windows系統(tǒng)中數(shù)字簽名認證的安全性分析

windows系統(tǒng)中數(shù)字簽名認證的安全性分析

沒有經(jīng)過數(shù)字簽名認證的程序是安全的。如果嘗試安裝windows系統(tǒng)上的非數(shù)字簽名程序，則會對系統(tǒng)的穩(wěn)定運行產(chǎn)生威脅。日后,Windows系統(tǒng)在運行過程中遇到故障時,這些沒有數(shù)字簽名的程序或驅(qū)動,或許就是“罪槐禍首”,而且有時即使知道它們是禍首,也分不清楚究竟是哪個沒有數(shù)字簽名的程序在“惹禍”。為了保護系統(tǒng)安全,Windows系統(tǒng)引進了數(shù)字簽名技術(shù),并以此判斷系統(tǒng)中的一些核心文件是否受到攻擊或破壞。而不少殺毒軟件也紛紛將數(shù)字簽名看成是白名單,通過掃描檢測數(shù)字簽名來判斷系統(tǒng)的安全狀況。那么如何才能知道某些程序或驅(qū)動已經(jīng)通過微軟數(shù)字簽名認證呢?如何有效判斷數(shù)字簽名是假冒的、不安全的呢?當數(shù)字簽名影響日常操作時,又該如何化解呢?本文下面的內(nèi)容,會幫助大家用好Windows系統(tǒng)中的數(shù)字簽名功能。系統(tǒng)程序的自適應(yīng)保護機制從Vista系統(tǒng)開始,UAC(用戶賬號控制)功能作為一項提高系統(tǒng)安全的新技術(shù),被集成到Windows系統(tǒng)中,它要求用戶在執(zhí)行一些可能存在安全風險的操作之前,必須擁有相關(guān)的操作權(quán)限,通過在這些操作啟動前對其進行驗證。該功能具有指明特定程序名稱和發(fā)行者的有效數(shù)字簽名功能,利用它我們也能判斷出某些陌生程序的數(shù)字簽名是否安全。例如,對于安全、可信的系統(tǒng)進程,UAC(用戶賬號控制)功能會彈出綠色提示框,對于帶有陌生數(shù)字簽名的進程,它會彈出黃色提示框,對于被阻止的數(shù)字簽名進程會彈出紅色提示框。默認狀態(tài)下,UAC功能會將所有系統(tǒng)文件數(shù)字簽名簽署者識別為MicrosoftWindows,倘若識別到某個系統(tǒng)文件沒有數(shù)字簽名信息,那就會認為該文件被非法攻擊或破壞,這時需要采取相關(guān)安全措施進行應(yīng)對。Vista系統(tǒng)默認已經(jīng)啟用了UAC功能,當發(fā)現(xiàn)其沒有運行時,可以進行如下操作開啟它的運行狀態(tài):首先依次單擊“開始”、“控制面板”命令,彈出系統(tǒng)控制面板窗口,逐一雙擊其中的“用戶賬戶”、“更改用戶賬戶控制設(shè)置”按鈕,打開如圖1所示的設(shè)置對話框。檢查移動滑塊位于哪個位置,如果發(fā)現(xiàn)其位于“從不通知”位置處時,那就表示UAC功能當前沒有啟動運行,此時,只要用鼠標將其拖動到“始終通知”位置處,再單擊“確定”按鈕保存設(shè)置操作。系統(tǒng)運行穩(wěn)定后的驅(qū)動設(shè)置大家知道,沒有經(jīng)過數(shù)字簽名認證的程序是不安全的,嘗試在Windows系統(tǒng)中安裝多個沒有經(jīng)過數(shù)字簽名認證的程序,會給系統(tǒng)的穩(wěn)定運行帶來威脅。日后,Windows系統(tǒng)在運行過程中遇到故障時,這些沒有數(shù)字簽名的程序或驅(qū)動,或許就是“罪槐禍首”,而且有時即使知道它們是禍首,也分不清楚究竟是哪個沒有數(shù)字簽名的程序在“惹禍”。