全球两大主流操作系统是怎么保护系统和数据不受恶意软件、未授权访问、硬件漏洞等等威胁的侵害的呢?
一句“PHP是世界上最好的编程语言”可以成功惹毛一票程序员。同样,随口一句“Windows系统比Mac系统更安全(或反之)”也能让IT安全人员吵个不可开交。事实上,只要保持默认安全设置并遵从其最佳实践建议,这两个操作系统都足够安全,但在几十年的用户争夺战之后,这个话题已经演变成了技术信仰问题。两方阵营针锋相对,没有中间路线可走。老好人似的说“两个操作系统都安全”不过是成为双方共同的敌人而已。
话虽如此,却不是每个人都知道这两种最流行的操作系统到底因为什么而安全。于是,排除掉那些附加的企业功能,我们不妨先就操作系统本身带有的基本安全功能来做一番概述和比较。
0. 操作系统基本安全能力
微软 Windows 10 安全
Windows诞生的头10年,这款微软旗舰产品轻易坐稳史上最好攻击操作系统(OS)的宝座。成功攻击的数量让公众对Windows的安全性失去了信任。于是,微软共同创始人比尔·盖茨在2002年1月15日写下了著名的“可信计算”备忘录,指引微软投入更多资源到提升Windows安全性上。
微软不仅让Windows从出厂时就更安全,还创新或协作创新了数十项计算机安全技术。盖茨2002备忘录的最重要成果之一,就是安全开发生命周期(SDL)的大规模采用。SDL让每个软件开发项目从一开始就引入安全编码和安全实践。这是安全教育、安全要求和安全工具的结合,而微软将其经验全部共享了出来。
SDL大幅减小了每千行代码的漏洞率,增加了很多安全功能和选择,缩小了攻击界面,提供了更安全的默认设置。Windows 10 的安全性,正是微软提供适度安全的跨设备通用操作系统工作的延续。
苹果 MacOS 安全
很长时间以来,Mac用户都无需担心病毒和恶意软件。现实世界中,Mac操作系统的漏洞极少有被利用的。Mac用户也经常被提醒注意潜在安全威胁,但大部分时候不过是因为其用Windows的同事成为了恶意软件的攻击目标。每版Windows中那数不清的漏洞,再加上Windows那庞大的用户基础,令PC成为了黑客的最佳攻击目标。
直到今天,Mac系统的潜在威胁情况仍不像其他平台那般严峻,但Mac用户已经不能再无视被黑的可能性了。随着时间流逝,随着越来越多的苹果设备进入消费市场,威胁只会越来越多,越来越复杂高端。
其实,苹果设备威胁已经初露端倪:2017年是安全事件爆发的一年。2月,虚假 Adobe Flash 安装包内嵌MacDownloader恶意软件,可致Keychain数据(包含用户名和口令等个人信息)渗漏。去年秋天,最新Mac操作系统 High Sierra 的发售版中检测到数个漏洞,可令黑客绕过口令获取特定区域的root权限。之后不久,名为“幽灵”和“熔断”的处理器漏洞曝光,世界上大部分计算机都受影响。
1. 启动保护
Windows 10:
在预启动、启动和启动后防护上,微软一直走在前列。其中一些防护措施是从其他开源操作系统项目中借鉴过来的,有些则来自于业界倡议,但大多是微软自主研发的。如今,微软将很多保护技术都纳入了 Windows Defender System Guard 旗下,启动保护就是其中的“Secure Boot(安全启动)”。
Secure Boot 要求预启动过程检查计算机是否在主板上安装并启用了更安全的最新版统一可扩展固件接口(UEFI)和可信平台模块(TPM)。这两个芯片在接受新代码或设置变更之前都会进行加密验证,验证不通过就不允许写入和修改,还能加密评估和验证启动过程。前期验证过的组件往往会安全存储下后面组件之前被验证过的散列值,只有二者匹配,启动过程才会继续。微软也将该启动过程称为 “Measured Boot(测量启动)”或“ Trusted Boot(可信启动)”。
只要有东西(比如rootkit)试图修改该预启动或OS启动过程,这两个芯片之一就会收到警报,要么阻止修改,要么在用户下次开机时给出重要警告。如果你还记得之前有关rootkit和引导病毒的大量报道,并且想知道为什么我们如今好像不太听说此类威胁了,那答案就是如今我们有了 Secure Boot 之类的预启动和启动保护过程。这可谓是对黑客和恶意软件作战中少有的几个大成功之一。
UEFI和TPM都是开放标准,任何厂商或OS可用。UEFI替代了容易出漏洞的BIOS,TPM则托管着核心加密功能——包括关键系统密钥的安全存储。用了UEFI和TPM,OS供应商就能更好地维护其OS产品及其他应用(比如数据存储加密)在机器启动时和启动后的完整性。
