選擇，縮小了攻擊界面，提供了更安全的默認(rèn)設(shè)置。Windows 10 的安全性，正是微軟提供適度安全的跨設(shè)備通用操作系統(tǒng)工作的延續(xù)。

蘋(píng)果 MacOS 安全

很長(zhǎng)時(shí)間以來(lái)，Mac用戶都無(wú)需擔(dān)心病毒和惡意軟件?，F(xiàn)實(shí)世界中，Mac操作系統(tǒng)的漏洞極少有被利用的。Mac用戶也經(jīng)常被提醒注意潛在安全威脅，但大部分時(shí)候不過(guò)是因?yàn)槠溆肳indows的同事成為了惡意軟件的攻擊目標(biāo)。每版Windows中那數(shù)不清的漏洞，再加上Windows那龐大的用戶基礎(chǔ)，令PC成為了黑客的最佳攻擊目標(biāo)。

直到今天，Mac系統(tǒng)的潛在威脅情況仍不像其他平臺(tái)那般嚴(yán)峻，但Mac用戶已經(jīng)不能再無(wú)視被黑的可能性了。隨著時(shí)間流逝，隨著越來(lái)越多的蘋(píng)果設(shè)備進(jìn)入消費(fèi)市場(chǎng)，威脅只會(huì)越來(lái)越多，越來(lái)越復(fù)雜高端。

其實(shí)，蘋(píng)果設(shè)備威脅已經(jīng)初露端倪：2017年是安全事件爆發(fā)的一年。2月，虛假 Adobe Flash 安裝包內(nèi)嵌MacDownloader惡意軟件，可致Keychain數(shù)據(jù)(包含用戶名和口令等個(gè)人信息)滲漏。去年秋天，最新Mac操作系統(tǒng) High Sierra 的發(fā)售版中檢測(cè)到數(shù)個(gè)漏洞，可令黑客繞過(guò)口令獲取特定區(qū)域的root權(quán)限。之后不久，名為“幽靈”和“熔斷”的處理器漏洞曝光，世界上大部分計(jì)算機(jī)都受影響。

1. 啟動(dòng)保護(hù)

Windows 10：

在預(yù)啟動(dòng)、啟動(dòng)和啟動(dòng)后防護(hù)上，微軟一直走在前列。其中一些防護(hù)措施是從其他開(kāi)源操作系統(tǒng)項(xiàng)目中借鑒過(guò)來(lái)的，有些則來(lái)自于業(yè)界倡議，但大多是微軟自主研發(fā)的。如今，微軟將很多保護(hù)技術(shù)都納入了 Windows Defender System Guard 旗下，啟動(dòng)保護(hù)就是其中的“Secure Boot(安全啟動(dòng))”。

Secure Boot 要求預(yù)啟動(dòng)過(guò)程檢查計(jì)算機(jī)是否在主板上安裝并啟用了更安全的最新版統(tǒng)一可擴(kuò)展固件接口(UEFI)和可信平臺(tái)模塊(TPM)。這兩個(gè)芯片在接受新代碼或設(shè)置變更之前都會(huì)進(jìn)行加密驗(yàn)證，驗(yàn)證不通過(guò)就不允許寫(xiě)入和修改，還能加密評(píng)估和驗(yàn)證啟動(dòng)過(guò)程。前期驗(yàn)證過(guò)的組件往往會(huì)安全存儲(chǔ)下后面組件之前被驗(yàn)證過(guò)的散列值，只有二者匹配，啟動(dòng)過(guò)程才會(huì)繼續(xù)。微軟也將該啟動(dòng)過(guò)程稱為 “Measured Boot(測(cè)量啟動(dòng))”或“ Trusted Boot(可信啟動(dòng))”。

只要有東西(比如rootkit)試圖修改該預(yù)啟動(dòng)或OS啟動(dòng)過(guò)程，這兩個(gè)芯片之一就會(huì)收到警報(bào)，要么阻止修改，要么在用戶下次開(kāi)機(jī)時(shí)給出重要警告。如果你還記得之前有關(guān)rootkit和引導(dǎo)病毒的大量報(bào)道，并且想知道為什么我們?nèi)缃窈孟癫惶?tīng)說(shuō)此類威脅了，那答案就是如今我們有了 Secure Boot 之類的預(yù)啟動(dòng)和啟動(dòng)保護(hù)過(guò)程。這可謂是對(duì)黑客和惡意軟件作戰(zhàn)中少有的幾個(gè)大成功之一。

UEFI和TPM都是開(kāi)放標(biāo)準(zhǔn)，任何廠商或OS可用。UEFI替代了容易出漏洞的BIOS，TPM則托管著核心加密功能——包括關(guān)鍵系統(tǒng)密鑰的安全存儲(chǔ)。用了UEFI和TPM，OS供應(yīng)商就能更好地維護(hù)其OS產(chǎn)品及其他應(yīng)用(比如數(shù)據(jù)存儲(chǔ)加密)在機(jī)器啟動(dòng)時(shí)和啟動(dòng)后的完整性。

Windows還有個(gè)名為“可配置代碼完整性(CI)”的功能，可保證在可信啟動(dòng)過(guò)程完成后只有預(yù)先定義過(guò)的可信代碼能夠運(yùn)行。CI是通用OS在只執(zhí)行可信代碼方面的重大進(jìn)步，但微軟已測(cè)試通過(guò)的操作之外的那些普通操作想要合理運(yùn)用CI，還得經(jīng)過(guò)慎重的計(jì)劃和測(cè)試。不過(guò)，如果想盡可能保證Windows操作系統(tǒng)安全，還是可以借助CI的力量。

