Windows 10安全特色芻議

已公開的Windows 10在安全方面有著三項有份量的技術(shù)，這就是不同于傳統(tǒng)意義密碼的 Microsoft Passport（MP），用于防御PtH（Pass-the-Hash）攻擊的Virtual Secure Mode(VSM) 以及設(shè)備衛(wèi)士Device Guard（DG）。

Microsoft Passport

迄今為止，我們常見的密碼保護除了字符數(shù)字型password外，主要有智能卡和PIN，MP與它們不同，它采用了Windows 10系統(tǒng)生成的惟一型不對稱key Pair，其存儲在硬件TPM（Trusted Platform Module）內(nèi)，安全性超過以往的PKI（Public Key Infrastructure）。

在AAD (Azure Active Directory)乃至Windows Server 2016 AD中當然可以存放常規(guī)密碼的公用秘鑰，但它們已經(jīng)能夠接受MP，當然，其條件是要具備TPM。不過，MP方式允許用戶將其他設(shè)備作為智能卡使用，例如智能手機，這也正是Windows 8中已有的虛擬智能卡技術(shù)的延拓。MP設(shè)計采用了Alliance標準中的FIDO (Fast IDentity Online)技術(shù)，它支持用戶在調(diào)用不同的系統(tǒng)服務(wù)時采用的是不同的密碼。

Virtual Secure Mode

Windows 10中提供的VSM模式，為一些涉及安全的的進程提供了更加可靠的運行環(huán)境，例如代碼集成服務(wù)和LSA(Local Security Authority)，都將被遷移到進程Trustlets，后者在OS內(nèi)的運行是獨立的基于硬件方式的Hyper-V 容器，該容器沒有GUI，不能通過網(wǎng)絡(luò)訪問，甚至回避了Windows內(nèi)核，從而讓VSM容器內(nèi)的進程和數(shù)據(jù)足夠安全。另外，在登錄環(huán)節(jié)采用了NTLM加密算法。

VSM本質(zhì)上就是一個微型的操作系統(tǒng)，它只需要1GB內(nèi)存就足以運行LSA服務(wù)來進行所有的認證工作。這個機制不會影響到用戶的PC性能，但用戶需要安裝Windows 10，并且CPU支持虛擬化技術(shù)，這意味著即使受到Windows內(nèi)核rootkit或者bootkit的威脅，你的令牌仍然是安全的。

Device Guard

為了有效控制應(yīng)用程序的運行，在Windows 10之前Vista企業(yè)版之后的系統(tǒng)提供了策略型SRP (Software Restriction Policies)以 及AppLocker，藉此指定哪些應(yīng)用可執(zhí)行，相關(guān)策略存放在活動目錄AD（Active Directory）內(nèi)。然而，DG并非只是更加復(fù)雜的SRP，它攜手MP對設(shè)備進行鎖定，用于防范一直難以有效防御的APTs (Advanced Persistent Threats)威脅。

DG可以阻止那些有嫌疑的應(yīng)用，只讓可信任應(yīng)用正常運行（如正版軟件產(chǎn)品，企業(yè)業(yè)務(wù)應(yīng)用系統(tǒng)）。盡管AppLocker也提供了類似功能，但DG與其有明顯不同之處在于，它是通過隔離進程的方式判定相關(guān)應(yīng)用是否可靠，甚至采用硬件虛擬化確保系統(tǒng)不會讓問題程序混入。