Windows还有个名为“可配置代码完整性(CI)”的功能,可保证在可信启动过程完成后只有预先定义过的可信代码能够运行。CI是通用OS在只执行可信代码方面的重大进步,但微软已测试通过的操作之外的那些普通操作想要合理运用CI,还得经过慎重的计划和测试。不过,如果想尽可能保证Windows操作系统安全,还是可以借助CI的力量。
在防止黑客使用行业标准预启动I/O接口(比如直接内存存取(DMA)或 IEEE 1394)控制磁盘或设备方面,微软也对其所有OS版本进行了改进。对每一家OS供应商来说,在不严重影响运行速度或削弱OS性能的同时防止这些接口被恶意使用,确实是一项巨大的挑战。微软不仅增强了预启动I/O接口防护,还更进一步,允许实质上已成OS本身一部分的设备驱动程序可以按设备单独安装。
Windows 10 还引入了设备健康认证(DHA)的改进版。DHA可认证操作系统,使其干干净净地启动,还可对其他进程进行执行前的验证。健康检查中包含什么内容取决于OS、OS管理员和他们使用的DHA服务。客户可自己进行DHA检查,也可以将之外包给微软或第三方提供商。
macOS:
苹果采用了防护能力弱得多的UEFI早期版本——EFI 1.0,而没有采用后来更安全的UEFI新版本。但是,苹果自主研发了其他很多类似的专利防护技术。因为是专利技术,苹果并未公布其相关细节,很难就其预启动和启动防护措施进行对比分析。
不过,Mac上可以启用多个启动防护,尤其能够防止别人访问Mac硬盘上的数据。标准用户账户口令可提供对正确启动的Mac机的基本保护,但防不住能接触到Mac机且具备“目标磁盘模式”知识的黑客。
为防止未授权访问,启动盘可用 FileVault 2 加密,而Mac可以设置成不能通过固件口令从外部设备启动。FileVault 2 采用 AES 256 加密算法进行整盘加密,块大小128位,AWS-XTS模式,可阻止无解锁权限的账户看到磁盘上的任何内容。
2017年底发布的 iMac Pro 就加载了苹果研发的T2芯片集。该芯片集整合了一系列硬件子系统,并引入了一些最终会用在其他Mac机上的安全功能。
2. 内存保护
Windows 10:
微软在内存保护上做了很多工作,通常是为了防止初步漏洞利用、零日漏洞和提权攻击。大多数内存保护措施都纳入到了 Windows Defender Exploit Guard 中,其中很多都来自于之前被称作“增强缓解体验工具包(EMET)”的漏洞利用防护附件。
数据执行保护(DEP)自 Windows XP 时代就已出现。DEP旨在防止恶意缓冲区溢出,也就是阻止恶意程序将可执行代码放到数据区并诱骗OS执行该代码。DEP能令OS拒不执行标记为数据区域里的任何东西。
Windows Vista引入了很多新的安全特性,比如“地址空间布局随机化(ASLR)”、“结构化错误处理复写保护(SEHOP)”和“受保护进程”。ASLR会在每次启动时为通用关键系统进程分配不同的内存空间,让想操纵并修改这些进程的恶意程序更难以找到它们。
SEHOP会在发现执行错误时停止恶意流氓程序的安装或执行过程。这些安全功能连同其他预防性技术演进成了微软现在所谓的 Control Flow Guard (控制流保护)。微软的每个程序都启用了该保护措施,Visual Studio 15 之类的编程工具也可使用该安全功能。
EMET在Vista中就已引入,作为帮助防止零日攻击的附加组件。该工具包含了内存保护、数字证书处理改进(比如证书锁定)、早期警告和攻击上报改进(向OS管理员和微软报告攻击情况,以便发现新攻击的技术细节)。EMET演化出了15种以上的缓解措施,其经验证的保护功能备受推崇,所以微软将其整合进了 Windows 10 Creator Update 中(以 Windows Defender Exploit Guard 的姿态出现 )。
macOS:
Mac机在英特尔处理器中内置了XD(执行禁用)功能,防止用于数据存储和可执行指令存储的内存相互访问。恶意软件常会利用数据内存和指令内存间的相互访问来入侵系统,但XD的存在为此类恶意行为设置了障碍。
Mac机的macOS内核同样应用了ASLR,通过随机分配目标地址让攻击者难以定位应用程序漏洞。基本上,只要启用了ASLR,黑客就更容易直接搞崩要利用的应用,而不是获得应用权限来作恶。