在防止黑客使用行業(yè)標(biāo)準(zhǔn)預(yù)啟動(dòng)I/O接口(比如直接內(nèi)存存取(DMA)或 IEEE 1394)控制磁盤(pán)或設(shè)備方面，微軟也對(duì)其所有OS版本進(jìn)行了改進(jìn)。對(duì)每一家OS供應(yīng)商來(lái)說(shuō)，在不嚴(yán)重影響運(yùn)行速度或削弱OS性能的同時(shí)防止這些接口被惡意使用，確實(shí)是一項(xiàng)巨大的挑戰(zhàn)。微軟不僅增強(qiáng)了預(yù)啟動(dòng)I/O接口防護(hù)，還更進(jìn)一步，允許實(shí)質(zhì)上已成OS本身一部分的設(shè)備驅(qū)動(dòng)程序可以按設(shè)備單獨(dú)安裝。

Windows 10 還引入了設(shè)備健康認(rèn)證(DHA)的改進(jìn)版。DHA可認(rèn)證操作系統(tǒng)，使其干干凈凈地啟動(dòng)，還可對(duì)其他進(jìn)程進(jìn)行執(zhí)行前的驗(yàn)證。健康檢查中包含什么內(nèi)容取決于OS、OS管理員和他們使用的DHA服務(wù)?？蛻艨勺约哼M(jìn)行DHA檢查，也可以將之外包給微軟或第三方提供商。

macOS：

蘋(píng)果采用了防護(hù)能力弱得多的UEFI早期版本——EFI 1.0，而沒(méi)有采用后來(lái)更安全的UEFI新版本。但是，蘋(píng)果自主研發(fā)了其他很多類似的專利防護(hù)技術(shù)。因?yàn)槭菍＠夹g(shù)，蘋(píng)果并未公布其相關(guān)細(xì)節(jié)，很難就其預(yù)啟動(dòng)和啟動(dòng)防護(hù)措施進(jìn)行對(duì)比分析。

不過(guò)，Mac上可以啟用多個(gè)啟動(dòng)防護(hù)，尤其能夠防止別人訪問(wèn)Mac硬盤(pán)上的數(shù)據(jù)。標(biāo)準(zhǔn)用戶賬戶口令可提供對(duì)正確啟動(dòng)的Mac機(jī)的基本保護(hù)，但防不住能接觸到Mac機(jī)且具備“目標(biāo)磁盤(pán)模式”知識(shí)的黑客。

為防止未授權(quán)訪問(wèn)，啟動(dòng)盤(pán)可用 FileVault 2 加密，而Mac可以設(shè)置成不能通過(guò)固件口令從外部設(shè)備啟動(dòng)。FileVault 2 采用 AES 256 加密算法進(jìn)行整盤(pán)加密，塊大小128位，AWS-XTS模式，可阻止無(wú)解鎖權(quán)限的賬戶看到磁盤(pán)上的任何內(nèi)容。

2017年底發(fā)布的 iMac Pro 就加載了蘋(píng)果研發(fā)的T2芯片集。該芯片集整合了一系列硬件子系統(tǒng)，并引入了一些最終會(huì)用在其他Mac機(jī)上的安全功能。

2. 內(nèi)存保護(hù)

Windows 10：

微軟在內(nèi)存保護(hù)上做了很多工作，通常是為了防止初步漏洞利用、零日漏洞和提權(quán)攻擊。大多數(shù)內(nèi)存保護(hù)措施都納入到了 Windows Defender Exploit Guard 中，其中很多都來(lái)自于之前被稱作“增強(qiáng)緩解體驗(yàn)工具包(EMET)”的漏洞利用防護(hù)附件。

數(shù)據(jù)執(zhí)行保護(hù)(DEP)自 Windows XP 時(shí)代就已出現(xiàn)。DEP旨在防止惡意緩沖區(qū)溢出，也就是阻止惡意程序?qū)⒖蓤?zhí)行代碼放到數(shù)據(jù)區(qū)并誘騙OS執(zhí)行該代碼。DEP能令OS拒不執(zhí)行標(biāo)記為數(shù)據(jù)區(qū)域里的任何東西。

Windows Vista引入了很多新的安全特性，比如“地址空間布局隨機(jī)化(ASLR)”、“結(jié)構(gòu)化錯(cuò)誤處理復(fù)寫(xiě)保護(hù)(SEHOP)”和“受保護(hù)進(jìn)程”。ASLR會(huì)在每次啟動(dòng)時(shí)為通用關(guān)鍵系統(tǒng)進(jìn)程分配不同的內(nèi)存空間，讓想操縱并修改這些進(jìn)程的惡意程序更難以找到它們。

SEHOP會(huì)在發(fā)現(xiàn)執(zhí)行錯(cuò)誤時(shí)停止惡意流氓程序的安裝或執(zhí)行過(guò)程。這些安全功能連同其他預(yù)防性技術(shù)演進(jìn)成了微軟現(xiàn)在所謂的 Control Flow Guard (控制流保護(hù))。微軟的每個(gè)程序都啟用了該保護(hù)措施，Visual Studio 15 之類的編程工具也可使用該安全功能。

