證書鎖定
目前最常見的一種攻擊安全設備的方法是man-in-the-middle攻擊,攻擊者模擬成為你信任的系統,並讓你相信在你提交你的用戶名、密碼或其他Windows證書鎖定時是足夠安全的。攻擊者位於源系統和目的系統信息之間,通過在傳輸網路某一點上攔截源地址發出的信息數據,然後再反饋至目的系統。從而使你相信你正在與合法的目的系統進行通信。通常使用man–in -the-middle攻擊手法的攻擊者都會發布假的Windows證書鎖定,從而騙取你的瀏覽器不會彈出,你現在訪問的系統地址與你請求的地址不一致的相關告警信息。這些假的
使用證書鎖定功能後,你一旦驗證到一張合法的證書便會通過4.0或以後版本的Enhanced Mitigation Experience軟體工具包告訴Windows系統那是一張你可以信賴的證書。系統會便鎖定相關證書信息。當Windows系統或你的瀏覽器檢測到證書內容發生過改變時,系統將會收到告警信息。特別是在讓Windows證書鎖定機制與頒發機構頒發信息的安全認證策略結合起來時,如果系統接收到一個偽造的Windows證書鎖定,使用者便將會也會收到一條相關的告警信息。
有人會問這種類型安全事故多久發生過啊?好吧,安全認證中心Windows證書鎖定可不是你認為的那樣健壯和安全。2011年3月,提供基於SSL認證的WEB站點至Internet訪問的最大服務供應商之一的Comodo集團公司業務系統也被受到過相似影響。早在2001年,好像Verisign還隸屬於微軟公司時,便針對個人用戶發布兩種欺詐性證書。
鎖定實踐
為了能在作業系統上開始配置Windows證書鎖定功能,你需要安裝上EMET功能軟體包。安裝前,需要你的作業系統已裝上NET 4.0 Framework軟體。你可以從微軟官方網站上下載MSI檔案格式的EMET軟體包。你可以通過使用組策略或你熟悉的分發軟體進行部署,或者你可以在一個獨立系統上進行軟體安裝。另外,EMET是免費軟體。
每次打開EMET軟體時,你會立即注意到Windows證書鎖定功能已默認開啟。你可以同時點擊Ctrl + Shift + T鍵來訪問信任的區域。你會發現微軟在軟體中對於幾條線上屬性已經預先設定了Windows證書鎖定規則。當然,你也可以自定義設定其它Windows證書鎖定規則。另外,你應該在每個已經配置好的Windows證書鎖定規則上打開阻止規則複選框功能。這樣就能每當檢查到偽造的Windows時,這個站點上的訪問就會完全被阻止。
潛在風險
注意,Windows證書鎖定解決方案也不是十全十美的。例如EMET只會針對技術人員和IT專業人士,而不是終端用戶發出告警。如果你認為能夠為監控用戶帳戶解決所有的惡意軟體所帶來的問題,那么你就錯誤了。例如,如果用戶僅僅只點擊了“通過”或“忽略”的按鈕的話,這些告警信息對他的價值就很少。使用Windows證書鎖定最重要的一點就是讓你的用戶理解告警所涉及的信息。當然EMET軟體工具默認是不會阻止對一個站點的訪問的,因為網路上有許多不滿足你Windows證書鎖定規則的合法證書。例如,一個網頁站點使用一種的新的具有VeriSign和Comodo認證證書的負載均衡軟體或者遇到Windows證書過期,都可能自動默認設定為能夠訪問。所以你必須對教育你的用戶當他們瀏覽網頁站點,對彈出的告警信息時應保持警覺,並且正如這篇文章前面所提到的,當遇到彈出攔截規則複選框信息這類情況時,應做到“先阻止,後詢問”。
Windows證書鎖定功能目前只能在WindowsIE瀏覽器上使用,Google Chrome已自帶有的Windows證書鎖定功能,它也不是受Windows EMET功能軟體包管理。另外,EMET 5版本(最新主流版本)不支持Windows平台電腦中的Metro 或Modern類型的IE瀏覽器,它僅支持IE桌面版。EMET 5.2及以後的版本已支持 Metro版IE ,但是你必須升級你現有EMET客戶端軟體版本,來獲得對WindowsIE瀏覽器的保護。
現在最好的防禦方式是多層架構防禦。對於Windows證書鎖定功能,EMET軟體包在許多安全層面上提供了那樣的安全保護功能——而且另一個優勢是它完全免費。Windows證書鎖定功能現並不是完美的,但是對於以IE為中心的套用生態系統,現在它是另一種可以整體提高安全水平的工具。
