WindowsXP SP2 DEP技术揭秘Windows安全(精选3篇)
篇1:WindowsXP SP2 DEP技术揭秘Windows安全
微软在 6月22 确认了一个从 17 年前 Windows 操作系统以来直到目前都还存在的一个安全性弱点,他能让不受信任或无权限的用户轻易的进入系统核心(system kernel)并取得该系统最大权限,目前尚无任何补丁(Patch)可以修正这个问题,但还是有方法可以强化你系统的安全性,
这个弱点是利用一个在 Windows 中称为 Virtual DOS Machine (VDM) 的功能,这功能是为了向前兼容 16-bit 应用程序的执行而设计的,这个功能在所有 32-bit 版的 Windows 都有支持 ( 64-bit 操作系统无此问题 ),由于此功能从 1993 年开始就有了,所以从 Windows NT 3.1, XP, , Server , Vista, Server , 甚至是 Windows 7 都一样有这个弱点, 只要能利用 VDM 功能写一点点程序就可以轻松入侵你的计算机,且 PoC 的原代码也已经放出来了,
要解决这个问题也很容易,只要关闭 MSDOS 与 WOWEXEC 子系统即可有效避免弱点被有心人士利用,现在还有人在用 16-bit 应用程序的人应该不多了吧?但也许有些老公司还在用祖母级的 ERP 或进销存程序也不一定。
解决此问题最简单的方式就是通过 Active Directory (AD) 设定组策略,限制网域内所有计算机执行 16-bit 应用程序。
篇2:WindowsXP SP2 DEP技术揭秘Windows安全
DEP的防病毒原理
如果你的系统升级到了SP2,启用SP2的DEP功能即可防范病毒破坏,这是因为DEP能够对各种程序进行监视,阻止病毒在受保护的内存位置运行有害代码。DEP通过处理器的NX(No eXecute)功能,查找内存中没有明确包含可执行代码的数据(这些数据有时会是病毒的源代码),找到这些数据后,NX将它们都标记为“不可执行”。以后如果某程序在内存中,试图执行这些带“不可执行”标记的代码,SP2将会自动关闭该程序。因此,假如你运行了一个已经染毒的软件,DEP就会把病毒代码标记为“不可执行”,这样就能阻止病毒在内存中运行,保护电脑中的文件免受蠕虫、病毒的传染破坏。
如果你想充分发挥DEP的保护功能,除了要把系统升级到SP2之外,你的CPU还必须支持DEP技术。目前常见的32位处理器(例如P4 Northwood等)并不支持NX,支持该技术的CPU主要有AMD的64位处理器(Athlon 64、AMD Opteron),以及Intel的安腾系列CPU、J系列的P4 Prescott,据说nVIDIA、VIA、全美达等公司也计划在其芯片中加入NX技术,不过这些厂商更新NX的步伐过于缓慢,正式推出还有待时日。
启用或禁用DEP的方法
默认情况下,SP2仅对基本 Windows 程序和服务启用了DEP。不过你也可以自己设置,让电脑上的所有程序都启用DEP,以便防范病毒。
例如除了Acrobat Reader5.0之外,要让所有的程序和服务都启用DEP,操作方法是:以管理员权限账户登录SP2,然后单击“开始→设置→控制面板”,双击“系统”,单击“高级”选项卡,单击“性能”下的“设置”,单击“数据执行保护”选项卡,选中“为除下列程序之外的所有程序和服务启用 DEP”(如图),单击“添加”,导航到“Program Files”文件夹,选择该程序(Acrobat Reader 5.0)的可执行文件(扩展名为.exe),最后单击“确定”完成。
如果你要为某程序(例如Acrobat Reader 5.0)禁用DEP,可以单击以上的“添加”按钮,把它加到列表中即可。以后该程序就很容易受到攻击,病毒能够潜入该程序中,然后再传染给电脑上的其他程序及Outlook中的联系人,并且破坏你的个人文件,
如果有的程序启用 DEP 后无法正常运行,你可以向软件厂商索取兼容DEP的程序版本,如果没有这样的版本则禁用DEP。
为了支持DEP,P4 Prescott采用了EDB 技术
为了配合微软的DEP功能,Intel为自己的CPU开发了“Execute Disable Bit”(EDB)内存保护技术。目前Intel P4 Prescott(mPGA478与LGA775封装)为C0或D0步进核心,最新的J系列P4 Prescott采用E0步进核心。其中只有J系列P4 Prescott具备防病毒功能,只有它才真正支持EDB技术,能够配合SP2的DEP防毒功能,让针对缓冲区溢出(buffer overrun)漏洞设计的病毒失效,预防它们复制并散播到其他系统。
如果你使用了P4 Prescott/Celeron D(C0步进核心)的处理器,升级到SP2之后,就会发现Windows XP操作系统死锁在启动画面,但换上P4 Northwood却不会出现这个问题。这是因为SP2能够开启P4 Prescott (C0步进核心)内含的EDB 功能,但是这种型号的CPU并没有EDB的执行能力,其内部EDB部分的晶体管不会加电运作,因此会导致系统死锁。