EMET在Vista中就已引入，作為幫助防止零日攻擊的附加組件。該工具包含了內(nèi)存保護(hù)、數(shù)字證書(shū)處理改進(jìn)(比如證書(shū)鎖定)、早期警告和攻擊上報(bào)改進(jìn)(向OS管理員和微軟報(bào)告攻擊情況，以便發(fā)現(xiàn)新攻擊的技術(shù)細(xì)節(jié))。EMET演化出了15種以上的緩解措施，其經(jīng)驗(yàn)證的保護(hù)功能備受推崇，所以微軟將其整合進(jìn)了 Windows 10  Creator Update 中(以 Windows Defender Exploit Guard 的姿態(tài)出現(xiàn) )。

macOS：

Mac機(jī)在英特爾處理器中內(nèi)置了XD(執(zhí)行禁用)功能，防止用于數(shù)據(jù)存儲(chǔ)和可執(zhí)行指令存儲(chǔ)的內(nèi)存相互訪問(wèn)。惡意軟件常會(huì)利用數(shù)據(jù)內(nèi)存和指令內(nèi)存間的相互訪問(wèn)來(lái)入侵系統(tǒng)，但XD的存在為此類惡意行為設(shè)置了障礙。

Mac機(jī)的macOS內(nèi)核同樣應(yīng)用了ASLR，通過(guò)隨機(jī)分配目標(biāo)地址讓攻擊者難以定位應(yīng)用程序漏洞?；旧?，只要啟用了ASLR，黑客就更容易直接搞崩要利用的應(yīng)用，而不是獲得應(yīng)用權(quán)限來(lái)作惡。

3. 登錄/身份驗(yàn)證

Windows 10：

OS一旦啟動(dòng)起來(lái)，最重要的安全功能就是限制誰(shuí)能登錄了。這一點(diǎn)由登錄身份驗(yàn)證來(lái)實(shí)現(xiàn)，通常包括口令、生物特征識(shí)別、數(shù)字證書(shū)和其他多因子身份驗(yàn)證設(shè)備，比如智能卡和USB身份驗(yàn)證令牌。用戶登錄后的登錄憑證防護(hù)也特別重要，無(wú)論臨時(shí)還是永久，不管存儲(chǔ)在內(nèi)存中還是磁盤(pán)上，登錄憑證必須保護(hù)好，以防惡意憑證竊取和重用攻擊。

Windows 10 對(duì)口令策略、生物特征識(shí)別、多因子身份驗(yàn)證和數(shù)字證書(shū)身份驗(yàn)證都支持良好。微軟最新最安全的登錄功能是 Windows Hello，支持人臉識(shí)別和指紋識(shí)別，可在讓用戶便捷登錄的同時(shí)以安全數(shù)字證書(shū)技術(shù)保護(hù)用戶的登錄憑證安全。用戶仍然可以使用口令或更短些的PIN碼，不過(guò)只能作為設(shè)置了更為傳統(tǒng)的身份驗(yàn)證方法之后的備用選項(xiàng)。Windows Hello 也可用于啟用了該功能的應(yīng)用，比如Dropbox和口令管理器。

由于擔(dān)心內(nèi)存憑證盜竊，微軟創(chuàng)建了 Virtualization Based Security (基于虛擬化的安全：VBS)，將登錄憑證保護(hù)在基于硬件的操作系統(tǒng)虛擬化子集中，幾乎不可能受到惡意攻擊的影響。VBS也被稱為 Virtual Secure Mode (虛擬安全模式：VSM)。

微軟基于VBS創(chuàng)建了 Windows Defender Credential Guard 和 Device Guard。Credential Guard保護(hù)多種類型的登錄憑證，包括NTLM、Kerberos和其他存在Windows憑證管理器中基于域的非Web憑證。Credential Guard 挫敗了很多流行口令攻擊。想要啟用 Credential Guard，必須得是64位的Windows系統(tǒng)，且開(kāi)啟了UEFI、TPM(推薦，但非必需)、Secure Boot，并且處理器是帶有恰當(dāng)?shù)奶摂M化擴(kuò)展的英特爾或AMD處理器。

一直以來(lái)，黑客都會(huì)利用存儲(chǔ)的服務(wù)憑證來(lái)入侵計(jì)算機(jī)和網(wǎng)絡(luò)。Windows Vista 引入了 Virtual Service Accounts (虛擬服務(wù)賬戶)和 Managed Service Accounts (組管理服務(wù)賬戶：需要開(kāi)啟活動(dòng)目錄)。二者都是僅用于服務(wù)的新身份類型，一旦初始化，就會(huì)接管隨機(jī)化服務(wù)賬戶口令和定期修改的麻煩事，以便即使服務(wù)賬戶口令被盜也不會(huì)給公司造成太大損失。

macOS：

可設(shè)置固件口令以防止從非指定啟動(dòng)盤(pán)啟動(dòng)機(jī)器，而且固件口令還會(huì)忽略標(biāo)準(zhǔn)啟動(dòng)組合鍵。但要注意：FileVault和固件口令保護(hù)都要使用強(qiáng)口令；如果用了弱口令還被黑客猜解出來(lái)，那整顆硬盤(pán)上的內(nèi)容也就在手握正確憑證的人面前裸奔了。

2017年底推出的 iMac Pro 是第一批搭載了T2芯片集的蘋(píng)果產(chǎn)品，特定功能可通過(guò)新的 Startup Security Utility (啟動(dòng)安全使用程序)進(jìn)行修改。通過(guò)整合固件口令保護(hù)、Secure Boot 和 External Boot (外部啟動(dòng))到單一接口，該實(shí)用程序令Mac機(jī)抵御非授權(quán)訪問(wèn)更加簡(jiǎn)單易行。Mac機(jī)用戶可通過(guò)該接口設(shè)置操作系統(tǒng)使用和更新包及第三方軟件安裝的嚴(yán)格程度。