3. 登录/身份验证
Windows 10:
OS一旦启动起来,最重要的安全功能就是限制谁能登录了。这一点由登录身份验证来实现,通常包括口令、生物特征识别、数字证书和其他多因子身份验证设备,比如智能卡和USB身份验证令牌。用户登录后的登录凭证防护也特别重要,无论临时还是永久,不管存储在内存中还是磁盘上,登录凭证必须保护好,以防恶意凭证窃取和重用攻击。
Windows 10 对口令策略、生物特征识别、多因子身份验证和数字证书身份验证都支持良好。微软最新最安全的登录功能是 Windows Hello,支持人脸识别和指纹识别,可在让用户便捷登录的同时以安全数字证书技术保护用户的登录凭证安全。用户仍然可以使用口令或更短些的PIN码,不过只能作为设置了更为传统的身份验证方法之后的备用选项。Windows Hello 也可用于启用了该功能的应用,比如Dropbox和口令管理器。
由于担心内存凭证盗窃,微软创建了 Virtualization Based Security (基于虚拟化的安全:VBS),将登录凭证保护在基于硬件的操作系统虚拟化子集中,几乎不可能受到恶意攻击的影响。VBS也被称为 Virtual Secure Mode (虚拟安全模式:VSM)。
微软基于VBS创建了 Windows Defender Credential Guard 和 Device Guard。Credential Guard保护多种类型的登录凭证,包括NTLM、Kerberos和其他存在Windows凭证管理器中基于域的非Web凭证。Credential Guard 挫败了很多流行口令攻击。想要启用 Credential Guard,必须得是64位的Windows系统,且开启了UEFI、TPM(推荐,但非必需)、Secure Boot,并且处理器是带有恰当的虚拟化扩展的英特尔或AMD处理器。
一直以来,黑客都会利用存储的服务凭证来入侵计算机和网络。Windows Vista 引入了 Virtual Service Accounts (虚拟服务账户)和 Managed Service Accounts (组管理服务账户:需要开启活动目录)。二者都是仅用于服务的新身份类型,一旦初始化,就会接管随机化服务账户口令和定期修改的麻烦事,以便即使服务账户口令被盗也不会给公司造成太大损失。
macOS:
可设置固件口令以防止从非指定启动盘启动机器,而且固件口令还会忽略标准启动组合键。但要注意:FileVault和固件口令保护都要使用强口令;如果用了弱口令还被黑客猜解出来,那整颗硬盘上的内容也就在手握正确凭证的人面前裸奔了。
2017年底推出的 iMac Pro 是第一批搭载了T2芯片集的苹果产品,特定功能可通过新的 Startup Security Utility (启动安全使用程序)进行修改。通过整合固件口令保护、Secure Boot 和 External Boot (外部启动)到单一接口,该实用程序令Mac机抵御非授权访问更加简单易行。Mac机用户可通过该接口设置操作系统使用和更新包及第三方软件安装的严格程度。
4. 提权防范
Windows 10:
黑客或恶意软件一旦在系统中建立了桥头堡,往往会尝试额外的提权攻击以获取最高管理权限。Windows Defender Exploit Guard 中包含的缓解措施,就是微软提权攻击防范的第一道防线。不过,微软防范提权攻击的方法不止这一个。
Vista中引入的 User Account Control (用户账户控制:UAC),就试图“降级”特权用户(比如管理员账户)在执行标准用户任务时的权限,比如读取电子邮件或打开浏览器上网之类的普通操作就用不到管理员权限。如果某用户以特权凭证登录,UAC会将其权限分割成2个令牌:一个具有特权,另一个没有。默认情况下所有应用和任务都以非特权令牌执行,除非用户被要求提权或执行的是需要提权的预定义任务。最开始的时候,很多用户和管理员都觉得UAC特别烦人。如今,大多数用户启用UAC模式也不会觉得受太多干扰了。
macOS:
苹果操作系统上创建的用户账户大多是管理员账户。以这些用户名和口令登录系统,能安装App或修改可影响整个系统的设置项。幸运的是,macOS内置了避免初级用户用管理员权限犯傻的保护措施,比如删除/System文件夹或其内容这种事就是默认禁止的。甚至即便无意中以管理员权限安装了恶意软件,内置 System Integrity Protection (系统完整性保护)也能作为故障保护机制防止恶意软件把操作系统搞崩。
