Windows 10與macOS:18個安全特性大比拼
全球兩大主流操作系統是怎麼保護系統和數據不受惡意軟體、未授權訪問、硬體漏洞等等威脅的侵害的呢?
一句「PHP是世界上最好的編程語言」可以成功惹毛一票程序員。同樣,隨口一句「Windows系統比Mac系統更安全(或反之)」也能讓IT安全人員吵個不可開交。事實上,只要保持默認安全設置並遵從其最佳實踐建議,這兩個操作系統都足夠安全,但在幾十年的用戶爭奪戰之後,這個話題已經演變成了技術信仰問題。兩方陣營針鋒相對,沒有中間路線可走。老好人似的說「兩個操作系統都安全」不過是成為雙方共同的敵人而已。
話雖如此,卻不是每個人都知道這兩種最流行的操作系統到底因為什麼而安全。於是,排除掉那些附加的企業功能,我們不妨先就操作系統本身帶有的基本安全功能來做一番概述和比較。
0. 操作系統基本安全能力
微軟 Windows 10 安全
Windows誕生的頭10年,這款微軟旗艦產品輕易坐穩史上最好攻擊操作系統(OS)的寶座。成功攻擊的數量讓公眾對Windows的安全性失去了信任。於是,微軟共同創始人比爾·蓋茨在2002年1月15日寫下了著名的「可信計算」備忘錄,指引微軟投入更多資源到提升Windows安全性上。
微軟不僅讓Windows從出廠時就更安全,還創新或協作創新了數十項計算機安全技術。蓋茨2002備忘錄的最重要成果之一,就是安全開發生命周期(SDL)的大規模採用。SDL讓每個軟體開發項目從一開始就引入安全編碼和安全實踐。這是安全教育、安全要求和安全工具的結合,而微軟將其經驗全部共享了出來。
SDL大幅減小了每千行代碼的漏洞率,增加了很多安全功能和選擇,縮小了攻擊界面,提供了更安全的默認設置。Windows 10 的安全性,正是微軟提供適度安全的跨設備通用操作系統工作的延續。
蘋果 MacOS 安全
很長時間以來,Mac用戶都無需擔心病毒和惡意軟體。現實世界中,Mac操作系統的漏洞極少有被利用的。Mac用戶也經常被提醒注意潛在安全威脅,但大部分時候不過是因為其用Windows的同事成為了惡意軟體的攻擊目標。每版Windows中那數不清的漏洞,再加上Windows那龐大的用戶基礎,令PC成為了黑客的最佳攻擊目標。
直到今天,Mac系統的潛在威脅情況仍不像其他平台那般嚴峻,但Mac用戶已經不能再無視被黑的可能性了。隨著時間流逝,隨著越來越多的蘋果設備進入消費市場,威脅只會越來越多,越來越複雜高端。
其實,蘋果設備威脅已經初露端倪:2017年是安全事件爆發的一年。2月,虛假 Adobe Flash 安裝包內嵌MacDownloader惡意軟體,可致Keychain數據(包含用戶名和口令等個人信息)滲漏。去年秋天,最新Mac操作系統 High Sierra 的發售版中檢測到數個漏洞,可令黑客繞過口令獲取特定區域的root許可權。之後不久,名為「幽靈」和「熔斷」的處理器漏洞曝光,世界上大部分計算機都受影響。
1. 啟動保護
Windows 10:
在預啟動、啟動和啟動後防護上,微軟一直走在前列。其中一些防護措施是從其他開源操作系統項目中借鑒過來的,有些則來自於業界倡議,但大多是微軟自主研發的。如今,微軟將很多保護技術都納入了 Windows Defender System Guard 旗下,啟動保護就是其中的「Secure Boot(安全啟動)」。
Secure Boot 要求預啟動過程檢查計算機是否在主板上安裝並啟用了更安全的最新版統一可擴展固件介面(UEFI)和可信平台模塊(TPM)。這兩個晶元在接受新代碼或設置變更之前都會進行加密驗證,驗證不通過就不允許寫入和修改,還能加密評估和驗證啟動過程。前期驗證過的組件往往會安全存儲下後面組件之前被驗證過的散列值,只有二者匹配,啟動過程才會繼續。微軟也將該啟動過程稱為 「Measured Boot(測量啟動)」或「 Trusted Boot(可信啟動)」。
只要有東西(比如rootkit)試圖修改該預啟動或OS啟動過程,這兩個晶元之一就會收到警報,要麼阻止修改,要麼在用戶下次開機時給出重要警告。如果你還記得之前有關rootkit和引導病毒的大量報道,並且想知道為什麼我們如今好像不太聽說此類威脅了,那答案就是如今我們有了 Secure Boot 之類的預啟動和啟動保護過程。這可謂是對黑客和惡意軟體作戰中少有的幾個大成功之一。
UEFI和TPM都是開放標準,任何廠商或OS可用。UEFI替代了容易出漏洞的BIOS,TPM則託管著核心加密功能——包括關鍵系統密鑰的安全存儲。用了UEFI和TPM,OS供應商就能更好地維護其OS產品及其他應用(比如數據存儲加密)在機器啟動時和啟動後的完整性。
Windows還有個名為「可配置代碼完整性(CI)」的功能,可保證在可信啟動過程完成後只有預先定義過的可信代碼能夠運行。CI是通用OS在只執行可信代碼方面的重大進步,但微軟已測試通過的操作之外的那些普通操作想要合理運用CI,還得經過慎重的計劃和測試。不過,如果想儘可能保證Windows操作系統安全,還是可以藉助CI的力量。
在防止黑客使用行業標準預啟動I/O介面(比如直接內存存取(DMA)或 IEEE 1394)控制磁碟或設備方面,微軟也對其所有OS版本進行了改進。對每一家OS供應商來說,在不嚴重影響運行速度或削弱OS性能的同時防止這些介面被惡意使用,確實是一項巨大的挑戰。微軟不僅增強了預啟動I/O介面防護,還更進一步,允許實質上已成OS本身一部分的設備驅動程序可以按設備單獨安裝。
Windows 10 還引入了設備健康認證(DHA)的改進版。DHA可認證操作系統,使其乾乾淨淨地啟動,還可對其他進程進行執行前的驗證。健康檢查中包含什麼內容取決於OS、OS管理員和他們使用的DHA服務。客戶可自己進行DHA檢查,也可以將之外包給微軟或第三方提供商。
macOS:
蘋果採用了防護能力弱得多的UEFI早期版本——EFI 1.0,而沒有採用後來更安全的UEFI新版本。但是,蘋果自主研發了其他很多類似的專利防護技術。因為是專利技術,蘋果並未公布其相關細節,很難就其預啟動和啟動防護措施進行對比分析。
不過,Mac上可以啟用多個啟動防護,尤其能夠防止別人訪問Mac硬碟上的數據。標準用戶賬戶口令可提供對正確啟動的Mac機的基本保護,但防不住能接觸到Mac機且具備「目標磁碟模式」知識的黑客。
為防止未授權訪問,啟動盤可用 FileVault 2 加密,而Mac可以設置成不能通過固件口令從外部設備啟動。FileVault 2 採用 AES 256 加密演算法進行整盤加密,塊大小128位,AWS-XTS模式,可阻止無解鎖許可權的賬戶看到磁碟上的任何內容。
2017年底發布的 iMac Pro 就載入了蘋果研發的T2晶元集。該晶元集整合了一系列硬體子系統,並引入了一些最終會用在其他Mac機上的安全功能。
2. 內存保護
Windows 10:
微軟在內存保護上做了很多工作,通常是為了防止初步漏洞利用、零日漏洞和提權攻擊。大多數內存保護措施都納入到了 Windows Defender Exploit Guard 中,其中很多都來自於之前被稱作「增強緩解體驗工具包(EMET)」的漏洞利用防護附件。
數據執行保護(DEP)自 Windows XP 時代就已出現。DEP旨在防止惡意緩衝區溢出,也就是阻止惡意程序將可執行代碼放到數據區並誘騙OS執行該代碼。DEP能令OS拒不執行標記為數據區域里的任何東西。
Windows Vista引入了很多新的安全特性,比如「地址空間布局隨機化(ASLR)」、「結構化錯誤處理復防寫(SEHOP)」和「受保護進程」。ASLR會在每次啟動時為通用關鍵系統進程分配不同的內存空間,讓想操縱並修改這些進程的惡意程序更難以找到它們。