4. 提權(quán)防范

Windows 10：

黑客或惡意軟件一旦在系統(tǒng)中建立了橋頭堡，往往會(huì)嘗試額外的提權(quán)攻擊以獲取最高管理權(quán)限。Windows Defender Exploit Guard 中包含的緩解措施，就是微軟提權(quán)攻擊防范的第一道防線。不過(guò)，微軟防范提權(quán)攻擊的方法不止這一個(gè)。

Vista中引入的 User Account Control (用戶賬戶控制：UAC)，就試圖“降級(jí)”特權(quán)用戶(比如管理員賬戶)在執(zhí)行標(biāo)準(zhǔn)用戶任務(wù)時(shí)的權(quán)限，比如讀取電子郵件或打開(kāi)瀏覽器上網(wǎng)之類的普通操作就用不到管理員權(quán)限。如果某用戶以特權(quán)憑證登錄，UAC會(huì)將其權(quán)限分割成2個(gè)令牌：一個(gè)具有特權(quán)，另一個(gè)沒(méi)有。默認(rèn)情況下所有應(yīng)用和任務(wù)都以非特權(quán)令牌執(zhí)行，除非用戶被要求提權(quán)或執(zhí)行的是需要提權(quán)的預(yù)定義任務(wù)。最開(kāi)始的時(shí)候，很多用戶和管理員都覺(jué)得UAC特別煩人。如今，大多數(shù)用戶啟用UAC模式也不會(huì)覺(jué)得受太多干擾了。

macOS：

蘋(píng)果操作系統(tǒng)上創(chuàng)建的用戶賬戶大多是管理員賬戶。以這些用戶名和口令登錄系統(tǒng)，能安裝App或修改可影響整個(gè)系統(tǒng)的設(shè)置項(xiàng)。幸運(yùn)的是，macOS內(nèi)置了避免初級(jí)用戶用管理員權(quán)限犯傻的保護(hù)措施，比如刪除/System文件夾或其內(nèi)容這種事就是默認(rèn)禁止的。甚至即便無(wú)意中以管理員權(quán)限安裝了惡意軟件，內(nèi)置 System Integrity Protection (系統(tǒng)完整性保護(hù))也能作為故障保護(hù)機(jī)制防止惡意軟件把操作系統(tǒng)搞崩。

macOS也并非沒(méi)有漏洞：幾個(gè)月前剛曝出蘋(píng)果最新版操作系統(tǒng)無(wú)需口令就能以root權(quán)限登錄，當(dāng)然這個(gè)漏洞剛被曝光就很快打上了補(bǔ)丁。雖然該漏洞被快速修復(fù)，但也提醒了我們，公眾認(rèn)知中天生防黑的蘋(píng)果機(jī)，也只是暫時(shí)的，漏洞利用隨時(shí)可能出現(xiàn)。

5. 數(shù)據(jù)保護(hù)

Windows 10：

如果不能保護(hù)數(shù)據(jù)，OS安全也就沒(méi)有意義了。微軟長(zhǎng)期以來(lái)都有文件及文件夾加密( Encrypting File System )功能，并在Vista里添加了以BitLocker實(shí)現(xiàn)的磁盤(pán)卷加密。終極加密密鑰可以存儲(chǔ)在TPM硬件芯片、網(wǎng)絡(luò)、可移動(dòng)媒體和其他地方。Vista之后的Windows系統(tǒng)增加了其他加密功能和選項(xiàng)，包括使用 BitLocker To Go 對(duì)可移動(dòng)媒體加密和要求可移動(dòng)媒體必須加密。通過(guò)設(shè)置加密選項(xiàng)，系統(tǒng)管理員可以規(guī)劃什么樣的可移動(dòng)媒體能夠在本機(jī)安裝并使用。

macOS：

如前文提到的，macOS可用 FileVault 2 加密啟動(dòng)盤(pán)以防止未授權(quán)訪問(wèn)。通過(guò)固件口令，Mac機(jī)可設(shè)置為不能從外部設(shè)備啟動(dòng)。FileVault 2 采用128位塊大小的 AES 256 加密算法AES-XTS模式進(jìn)行加密。配合可防止以組合鍵繞過(guò)啟動(dòng)盤(pán)啟動(dòng)的固件口令，經(jīng) FileVault 2 以強(qiáng)口令整盤(pán)加密的磁盤(pán)基本上是不可能被破解的。

如果磁盤(pán)被轉(zhuǎn)到另一臺(tái)Mac機(jī)，可以使用恢復(fù)密鑰，或者用戶有解鎖權(quán)限也行?；謴?fù)密鑰可保存在管理系統(tǒng)里，比如JAMF，或者存儲(chǔ)在蘋(píng)果的iCloud服務(wù)器上躲在 Apple ID 保護(hù)之后也可以。

可以使用macOS原生 Disk Utility 應(yīng)用來(lái)加密外部磁盤(pán)或創(chuàng)建加密磁盤(pán)鏡像。

6. 文件完整性保護(hù)

Windows 10：

Windows有很多功能都可以為OS和用戶數(shù)據(jù)文件提供完整性保護(hù)。Windows ME 引入了名為  System File Protection (系統(tǒng)文件保護(hù)：SFP)的OS文件保護(hù)進(jìn)程。一旦系統(tǒng)重要文件被刪除，SFP可確保Windows系統(tǒng)能立即以已知良性的文件副本加以替換。Windows Vista 對(duì)SFP進(jìn)行了升級(jí)，演變成還能保護(hù)重要Windows注冊(cè)表設(shè)置的 Windows Resource Protection (Windows資源保護(hù))——雖然被保護(hù)和自動(dòng)替換的東西整體減小了。

