Vista 夠安全嗎？

Vista安全的4劑強心針
臺灣微軟在今年1月正式推出Windows Vista，若與前幾代作業系統相比，微軟斧底抽薪做了根基的調整，包括SDLC、UAC、ASLR以及PatchGuard等4大安全機制，都是讓微軟新一代作業系統，可以讓駭客頭痛的祕絕。

▼阿碼科技首席資安研究員邱銘彰：	▼中華電信資安辦公室資安技術組長李倫銓：
「Vista是微軟史上第一套從防範駭客入侵角度開發的作業系統。」	「Vista導入SDLC產品開發方式，可有效降低XP作業系統中常見的Buffer Overflow攻擊。」

第1劑
SDLC安全程式開發方法
SDLC是一個斧底抽薪的好方法，從整體開發階段改變寫程式的思維，這種寫安全程式碼的產品開發方式，對於以往XP作業系統中常見的Buffer Overflow（緩衝區溢位）攻擊，可以獲得大幅改善。

第2劑
UAC使用者存取控制
UAC是一種權限的提升，會出現微軟警示視窗，可防止應用程式弱點被應用。UAC透過設定IL級別，讓低IL級別的程式不能發訊息給高級別的程式，便可以解決以往在Windows XP上的UIPI（使用者介面隔離政策）的問題。

第3劑
ASLR隨機記憶體編排
隨著Vista加入ASLR功能，讓每個作業系統記憶體空間位置編排隨機化。未來，Vista很難出現蠕蟲，也很難有大規模的病毒擴散，即使是緩衝區溢位攻擊的漏洞，也很難利用透過推論記憶體位置的手法，再次成功攻擊。

第4劑
PatchGuard核心防護機制
在Windows XP有許多惡意程式透過Rootkit手法，自我隱藏並變更作業系統核心層程式，因為防毒軟體多數難以察覺Rootkit，導致相關資安案件層出不窮。微軟為了杜絕這種後遺症，在開發Vista時祭出了殺手金間PatchGuard，禁止所有應用程式變更作業系統的核心層。

5大構面搭起Vista安全網
Vista的安全機制大致從SDLC、惡意程式防護、資訊保護、安全平臺以及相容性等5個面向著手。其中，在惡意程式防護中的IE 7.0、雙向防火牆的功能，以及資訊保護中的BitLocker功能，和企業面臨應用軟體相容性問題的配套措施，都是Vista安全機制的一部分。Vista安全的4劑強心針

微軟作業系統雖然是臺灣企業用戶普及率最高的作業系統，但大家對於微軟的安全性卻最為質疑。從以往作業系統的漏洞修補數量居高不下，到駭客頻頻利用作業系統漏洞入侵電腦，在在都證明微軟作業系統是一個不夠安全的作業系統。

既然Windows XP之前的作業系統都不夠安全，令人不得不質疑微軟最新的Windows Vista作業系統是否夠安全？微軟宣稱，Vista是微軟有史以來最安全的作業系統，不僅開發時間最長（耗時5年），開發人次最多（人數超過6,000人），整體開發金額更創下微軟記錄，初估將近90億美元。對於微軟而言，Vista可以說是花費最多心力開發的新一代作業系統。

臺灣微軟在今年1月正式推出Windows Vista，若與前幾代作業系統相比，微軟斧底抽薪做了根基的調整，導入了SDLC（安全程式開發生命周期）的軟體開發觀念，讓Vista成為第一套以安全防護為訴求開發的作業系統。

微軟對於耗費心力開發的作業系統Vista有著無比的信心，阿碼科技首席資安研究員邱銘彰從鑽研微軟作業系統漏洞攻防的角度分析：「Vista是微軟史上第一套：從防範駭客入侵角度開發的作業系統，」

它與這前一代作業系統最大的差異，除了導入SDLC開發方法外，讓Vista強固安全性的關鍵還包括了UAC（User Access Control，使用者存取控制）、ASLR（位址空間配置隨機化）以及PatchGuard核心防護機制等功能。文⊙黃彥棻SDLC安全程式開發方法

這世上沒有100％的安全，所有的系統和程式都是由人開發、撰寫的，當然也不會有100％沒有漏洞的作業系統。

微軟先前推出每一個版本的作業系統，從Windows 2000、Windows XP這些32位元作業系統中，一路走來，都有各式系統漏洞，進而被駭客用來入侵電腦，進一步從事包括盜取個人資料等非法事宜。

從防駭客角度開發作業系統
微軟從這些經驗學到很大的教訓。邱銘彰指出，微軟在開發新一代作業系統時，已經不從傳統的密碼學、規定使用者應該做什麼事情的正面表列角度出發，最大的轉變在於：「改從防範駭客攻擊、入侵的角度，設計新一代的作業系統。」

