Windows Vista 的防治惡意軟體技術 謝合宜 微軟特約技術顧問 MCSE : Security/Messaging MVP/MCT BS7799/ISO27001 Lead Auditor

預備知識 Internet經驗 Windows作業系統的使用 Level 200

講題大綱 什麼是惡意軟體 Windows Vista的對抗技術 Windows Defender

什麼是惡意軟體(Malware)？ 未經授權在電腦上執行操作的應用程式 可能安裝的方式 Buffer overflow Trojan Social Engineering

惡意程式的行為 Function Description Examples Windows Defender 惡意軟體移除工具 None Innocuous No potential harm Notepad Windows Defender Advertising Ad-supported software Unauthorized pop-ups Displays ads Authorized search toolbar Surreptitious data collector Data Collection Collects personal data Configuration Changes Settings utilities Browser hijacker Potential for harm Changes settings Monitoring Parental controls Key-loggers Records keystrokes ISP software Porn dialer Dialing Auto-dials toll numbers Remote Resource Use Remotely uses resources Cycle sharing apps Backdoor software, BotNet Known Bad 惡意軟體移除工具 Clearly malicious (virus, worm, trojan) Sasser Extreme

惡意軟體移除工具 目標 部署取得方式 降低影響 了解趨勢 Windows Update Download Center Microsoft 網站

Windows Vista的對抗技術 Windows Service的安全加強 使用者帳號控制(UAC) Internet Explorer 7的加強防護 Windows Defender

Windows Service的加強 每個服務帳戶具有SID，可透過ACL來控制資源的存取 減少Local System的使用，改為權限較低的Local Service或Network Service 移除不必要的服務權限(例如Debugging) 限制對資源的”寫入”權限 與Windows Firewall整合

Windows Service的加強

User Account Control (UAC) Windows Vista的系統基礎技術 所有使用者都是以“標準使用者”(standard user)來執行程式與設定工作 限制使用者權限的被使用 協助更好的環境管理與減少惡意程式的危害 將使用者分成兩個層次： 標準使用者 管理員

Admin Approval Mode 作業系統應用程式 有簽署的應用程式 沒有簽署的應用程式

User Account Control

Internet Explorer 7的安全功能 保護你的系統 URL 問題處理 跨網域的執行碼安全保護 ActiveX Opt-in 危險設定通知修正 使用保護模式來避免惡意程式(Windows Vista only) 透過 Windows Defender 保護程式下載動作 保護使用者個人資料 釣魚過濾防護 不同顏色的網址列標示來分辨安全性 SSL加強防護 International Domain Name (IDN) 網址檢查 (http://www.microsóft.com) 親子控制功能 (Parental Control, Windows Vista only)

ActiveX Opt-in 與保護模式 保護系統免於惡意程式攻擊 減少攻擊面 先前未使用的控制項會被停用 保留 ActiveX 的好處，但是進一步保護使用者 保護模式 減少惡意程式背景安裝 IE 使用低權限且獨立的行程來執行程式 兼顧安全性與相容性 ActiveX Opt-in 已啟用 控制項 Windows 已停用 控制項 使用者 啟用 保護模式 使用者 啟用 IE 快取 我的電腦 (C:) 代理 行程 低權限 IE7 on Vista offers two major security improvements ActiveX Opt-in and Protected Mode. ActiveX Opt-in is designed to give users more control over the software running on their PCs. To reduce the attack surface, ActiveX Opt-in will disable by default ActiveX controls that are rarely used or were never intended to be invoked in IE.  Controls that users have installed via a web download or have been used in IE before upgrading to IE7 will be enabled by default. Users will have the option to enable controls as needed using the same Information Bar they have used to install new controls since Windows XP SP2. While the final implementation is still being developed, the goal is a safer browsing experience for users with the add-ons they value already enabled and ready for use. Protected Mode offers users a powerful security enhancement by reducing the severity of threats faced by malicious attacks. A new feature in IE7 for Windows Vista, Protected Mode eliminates the silent install of malicious code through software vulnerabilities. Protected mode accomplishes this by running IE in isolation from any other application or process in the operating system and limiting the IE process from writing to any location beyond Temporary Internet Files without explicit user consent. Running IE in isolation prevents it from accessing other applications, even other instances of IE, removing any potential for escalation of privilege by using a buffer overrun attack. A Protected Mode IE session will still enable users to enjoy the powerful extensibility and unique website features they are used to having with IE. Protected Mode will only be available in Windows Vista.

Internet Explorer 7 Phishing Opt-in

Windows Defender 監控 偵測 清除 軟體瀏覽(Soft Explorer) SpyNet

監控功能 開機執行程式 系統的設定變動 Internet Explorer 網路服務與驅動程式 應用程式的執行 設定與Add-ons 下載的檔案 網路服務與驅動程式 應用程式的執行

Software Explorer 開機執行程式 執行中的程式 網路聯結程式 網路服務與驅動程式

執行中的應用程式分析

執行中的網路連結程式分析

偵測 支援的檔案格式 偵測方法 壓縮檔案 (zip, rar等) 檔案包裝 (upx, aspack) 眾多的檔案類型 檔案雜湊 (MD5, SHA1, CRC) Multi-CRC User-mode rootkit signatures 模擬 啟發式(Heuristics)

清除 Scripting language 登錄檔機碼(Registry keys) 下載的檔案 被修改感染的檔案

SpyNet Voting Network 協助軟體特徵的建立 傳送的資料 資料有加密 檔案的資訊 Engine / signature versions Voting data 統計的資訊 資料有加密

Windows Defender

其他的微軟防治惡意軟體技術比較

講題總結 重視使用者的教育訓練 確定保護電腦三步驟 防火牆 自動更新 惡意軟體保護 除了作業系統功能，請搭配防毒軟體

For More Information… TechNet Windows Vista www.microsoft.com/taiwan/technet Windows Vista www.microsoft.com/taiwan/windowsvista Windows Vista: Resources for IT Professional www.microsoft.com/technet/windowsvista/default.mspx MVP Community社群網站 www.microsoft.com/taiwan/community Microsoft Security Taiwan www.microsoft.com/taiwan/security

緊接的 Vista 講題 十月份 10/3 Windows Vista的效能改善 10/24 Windows Vista網路架構、防火牆與IPSec功能改進