Vista還引入了 Mandatory Integrity Controls (強(qiáng)制完整性控制：MIC)和文件及注冊(cè)表虛擬化。MIC會(huì)為Windows中每個(gè)用戶、文件和進(jìn)程顯式分配MIC級(jí)別(高、中、低)，低級(jí)別MIC對(duì)象不能修改高級(jí)別MIC對(duì)象。在文件和注冊(cè)表虛擬化保護(hù)下，大多數(shù)OS重要文件和注冊(cè)表設(shè)置都可抵御低權(quán)限用戶或進(jìn)程的修改嘗試，低權(quán)限用戶或進(jìn)程所做的修改只作用于虛擬出來(lái)的額外文件或注冊(cè)表副本，真正的系統(tǒng)重要文件和注冊(cè)表設(shè)置是不受影響的。

在 Windows 8 中，PC Reset (PC重置)和 PC Refresh (PC刷新)功能可供用戶重置設(shè)備到全新?tīng)顟B(tài)( PC Reset )或近全新?tīng)顟B(tài)( PC Refresh：保留用戶文件、設(shè)置和某些應(yīng)用)。如果你擔(dān)心中了惡意軟件，最好將系統(tǒng)重置到已知干凈狀態(tài)。

macOS：

2015年 El Capitan 中引入的 System Integrity Protection (系統(tǒng)完整性保護(hù)：SIP)，解決的是惡意軟件或黑客獲取到賬戶憑證后的無(wú)限制root權(quán)限問(wèn)題。SIP保護(hù)特定重要文件和目錄的內(nèi)容和權(quán)限，即便以root執(zhí)行也無(wú)法動(dòng)作。未簽名的內(nèi)核擴(kuò)展在SIP保護(hù)下無(wú)法運(yùn)行；如果沒(méi)有特定權(quán)益，進(jìn)程代碼注入和實(shí)時(shí)代碼修改也無(wú)法實(shí)現(xiàn)。只有經(jīng)恰當(dāng)簽名的應(yīng)用才可以修改受保護(hù)的系統(tǒng)目錄，而這些應(yīng)用必須關(guān)聯(lián)開(kāi)發(fā)者ID，且具備蘋(píng)果簽發(fā)的權(quán)益。

7. 加密支持

Windows 10：

從 Windows Vista 開(kāi)始，微軟不再嘗試自主研發(fā)加密密碼和算法，轉(zhuǎn)而部署廣受推崇的密碼體制(比如ECC和SHA-2)，并經(jīng)常加以更新以防弱密碼攻擊和支持新興加密算法。

macOS：

T2芯片使用硬件加密的 Secure Enclave (安全飛地)存儲(chǔ)Mac的加密密鑰(傳給同一塊芯片上的硬件加密引擎處理)。T2芯片集還控制著2塊用于存儲(chǔ)的NAND閃存，包含了實(shí)時(shí)無(wú)損加/解密數(shù)據(jù)的專用AES加密硬件。

T2芯片集在Mac機(jī)啟動(dòng)過(guò)程中確保操作系統(tǒng)軟件不被破壞。在啟動(dòng)時(shí)，T2芯片接管啟動(dòng)過(guò)程，用其硬件加密的 Secure Enclave 來(lái)比對(duì)密鑰，加載引導(dǎo)程序，確保其有效性，驗(yàn)證固件，然后驗(yàn)證讓Mac機(jī)真正跑起來(lái)的內(nèi)核和驅(qū)動(dòng)程序。

8. 磁盤(pán)/數(shù)據(jù)備份和恢復(fù)

Windows 10：

每個(gè)版本的Windows都有多種備份和恢復(fù)文件的方法。自 Windows XP 開(kāi)始，用戶可使用 System Restore (系統(tǒng)恢復(fù))功能將OS和各種設(shè)置恢復(fù)到之前保存的OS版本。“先前版本”功能在 Windows XP 時(shí)代還只是可選項(xiàng)，到了  Windows 8 就已內(nèi)置進(jìn)系統(tǒng)，可以從之前保存的版本中恢復(fù)出個(gè)別文件——只要之前的“先前版本”保存過(guò)程覆蓋了這些文件。

從 Windows 8 開(kāi)始，就可以使用名為 File History (文件歷史)的備份及恢復(fù)功能了。雖然不是完整的系統(tǒng)備份，F(xiàn)ile History 卻往往正好是用戶所需的，尤其是在Windows操作系統(tǒng)已經(jīng)可以單獨(dú)恢復(fù)的情況下。File History 默認(rèn)備份用戶最常用于保存文件和配置的地方，比如“我的文檔”、“音樂(lè)”、“文檔”、“視頻”、“桌面”、“下載”和“應(yīng)用數(shù)據(jù)”等，但是用戶也可自行納入或排除文件及文件夾并制定備份日程。

macOS：

2007年開(kāi)始，Mac機(jī)就預(yù)裝了 Time Machine (時(shí)光機(jī))服務(wù)，讓備份過(guò)程簡(jiǎn)單易行，設(shè)置好后就再也不用管了。如果 Time Machine 尚未設(shè)置，插入硬盤(pán)就會(huì)彈出設(shè)置對(duì)話框，供用戶將該硬盤(pán)設(shè)置為備份目標(biāo)盤(pán)。一旦確認(rèn)，備份過(guò)程即展開(kāi)。

1天之內(nèi)的數(shù)據(jù)按小時(shí)保持備份，1個(gè)月之內(nèi)的數(shù)據(jù)按天保存?zhèn)浞荩?個(gè)月之前的數(shù)據(jù)會(huì)被 Time Machine 整合進(jìn)周備份集合。如果備份存儲(chǔ)空間告急，Time Machine 會(huì)刪除最早的周備份以勻出空間。System Preferences (系統(tǒng)偏好設(shè)置)中可以修改 Time Machine 的設(shè)置。

