本週安全圈子的新聞衆多,微軟備受矚目的新系統Windows 7本週公開的兩個新特性XP模式和更安全的自動運行功能,可算是本週安全方面最值得關注的新聞,筆者將在本期回顧中爲朋友們簡單介紹和分析這個新聞。
繼今年第一季的漏洞***高潮之後,Google和Adobe再次成爲5月初漏洞***類新聞的主角,而微軟則趕在5月初發布了office 2007和Windows Vista的SP2補丁包。雲計算在安全領域如何應用至今仍未有定論,但安全廠商們都已經開始了在該領域內的探索——西班牙反病毒廠商Panda成爲吃螃蟹者,推出了基於雲計算的免費殺毒軟件。在本期回顧的最後,筆者按慣例爲朋友們在本週的新聞中精心挑選了兩個值得一讀的推薦閱讀文章。
本週(090427至090503)安全要聞回顧
本週的信息安全威脅等級爲低。儘管微軟等軟件廠商在4月推出了數量較多的安全更新,但目前並沒有發現互聯網上存在對這些已有更新漏洞的大規模***行爲,用戶只需注意安裝安全補丁和更新安全軟件即可。
Windows安全:Windows 7新特性,XP模式和更安全的自動運行;關注指數:高
微軟在三年前推出的Windows Vista在安全性、易用性和用戶友好程度上比Windows XP都有了顯著的提升,然而軟件兼容性差和系統資源要求較高成爲Vista飽受用戶詬病的主要缺點,也成爲大多數用戶依然停留在XP等較老系統上的理由。儘管微軟在Vista發佈後不久就推出了改善上述問題的SP1更新包,但因爲各種原因Vista在企業和個人領域的接受程度一直不高。
作爲Windows Vista的替代產品,Windows 7從公開之日起就一直廣受用戶關注,尤其是在Vista較弱的軟件兼容性方面,Windows 7的表現成爲一個待解之謎。這個問題在本週得以揭曉,這就是Windows 7 XP Mode(Windows 7XP模式,簡稱XPM)。通過微軟最新的桌面虛擬化技術,Windows 7用戶可以像在Windows XP中那樣方便的使用舊的應用程序,而無需擔心會出現兼容性問題,這點尤其適合那些因爲各種原因而放棄升級到Vista的企業XP用戶。
根據微軟的描述,Windows 7與XPM進行了相當底層的集成,用戶在XPM模式中安裝的軟件可以放置圖標到Windows 7桌面,並像安裝於Windows 7的兼容軟件一樣直接啓動。另外,用戶需要了解的是,XPM需要CPU對虛擬化技術的支持,只有支持Intel VT技術的Intel CPU或AMD-V技術的AMD CPU才能使用,而按照微軟一貫的授權策略,XPM將免費提供Windows 7專業版和旗艦版用戶,使用Home版的用戶則無緣使用。
筆者介紹到這裏,相信朋友們對Windows 7裏面的XPM有了這樣一個印象:XPM不就是微軟爲用戶安裝好的一個Virtual PC Windows 7版加Windows XP SP3?沒錯,XPM實際上就是VPC裏面的OEM版Windows XP安裝,有MSDN或Technet的朋友一試便知,網上也開始有網友通過BT等渠道分享新版VPC和XPM,有興趣的朋友也可以自行下載試用。
在這裏我們就有了新的問題:XPM的安全性如何?在安裝XPM時微軟默認開啓OEM Windows XP的數據執行保護DEP和自動升級,但更高級的地址空間輸出隨機化(ASLR)和IE保護模式並不在XPM中提供,用戶也不會在XPM中安裝反病毒軟件(到時用戶也不一定還有XP版的反病毒軟件)XPM這樣的安全措施,在通常的情況下並無太大的安全問題,然而在某些極端的情況下仍然會成爲企業內部網絡中致命的安全漏洞。由於Windows Vista和7中嚴格的安全控制,使得Vista下的惡意軟件比XP平臺上已經大爲減少,微軟爲保證軟件兼容性引入了XPM,事實上使每一個Windows 7系統也同時運行至少一個沒有進行過安全配置的Windows XP系統,從而使得Windows 7系統遭受惡意軟件侵襲的風險比Vista更爲顯著。
理論上說,XPM和作爲主機的Windows 7系統應該是隔離的,然而用戶或默認不恰當的配置,則有可能使XPM也能訪問到主機上相當多敏感的信息,因爲安全軟件和監控手段的缺失,XPM很容易成爲***進一步侵入用戶所在內部網絡的跳板。筆者認爲,用戶未來在使用XPM時應關注幾點:
1)如何控制用戶對XPM的使用和在XPM中使用的應用程序;
2)XPM內外部環境的維護和安全配置;
3)如何維護和監視XPM的安全情況。這幾個因素都會不同程度的影響企業應用XPM的效果,可能還需要企業修改現有安全策略來適應XPM新技術的引入,不過對安全廠商來說,Windows XP以XPM的形式重生並結合了虛擬化的新元素,開發相關的安全控制及管理產品應該也是未來一個相當不錯的方向。
針對惡意軟件將移動存儲設備感染作爲標準功能的趨勢,微軟在新系統Windows 7中進行了一個動作不大卻效果明顯的改進,修改了設備自動運行功能的激活方式。和Windows XP、Vista等現有系統不同,Windows 7 RC版本在用戶插入除可移動光驅內的光盤之外的其他USB設備(U盤、移動硬盤、MP3/MP4等)時,不再彈出自動運行菜單,以控制惡意軟件通過可寫的移動存儲設備在用戶系統之間進行傳染,微軟也計劃在適當時候爲Windows XP、Vista等現有系統用戶提供該安全更新,提升現有系統對移動設備病毒的防禦能力。這個更新只是Windows 7諸多安全提升中很小的一個,不過也能看出Windows 7的開發過程中微軟更爲關注用戶的實際需要,雖然遲了點但也算是及時的。筆者打算持續關注Windows 7的安全功能,並及時爲朋友們帶來更新的相關資訊和深度分析,敬請期待!