macOS也并非没有漏洞:几个月前刚曝出苹果最新版操作系统无需口令就能以root权限登录,当然这个漏洞刚被曝光就很快打上了补丁。虽然该漏洞被快速修复,但也提醒了我们,公众认知中天生防黑的苹果机,也只是暂时的,漏洞利用随时可能出现。
5. 数据保护
Windows 10:
如果不能保护数据,OS安全也就没有意义了。微软长期以来都有文件及文件夹加密( Encrypting File System )功能,并在Vista里添加了以BitLocker实现的磁盘卷加密。终极加密密钥可以存储在TPM硬件芯片、网络、可移动媒体和其他地方。Vista之后的Windows系统增加了其他加密功能和选项,包括使用 BitLocker To Go 对可移动媒体加密和要求可移动媒体必须加密。通过设置加密选项,系统管理员可以规划什么样的可移动媒体能够在本机安装并使用。
macOS:
如前文提到的,macOS可用 FileVault 2 加密启动盘以防止未授权访问。通过固件口令,Mac机可设置为不能从外部设备启动。FileVault 2 采用128位块大小的 AES 256 加密算法AES-XTS模式进行加密。配合可防止以组合键绕过启动盘启动的固件口令,经 FileVault 2 以强口令整盘加密的磁盘基本上是不可能被破解的。
如果磁盘被转到另一台Mac机,可以使用恢复密钥,或者用户有解锁权限也行。恢复密钥可保存在管理系统里,比如JAMF,或者存储在苹果的iCloud服务器上躲在 Apple ID 保护之后也可以。
可以使用macOS原生 Disk Utility 应用来加密外部磁盘或创建加密磁盘镜像。
6. 文件完整性保护
Windows 10:
Windows有很多功能都可以为OS和用户数据文件提供完整性保护。Windows ME 引入了名为 System File Protection (系统文件保护:SFP)的OS文件保护进程。一旦系统重要文件被删除,SFP可确保Windows系统能立即以已知良性的文件副本加以替换。Windows Vista 对SFP进行了升级,演变成还能保护重要Windows注册表设置的 Windows Resource Protection (Windows资源保护)——虽然被保护和自动替换的东西整体减小了。
Vista还引入了 Mandatory Integrity Controls (强制完整性控制:MIC)和文件及注册表虚拟化。MIC会为Windows中每个用户、文件和进程显式分配MIC级别(高、中、低),低级别MIC对象不能修改高级别MIC对象。在文件和注册表虚拟化保护下,大多数OS重要文件和注册表设置都可抵御低权限用户或进程的修改尝试,低权限用户或进程所做的修改只作用于虚拟出来的额外文件或注册表副本,真正的系统重要文件和注册表设置是不受影响的。
在 Windows 8 中,PC Reset (PC重置)和 PC Refresh (PC刷新)功能可供用户重置设备到全新状态( PC Reset )或近全新状态( PC Refresh:保留用户文件、设置和某些应用)。如果你担心中了恶意软件,最好将系统重置到已知干净状态。
macOS:
2015年 El Capitan 中引入的 System Integrity Protection (系统完整性保护:SIP),解决的是恶意软件或黑客获取到账户凭证后的无限制root权限问题。SIP保护特定重要文件和目录的内容和权限,即便以root执行也无法动作。未签名的内核扩展在SIP保护下无法运行;如果没有特定权益,进程代码注入和实时代码修改也无法实现。只有经恰当签名的应用才可以修改受保护的系统目录,而这些应用必须关联开发者ID,且具备苹果签发的权益。
7. 加密支持
Windows 10:
从 Windows Vista 开始,微软不再尝试自主研发加密密码和算法,转而部署广受推崇的密码体制(比如ECC和SHA-2),并经常加以更新以防弱密码攻击和支持新兴加密算法。
macOS:
T2芯片使用硬件加密的 Secure Enclave (安全飞地)存储Mac的加密密钥(传给同一块芯片上的硬件加密引擎处理)。T2芯片集还控制着2块用于存储的NAND闪存,包含了实时无损加/解密数据的专用AES加密硬件。