9. 應(yīng)用保護(hù)

Windows 10：

Windows Vista 開(kāi)始，微軟對(duì)應(yīng)用間互操作和應(yīng)用對(duì)操作系統(tǒng)本身的操作就管束得特別嚴(yán)格了。Vista在操作系統(tǒng)、服務(wù)和終端用戶應(yīng)用之間進(jìn)行了嚴(yán)格的隔離。到了 Windows 8，微軟又更進(jìn)一步，創(chuàng)建了名為Metro的一類防護(hù)更嚴(yán)的應(yīng)用。這類應(yīng)用最終得名 Modern Applications (現(xiàn)代應(yīng)用)。

遵循蘋(píng)果公司的前例，只能通過(guò) Microsoft Store (微軟應(yīng)用商店)安裝經(jīng)過(guò)官方審核通過(guò)的 Modern Applications。所有此類應(yīng)用都在專門(mén)的沙箱容器中執(zhí)行，相互間只有有限的訪問(wèn)權(quán)限，與操作系統(tǒng)的互動(dòng)也有限，且只有啟用了UAC才可以執(zhí)行。

Windows Defender Application Guard 連同Edge瀏覽器一起隨 Windows 10 面世。Edge與其托管的站點(diǎn)和應(yīng)用如今均在基于VBS的虛擬環(huán)境中運(yùn)行，與操作系統(tǒng)本身是隔離的。Application Guard 中打開(kāi)的會(huì)話無(wú)法啟動(dòng)瀏覽器擴(kuò)展，不能保存文件到本地文件系統(tǒng)，也不能執(zhí)行其他高風(fēng)險(xiǎn)操作。有傳言說(shuō) Application Guard 將來(lái)會(huì)支持更多應(yīng)用。

控制哪些應(yīng)用能執(zhí)行哪些不能執(zhí)行一直以來(lái)都是保證高度安全的有效方式(比如應(yīng)用控制、黑名單、白名單)。微軟在 Windows XP 中引入了名為 Software Restriction Policies (軟件限制策略：SRP)的應(yīng)用控制措施。Vista之后，SRP被AppLocker取代。二者都可使管理員能夠按照名稱、位置或數(shù)字證書(shū)等條件設(shè)置程序、腳本或安裝包運(yùn)行與否。

Windows 10 中，CI和 Device Guard 融進(jìn)了 Windows Defender Application Control (WDAC)，基于硬件強(qiáng)制實(shí)施非常細(xì)致具體的允許或拒絕策略。管理員可以根據(jù)自身環(huán)境確定適用的應(yīng)用控制級(jí)別，還能在AppLocker、CI、Device Guard和WDAC中任選。這些功能將具有恰當(dāng)?shù)目刂萍?jí)別并在用戶權(quán)限范圍內(nèi)做出一些操作上的權(quán)衡。

macOS：

領(lǐng)先潛在黑客一步的最簡(jiǎn)單有效方式就是保持操作系統(tǒng)軟件和應(yīng)用更新。App應(yīng)從可信源下載，比如供應(yīng)商的主站點(diǎn)，或者更可信的 Mac App Store。

Mac App Store 存在于 /Applications 應(yīng)用目錄，里面的每個(gè)App都經(jīng)過(guò)了蘋(píng)果員工的審核并簽署有數(shù)字證書(shū)。一旦App被曝行為不當(dāng)，蘋(píng)果可終止該App。相對(duì)其他選擇，Mac App Store 是應(yīng)用下載最安全的地方了。

但問(wèn)題是：不是每個(gè)應(yīng)用都能在 Mac App Store 找到，有時(shí)候不得不從第三方站點(diǎn)下載。這個(gè)時(shí)候，Gatekeeper就派上用場(chǎng)了。Gatekeeper是軟件數(shù)字簽名檢查器，可以在軟件數(shù)字簽名驗(yàn)證失敗時(shí)終止軟件的安裝過(guò)程。App需經(jīng)蘋(píng)果代碼簽名才可以執(zhí)行，通過(guò)了代碼檢查的應(yīng)用就能正確執(zhí)行。

Gatekeeper在 Security & Privacy System Preference (安全&隱私系統(tǒng)偏好)面板中設(shè)置，有兩個(gè)App下載源選項(xiàng)：1. App Store (應(yīng)用商店)；2. App Store 和確定的開(kāi)發(fā)人員。代碼檢查失敗也想安裝軟件的時(shí)候，Security & Privacy 偏好可手動(dòng)覆蓋，但只有在確定軟件來(lái)自可信源的時(shí)候才可以這么干。

App沙箱可限制App對(duì)系統(tǒng)資源、數(shù)據(jù)和其他App的訪問(wèn)，也就限制了惡意軟件可能造成的破壞。然而，沙箱的優(yōu)勢(shì)也是其劣勢(shì)，不是每個(gè)應(yīng)用都支持該功能。很多內(nèi)置App(包括內(nèi)置的Web瀏覽器Safari)都提供沙箱保護(hù)。

macOS High Sierra 中值得一提的另一個(gè)安全功能是：應(yīng)用安裝的任意內(nèi)核擴(kuò)展都需要顯示授權(quán)才可以執(zhí)行。這可以有效減小惡意軟件偷偷潛入未授權(quán)軟件中的可能性。

10. 瀏覽器保護(hù)