因為微軟是臺灣企業使用最普遍的作業系統，微軟的任何一個漏洞，都可能是企業用戶危險的資安缺口。為了導正這樣的疏失，臺灣微軟前端平臺事業部產品行銷副理賴建宇表示，微軟5年前開始開發新一代的作業系統時，「比爾蓋茲甚至曾宣布暫停新作業系統開發一段時間，導入SDLC，做徹底的程式碼檢測、做安全檢查。」

臺灣微軟伺服器平臺事業部資深行銷經理史百誠進一步表示，微軟透過威脅模型的建立，預測作業系統可能面臨的威脅並加以防堵；同樣的，為了確保新一代作業系統的安全性，微軟也透過取得Common Criteria EAL 4+認證，證明產品的安全性。「一般而言，EAL 4+已經是IT產品中最安全的認證標準，再上去EAL 5以上等級，就是國防軍事產品的認證了，」他說。

SDLC可有效降低Buffer Overflow攻擊
中華電信數據分公司資安辦公室資安技術組組長李倫銓表示，SDLC是一個斧底抽薪的好方法，從整體開發階段改變寫程式的思維。他進一步指出，「這種寫安全程式碼的產品開發方式，對於以往XP作業系統中常見的Buffer Overflow（緩衝區溢位）攻擊，可以獲得大幅改善。」

全球首位發現Adobe Reader漏洞的新加坡資安研究顧問公司Cosetinc臺灣弱點研究員Nanika表示：「Vista加入SDLC後，對開發者而言，在相關函數及資料輸入點，都會有比較好的檢測機制。」一般駭客會藉由輸入超過系統原先限制的函數數值長度或特殊字元，提升惡意程式的權限，但這樣的作法也常會使得系統當掉。若系統開發者已經知道從何預防這樣的攻擊手法，程式流程不會跑到意想不到的地方，可以降低例如Buffer Overflow的攻擊，提升對Web的安全。

Vista是用戶端的作業系統，「微軟以攻擊者角度開發新的作業系統，所以駭客得有新的攻擊方式才能突破Vista的安全，」Nanika說道，微軟此次透過強化作業系統安全，讓Vista抵抗威脅能力大增。

建立威脅模型
李倫銓以資安研究的角度表示，「以Vista整體架構而言，舊有的攻擊手法都不適用，」目前有不少探討Vista的入侵與攻擊手法，雖然這些手法最終是可行，但他認為，「都是用放大鏡在看Vista的安全性。」

舉例說，在Windows XP作業系統時，可以用2個動作就完成程式的覆寫，同樣的，在Vista也可以做到程式的覆寫，但複雜度大增，步驟從原本的2個動作增加到5個動作。

李倫銓指出：「這多出來的3個動作，就是技術的門檻，這個門檻不是一般只會使用現成工具、照本宣科的駭客就能突破的。」

「Vista的核心層是以威脅模型出發，是歷來作業系統的一大突破，」邱銘彰說，從防堵惡意行為出發，防堵駭客手法，至少可以遏止90％以上的駭客攻擊。他認為，Vista的架構對資安防毒廠商影響較大，因為，以前防毒軟體與作業系統核心層平行，但在Vista作業系統下，防毒軟體成為微軟作業系統核心層的「下屬」。

臺灣McAfee（邁克菲）技術經理沈志明表示，只要微軟能夠釋出API讓防毒軟體可以和作業系統溝通，並不存在平行或下屬的問題。而臺灣趨勢科技技術顧問戴燊也不諱言指出，Vista推出後，相關防毒產品獲得Vista認證要花比以往更長的時間，而微軟釋出的API的技術門檻也比以往高。UAC使用者存取控制

在Windows XP設計上，有一個長久以來的漏洞，許多的駭客攻擊手法都是由此衍生的。邱銘彰表示，這個漏洞就是低權限的程序（Process）可以傳送訊息給高權限的程序，因為Windows Message子系統不做權限檢查。所以，每一個程序都可傳遞訊息給對方，包含關閉的功能。這個問題在於，在不知道發送訊息者為何的情況下，系統仍須完成傳遞指令，這就是系統架構的問題。

他進一步解釋，許多惡意程式要入侵Windows XP核心層（Kernel），第一件事情就是關閉所有的防毒程式。若按照安全程式撰寫的原則，權限低的程式不應該能發送類似關閉程式的訊息給權限高的程式，但在Windows XP的設計架構中，只要想要關閉程式，不論誰發送這個訊息，Windows XP系統都會執行。這對於惡意程式而言，就是一個最好鑽的漏洞。甚至於，駭客也可以透過安裝Message Hooker，便可以監聽其他程式的訊息。

李倫銓說，對於多數的駭客而言，Vista是一個讓駭客入侵變得很麻煩的作業系統，因為系統架構全數更新，現有的惡意程式與後門程式都不能存活。微軟祭出絕招UAC（User Access Control，使用者存取控制），從核心層做保護、強化安全機制，不再犯之前作業系統的錯誤。

UAC、MIC與UIPI聯手打造出安全的環境
一般人使用Windows XP時，大多習慣以管理者帳號（Administrator）登入，就可以使用預設至少約20個權限功能。但到了Vista作業系統時，為了避免低權限程式可以傳送訊息給高權限程式，邱銘彰說，「UAC的目的就是為了要給予程式最小權限執行，」李倫銓表示，「這個UAC視窗是一個安全桌面，所以駭客無法用自動化工具關閉程式。」

「一般使用者登入，即使是以Administrator的管理者帳號登入，UAC視窗還是會跳出來詢問，是否具有足夠的權限並確認是否安裝該程式，」邱銘彰說道。

因此，透過Vista中新增的MIC（Mandatory Integrity Level，強制完整性控制功能），為微軟作業系統增加一道新的安全防線。

他進一步解釋，在Vista作業系統裡，包含程序（Process）和其他資源的安全物件（Securable Object）都有畫分完整性級別（Integrity Level，IL）的等級，分成不信任（Untrusted）、低（Low）、中（Medium）、高（High）及系統（System）等5個級別，級別低的程式不能修改級別高的檔案或程式碼。「而一般的使用者登入多為中權限。」邱銘彰說。

界定IL級別，避免低權限向高權限者傳訊息
UAC透過設定IL級別，讓低IL級別的程式不能發訊息給高級別的程式，便可以解決以往在Windows XP上的UIPI（使用者介面隔離政策）的問題。在Vista中，邱銘彰表示，Local users不再是登入到Session 0而是Session 1，如此一來，就可以將高權限系統服務（High-Privilege System Services）的訊息與使用者分開。

再者，透過UIPI，即使是同一個使用者的程式，只要IL級別不同，低級別就不能傳遞訊息給高級別。「UAC設定可以透過群組原則或本機安全性原則，來停用這個功能。」他說， UAC功能啟動後，即使出現某一個惡意程式入侵，也可以縮小災難範圍，將破壞隔離在某一個使用者權限的範圍中，並不影響整臺電腦的系統安全性。

李倫銓指出，微軟Vista的UAC機制有一個缺點，就是它無法指定或配置任務策略，也就是說，當使用者不論以哪一個權限登入時，UAC一定會開啟，也一定會跳出那個警告視窗。他進一步指出，使用者不能設定特定政策去關閉某個程式運行，使其不跳出UAC的警告視窗，雖然造成使用不便，但這也是微軟的安全考量。

Nanika表示，若從防護技術看，Vista系統的設計思維與系統架構設計，可以防止Vista的弱點被利用、防止Word、DNS以及ANI的弱點可被用來植入惡意程式，也可以阻止惡意程式植入的方式。他表示，UAC是一種權限的提升，會出現微軟警示視窗，可防止應用程式弱點被應用。但這通常存在一個潛在問題，Nanika說，使用者難區分正常或不正常的程式，一味的點選yes選項，可能讓攻擊手法回歸到最早的騙術方式，讓使用者同意假冒的正常程式而植入惡意程式。

臺灣賽門鐵克資深技術總監王岳忠表示，目前微軟將UAC的同意權交由使用者判斷，未來是否可以由作業系統收集足夠的訊息、判斷同意安裝的程式是否具有惡意，應該是未來UAC可以進一步做到的功能。

ASLR隨機記憶體編排

史百誠表示，Vista在核心層做的最大改變，除了UAC功能之外，另一個就是，藉助Unix系統的ASLR（Address Space Load Randomization，位址空間配置隨機化）功能。

ASLR以前在Unix系統中就有，在電腦一開機時，就可以將一些重要的系統檔案下載到不同的記憶體位置。李倫銓指出，對於不同語言版本的Windows XP作業系統而言，其記憶體對應的位置都是一樣的，簡體中文版、英文版等，與正體中文版也都只有一小部分記憶體位置對應的差別。因此，以前駭客只要完成某一個語系作業系統的攻擊程式，就可以攻擊同一語系的電腦，對於其他語系電腦的入侵，有時候甚至也不需要多加修改即可適用。

