Windows8系统安全性的预期效果和风险

Windows 8已经发布,信息安全专家都在将新系统的安全性能与Windows 7进行比较。普遍的共识是虽然微软对安全越来越重视,但是试图将Windows8视为安全工具的用户估计会有些失望。

赛门铁克 Norton产品管理高级主管Gerry Egan说:“威胁就想是流下山的水,水流总会找到最简便的路径。如果你拦着这条道,它就会选下一个最简便的路径,以此类推。因此,微软已经设置了阻碍,但是Windows 8却不能阻止洪流。”

据Egan透露,安全挑战有一部分涉及到向后兼容性的问题。虽然没什么人会留意到使用遗留应用的重要性,但是这种能力通常也适用于恶意软件。“当他们对桌面应用具备向后兼容性时,就可以帮到用户,但是它也为恶意软件提供了向后兼容性,会有上百万的恶意软件变种涌向Windows 8。”

有些攻击可能会被被Windows Defender偏移,人们认为Windows Defender在Windows 8中扮演着升降梯的角色。但是Defender却并没被视为反病毒软件的有效替代物。

“Windows Defender 提供了基础安全,”卡巴斯基产品营销高级主管Peter Beardmore。“虽然微软开始重视安全是一种积极的姿态,但是却并不能满足所有的安全需求。我们相信商业客户会意识到这一点,不过客户级别可能又是另外一番景象。我们不太担心会有个别人认为不再需要全面保护。”

其他反病毒领域的人认为行业动态很可能加大有效反病毒的需求。

AVG高级安全布道者Tony Anscombe说,“我们相信反病毒软件的市场会像以前那样继续增长,购买PC的时候,有一个围绕指导性AV 的整体生态系统。没有人想关闭产品营收。”

除了Windows Defender之外,Windows 8中其他安全特性还有待商讨。

“与Windows 7相比,显然他们已经关注遥测技术多年,在过去几年收集了很多信息,并且将这些技术用于改进操作系统的安全性,”ESET研究者Aryeh Goretsky说。“我特别喜欢讲安全启动装置与UEFI(同意可扩展固件界面)联合部署的理念,因为如果部署得当,就可以拦截一类恶意软件。至于它的运行是否如预计的那样还需要进一步确认。”

Goretsky继续解释称,设计漏洞,错误部署或是兼容性的问题都会导致策略性问题,特别是如果它干扰到客户端设备上的重要应用时。尽管如此,Goretsky很赞同反病毒和其他应用要依据用户的命令卸载而不是依据硬盘的剩余空间来决定。

“通常,在软件安装程序运行后,程序或许可以下载更新,然后对注册情况进行进一步修改,”他解释称。“这类操作通常是在卸载过程中被清除,因为卸载程序通常是只能按照脚本的设置做删除操作。后安装操作通常会滞后。微软也只说了这么多。这样会让客户对反病毒软件更满意一点,他们可以轻松升级或是用较低的价钱更新。但是最重要的是可以确保用户从一个产品换到另一个产品的时候,不会出现系统问题。”

此外,微软也采取了措施,通过阻止启动代码的运行防止主机启动记录攻击。

“有代码后,那么就可以在其他软件都加载完成后控制可能发生的情况,”他说、“新的规格过程了一个信任机制,如果代码不能用密码签署,就不会允许它运行。从这一点看,下一步就是试着将代码作为设备驱动运行,而且要尽量在启动程序开始时候运行。所以,微软已经发布了一个名为Early Launch Anti-Malware或ELAM的程序。这就是运行以下微软代码的第一件事情,所以对于下载顺序不会再有这么随机的了。这给了反恶意软件供应商在下载前检查系统中所有驱动的机会。所以就威胁检测而言,这是一个很大的优势。”

来自ESET的Goretsky希望ELSM最终能够提供更多灵活的功能来客服当下的内存限制和处理参数。

赛门铁克的Egan赞成ELAM是往正确方向发展的第一步。

“这可以让我们在启动周期里更轻松地加载驱动,以便对抗rootkit和bootkit”他说。“我们不会有IPS或是运行基于声誉的系统。”但它会起到一点帮助。

Egan还质疑了SmartScreen的效率,SmartScreen会针对存在已知威胁的数据库进行检测,然后才进行安装。“我们对此有些怀疑,因为我们发现当要求用户就安全问题作出选择时,他们通常都是按照自己的想法做决定。”

最后,Windows 8中增长的安全性能可能会导致攻击面向应用,特别是浏览器。

Goretsky补充道:“如果这是一个非常安全的操作系统,攻击方式就会转向社工,因为无论多安全的技术,只要有人使用,就会出错。”