Windows 10：

微軟在 Windows 10 中把IE瀏覽器換成了Edge。作為一款十分精簡(jiǎn)的瀏覽器，Edge并未與IE共享太多代碼。該瀏覽器不運(yùn)行傳統(tǒng)高風(fēng)險(xiǎn)瀏覽器插件，只接受來(lái)自 Microsoft Store 的經(jīng)審核擴(kuò)展，還具備一鍵設(shè)置重置功能(以防潛在惡意修改)，并可納入 Windows Defender Application Guard 模式。

每個(gè)網(wǎng)站和下載項(xiàng)都要經(jīng)過(guò) Windows Defender Smartscreen 篩選器的評(píng)估，該篩選器不僅僅針對(duì)瀏覽器，而是整個(gè) Windows 10 操作系統(tǒng)都適用。Edge的代碼量和暴露面均大幅減少，因而對(duì)應(yīng)用和網(wǎng)站的可執(zhí)行動(dòng)作也就限制更嚴(yán)格。相對(duì)IE而言，可謂巨大的進(jìn)步。

macOS：

每部Mac都預(yù)裝了Safari瀏覽器，附帶反網(wǎng)絡(luò)釣魚(yú)技術(shù)、防跨站跟蹤設(shè)置和鏈向 iCloud Keychain 密碼管理系統(tǒng)的強(qiáng)口令生成器。

11. 網(wǎng)絡(luò)/無(wú)線保護(hù)

Windows 10：

微軟向來(lái)引領(lǐng)網(wǎng)絡(luò)和無(wú)線安全技術(shù)潮流。除了長(zhǎng)期支持無(wú)線和網(wǎng)絡(luò)標(biāo)準(zhǔn)，微軟還常常早期采用這些標(biāo)準(zhǔn)并在大多數(shù)用戶尚未準(zhǔn)備好之前就加以推出(比如IPv6和DNSSEC)。長(zhǎng)期以來(lái)，Windows中內(nèi)置一項(xiàng)網(wǎng)絡(luò)防御功能，是任意網(wǎng)絡(luò)或無(wú)線連接的單獨(dú)管理能力。Windows可為每個(gè)連接分別配置不同的防火墻、路由器和其他安全設(shè)置。

12. 反惡意軟件

Windows 10：

Windows Defender Antivirus 已被證明是頂級(jí)無(wú)干擾反惡意軟件程序，尤其是以默認(rèn)狀態(tài)部署并配合Windows的其他反惡意軟功能使用的時(shí)候，比如Smartscreen和Exploit Guard。采用名為 Early Loading Antimalware (早期啟動(dòng)防病毒：ELAM)的功能，Windows可使任意反惡意軟件程序先于其他非基本應(yīng)用，緊跟在關(guān)鍵OS引導(dǎo)進(jìn)程之后加載。

macOS：

2017年4月，CheckPoint安全研究員發(fā)現(xiàn)有惡意軟件可繞過(guò)Gatekeeper。5月，流量視頻轉(zhuǎn)碼器Handbrake被黑，受感染版本攜OSX.PROTON遠(yuǎn)程訪問(wèn)木馬散布。攻擊越來(lái)越復(fù)雜，處理潛在數(shù)據(jù)泄露的機(jī)制也隨之越來(lái)越復(fù)雜。

在Mac機(jī)上，可路由網(wǎng)絡(luò)服務(wù)默認(rèn)是禁用的，很多現(xiàn)代應(yīng)用和服務(wù)也是在沙箱中運(yùn)行。這意味著App和系統(tǒng)服務(wù)對(duì)系統(tǒng)資源只有有限訪問(wèn)權(quán)；惡意代碼不能與其他App或系統(tǒng)互操作。

蘋(píng)果還有更為極端的方式對(duì)抗惡意軟件。通過(guò)靜默自動(dòng)更新，蘋(píng)果在每臺(tái)Mac機(jī)上都維護(hù)著一份已知惡意軟件威脅的黑名單。Safari、Message和Mail下載的每一個(gè)文件都附帶有元數(shù)據(jù)，表明該文件是否安全、文件下載的源地址和下載當(dāng)時(shí)的時(shí)間戳。任何被標(biāo)為不安全的文件在打開(kāi)時(shí)都會(huì)彈出警告信息，用戶可選擇直接將該文件投入回收站。

特定程序及任何相關(guān)文件都會(huì)被自動(dòng)刪除，該程序所做的任何修改都會(huì)被記錄并撤銷。如果該操作切實(shí)發(fā)生了，管理員用戶下次登錄Mac時(shí)就會(huì)收到“已發(fā)生改動(dòng)”的通知。

13. 防火墻

Windows 10：

自 Windows XP SP2 起，Windows系統(tǒng)便默認(rèn)安裝了一直開(kāi)啟的 Windows Firewall (Windows防火墻)。Windows Firewall 有數(shù)十條內(nèi)置規(guī)則，拒絕一切非例外處理的入站連接，允許用戶、組、管理員、網(wǎng)絡(luò)、服務(wù)或應(yīng)用創(chuàng)建額外的規(guī)則。Windows Firewall 不對(duì)用戶產(chǎn)生太多干擾，而且是通用的，也很容易與IPSEC一起配置。唯一的缺點(diǎn)就是糟糕的日志記錄(有時(shí)候是太多了)和缺乏重大已確認(rèn)即時(shí)安全事件的通告，比如拒絕服務(wù)攻擊或端口掃描等，而這些正是其他第三方防火墻通常所具備的。

macOS：

所有Mac機(jī)發(fā)售時(shí)都已內(nèi)置防火墻服務(wù)，但默認(rèn)是關(guān)閉的?？赏ㄟ^(guò) Security & Privacy System Preference (安全&隱私系統(tǒng)偏好)面板配置該防火墻，可以啟用 Stealth Mode (隱身模式)讓計(jì)算機(jī)無(wú)視ICMP請(qǐng)求和連接嘗試。

