|
为增强安全性能 Vista将禁止安装未认证驱动
内核模式的rootkit愈演愈烈,因此,微软计划在Windows Vista的x64版本上改变策略,将禁止安装未经认证的驱动程序。从Windows Vista和Windows Server(Longhorn)开始,内核模式的软件必须具备数字签名才能安装在x64的系统上。
这项决定就是为了限制rootkit的传播,rootkit可以在内核模式下截取API借口,并直接操控Windows的数据结构。
一位微软的发言人表示:这个政策的转变意义深远,是微软公司SDL(Security Development Lifecycle)的一部分。微软通过SDL来改进面向因特网产品的安全性能。该发言人说:在x64计算机系统上运行的Windows Vista,将通过数字签名来识别内核模式软件,这可以让管理员或者终端用户知道软件是否合法。这项举措将有助于减小内核模式恶意软件的影响。
Rootkit是一种组件,通过隐秘的安装方式侵入计算机并掩盖自己的存在。这项技术在恶意的间谍程序和偷窃用户密码中得到了广泛的应用。。在一个案例中,研究者发现一个名为Apropos的间谍程序采用了极其复杂的内核模式rootkit,可以隐藏文件、目录、注册键值和进程。当文件和注册键值被隐藏之后,任何用户模式的进程都无法访问他们。
随着Vista策略的转变,微软的目标就是阻止装载不可信的驱动程序。合法的软件出版商需要从微软获取出版商身份证书(PIC)。微软将免费提供PIC,但软件出版商需要购买VeriSign Class 3商用软件出版商证书。
这个转变就意味着:除了管理员,普通用户将无法安装未获签名的设备驱动程序;涉及内容保护的设备驱动程序必须获得签名;没有签名的内核模式软件将不能在x64系统上安装和运行。
微软还指出:这项政策还有助于诊断系统崩溃。当发生错误的时候,如果用户选择向微软发送错误报告,微软可以分析这些数据,了解发生错误的时候有那些软件正在运行。软件出版商可以利用微软提供的数据发现并修订错误。 |
|
收藏