有鑒于此,我們需要在平時定期查看Windows系統(tǒng),看看究竟有哪些程序或驅(qū)動沒有經(jīng)過數(shù)字簽名驗證,找到這些沒有數(shù)字簽名的程序或驅(qū)動后,及時刪除或卸載它們,就能保證系統(tǒng)運行穩(wěn)定了。在Windows7系統(tǒng)中查找沒有數(shù)字簽名程序時,可以依次點擊“開始”、“運行”命令,在其后彈出的系統(tǒng)運行對話框中,執(zhí)行“Sigverif”命令,切換到如圖2所示的設(shè)置對話框。在這里,不需要進行任何復雜的設(shè)置,只要單擊地按下“開始”按鈕,Windows7系統(tǒng)就能自動掃描分析計算機中的所有設(shè)備驅(qū)動文件和系統(tǒng)文件。掃描任務(wù)完成后,那些沒有數(shù)字簽名的程序或驅(qū)動,就會全部顯示在結(jié)果界面中,及時記錄這些驅(qū)動或程序的具體文件名稱,日后Windows系統(tǒng)遇到無法解決的故障現(xiàn)象時,我們就能嘗試從網(wǎng)上找到通過數(shù)字簽名認證的設(shè)備驅(qū)動或系統(tǒng)文件,來替代這些沒有數(shù)字簽名的文件,或者索性刪除這些不穩(wěn)定的沒有數(shù)字簽名文件,以確保Windows系統(tǒng)可以安全、穩(wěn)定地運行。當然,如果僅想查看Windows系統(tǒng)中的設(shè)備驅(qū)動程序是否經(jīng)過數(shù)字簽名認證時,也可以利用系統(tǒng)自帶的“Verifier”命令,對硬件設(shè)備驅(qū)動程序進行快速校驗,這種方法可以將隱藏在計算機中的無效硬件驅(qū)動程序“揪”出來。在使用“Verifier”命令來查找未簽名設(shè)備驅(qū)動時,可以依次點擊“開始”、“運行”命令,彈出系統(tǒng)運行對話框,輸入“Verifier”字符串命令并回車,選中其后界面中的“創(chuàng)建標準設(shè)置”選項,并按“下一步”按鈕,打開如圖3所示的設(shè)置對話框,在這里我們會發(fā)現(xiàn)Windows系統(tǒng)為用戶提供了多個選項。默認狀態(tài)下,Windows系統(tǒng)會將“自動選擇未經(jīng)簽名的驅(qū)動程序”選項選中,來掃描檢查本地計算機中的設(shè)備驅(qū)動文件是否通過了數(shù)字簽名認證。驅(qū)動設(shè)置程序啟動在安裝了Windows8系統(tǒng)的工作環(huán)境中,嘗試為舊設(shè)備安裝版本較低的驅(qū)動程序時,系統(tǒng)會彈出“第三方INF不包含數(shù)字簽名信息”之類的提示,并強行終止驅(qū)動安裝操作,這么說來我們就無法在Windows8系統(tǒng)中安裝使用低版本驅(qū)動程序了?其實,經(jīng)過一些合適設(shè)置,取消Windows8系統(tǒng)的驅(qū)動程序強制簽名功能,就能在該系統(tǒng)中正常安裝使用舊設(shè)備或驅(qū)動了。首先登錄進入Windows8系統(tǒng)Metro界面,將鼠標移動到屏幕右側(cè)區(qū)域,彈出Charm菜單,點擊“設(shè)置”按鈕,進入電腦設(shè)置頁面,選擇“常規(guī)”標簽,在對應(yīng)標簽頁面選擇最后一項立即重啟。當系統(tǒng)彈出啟動菜單時,點擊“疑難解答”選項,之后進入高級選項設(shè)置頁面,按下“啟動設(shè)置”按鈕,進入如圖4所示的啟動設(shè)置列表區(qū)域,選中“禁用驅(qū)動程序強制簽名”選項,重新啟動計算機后,Windows8系統(tǒng)日后就不會攔截沒有數(shù)字簽名的驅(qū)動程序文件了。當然,在某些版本的Windows8系統(tǒng)中,也可以通過修改系統(tǒng)組策略相關(guān)配置,來取消驅(qū)動程序強制簽名。在進行該操作時,可以依次點擊“開始”、“運行”命令,彈出系統(tǒng)運行對話框,輸入“gpedit.msc”命令并回車,開啟系統(tǒng)組策略編輯器運行狀態(tài)。在組策略編輯窗口左側(cè)列表中,將鼠標定位到“本地計算機策略”、“用戶配置”、“管理模板”、“系統(tǒng)”、“驅(qū)動程序安裝”、“設(shè)備驅(qū)動程序的代碼簽名”組策略選項上,并用鼠標雙擊該選項,打開對應(yīng)選項組策略屬性對話框,選中“已啟用”選項,確認后保存設(shè)置操作。文件數(shù)字簽名驗證程序為了躲避各種殺毒軟件的圍剿追殺,一些狡猾的網(wǎng)絡(luò)病毒,經(jīng)常會假冒名氣較大軟件的數(shù)字簽名,以此讓殺毒軟件識別不出來。那么怎樣才能準確判斷數(shù)字簽名是否假冒,從而保護本地計算機不受病毒木馬程序的非法攻擊呢?其實,利用“文件數(shù)字簽名驗證程序”插件,配合SREng這款安全軟件,就能輕松掃描分析本地計算機系統(tǒng)中各種文件的簽名信息,并準確判斷它們的真假。首先從網(wǎng)上下載獲得“文件數(shù)字簽名驗證程序”插件和SREng這款工具的安裝程序,按照默認設(shè)置安裝好SREng這款工具后,將“文件數(shù)字簽名驗證程序”插件中的所有文件,全部解壓釋放到SREng安裝目錄的“plugins”子文件夾中。從系統(tǒng)“開始”菜單中開啟SREng這款工具的運行狀態(tài),按下對應(yīng)程序界面中的“擴展”按鈕,就能發(fā)現(xiàn)“文件數(shù)字簽名驗證程序”的身影,用鼠標雙擊該插件,開啟目標插件程序的運行狀態(tài)。切換到目標插件對話框,單擊其中的“選擇目標”按鈕,彈出文件夾選擇對話框,將需要掃描分析的文件夾選中并添加進來,例如要判斷系統(tǒng)文件夾中的系統(tǒng)文件數(shù)字簽名真假時,只要將“C:\Windows\system”或“C:\Windows\system32”等文件夾導入進來,再按“開始掃描”按鈕,“文件數(shù)字簽名驗證程序”就能邊掃描分析,邊顯示判斷結(jié)果了。倘若某個系統(tǒng)文件的數(shù)字簽名掃描分析結(jié)果顯示為“0x00000000”時,那就表示該數(shù)字簽名是真實安全的。相反,如果掃描分析結(jié)果顯示為“0x800b0100”時,那就意味著目標文件的數(shù)字簽名存在問題,出現(xiàn)這種現(xiàn)象有兩種可能,一是數(shù)字簽名的確存在但處于異常狀態(tài),二是目標文件根本不存在數(shù)字簽名。凡是數(shù)字簽名被識別為“0x800b0100”時,那很可能是系統(tǒng)文件已經(jīng)受到病毒木馬的破壞,或者目標文件就是病毒木馬程序,我們應(yīng)該及時將它們從系統(tǒng)中刪除掉,以避免系統(tǒng)的運行穩(wěn)定受到威脅。此外,我們也可以使用MicrosoftMVP開發(fā)的FileDigitalSignVerify工具,快速判斷某個程序文件數(shù)字簽名的真假。比方說,要判斷本地計算機中的畫圖程序簽名信息是否為假冒時,可以先下載安裝目標工具,之后以