14. 遠(yuǎn)程訪問(wèn)

Windows 10：

雖然微軟建議所有遠(yuǎn)程管理都通過(guò)PowerShell或 Microsoft Management Consoles (微軟管理控制臺(tái)：MMC)進(jìn)行，但 Remote Desktop (遠(yuǎn)程桌面)控制臺(tái)及協(xié)議(RDP)依然是管理員們遠(yuǎn)程訪問(wèn)Windows計(jì)算機(jī)的最常見(jiàn)方式。RDP已歷經(jīng)多次升級(jí)，如今用戶可以數(shù)字證書(shū)身份驗(yàn)證連接，并使用 Windows Defender Credential Guard 保護(hù)管理員憑證。

macOS：

Mac支持多種遠(yuǎn)程訪問(wèn)協(xié)議，包括對(duì)SSH和sftp的原生支持。用戶也可通過(guò) Apple Remote Desktop (蘋(píng)果遠(yuǎn)程桌面)遠(yuǎn)程管理Mac機(jī)，遠(yuǎn)程屏幕共享則可通過(guò)對(duì)VNC的原生支持實(shí)現(xiàn)，而iCloud訂閱用戶還可啟用 Back to my Mac (回到我的Mac)從任意一臺(tái)以相同 Apple ID 登錄的Mac機(jī)遠(yuǎn)程訪問(wèn)自己的Mac。

15. 安全配置

Windows 10：

本地安全策略在 Windows NT 4 SP4 中就已引入，并以 Active Directory Group Policies (活動(dòng)目錄組策略)在 Windows 2000 和XP中進(jìn)行了大幅擴(kuò)展。今天，沒(méi)有哪個(gè)操作系統(tǒng)像Windows一樣有那么多內(nèi)置的點(diǎn)擊式安全配置選項(xiàng)。Windows操作系統(tǒng)和其他流行應(yīng)用(比如Office辦公套件)有數(shù)千種安全設(shè)置可用。管理員可用PowerShell腳本完成他們可以手動(dòng)或使用組策略來(lái)完成的事情。

16. 修復(fù)

Windows 10：

Windows操作系統(tǒng)和微軟應(yīng)用程序修復(fù)是內(nèi)置并默認(rèn)開(kāi)啟的。Windows至少每天都會(huì)檢查有沒(méi)有新的補(bǔ)丁，默認(rèn)自動(dòng)應(yīng)用這些補(bǔ)丁而無(wú)需管理員或中斷用戶的干預(yù)。新安裝使用一組不容易關(guān)閉的內(nèi)置硬編碼防火墻規(guī)則，這些規(guī)則可保護(hù)PC抵御大多數(shù)網(wǎng)絡(luò)攻擊，同時(shí)又可及時(shí)獲取補(bǔ)丁進(jìn)行修復(fù)。這得感謝2003年的MS-Blaster(沖擊波)蠕蟲(chóng)，若非這款讓管理員不得不先感染了才能實(shí)施修復(fù)的蠕蟲(chóng)，微軟的修復(fù)策略和過(guò)程也不會(huì)是現(xiàn)在的樣子。

macOS：

蘋(píng)果一貫在修復(fù)重大漏洞利用上反應(yīng)迅速。

17. 隱私

Windows 10：

背著侵犯終端用戶隱私的罵名幾十年后，微軟如今是隱私權(quán)的強(qiáng)力支持者，提供各種各樣的個(gè)性設(shè)置，管理員或用戶可甚為細(xì)致地決定哪些信息可以被收集而哪些不可以。

macOS：

蘋(píng)果高管一直走在用戶隱私問(wèn)題最前列，某些情況下，為了保護(hù)用戶數(shù)據(jù)，甚至不惜公然與聯(lián)邦政府對(duì)壘。蘋(píng)果不收集轉(zhuǎn)賣用戶數(shù)據(jù)，指紋、人臉數(shù)據(jù)之類安全信息從不漏出蘋(píng)果設(shè)備，蘋(píng)果的隱私政策直截了當(dāng)，令人耳目一新，值得一讀。

18. 日志

Windows 10：

根據(jù)安裝的功能和服務(wù)，微軟產(chǎn)品有幾十種日志文件可供安全分析。其中最中心的是 Windows Event Log (Windows事件日志)服務(wù)。以前該服務(wù)包含3個(gè)主要日志(安全日志、系統(tǒng)日志和應(yīng)用日志)，如今，其所含日志數(shù)量已超100，且是可配置的XML詳細(xì)日志。日志或具體事件可以轉(zhuǎn)發(fā)給其他收集器并觸發(fā)控制臺(tái)消息或其他應(yīng)用程序。若說(shuō)有什么美中不足，那就是記錄了太多太多微不足道的事件。在計(jì)算機(jī)安全界，噪音太多的問(wèn)題比缺乏足夠的有用信息更嚴(yán)重。

macOS：

去年推出的 macOS Sierra 引入了統(tǒng)一日志系統(tǒng)，為了提供統(tǒng)一高效的API來(lái)捕捉并存儲(chǔ)所有系統(tǒng)和應(yīng)用活動(dòng)?？膳渲萌罩居涗洸煌潭鹊募?xì)節(jié)，這些記錄下來(lái)的數(shù)據(jù)可用內(nèi)置的Console應(yīng)用查看。