为了解决这个问题,微软已在9月14日发布了相关修正文件,大家可以到微软的 去下载。Windows XP英文版用户下载地址是download.microsoft.com/download/c/a/5/ca5f5398-2391-42e6-8b40-f6ec4db31c88/WindowsXP-KB885626-v2-x86-enu.exe,Windows XP简体中文版用户下载地址download.microsoft.com/download/2/b/7/2b75ebbf-ce4c-4595-8ddf-4d45e4c1ca18/WindowsXP-KB885626-v2-x86-chs.exe
为了支持DEP,AMD的64位CPU使用EVP技术
AMD 64位处理器最先支持微软的DEP技术。为了配合DEP,AMD与微软一起设计研发了AMD的新芯片功能“Enhanced Virus Protection”(EVP增强病毒保护)。AMD 64位处理器(包括Athlon 64/Athlon 64 FX/Athlon 64移动版本/Sempron移动版本等)都将具有EVP功能。EVP功能可以和SP2的DEP技术配合,防范“缓存溢出”这一常见攻击手段,打击一些病毒和蠕虫,对收发电子邮件、下载文件等日常工作进行更好的保护。
篇3:WindowsXP SP2 DEP技术揭秘Windows安全
在Windows 10发布之际, 微软透露了其行将植入的一种新的安全机制即Device Guard (DG) , 旨在帮助Windows 10设备抵御未名恶意代码、零日攻击及APTs (Advanced Persistent Threats) , 即DG只认“可信任apps”而拒绝其他一切。“可信任”即具有正规软件商家或者Windows Store数字标识的应用, 或用户自行开发的应用系统。
与现有安全预案相比, DG优势主要有采用硬件和虚拟技术将某个应用从OS隔离并加以认证, 它以一种独立的最小化例程存在于OS内。DG要求硬件具有IOMMU功能, IOMMU是一种I/O内存管理单元, 即与主内存通过DMA类型的I/O总线相连, 能将虚拟地址映射到物理地址。
IOMMU有不少优势, 其中最重要的便是能有效对付DMA攻击, 与以前直接采用物理地址内存的CPU相比, 它在性能上稍弱, 但迄今处理器单纯的速度指标已不是很重要。新款Intel和AMD处理器和某些ARM处理器都标注有支持DG或准DG功能, 所谓准DG功能, 往往只需安装驱动程序即可。
当然, DG并没有否定甚至根本无意替代传统杀毒软件的功绩, 二者其实是相得益彰。况且DG对于其他多种类型的威胁并不具有免疫性, 比如文本中的Java和宏。DG无疑是Windows10的一个重要安全补丁, 能够有效针对近年来频现的新的威胁如敲诈者病毒Crypto Locker以及狡猾的新木马Black POS。
传统的防病毒软件的思路是, 所有应用在起初都是默认为可信任的, 除非有杀毒软件从中发现潜在的威胁, 它是靠“黑名单”来识别的, 此举颇似亡羊补牢。而DG则采取的是一种“白名单”, 让所有不速之客类型的应用不得入内, 这种想法听上去好像并无新意, 因为之前的App Locker采用的正是白名单原理, 同时系统还提供了SRP (Software Restriction Policies) 策略, 但无论SRP还是App Locker在配置时都较为复杂, 在文件类型和角色分配时操作较为繁杂棘手。
与DG同期出现的另一项安全技术是ATA (Advanced Threat Analytics, 高威胁分析) , 它通过监视IP流量进行行为分析, 采取一定算法探测攻击特征, 由此生成有效的应对方案。ATA优点是易于管理, 让管理员不必设置繁缛的rules和policies, 而且ATA还具有隐蔽性, 不易被攻击者察觉, 当发现异常情况会及时汇报管理员。
ATA视为异常的行为包括:可疑登录, 远程代码控制, 密码共享和转移, 并能够阻止Brute Force攻击。大家知道, 活动目录AD是企业网络中最为重要的部分之一, 其安全性尤为值得关注, 为此ATA不可忽视。其作用可以简单描述为:将一个或多个ATA网关置于内网即防火墙内部, 每个ATA网关通过端口镜像方式捕获AD中的各个域控制器网流并接收来自SIEM软件 (Security Information and Event Management) 的事件报告, 并将信息发送给ATA Center。
ATA Center获得数据后会存储到数据库内, 这些数据会由ATA生成用于安全事件分析的OSG图形 (Organizational Security Graph) , 并寻找发现有关攻击特征。为此我们做一个实验:准备两台servers, 一个作为ATA Center, 另一部作为ATA Gateway的机器运行Windows Server2012 R2, 它们都安装成为域成员, 然后将ATA端口设置为镜像, 使得ATA Gateway能够看到域控制器DC (Domain Controllers) 网流的进出情况。