漏洞***:Adobe產品又遭0Day***,Google及微軟發佈產品重要更新;關注指數:高
Adobe可以說是今年漏洞***領域中除微軟外出鏡率最高的廠商,今年所公開的嚴重漏洞***事件,涉及Adobe旗下產品Flash Player和Acrobat的差不多佔到了1/3多。即便如此,漏洞挖掘人員似乎還不想讓Adobe有一絲放鬆下來的機會——根據Securityfocus的報道,Adobe PDF Reader中再次被報告存在Java Script處理漏洞,該漏洞與Adobe同類產品於今年2月份所發現的漏洞相類似,觸發後將會導致Reader執行代碼運行等不可預料的行爲,***者可能會利用這類漏洞向用戶擴散惡意軟件等。
Adobe產品安全事件響應部門在稍後不久確認了該漏洞存在於Adobe Reader 8.x和9.x版本中,並可能影響Linux、Windows和MacOS等平臺上的該產品。Adobe目前已經在開發針對該漏洞的安全更新,但何時推出並未有明確的時間表。筆者建議用戶在Adobe推出補丁之前,儘量不要隨意開啓來自不可信來源的PDF文件,同時可禁用Adobe Reader內置的Java Script功能,保證不影響正常使用的前提下增強使用的安全性。
淡出媒體視線一段時間的Google Chrome瀏覽器本週也推出了新的安全更新,4月初IBM 安全部門ISS的研究人員曾報告Chrome中存在多個XSS漏洞,如果用戶在一臺裝有Chrome的系統上用IE瀏覽帶有上述漏洞利用代碼的惡意網站,將會異常的啓動Chrome並執行開啓多個窗口、運行JavaScript或瀏覽***者事先設置的惡意網站等操作。據悉Google在這次推出的安全更新中已經修正這些漏洞,Google將採取自動更新的形式向用戶交付安全更新,用戶只需應用更新手工重啓下Chrome即可。
按照微軟對主流產品每年進行一次大更新的習慣,Windows、Office等在近段時間都將會有一次服務包更新(SP)的發佈,本週微軟準時發佈了Office 2007的SP2升級包(Windows Vista也將在近日發佈SP2)。按照慣例,Office 2007 SP2除了包括SP2推出2個月前的所有Office 2007安全漏洞外,還將改進Office 2007一系列的性能和使用問題,如提升Outlook的性能和可靠性、增強pdf和xps輸出性能,改進Excel表格結構和PowerPoint文件存儲格式等。從安全性或產品本身性能改進的角度考慮,筆者建議Office 2007用戶通過微軟下載站點或自動更新完成Office 2007 SP2的更新操作。
另外,微軟同期還發布了Internet Explorer 8,IE8比IE7在安全、穩定性和使用等方面均有較大改進,但IE8目前對網銀、在線支付等電子商務類的ActiveX插件支持還有一些兼容性問題,用戶可根據自己的需要決定是否升級到IE8。
安全產品:Panda推出基於雲計算的免費反病毒軟件;關注指數:中
雲計算在安全領域如何應用尚未有定論,但安全廠商們都已經開始按自己的理解和戰略發展自己基於雲計算的安全產品,西班牙廠商Panda本週推出了基於雲計算技術的免費反病毒產品。和其他廠商的類似產品不同的是,該產品將傳統反病毒軟件檢測病毒的操作全部放到雲中完成,而不是在本地進行掃描,其運行機理並不複雜,該產品在安裝後會根據已知的安全文件和系統文件製作一個白名單,並通過雲來維護該名單使其保持最新。在用戶系統進入新的未知文件後,該產品會自動計算新文件的Hash值並進行比對,如果存在可疑因素該產品會將新文件傳到雲平臺上進行進一步檢測。從而減輕反病毒軟件對用戶本地系統資源的佔用,以及用戶對反病毒資料庫的管理和維護需求,有興趣的朋友可以在http://www.cloudantivirus.com網站下載試用。
筆者認爲,Panda的新反病毒產品算是雲計算反病毒的一個新思路,但與傳統的反病毒產品相比效果是否更好,還需要時間和實踐的證明,而且雲計算產品對高速網絡接入的依賴性,也可能會使不少企業用戶在選擇時充滿顧慮。
推薦閱讀:
1) 如何保護微軟SharePoint服務;推薦指數:中
現在許多企業都選用微軟SharePoint作爲企業內部Portal的平臺,但因爲SharePoint繼承微軟產品一貫的快速部署能力和用戶友好,可能大多數的用戶都沒有考慮過SharePoint服務可能會面臨的各種安全風險,以及用戶可以採取什麼措施去消除這些風險。eWeek.com文章《如何保護微軟SharePoint服務》爲用戶提供瞭如何選擇SharePoint保護產品的建議,有興趣的朋友可以閱讀下,文章地址如下:
2) 怎樣使用統一身份管理來消減企業風險?推薦指數:高
統一身份管理是訪問控制方向新興的領域,能夠有效的降低企業在管理用戶和資源訪問控制上所耗費的人力物力成本,不過實施統一身份管理對很多沒有經驗的企業來說算是一件充滿挑戰的工作,eWeek.com文章《怎樣使用統一身份管理消減企業風險》介紹了企業實施統一身份管理的步驟和需要注意的地方,推薦有興趣的朋友瞭解一下。文章地址如下: