前    言

操作系統(tǒng)作為計算機系統(tǒng)的核心，其安全性直接關(guān)系到個人隱私、企業(yè)數(shù)據(jù)和國家信息的安全。在信息技術(shù)快速發(fā)展的今天，信息泄露已成為常見的安全威脅，因此保障操作系統(tǒng)安全是防止計算機中重要信息泄露的基本要求。本文分上下兩篇從操作系統(tǒng)的各個層面分析操作系統(tǒng)中可能存在的安全問題及其防護措施。

本文為上篇，從五個方面對操作系統(tǒng)安全防護進行簡要介紹，主要包括操作系統(tǒng)版本、標準操作環(huán)境、操作系統(tǒng)防護配置、應(yīng)用程序管理和應(yīng)用程序控制，期望可以使讀者對操作系統(tǒng)安全防護有初步的了解。

操作系統(tǒng)版本

舊版本的操作系統(tǒng)，特別是供應(yīng)商不再支持的操作系統(tǒng)，可能會遭受惡意行為者利用已暴露的漏洞進行攻擊。較新的操作系統(tǒng)版本通常會引入安全功能方面的改進，這使得惡意行為者難以對他們發(fā)現(xiàn)的漏洞進行攻擊利用。此外，64位版本的操作系統(tǒng)支持32位版本不具備的額外安全功能。因此使用最新版本的操作系統(tǒng)，并在系統(tǒng)支持的情況下，使用64位版本的操作系統(tǒng)會提高操作系統(tǒng)的安全性。

標準操作環(huán)境

允許用戶配置、維護他們自己的工作站和服務(wù)器可能導(dǎo)致不一致的操作環(huán)境。因為工作站和服務(wù)器配置或維護不當時，這樣的操作環(huán)境會幫助惡意行為者在網(wǎng)絡(luò)上獲得最初的立足點，為他們進行惡意攻擊提供機會。此外，當國有企業(yè)從服務(wù)提供商等第三方獲得時，還應(yīng)考慮額外的網(wǎng)絡(luò)供應(yīng)鏈風險，例如意外或故意包含惡意代碼或配置。

標準操作環(huán)境(Standard Operating Environment ，SOE)是通過自動化構(gòu)建過程或映像提供的，旨在促進標準化和一致化的操作環(huán)境。為了減少惡意攻擊發(fā)生的可能性，應(yīng)該努力從可信的第三方獲取它們的SOE，同時掃描它們的惡意代碼和配置。同時由于操作環(huán)境自然會隨著時間的推移而變化，例如應(yīng)用補丁或更新、更改配置、添加或刪除應(yīng)用程序，因此必須至少每年審查和更新SOE，以確保維護最新的版本。

操作系統(tǒng)防護配置

當操作系統(tǒng)以默認狀態(tài)部署或使用未經(jīng)批準的配置時，可能會導(dǎo)致不安全的操作環(huán)境，從而允許惡意行為者在網(wǎng)絡(luò)上獲得初始立足點。操作系統(tǒng)中存在許多設(shè)置，允許將操作系統(tǒng)配置為批準的安全狀態(tài)，以便將這種安全風險降至最低。澳大利亞信號理事會(Australian Signals Directorate ，ASD)和供應(yīng)商制定防護指導(dǎo)，以幫助防護操作系統(tǒng)的配置。

常見的操作系統(tǒng)安全配置如下：

• 開發(fā)、實施和維護經(jīng)過批準的操作系統(tǒng)配置。
• 當ASD和供應(yīng)商防護指導(dǎo)對操作系統(tǒng)進行防護發(fā)生沖突時，要優(yōu)先考慮最嚴格的防護指導(dǎo)。
• 禁用或刪除不需要的帳戶、組件、服務(wù)和操作系統(tǒng)的功能。
• 更改操作系統(tǒng)的默認帳戶或任何預(yù)配置的帳戶。
• 禁用可移動介質(zhì)的自動執(zhí)行功能。
• 禁用或刪除Internet Explorer 11。
• 禁用或刪除. Net Framework 3.5(包括.Net 2.0和3.0)。
• 開啟操作系統(tǒng)漏洞保護功能。
• 不允許非特權(quán)用戶繞過、禁用或修改操作系統(tǒng)的安全功能。
• 禁止非特權(quán)用戶運行腳本執(zhí)行引擎，包括:
• Windows腳本主機(cscript.exe和wscript.exe)
• PowerShell (PowerShell .exe、powershell_ise.exe和pwsh.exe)
• 命令提示符(cmd.exe)
• Windows管理工具(wmic.exe)
• Microsoft超文本標記語言(Hypertext Markup Language，HTML)應(yīng)用主機(mshta.exe)。

