Windows操作系統問世以來,其版本隨著計算機硬件和軟件發展不斷升級,架構從16位、32位到64位,桌面操作系統版本從最初的Windows 1.0到大家熟知的Windows 95、Windows 98直至現在的Windows 10、Windows 11,其功能在持續更新過程中不斷完善。Windows作為市占率最高的桌面操作系統,是惡意攻擊者的重要目標,Windows本身的安全機制也在不停的演進和完善以對抗不斷變化的安全風險。比如數字化轉型的加速和遠程和混合工作的擴展為組織和個人帶來了新的機遇,也帶來了新的威脅和風險。
針對這種情況,基于零信任安全模型被大量使用,任何地方的任何人或設備在安全性和完整性得到證明之前都不能獲得訪問權限。最新的Windows 安全理念也基于了零信任原則構建,同時利用新的安全硬件功能和軟件保護機制,提高了安全基線要求。整個安全體系從芯片、底層硬件一直延伸到了云端。實際上,要盡可能的保護操作系統、保護用戶數據,安全措施也不能僅僅局限在Windows本身,需要有一個體系化的應對手段。
零信任安全模型是在正確的時間給予正確的人員和設備正確的訪問權限。零信任安全基于三個原則:
對于Windows,零信任原則比較適用于設備和人員引入的風險。最新的Windows 提供了從芯片到云端的安全性,使IT管理員能夠使用諸如Windows Hello for Business之類的功能實現授權和身份驗證過程。IT管理員還可以獲得證明和測量,以確定設備是否滿足要求并且可以被信任。Windows與Microsoft Intune和Azure Active Directory協作能實現及時的訪問授權。此外,IT管理員還可以自定義Windows去滿足特定用戶和策略對訪問、隱私、合規等方面的要求。
下圖整理了從云端、身份認證、應用、操作系統層、硬件、安全基礎等幾個方面的Windows安全功能和手段。
借助芯片等硬件隔離安全性,Windows 可以將敏感數據存儲在與操作系統分離的其他防護手段后面。因此,包括加密密鑰和用戶憑據在內的信息受到了防止未經授權訪問和篡改的保護。但相關功能在國內使用的時候會面臨合規性問題,比如硬件中使用的密碼算法是否能夠替換成國密算法等等,目前還需要進行進一步的探索才能使得這些功能在國內落地。同時硬件和軟件還可以協同工作以保護操作系統。例如,默認啟用基于虛擬化的安全(VBS)和安全啟動(Secure Boot),以限制和防止惡意軟件利用。
在幫助保護個人和業務信息的安全性和隱私性方面,Windows 提供應用程序安全防護功能,可保護關鍵數據和代碼完整性。應用程序隔離和控制、代碼完整性、隱私控制和最小特權原則使開發人員能夠從一開始就構建安全性和隱私性。這種集成安全性可以防止違規行為和惡意軟件,幫助保持數據私密,并為IT管理員提供所需的控制。Microsoft Defender Application Guard使用Hyper-V虛擬化技術將不受信任的網站和Microsoft Office文件隔離在容器中,與主機操作系統和企業數據分離。為了保護隱私,Windows可以控制哪些應用程序和功能可以收集和使用數據,例如設備的位置,或訪問資源,如攝像頭和麥克風。
身份認證憑據也是網絡犯罪分子的主要目標。Windows 提供了防止憑據盜竊的保護,具有芯片級別的硬件安全性。憑據受到諸如TPM 2.0、VBS和/或Windows Defender Credential Guard等硬件和軟件安全層的保護,使攻擊者更難從設備上竊取憑據。借助Windows Hello for Business,用戶可以使用面部、指紋或PIN進行無密碼保護快速登錄,目前Windows 是可以支持FIDO2安全密鑰進行無密碼身份驗證的。
正如前面提到的,微軟正在將越來越多的功能往云上遷移,除了提供用于身份、存儲和訪問管理的綜合云服務外,還提供了驗證連接到網絡的Windows設備是否值得信賴所需的工具。用戶可以使用現代設備管理(MDM)服務(如Microsoft Intune)來強制執行合規性和條件訪問,該服務與Azure Active Directory和Microsoft Azure Attestation協同工作,通過云端控制對應用程序和數據的訪問。微軟賬戶也具備一定的個人數據保護功能。但和云聯系越緊密,在國內的落地應用就越困難,由于中國的數據安全和個人信息保護法律法規越來越完善,這一部分的功能就需要滿足中國的要求才能落地使用,這方面神州網信政府版正在進行一些積極的探索,以便用戶在滿足合規要求的同時也能用上安全先進的產品和服務。
本文對Windows的最新安全功能做了一個初步的描述,并整理了相關安全體系,在后繼的系列文章中嘗試對這個體系進行一些深入探討。
統安全架構設計是確保計算機系統和網絡在設計、實施和運行過程中保持安全性的關鍵方面。一個有效的系統安全架構應該包括多個層面和方面,以應對不同類型的威脅和攻擊。以下是一個通用的系統安全架構設計的指南:
1.威脅建模和風險評估:
- 識別潛在的威脅和風險,包括外部攻擊、內部威脅、自然災害等。
- 評估每種威脅的潛在影響和可能性。
2.身份和訪問管理:
- 實施強有力的身份驗證機制,包括雙因素身份驗證。
- 使用最小權限原則,確保用戶只有執行其工作所需的最低權限。
3.網絡安全:
- 實施防火墻、入侵檢測和入侵防御系統來保護網絡邊界。
- 使用虛擬專用網絡(VPN)來加密數據傳輸。
- 定期更新網絡設備和應用程序的安全補丁。
4.數據保護:
- 加密敏感數據,包括存儲在數據庫中的數據和在傳輸過程中的數據。
- 建立有效的備份和恢復策略,確保在數據丟失或損壞時能夠快速恢復。
5.安全編碼實踐:
- 遵循安全編碼標準和最佳實踐,防止常見的編碼漏洞。
- 進行代碼審查和靜態代碼分析,以發現和修復潛在的安全問題。
6.事件響應和監控:
- 部署監控工具,實時監視系統活動,以及時檢測異常。
- 制定詳細的事件響應計劃,包括處理安全事件的步驟和責任分配。
7.員工培訓和意識:
- 提供員工安全培訓,使他們能夠識別社交工程和其他形式的攻擊。
- 提高員工對安全政策和最佳實踐的意識。
8.物理安全:
- 確保服務器和網絡設備存放在安全的物理位置,受到訪問控制和監控的保護。
- 防止未經授權的人員物理訪問關鍵設備。
9.合規性:
- 遵守適用的法規和標準,如GDPR、HIPAA、PCI DSS等。
- 進行定期的合規性審計和評估。
10.更新和漏洞管理:
- 定期更新系統和應用程序,以應用最新的安全補丁。
- 實施漏洞管理策略,及時識別和修復系統中的漏洞。
11.持續監管和改進:
- 建立一個持續監管和改進的框架,定期審查和更新安全策略、流程和技術控制。
綜合考慮這些因素,并根據具體的組織需求進行調整,可以幫助建立一個強大的系統安全架構,有效地保護信息資產免受潛在威脅。#為一年后的小目標不斷努力奮斗#
想自己參與編程的經歷,從最初的一通瞎折騰,到現在能參與以及貢獻基礎軟件社區,已經有十多年時間了。很遺憾,這段經歷的大多半時間都是走在一個錯誤的方向上的,至少現在我是這么認為的。確實沒有什么精彩的故事,借著給龍蜥社區朋友們分享的契機講一講,列位看官權且當作教訓來看,當作吃別人一塹,長自己一智吧。
我上學時的主攻方向不是軟件工程,也不是計算機,也沒有研究什么課題,而是當時感覺非常沒有前途的電子科學,現在也只是依稀記得那些課程名字,至于具體內容是什么,已經模糊了。這就導致我有很多時間來打游戲,那時還很流行組隊打星際和魔獸爭霸,許多工具軟件都要去網上找破解版,電腦需要不斷通過全盤殺毒來保持健康狀態,不過當時我也不知道 Linux 是做什么用的。