SEHOP會在發現執行錯誤時停止惡意流氓程序的安裝或執行過程。這些安全功能連同其他預防性技術演進成了微軟現在所謂的 Control Flow Guard (控制流保護)。微軟的每個程序都啟用了該保護措施,Visual Studio 15 之類的編程工具也可使用該安全功能。
EMET在Vista中就已引入,作為幫助防止零日攻擊的附加組件。該工具包含了內存保護、數字證書處理改進(比如證書鎖定)、早期警告和攻擊上報改進(向OS管理員和微軟報告攻擊情況,以便發現新攻擊的技術細節)。EMET演化出了15種以上的緩解措施,其經驗證的保護功能備受推崇,所以微軟將其整合進了 Windows 10 Creator Update 中(以 Windows Defender Exploit Guard 的姿態出現 )。
macOS:
Mac機在英特爾處理器中內置了XD(執行禁用)功能,防止用於數據存儲和可執行指令存儲的內存相互訪問。惡意軟體常會利用數據內存和指令內存間的相互訪問來入侵系統,但XD的存在為此類惡意行為設置了障礙。
Mac機的macOS內核同樣應用了ASLR,通過隨機分配目標地址讓攻擊者難以定位應用程序漏洞。基本上,只要啟用了ASLR,黑客就更容易直接搞崩要利用的應用,而不是獲得應用許可權來作惡。
3. 登錄/身份驗證
Windows 10:
OS一旦啟動起來,最重要的安全功能就是限制誰能登錄了。這一點由登錄身份驗證來實現,通常包括口令、生物特徵識別、數字證書和其他多因子身份驗證設備,比如智能卡和USB身份驗證令牌。用戶登錄後的登錄憑證防護也特別重要,無論臨時還是永久,不管存儲在內存中還是磁碟上,登錄憑證必須保護好,以防惡意憑證竊取和重用攻擊。
Windows 10 對口令策略、生物特徵識別、多因子身份驗證和數字證書身份驗證都支持良好。微軟最新最安全的登錄功能是 Windows Hello,支持人臉識別和指紋識別,可在讓用戶便捷登錄的同時以安全數字證書技術保護用戶的登錄憑證安全。用戶仍然可以使用口令或更短些的PIN碼,不過只能作為設置了更為傳統的身份驗證方法之後的備用選項。Windows Hello 也可用於啟用了該功能的應用,比如Dropbox和口令管理器。
由於擔心內存憑證盜竊,微軟創建了 Virtualization Based Security (基於虛擬化的安全:VBS),將登錄憑證保護在基於硬體的操作系統虛擬化子集中,幾乎不可能受到惡意攻擊的影響。VBS也被稱為 Virtual Secure Mode (虛擬安全模式:VSM)。
微軟基於VBS創建了 Windows Defender Credential Guard 和 Device Guard。Credential Guard保護多種類型的登錄憑證,包括NTLM、Kerberos和其他存在Windows憑證管理器中基於域的非Web憑證。Credential Guard 挫敗了很多流行口令攻擊。想要啟用 Credential Guard,必須得是64位的Windows系統,且開啟了UEFI、TPM(推薦,但非必需)、Secure Boot,並且處理器是帶有恰當的虛擬化擴展的英特爾或AMD處理器。
一直以來,黑客都會利用存儲的服務憑證來入侵計算機和網路。Windows Vista 引入了 Virtual Service Accounts (虛擬服務賬戶)和 Managed Service Accounts (組管理服務賬戶:需要開啟活動目錄)。二者都是僅用於服務的新身份類型,一旦初始化,就會接管隨機化服務賬戶口令和定期修改的麻煩事,以便即使服務賬戶口令被盜也不會給公司造成太大損失。
macOS:
可設置固件口令以防止從非指定啟動盤啟動機器,而且固件口令還會忽略標準啟動組合鍵。但要注意:FileVault和固件口令保護都要使用強口令;如果用了弱口令還被黑客猜解出來,那整顆硬碟上的內容也就在手握正確憑證的人面前裸奔了。
2017年底推出的 iMac Pro 是第一批搭載了T2晶元集的蘋果產品,特定功能可通過新的 Startup Security Utility (啟動安全使用程序)進行修改。通過整合固件口令保護、Secure Boot 和 External Boot (外部啟動)到單一介面,該實用程序令Mac機抵禦非授權訪問更加簡單易行。Mac機用戶可通過該介面設置操作系統使用和更新包及第三方軟體安裝的嚴格程度。
4. 提權防範
Windows 10:
黑客或惡意軟體一旦在系統中建立了橋頭堡,往往會嘗試額外的提權攻擊以獲取最高管理許可權。Windows Defender Exploit Guard 中包含的緩解措施,就是微軟提權攻擊防範的第一道防線。不過,微軟防範提權攻擊的方法不止這一個。
Vista中引入的 User Account Control (用戶賬戶控制:UAC),就試圖「降級」特權用戶(比如管理員賬戶)在執行標準用戶任務時的許可權,比如讀取電子郵件或打開瀏覽器上網之類的普通操作就用不到管理員許可權。如果某用戶以特權憑證登錄,UAC會將其許可權分割成2個令牌:一個具有特權,另一個沒有。默認情況下所有應用和任務都以非特權令牌執行,除非用戶被要求提權或執行的是需要提權的預定義任務。最開始的時候,很多用戶和管理員都覺得UAC特別煩人。如今,大多數用戶啟用UAC模式也不會覺得受太多干擾了。
macOS:
蘋果操作系統上創建的用戶賬戶大多是管理員賬戶。以這些用戶名和口令登錄系統,能安裝App或修改可影響整個系統的設置項。幸運的是,macOS內置了避免初級用戶用管理員許可權犯傻的保護措施,比如刪除/System文件夾或其內容這種事就是默認禁止的。甚至即便無意中以管理員許可權安裝了惡意軟體,內置 System Integrity Protection (系統完整性保護)也能作為故障保護機制防止惡意軟體把操作系統搞崩。
macOS也並非沒有漏洞:幾個月前剛曝出蘋果最新版操作系統無需口令就能以root許可權登錄,當然這個漏洞剛被曝光就很快打上了補丁。雖然該漏洞被快速修復,但也提醒了我們,公眾認知中天生防黑的蘋果機,也只是暫時的,漏洞利用隨時可能出現。
5. 數據保護
Windows 10:
如果不能保護數據,OS安全也就沒有意義了。微軟長期以來都有文件及文件夾加密( Encrypting File System )功能,並在Vista里添加了以BitLocker實現的磁碟卷加密。終極加密密鑰可以存儲在TPM硬體晶元、網路、可移動媒體和其他地方。Vista之後的Windows系統增加了其他加密功能和選項,包括使用 BitLocker To Go 對可移動媒體加密和要求可移動媒體必須加密。通過設置加密選項,系統管理員可以規劃什麼樣的可移動媒體能夠在本機安裝並使用。
macOS:
如前文提到的,macOS可用 FileVault 2 加密啟動盤以防止未授權訪問。通過固件口令,Mac機可設置為不能從外部設備啟動。FileVault 2 採用128位塊大小的 AES 256 加密演算法AES-XTS模式進行加密。配合可防止以組合鍵繞過啟動盤啟動的固件口令,經 FileVault 2 以強口令整盤加密的磁碟基本上是不可能被破解的。
如果磁碟被轉到另一台Mac機,可以使用恢復密鑰,或者用戶有解鎖許可權也行。恢復密鑰可保存在管理系統里,比如JAMF,或者存儲在蘋果的iCloud伺服器上躲在 Apple ID 保護之後也可以。
可以使用macOS原生 Disk Utility 應用來加密外部磁碟或創建加密磁碟鏡像。
6. 文件完整性保護
Windows 10:
Windows有很多功能都可以為OS和用戶數據文件提供完整性保護。Windows ME 引入了名為 System File Protection (系統文件保護:SFP)的OS文件保護進程。一旦系統重要文件被刪除,SFP可確保Windows系統能立即以已知良性的文件副本加以替換。Windows Vista 對SFP進行了升級,演變成還能保護重要Windows註冊表設置的 Windows Resource Protection (Windows資源保護)——雖然被保護和自動替換的東西整體減小了。
Vista還引入了 Mandatory Integrity Controls (強制完整性控制:MIC)和文件及註冊表虛擬化。MIC會為Windows中每個用戶、文件和進程顯式分配MIC級別(高、中、低),低級別MIC對象不能修改高級別MIC對象。在文件和註冊表虛擬化保護下,大多數OS重要文件和註冊表設置都可抵禦低許可權用戶或進程的修改嘗試,低許可權用戶或進程所做的修改只作用於虛擬出來的額外文件或註冊表副本,真正的系統重要文件和註冊表設置是不受影響的。
在 Windows 8 中,PC Reset (PC重置)和 PC Refresh (PC刷新)功能可供用戶重置設備到全新狀態( PC Reset )或近全新狀態( PC Refresh:保留用戶文件、設置和某些應用)。如果你擔心中了惡意軟體,最好將系統重置到已知乾淨狀態。
macOS:
2015年 El Capitan 中引入的 System Integrity Protection (系統完整性保護:SIP),解決的是惡意軟體或黑客獲取到賬戶憑證後的無限制root許可權問題。SIP保護特定重要文件和目錄的內容和許可權,即便以root執行也無法動作。未簽名的內核擴展在SIP保護下無法運行;如果沒有特定權益,進程代碼注入和實時代碼修改也無法實現。只有經恰當簽名的應用才可以修改受保護的系統目錄,而這些應用必須關聯開發者ID,且具備蘋果簽發的權益。
7. 加密支持
Windows 10:
從 Windows Vista 開始,微軟不再嘗試自主研發加密密碼和演算法,轉而部署廣受推崇的密碼體制(比如ECC和SHA-2),並經常加以更新以防弱密碼攻擊和支持新興加密演算法。
macOS:
T2晶元使用硬體加密的 Secure Enclave (安全飛地)存儲Mac的加密密鑰(傳給同一塊晶元上的硬體加密引擎處理)。T2晶元集還控制著2塊用於存儲的NAND快閃記憶體,包含了實時無損加/解密數據的專用AES加密硬體。
T2晶元集在Mac機啟動過程中確保操作系統軟體不被破壞。在啟動時,T2晶元接管啟動過程,用其硬體加密的 Secure Enclave 來比對密鑰,載入引導程序,確保其有效性,驗證固件,然後驗證讓Mac機真正跑起來的內核和驅動程序。
8. 磁碟/數據備份和恢復
Windows 10:
每個版本的Windows都有多種備份和恢復文件的方法。自 Windows XP 開始,用戶可使用 System Restore (系統恢復)功能將OS和各種設置恢復到之前保存的OS版本。「先前版本」功能在 Windows XP 時代還只是可選項,到了 Windows 8 就已內置進系統,可以從之前保存的版本中恢復出個別文件——只要之前的「先前版本」保存過程覆蓋了這些文件。
從 Windows 8 開始,就可以使用名為 File History (文件歷史)的備份及恢復功能了。雖然不是完整的系統備份,File History 卻往往正好是用戶所需的,尤其是在Windows操作系統已經可以單獨恢復的情況下。File History 默認備份用戶最常用於保存文件和配置的地方,比如「我的文檔」、「音樂」、「文檔」、「視頻」、「桌面」、「下載」和「應用數據」等,但是用戶也可自行納入或排除文件及文件夾並制定備份日程。
macOS:
2007年開始,Mac機就預裝了 Time Machine (時光機)服務,讓備份過程簡單易行,設置好後就再也不用管了。如果 Time Machine 尚未設置,插入硬碟就會彈出設置對話框,供用戶將該硬碟設置為備份目標盤。一旦確認,備份過程即展開。