T2芯片集在Mac机启动过程中确保操作系统软件不被破坏。在启动时,T2芯片接管启动过程,用其硬件加密的 Secure Enclave 来比对密钥,加载引导程序,确保其有效性,验证固件,然后验证让Mac机真正跑起来的内核和驱动程序。
8. 磁盘/数据备份和恢复
Windows 10:
每个版本的Windows都有多种备份和恢复文件的方法。自 Windows XP 开始,用户可使用 System Restore (系统恢复)功能将OS和各种设置恢复到之前保存的OS版本。“先前版本”功能在 Windows XP 时代还只是可选项,到了 Windows 8 就已内置进系统,可以从之前保存的版本中恢复出个别文件——只要之前的“先前版本”保存过程覆盖了这些文件。
从 Windows 8 开始,就可以使用名为 File History (文件历史)的备份及恢复功能了。虽然不是完整的系统备份,File History 却往往正好是用户所需的,尤其是在Windows操作系统已经可以单独恢复的情况下。File History 默认备份用户最常用于保存文件和配置的地方,比如“我的文档”、“音乐”、“文档”、“视频”、“桌面”、“下载”和“应用数据”等,但是用户也可自行纳入或排除文件及文件夹并制定备份日程。
macOS:
2007年开始,Mac机就预装了 Time Machine (时光机)服务,让备份过程简单易行,设置好后就再也不用管了。如果 Time Machine 尚未设置,插入硬盘就会弹出设置对话框,供用户将该硬盘设置为备份目标盘。一旦确认,备份过程即展开。
1天之内的数据按小时保持备份,1个月之内的数据按天保存备份,1个月之前的数据会被 Time Machine 整合进周备份集合。如果备份存储空间告急,Time Machine 会删除最早的周备份以匀出空间。System Preferences (系统偏好设置)中可以修改 Time Machine 的设置。
9. 应用保护
Windows 10:
Windows Vista 开始,微软对应用间互操作和应用对操作系统本身的操作就管束得特别严格了。Vista在操作系统、服务和终端用户应用之间进行了严格的隔离。到了 Windows 8,微软又更进一步,创建了名为Metro的一类防护更严的应用。这类应用最终得名 Modern Applications (现代应用)。
遵循苹果公司的前例,只能通过 Microsoft Store (微软应用商店)安装经过官方审核通过的 Modern Applications。所有此类应用都在专门的沙箱容器中执行,相互间只有有限的访问权限,与操作系统的互动也有限,且只有启用了UAC才可以执行。
Windows Defender Application Guard 连同Edge浏览器一起随 Windows 10 面世。Edge与其托管的站点和应用如今均在基于VBS的虚拟环境中运行,与操作系统本身是隔离的。Application Guard 中打开的会话无法启动浏览器扩展,不能保存文件到本地文件系统,也不能执行其他高风险操作。有传言说 Application Guard 将来会支持更多应用。
控制哪些应用能执行哪些不能执行一直以来都是保证高度安全的有效方式(比如应用控制、黑名单、白名单)。微软在 Windows XP 中引入了名为 Software Restriction Policies (软件限制策略:SRP)的应用控制措施。Vista之后,SRP被AppLocker取代。二者都可使管理员能够按照名称、位置或数字证书等条件设置程序、脚本或安装包运行与否。
Windows 10 中,CI和 Device Guard 融进了 Windows Defender Application Control (WDAC),基于硬件强制实施非常细致具体的允许或拒绝策略。管理员可以根据自身环境确定适用的应用控制级别,还能在AppLocker、CI、Device Guard和WDAC中任选。这些功能将具有恰当的控制级别并在用户权限范围内做出一些操作上的权衡。
macOS:
领先潜在黑客一步的最简单有效方式就是保持操作系统软件和应用更新。App应从可信源下载,比如供应商的主站点,或者更可信的 Mac App Store。
Mac App Store 存在于 /Applications 应用目录,里面的每个App都经过了苹果员工的审核并签署有数字证书。一旦App被曝行为不当,苹果可终止该App。相对其他选择,Mac App Store 是应用下载最安全的地方了。