不過，隨著Vista加入ASLR功能，讓每個作業系統記憶體空間位置編排隨機化，李倫銓說：「未來，Vista很難出現蠕蟲，也很難有大規模的病毒擴散，「即使是緩衝區溢位攻擊的漏洞，也很難利用透過推論記憶體位置的手法，再次成功攻擊，」因為，「ASLR的功能讓開發人員連除錯（Debug）都很難。」邱銘彰也同意這說法，「ASLR功能讓駭客撰寫攻擊程式的難度變高，」ASLR在Vista 32位元版本就具有這樣的功能，Nanika說，但必須與處理器的NX（No Execution，非執行技術）功能配合，才能相得益彰。

目前有些惡意程式會採用緩衝區溢位的手法，注入記憶體中執行，為了確保電腦系統的安全，處理器晶片廠商不論是AMD或英特爾，都推出具有NX技術的處理器晶片，藉由保護記憶體中某一些片段，將記憶體設定為隔離區，讓處理器無法在這些片段執行指令，藉此阻止蠕蟲或其他惡意程式碼藉此執行。

不過，NX保護對於針對特定系統函數的攻擊無效，此時若加上ASLR功能，因為難以確定系統函數的位址，兩者結合將可有效限制緩衝區溢位的危害程度。

PatchGuard核心防護機制

在Windows XP有許多惡意程式透過Rootkit手法，自我隱藏並變更作業系統核心層程式，因為防毒軟體多數難以察覺Rootkit，導致相關資安案件層出不窮。微軟為了杜絕這種後遺症，在開發Vista時祭出了殺手金間PatchGuard，禁止所有應用程式變更作業系統的核心層。

這對於資安公司的影響最直接，在Vista Beta版推出時，許多資安大廠便對此向微軟提出抗議。臺灣微軟伺服器平臺事業部產品行銷經理葉怡君表示，這個問題隨著微軟即將推出Vista SP 1正式版將會獲得解決。

邱銘彰戲稱「PatchGuard是Vista的禁衛軍，」具有類似HIPS（主機端入侵防禦系統）的功能，在2006年11月Vista推出RTM版本時，便已經確認這樣功能的存在。Nanika進一步解釋，「PatchGuard能阻止對核心物件的修改，可提高對核心層的保護。」不過，「PatchGuard功能只能在Vista 64位元版本中執行。」李倫銓說。

葉怡君指出，Vista 32位元與64位元版本最大的差異點在於記憶體定址問題，32位元版本有4GB定址的上限，64位元版本則沒有限制。由於記憶體對於運算速度有直接的影響，目前已經陸續克服一些硬體驅動程式相容問題，她說，「在64位元趨勢不變的情況下，Vista 64位元也將陸續克服軟、硬體相容性的問題。」

PatchGuard只能在Vista 64位元版本執行，而64位元作業系統要求所有的驅動程式，都必須先經過微軟的簽章認證才能安裝。李倫銓指出，以前有許多惡意程式仿效驅動程式的手法撰寫，但當Vista要求驅動程式必須經過認證時，這樣的手法將可以大幅降低。王岳忠則提醒，驅動程式簽章沒有回收的機制，是否成為一個資安漏洞有待觀察。

Vista 64位元版本限制更多，李倫銓認為， Vista讓舊有攻擊手法與後門程式不能存活，新的攻擊手法更難完成，「64位元的Vista作業系統，幾乎可以不用安裝防毒軟體。」他說。邱銘彰說，使用XP會比較需要安裝防毒軟體，但以Vista架構來看，現階段入侵程式（exploit code）尚未針對Vista開發，而PatchGuard、驅動程式電子簽章等機制，只在64位元版本的Vista支援，「唯有改用64位元的Vista才是真的安全，甚至不太需要安裝防毒軟體。」

微軟Vista作業系統，是微軟第一套從開發過程中，就已嚴謹的寫安全程式碼（導入SDLC）的作業系統，透過全新的UAC功能，限制使用者權限以及可以安裝程式的權限功能，並透過ASLR與NX功能的配合，加上PatchGuard對Vista的限制，「都使得Vista成為一套讓駭客很頭痛的作業系統。」李倫銓說。文⊙黃彥棻

5大構面搭起Vista安全網

臺灣微軟伺服器平臺事業部資深行銷經理史百誠表示，Vista的安全機制大致從SDLC、惡意程式防護、資訊保護、安全平臺以及相容性等5個面向著手。

其中，在惡意程式防護中的IE 7.0、雙向防火牆的功能，以及資訊保護中的BitLocker功能，和企業面臨應用軟體相容性問題的配套措施，都是Vista安全機制的一部分。