1天之內的數據按小時保持備份,1個月之內的數據按天保存備份,1個月之前的數據會被 Time Machine 整合進周備份集合。如果備份存儲空間告急,Time Machine 會刪除最早的周備份以勻出空間。System Preferences (系統偏好設置)中可以修改 Time Machine 的設置。
9. 應用保護
Windows 10:
Windows Vista 開始,微軟對應用間互操作和應用對操作系統本身的操作就管束得特別嚴格了。Vista在操作系統、服務和終端用戶應用之間進行了嚴格的隔離。到了 Windows 8,微軟又更進一步,創建了名為Metro的一類防護更嚴的應用。這類應用最終得名 Modern Applications (現代應用)。
遵循蘋果公司的前例,只能通過 Microsoft Store (微軟應用商店)安裝經過官方審核通過的 Modern Applications。所有此類應用都在專門的沙箱容器中執行,相互間只有有限的訪問許可權,與操作系統的互動也有限,且只有啟用了UAC才可以執行。
Windows Defender Application Guard 連同Edge瀏覽器一起隨 Windows 10 面世。Edge與其託管的站點和應用如今均在基於VBS的虛擬環境中運行,與操作系統本身是隔離的。Application Guard 中打開的會話無法啟動瀏覽器擴展,不能保存文件到本地文件系統,也不能執行其他高風險操作。有傳言說 Application Guard 將來會支持更多應用。
控制哪些應用能執行哪些不能執行一直以來都是保證高度安全的有效方式(比如應用控制、黑名單、白名單)。微軟在 Windows XP 中引入了名為 Software Restriction Policies (軟體限制策略:SRP)的應用控制措施。Vista之後,SRP被AppLocker取代。二者都可使管理員能夠按照名稱、位置或數字證書等條件設置程序、腳本或安裝包運行與否。
Windows 10 中,CI和 Device Guard 融進了 Windows Defender Application Control (WDAC),基於硬體強制實施非常細緻具體的允許或拒絕策略。管理員可以根據自身環境確定適用的應用控制級別,還能在AppLocker、CI、Device Guard和WDAC中任選。這些功能將具有恰當的控制級別並在用戶許可權範圍內做出一些操作上的權衡。
macOS:
領先潛在黑客一步的最簡單有效方式就是保持操作系統軟體和應用更新。App應從可信源下載,比如供應商的主站點,或者更可信的 Mac App Store。
Mac App Store 存在於 /Applications 應用目錄,裡面的每個App都經過了蘋果員工的審核並簽署有數字證書。一旦App被曝行為不當,蘋果可終止該App。相對其他選擇,Mac App Store 是應用下載最安全的地方了。
但問題是:不是每個應用都能在 Mac App Store 找到,有時候不得不從第三方站點下載。這個時候,Gatekeeper就派上用場了。Gatekeeper是軟體數字簽名檢查器,可以在軟體數字簽名驗證失敗時終止軟體的安裝過程。App需經蘋果代碼簽名才可以執行,通過了代碼檢查的應用就能正確執行。
Gatekeeper在 Security & Privacy System Preference (安全&隱私系統偏好)面板中設置,有兩個App下載源選項:1. App Store (應用商店);2. App Store 和確定的開發人員。代碼檢查失敗也想安裝軟體的時候,Security & Privacy 偏好可手動覆蓋,但只有在確定軟體來自可信源的時候才可以這麼干。
App沙箱可限制App對系統資源、數據和其他App的訪問,也就限制了惡意軟體可能造成的破壞。然而,沙箱的優勢也是其劣勢,不是每個應用都支持該功能。很多內置App(包括內置的Web瀏覽器Safari)都提供沙箱保護。