但问题是:不是每个应用都能在 Mac App Store 找到,有时候不得不从第三方站点下载。这个时候,Gatekeeper就派上用场了。Gatekeeper是软件数字签名检查器,可以在软件数字签名验证失败时终止软件的安装过程。App需经苹果代码签名才可以执行,通过了代码检查的应用就能正确执行。
Gatekeeper在 Security & Privacy System Preference (安全&隐私系统偏好)面板中设置,有两个App下载源选项:1. App Store (应用商店);2. App Store 和确定的开发人员。代码检查失败也想安装软件的时候,Security & Privacy 偏好可手动覆盖,但只有在确定软件来自可信源的时候才可以这么干。
App沙箱可限制App对系统资源、数据和其他App的访问,也就限制了恶意软件可能造成的破坏。然而,沙箱的优势也是其劣势,不是每个应用都支持该功能。很多内置App(包括内置的Web浏览器Safari)都提供沙箱保护。
macOS High Sierra 中值得一提的另一个安全功能是:应用安装的任意内核扩展都需要显示授权才可以执行。这可以有效减小恶意软件偷偷潜入未授权软件中的可能性。
10. 浏览器保护
Windows 10:
微软在 Windows 10 中把IE浏览器换成了Edge。作为一款十分精简的浏览器,Edge并未与IE共享太多代码。该浏览器不运行传统高风险浏览器插件,只接受来自 Microsoft Store 的经审核扩展,还具备一键设置重置功能(以防潜在恶意修改),并可纳入 Windows Defender Application Guard 模式。
每个网站和下载项都要经过 Windows Defender Smartscreen 筛选器的评估,该筛选器不仅仅针对浏览器,而是整个 Windows 10 操作系统都适用。Edge的代码量和暴露面均大幅减少,因而对应用和网站的可执行动作也就限制更严格。相对IE而言,可谓巨大的进步。
macOS:
每部Mac都预装了Safari浏览器,附带反网络钓鱼技术、防跨站跟踪设置和链向 iCloud Keychain 密码管理系统的强口令生成器。
11. 网络/无线保护
Windows 10:
微软向来引领网络和无线安全技术潮流。除了长期支持无线和网络标准,微软还常常早期采用这些标准并在大多数用户尚未准备好之前就加以推出(比如IPv6和DNSSEC)。长期以来,Windows中内置一项网络防御功能,是任意网络或无线连接的单独管理能力。Windows可为每个连接分别配置不同的防火墙、路由器和其他安全设置。
12. 反恶意软件
Windows 10:
Windows Defender Antivirus 已被证明是顶级无干扰反恶意软件程序,尤其是以默认状态部署并配合Windows的其他反恶意软功能使用的时候,比如Smartscreen和Exploit Guard。采用名为 Early Loading Antimalware (早期启动防病毒:ELAM)的功能,Windows可使任意反恶意软件程序先于其他非基本应用,紧跟在关键OS引导进程之后加载。
macOS:
2017年4月,CheckPoint安全研究员发现有恶意软件可绕过Gatekeeper。5月,流量视频转码器Handbrake被黑,受感染版本携OSX.PROTON远程访问木马散布。攻击越来越复杂,处理潜在数据泄露的机制也随之越来越复杂。
在Mac机上,可路由网络服务默认是禁用的,很多现代应用和服务也是在沙箱中运行。这意味着App和系统服务对系统资源只有有限访问权;恶意代码不能与其他App或系统互操作。
苹果还有更为极端的方式对抗恶意软件。通过静默自动更新,苹果在每台Mac机上都维护着一份已知恶意软件威胁的黑名单。Safari、Message和Mail下载的每一个文件都附带有元数据,表明该文件是否安全、文件下载的源地址和下载当时的时间戳。任何被标为不安全的文件在打开时都会弹出警告信息,用户可选择直接将该文件投入回收站。
特定程序及任何相关文件都会被自动删除,该程序所做的任何修改都会被记录并撤销。如果该操作切实发生了,管理员用户下次登录Mac时就会收到“已发生改动”的通知。
13. 防火墙
Windows 10:
自 Windows XP SP2 起,Windows系统便默认安装了一直开启的 Windows Firewall (Windows防火墙)。Windows Firewall 有数十条内置规则,拒绝一切非例外处理的入站连接,允许用户、组、管理员、网络、服务或应用创建额外的规则。Windows Firewall 不对用户产生太多干扰,而且是通用的,也很容易与IPSEC一起配置。唯一的缺点就是糟糕的日志记录(有时候是太多了)和缺乏重大已确认即时安全事件的通告,比如拒绝服务攻击或端口扫描等,而这些正是其他第三方防火墙通常所具备的。
macOS:
所有Mac机发售时都已内置防火墙服务,但默认是关闭的。可通过 Security & Privacy System Preference (安全&隐私系统偏好)面板配置该防火墙,可以启用 Stealth Mode (隐身模式)让计算机无视ICMP请求和连接尝试。
14. 远程访问
Windows 10:
虽然微软建议所有远程管理都通过PowerShell或 Microsoft Management Consoles (微软管理控制台:MMC)进行,但 Remote Desktop (远程桌面)控制台及协议(RDP)依然是管理员们远程访问Windows计算机的最常见方式。RDP已历经多次升级,如今用户可以数字证书身份验证连接,并使用 Windows Defender Credential Guard 保护管理员凭证。
macOS:
Mac支持多种远程访问协议,包括对SSH和sftp的原生支持。用户也可通过 Apple Remote Desktop (苹果远程桌面)远程管理Mac机,远程屏幕共享则可通过对VNC的原生支持实现,而iCloud订阅用户还可启用 Back to my Mac (回到我的Mac)从任意一台以相同 Apple ID 登录的Mac机远程访问自己的Mac。
15. 安全配置
Windows 10:
本地安全策略在 Windows NT 4 SP4 中就已引入,并以 Active Directory Group Policies (活动目录组策略)在 Windows 2000 和XP中进行了大幅扩展。今天,没有哪个操作系统像Windows一样有那么多内置的点击式安全配置选项。Windows操作系统和其他流行应用(比如Office办公套件)有数千种安全设置可用。管理员可用PowerShell脚本完成他们可以手动或使用组策略来完成的事情。
16. 修复
Windows 10:
Windows操作系统和微软应用程序修复是内置并默认开启的。Windows至少每天都会检查有没有新的补丁,默认自动应用这些补丁而无需管理员或中断用户的干预。新安装使用一组不容易关闭的内置硬编码防火墙规则,这些规则可保护PC抵御大多数网络攻击,同时又可及时获取补丁进行修复。这得感谢2003年的MS-Blaster(冲击波)蠕虫,若非这款让管理员不得不先感染了才能实施修复的蠕虫,微软的修复策略和过程也不会是现在的样子。
macOS:
苹果一贯在修复重大漏洞利用上反应迅速。
17. 隐私
Windows 10:
背着侵犯终端用户隐私的骂名几十年后,微软如今是隐私权的强力支持者,提供各种各样的个性设置,管理员或用户可甚为细致地决定哪些信息可以被收集而哪些不可以。
macOS:
苹果高管一直走在用户隐私问题最前列,某些情况下,为了保护用户数据,甚至不惜公然与联邦政府对垒。苹果不收集转卖用户数据,指纹、人脸数据之类安全信息从不漏出苹果设备,苹果的隐私政策直截了当,令人耳目一新,值得一读。
18. 日志
Windows 10:
根据安装的功能和服务,微软产品有几十种日志文件可供安全分析。其中最中心的是 Windows Event Log (Windows事件日志)服务。以前该服务包含3个主要日志(安全日志、系统日志和应用日志),如今,其所含日志数量已超100,且是可配置的XML详细日志。日志或具体事件可以转发给其他收集器并触发控制台消息或其他应用程序。若说有什么美中不足,那就是记录了太多太多微不足道的事件。在计算机安全界,噪音太多的问题比缺乏足够的有用信息更严重。
macOS:
去年推出的 macOS Sierra 引入了统一日志系统,为了提供统一高效的API来捕捉并存储所有系统和应用活动。可配置日志记录不同程度的细节,这些记录下来的数据可用内置的Console应用查看。