當時看那些能破解軟件、寫出工具的黑客們真是羨慕不已,也許是出于興趣,有意無意就關注了起來。從網絡和論壇看到他們經常用到一種奇怪的語言,后來才知道那是匯編語言,在沒有計算機基礎也沒有人指引的情況下,走上了這條現在看來方向明顯不對的道路,很慶幸自己居然沒有放棄。
后來,我就找了一些書籍資料在 Windows 下模仿寫了一些使用 win32 API 的窗口程序,那時感覺還不錯。因為學校的 C 語言課程,老師只會講一些語法跟考試的內容,除了考二級也不知道還能用來做什么,這樣一比較窗口程序顯然更像一個真正的程序,雖然簡單但能讓人產生興趣也更接近工程實用。
就這樣斷斷續續幾年居然基本掌握了 x86 匯編和 Win32 的主要 API,也對系統基礎有了一定了解。因為自己的認知盲區,錯誤地選擇了入門開發語言和開發環境,導致后來走了很多年的彎路。
很幸運,畢業之后沒有失業,也沒有從事科班工作,憑借自修的豐富的編程經驗,終于混進了現在看起來是傳統得不能再傳統的主機安全行業,主要工作內容也是開發殺毒軟件所需要的實時監控,以及一些惡意軟件的分析工作。
那是 2010 年,正是 PC 機火熱的時代,沒有移動互聯網,當時的殺毒軟件還是裝機必備、熱門賽道,有諸多的企業在里面競爭,一點不亞于現在的社區團購。有多熱門呢,當時的 360 還是可以跟騰訊叫板的,并且還能得到網絡上的普遍支持,可以跟十年之后的現在做一個對比。
扯回正題,因為工作涉及系統開發的緣故,抱著很不情愿的狀態開始使用 C 語言,也許是有匯編基礎,C 語言學習起來就順利了很多,對于許多人詬病的指針好像也沒說的那么復雜。其實當時行業主流使用的是 C++ 語言,奈何一直沒有學會,直到現在也是一知半解。
就這樣渾渾噩噩的六年多,分析過 CVE、寫過 POC、內核監控、各種 HOOK 信手拈來,開發語言也主要集中在 C、lua 和匯編。但是基本沒做什么像樣的項目,隨著近幾年操作系統自身安全性提升和軟件分發的把控,操作系統安裝一個專門的主機安全軟件的必要性也越來越小。
也許因為安全背景,兩年前偶然的機會混進了操作系統 OS 安全,基礎軟件的安全方向跟傳統的主機安全還是有挺大區別的。
傳統安全熱衷于攻防,魔高一丈道高一尺,魔再高道更高,這樣的無限循環,好像永遠也到達不了安全的終點,也做不到 100% 的安全。
就比如現在非常流行的勒索軟件,這是伴隨著加密貨幣而誕生的一種簡單粗暴的惡意軟件,比特幣 09 年就誕生了,那還是一個普遍使用諾基亞的時代,阿里云是那時才開始創業的,iPhone 也才剛剛出道,這十多年云計算和移動互聯網對人們生活的改變,帶來的社會價值都是有目共睹的。
然而,一個誕生了十多年的加密貨幣除了催生了一些不能活在陽光下的行業外,似乎沒給社會帶來什么改變,當然區塊鏈那是另一碼事,以至于現在還有不少人覺得加密貨幣是一個新事物。勒索軟件目前在主機端依然沒有很好的解決辦法,我們只能避免這樣的情況發生,也許真的要靠加密貨幣的自然覆亡來解決勒索軟件。
這樣攻防帶來的另一個問題是沒法標準化,你的矛升級了,我的盾也得更新,攻一方盡可能隱藏自己的攻擊方式,防守方也要保密自己的防守細節。這樣的安全方案隨著時間推移邊際價值是遞減的。
從基礎軟件層面來考慮安全問題就大不相同了,比如數字簽名、加密算法、TLS 協議以及 HTTPS,這些目前都已經是計算機和互聯網的安全基石,也是從根本上解決安全問題,是一個比較徹底的解決方案,也更容易成為國際通用的方案,其次解決方案規范是公開的,會充分暴露出設計的缺陷,有助于安全能力的逐步提升。
我剛到操作系統團隊的時候,接到的一個需求就是在 Linux 內核實現國內的商用密碼公鑰算法 SM2,我對密碼算法之前是沒有什么開發經驗的,經過大半年的開發和社區交流,最終能把 SM2 做到 Linux 上游社區也實在是僥幸。關于這一段經歷,大家可以移步舊文——終于,SM2 國密算法被 Linux 內核社區接受了!