macOS High Sierra 中值得一提的另一個安全功能是:應用安裝的任意內核擴展都需要顯示授權才可以執行。這可以有效減小惡意軟體偷偷潛入未授權軟體中的可能性。
10. 瀏覽器保護
Windows 10:
微軟在 Windows 10 中把IE瀏覽器換成了Edge。作為一款十分精簡的瀏覽器,Edge並未與IE共享太多代碼。該瀏覽器不運行傳統高風險瀏覽器插件,只接受來自 Microsoft Store 的經審核擴展,還具備一鍵設置重置功能(以防潛在惡意修改),並可納入 Windows Defender Application Guard 模式。
每個網站和下載項都要經過 Windows Defender Smartscreen 篩選器的評估,該篩選器不僅僅針對瀏覽器,而是整個 Windows 10 操作系統都適用。Edge的代碼量和暴露面均大幅減少,因而對應用和網站的可執行動作也就限制更嚴格。相對IE而言,可謂巨大的進步。
macOS:
每部Mac都預裝了Safari瀏覽器,附帶反網路釣魚技術、防跨站跟蹤設置和鏈向 iCloud Keychain 密碼管理系統的強口令生成器。
11. 網路/無線保護
Windows 10:
微軟向來引領網路和無線安全技術潮流。除了長期支持無線和網路標準,微軟還常常早期採用這些標準並在大多數用戶尚未準備好之前就加以推出(比如IPv6和DNSSEC)。長期以來,Windows中內置一項網路防禦功能,是任意網路或無線連接的單獨管理能力。Windows可為每個連接分別配置不同的防火牆、路由器和其他安全設置。
12. 反惡意軟體
Windows 10:
Windows Defender Antivirus 已被證明是頂級無干擾反惡意軟體程序,尤其是以默認狀態部署並配合Windows的其他反惡意軟功能使用的時候,比如Smartscreen和Exploit Guard。採用名為 Early Loading Antimalware (早期啟動防病毒:ELAM)的功能,Windows可使任意反惡意軟體程序先於其他非基本應用,緊跟在關鍵OS引導進程之後載入。
macOS:
2017年4月,CheckPoint安全研究員發現有惡意軟體可繞過Gatekeeper。5月,流量視頻轉碼器Handbrake被黑,受感染版本攜OSX.PROTON遠程訪問木馬散布。攻擊越來越複雜,處理潛在數據泄露的機制也隨之越來越複雜。
在Mac機上,可路由網路服務默認是禁用的,很多現代應用和服務也是在沙箱中運行。這意味著App和系統服務對系統資源只有有限訪問權;惡意代碼不能與其他App或系統互操作。
蘋果還有更為極端的方式對抗惡意軟體。通過靜默自動更新,蘋果在每台Mac機上都維護著一份已知惡意軟體威脅的黑名單。Safari、Message和Mail下載的每一個文件都附帶有元數據,表明該文件是否安全、文件下載的源地址和下載當時的時間戳。任何被標為不安全的文件在打開時都會彈出警告信息,用戶可選擇直接將該文件投入回收站。
特定程序及任何相關文件都會被自動刪除,該程序所做的任何修改都會被記錄並撤銷。如果該操作切實發生了,管理員用戶下次登錄Mac時就會收到「已發生改動」的通知。
13. 防火牆
Windows 10:
自 Windows XP SP2 起,Windows系統便默認安裝了一直開啟的 Windows Firewall (Windows防火牆)。Windows Firewall 有數十條內置規則,拒絕一切非例外處理的入站連接,允許用戶、組、管理員、網路、服務或應用創建額外的規則。Windows Firewall 不對用戶產生太多干擾,而且是通用的,也很容易與IPSEC一起配置。唯一的缺點就是糟糕的日誌記錄(有時候是太多了)和缺乏重大已確認即時安全事件的通告,比如拒絕服務攻擊或埠掃描等,而這些正是其他第三方防火牆通常所具備的。