應(yīng)用程序管理

非特權(quán)用戶安裝任何應(yīng)用程序的能力可以被惡意行為者利用，通過使用社會工程來說服他們安裝惡意應(yīng)用程序。減輕這種安全風險的一種方法是，允許非特權(quán)用戶從組織管理的軟件存儲庫或受信任的應(yīng)用程序市場安裝經(jīng)過批準的應(yīng)用程序，同時也可以減輕系統(tǒng)管理員的負擔。同時，為了防止非特權(quán)用戶刪除安全功能或破壞系統(tǒng)功能，非特權(quán)用戶不應(yīng)該有卸載或禁用批準軟件的能力，即：

• 非特權(quán)用戶沒有能力安裝未經(jīng)批準的軟件。
• 非特權(quán)用戶沒有能力卸載或禁用已批準的軟件。

應(yīng)用程序控制

應(yīng)用程序控制是一種有效的方法，不僅可以防止惡意代碼在工作站和服務(wù)器上執(zhí)行，還可以確保只有經(jīng)過批準的應(yīng)用程序才能執(zhí)行。在開發(fā)應(yīng)用程序控制規(guī)則集時，確定批準的文件有：

• 可執(zhí)行文件(例如.exe和.com文件)
• 軟件庫(例如.dll和..ocx文件)
• 腳本(例如.ps1、.bat、.cmd、.vbs和.js文件)
• 安裝程序(例如.msi、.msp和.mst文件)
• 編譯的HTML(例如.chm文件)
• HTML應(yīng)用程序(例如.hta文件)
• 控制面板小程序(例如.cpl文件)
• 基于業(yè)務(wù)需求的驅(qū)動程序

此外，用戶最好定義自己的應(yīng)用程序控制規(guī)則集，而不是依賴于來自應(yīng)用程序控制供應(yīng)商的規(guī)則集，并每年或更頻繁地驗證它們。在實現(xiàn)應(yīng)用程序控制時，用戶應(yīng)該使用可靠的方法或方法的組合，例如加密散列規(guī)則、發(fā)布者證書規(guī)則或路徑規(guī)則。根據(jù)所選擇的方法，可能需要進一步加強，以確保應(yīng)用程序控制機制和應(yīng)用程序控制規(guī)則集不能被惡意參與者繞過。最后，集中記錄和分析應(yīng)用程序控制事件可以幫助監(jiān)控系統(tǒng)的安全狀態(tài)，檢測惡意行為并有助于網(wǎng)絡(luò)安全事件后的調(diào)查。

應(yīng)用程序控制具有以下特點：

• 應(yīng)用程序控制可在工作站、面向internet的服務(wù)器和非面向internet的服務(wù)器上實現(xiàn)。
• 應(yīng)用程序控制應(yīng)用于操作系統(tǒng)、web瀏覽器及電子郵件客戶端使用的用戶配置文件和臨時文件夾。
• 應(yīng)用程序控制將可執(zhí)行文件、軟件庫、腳本、安裝程序、編譯后的HTML、HTML應(yīng)用程序和控制面板小程序的執(zhí)行限制在用戶批準的范圍內(nèi)。
• 應(yīng)用程序控制將驅(qū)動程序的執(zhí)行限制為用戶批準的集合。
• 應(yīng)用程序控制使用加密哈希規(guī)則、發(fā)布者證書規(guī)則或路徑規(guī)則實現(xiàn)。
• 使用發(fā)行者證書規(guī)則實現(xiàn)應(yīng)用控制時，使用發(fā)行者名稱和產(chǎn)品名。
• 使用路徑規(guī)則進行應(yīng)用控制時，只有經(jīng)過審批的用戶才能修改和寫入經(jīng)過審批的文件和文件夾。
• 使用路徑規(guī)則進行應(yīng)用控制時，只有經(jīng)過審批的用戶才能對經(jīng)過審批的文件和文件夾修改文件系統(tǒng)權(quán)限。

小  結(jié)

本文主要從操作系統(tǒng)版本、標準操作環(huán)境、操作系統(tǒng)防護配置、應(yīng)用程序管理和應(yīng)用程序控制五個方面對操作系統(tǒng)安全防護進行簡要介紹，期望可以對想要初步了解操作系統(tǒng)安全防護的讀者有所幫助。下篇將對操作系統(tǒng)安全防護中防護軟件、日志等方面進行介紹。

參考文獻

《Information Security Manual (June 2024)》