IE 7保護模式
Vista內建IE 7.0，中華電信數據分公司資安辦公室資安技術組組長李倫銓表示，「IE 7.0預設為低權限的程序，其他程序預設都是中級，也意味著，微軟擺明認為IE威脅最大，IE瀏覽惡意網站問題會是微軟目前最重視的資安議題。」

Coseinc弱點研究員Nanika表示，IE 7.0把權限區分得很清楚，瀏覽器、惡意網頁，會接觸到哪些關鍵是固定的，其他會阻止，還可以過濾掉一些Active X的惡意程式。他認為，後門程式在IE的規範下，觸發的弱點會繼承IE的低權限，讓整體危害限縮到一定範圍中。

阿碼科技首席資安研究員邱銘彰表示，IE保護模式實際上是綜合利用了UAC、MIC和UIPI的特性（主要依賴於MIC），為IE程序增加了新的安全防護。他說，啟用了IE保護模式，就可以把網頁上的惡意程式的破壞隔離在User Profile的特定區域，即使惡意程式劫持IE瀏覽器，也無法影響整個User Profile、更不會對整臺電腦進行進一步破壞。

邱銘彰進一步解釋，Windows Vista把IE7一分為三，分別負責不同安全等級的任務。其中，最常用的、無需特權的網頁瀏覽任務交給IE本身去完成；如果要做保存圖片等中等特權的任務，則交由用戶代理程式（ieuser.exe）；至於安裝ActiveX等高特權的任務，則交給管理員代理程式（ieinstal.exe）處理。

防火牆、BitLocker及資料保護
Windows XP SP2中，首度內建微軟只能單向進出的防火牆（Windows Firewall），但在Vista作業系統中，防火牆功能也升級。除了第一次做到防火牆與IPSec整合外，Nanika表示，防火牆也從原本的單向變成雙向，更因為可以用wf.msc來設定連出去的狀態，讓內建防火牆具有類似商用防火牆的功能設定。李倫銓表示，微軟防間諜程式Windows Defender功能升級，首次有針對間諜程式的社群討論區Spynet。

在Windows XP作業系統中，可以搭配TPM晶片，做到整個磁碟的加密；但在Vista作業系統中，Nanika表示，整個作業系統磁碟都可以用BitLocker加密。他說，至少筆記型電腦被偷了後，硬碟內已經加密的資料，不會輕易外洩。但李倫銓不敢使用BitLocker，怕有一天檔案、磁碟加密後，資料拿不出來。

除了磁碟加密的功能外，臺灣微軟前端平臺事業部產品行銷副理賴建宇表示，也可以針對檔案系統進行檔案加密與資料保護（EFS，Encrypting File System）可杜絕未經授權的資料存取。微軟建議，可同時使用BitLocker和EFS做最佳化資料保護。

應用程式相容也是Vista資安議題
Vista推出後，便面臨到許多軟硬體相容性的問題。賴建宇表示，全球前50大應用程式已經相容於Vista，而這50大應用軟體已經占全球50％的市占率。他進一步指出，除了微軟總部推動這些CRM、ERP等軟體相容於Vista外，臺灣微軟也針對國內的伙伴與系統廠商，讓軟體也能相容於Vista。李倫銓認為，應用軟體相容性的問題，比較偏向企業永續經營的風險；但Nanika則說， Vista只要有相容前一代格式的問題，就有機會繼承之前的資安漏洞，應用程式相容的確是Vista的資安風險之一。

有一些企業自行開發的應用程式可能跑在Windows XP或更早之前的作業系統上，或者是企業才剛剛完成系統上線，短期內，不會為了相容於Vista而做系統改寫。賴建宇表示，微軟透過MDOP（Microsoft Desktop Optimization Pack，微軟桌面優化工具組）中的SoftGrid，以虛擬化的方式，讓既有的應用程式系統跑在虛擬作業環境中，而讓用戶端以及伺服器端，都可以更換、升級到最新、最安全的作業系統。他說，MDOP是一套加值應用，每年每臺電腦使用該加值軟體只需要5美元。

臺灣微軟大型企業業務暨經銷事業群專案技術經理周伯彥表示，Vista推出以來，只要應用軟體曾經配合Windows XP SP2的開發準則，都可以輕易相容Vista，甚至不用重新改寫。臺灣微軟大型企業業務暨經銷事業群專案技術經理簡志偉進一步指出，有很多原本在Windows XP核心層C://的根目錄，在Vista都被限制存取權限，只需要將程式執行目錄指向C://temp，或者是透過自動導向的方式，就可以讓應用程式自動相容於Vista。文⊙黃彥棻