macOS:
所有Mac機發售時都已內置防火牆服務,但默認是關閉的。可通過 Security & Privacy System Preference (安全&隱私系統偏好)面板配置該防火牆,可以啟用 Stealth Mode (隱身模式)讓計算機無視ICMP請求和連接嘗試。
14. 遠程訪問
Windows 10:
雖然微軟建議所有遠程管理都通過PowerShell或 Microsoft Management Consoles (微軟管理控制台:MMC)進行,但 Remote Desktop (遠程桌面)控制台及協議(RDP)依然是管理員們遠程訪問Windows計算機的最常見方式。RDP已歷經多次升級,如今用戶可以數字證書身份驗證連接,並使用 Windows Defender Credential Guard 保護管理員憑證。
macOS:
Mac支持多種遠程訪問協議,包括對SSH和sftp的原生支持。用戶也可通過 Apple Remote Desktop (蘋果遠程桌面)遠程管理Mac機,遠程屏幕共享則可通過對VNC的原生支持實現,而iCloud訂閱用戶還可啟用 Back to my Mac (回到我的Mac)從任意一台以相同 Apple ID 登錄的Mac機遠程訪問自己的Mac。
15. 安全配置
Windows 10:
本地安全策略在 Windows NT 4 SP4 中就已引入,並以 Active Directory Group Policies (活動目錄組策略)在 Windows 2000 和XP中進行了大幅擴展。今天,沒有哪個操作系統像Windows一樣有那麼多內置的點擊式安全配置選項。Windows操作系統和其他流行應用(比如Office辦公套件)有數千種安全設置可用。管理員可用PowerShell腳本完成他們可以手動或使用組策略來完成的事情。
16. 修復
Windows 10:
Windows操作系統和微軟應用程序修復是內置並默認開啟的。Windows至少每天都會檢查有沒有新的補丁,默認自動應用這些補丁而無需管理員或中斷用戶的干預。新安裝使用一組不容易關閉的內置硬編碼防火牆規則,這些規則可保護PC抵禦大多數網路攻擊,同時又可及時獲取補丁進行修復。這得感謝2003年的MS-Blaster(衝擊波)蠕蟲,若非這款讓管理員不得不先感染了才能實施修復的蠕蟲,微軟的修復策略和過程也不會是現在的樣子。
macOS:
蘋果一貫在修復重大漏洞利用上反應迅速。
17. 隱私
Windows 10:
背著侵犯終端用戶隱私的罵名幾十年後,微軟如今是隱私權的強力支持者,提供各種各樣的個性設置,管理員或用戶可甚為細緻地決定哪些信息可以被收集而哪些不可以。
macOS:
蘋果高管一直走在用戶隱私問題最前列,某些情況下,為了保護用戶數據,甚至不惜公然與聯邦政府對壘。蘋果不收集轉賣用戶數據,指紋、人臉數據之類安全信息從不漏出蘋果設備,蘋果的隱私政策直截了當,令人耳目一新,值得一讀。
18. 日誌
Windows 10:
根據安裝的功能和服務,微軟產品有幾十種日誌文件可供安全分析。其中最中心的是 Windows Event Log (Windows事件日誌)服務。以前該服務包含3個主要日誌(安全日誌、系統日誌和應用日誌),如今,其所含日誌數量已超100,且是可配置的XML詳細日誌。日誌或具體事件可以轉發給其他收集器並觸發控制台消息或其他應用程序。若說有什麼美中不足,那就是記錄了太多太多微不足道的事件。在計算機安全界,噪音太多的問題比缺乏足夠的有用信息更嚴重。
macOS:
去年推出的 macOS Sierra 引入了統一日誌系統,為了提供統一高效的API來捕捉並存儲所有系統和應用活動。可配置日誌記錄不同程度的細節,這些記錄下來的數據可用內置的Console應用查看。
TAG:安全牛 |