之后正好趕上了龍蜥操作系統社區的成立,彼時國內面臨外部的貿易沖突和技術封鎖,以及國內數據安全問題,我們決定把全軟件棧的國密做大做強,依托于操作系統給支持起來。我們在龍蜥社區的工作,可以參考「商密軟件棧 SIG」,上面記錄了我們的周報、月報和一些最佳實踐案例,有比較詳細的介紹。
龍蜥社區是一個更加開放的平臺,有了能對外輸出的平臺,我的工作可以以社區方式來運作起來了,同時進展也會更快,能跟社區內有相同興趣的伙伴協同工作,也第一時間把我們的工作成果帶給社區用戶和開發者。
我很喜歡我們公司內部的一句話「一次性把事情做對」。拿國密來說,從開始的算法標準制定到現在也有十多年的時間了,目前仍然沒有被廣泛使用是有原因的,工程上的碎片化是很重要的一點,這也是我們一開始堅持的原則,龍蜥的國密不是要做另一個碎片的國密實現,而是把國密的工程實現統一到日常使用的基礎軟件中去,避免以后國內大量的資源和人力重復投入,一次性把這個事情做好。
有了內核 SM2 算法的成功經驗后,我們的動力更足了,陸續在 libgcrypt、OpenSSL、coreutils、IMA,甚至 Rust 生態 RustCrypto 等基礎軟件或者密碼算法場景中支持了國內的商用密碼算法,并且為 SM3/4 算法支持了 x86 和 Arm64 平臺的指令集優化、以及 KTLS 國密算法的支持。
目前我們在商密生態多年的開發工作已經全部回饋到了社區,其中絕大部分貢獻到了主流開源項目的上游,總代碼量超過萬行。比如我們在 Arm64 架構下做了 NEON 和 Crypto Extensions 指令集優化,性能有了質的飛躍。
非常感謝社區各合作伙伴的支持,以及社區工作人員的辛苦付出,經過一年多的努力,我們基本構建起了商密的基礎軟件設施,不僅解決了從無到有的問題,也把商密的性能提升到真正能產業化應用的程度,也依托于龍蜥操作系統(Anolis OS)發布了支持全棧商用密碼的 Anolis 商密版 OS,當然這個生態不管是橫向還是縱向還有很多工作要做,需要更多內部和外部開發者參與進來一起建設,我們非常歡迎與大家一起合作。
(圖/開發者峰會演講)
程序語言世界素來有江湖門派之爭,文中難免涉及個人主觀判斷,只是代表個人想法和意見,僅供大家參考。
以下是我們團隊在龍蜥社區上的商密軟件棧 SIG,非常歡迎有興趣的開發能參與進來,為中國的基礎軟件安全添磚加瓦。
作者介紹:
張天佳,龍蜥社區商密軟件棧 SIG Maintainer,安全技術開發,專注于國內商用密碼的技術開發以及推廣工作。