本文由金恒源编译,陈裕铭、Roe校对,转载请注明。
本文旨在详尽地分析Windows 10和Windows 11之间的差异,以更好地了解电脑痕迹和安全特性的变化,为电子数据取证和应急响应人员提供具有可行性的结论。
上一篇我们详细了解了Windows 10和Windows 11关于证据痕迹的内容,本篇我们将探讨两者安全特性的差异。
安全特性
Windows 11的新功能
Windows 11带来了其独有的安全特性,以及Windows 10在2015年首次发布后多年来采用的安全架构。本节旨在对这些安全特性进行高度概述,使人们更多地认识到Windows 11的安全优势。
·TPM(可信平台模块)2.0要求
可信平台模块(Trusted Platform Module,TPM)是一个固件可信根(译者注:root-of-trust,即RoT,可信根,也称“信任根”“信赖根”。是在密码系统中始终可以信任的来源。),“旨在带来基于硬件的安全相关功能,并帮助防止不必要的篡改”。从Windows 10开始,“微软的硬件认证要求所有新的Windows PC都包含一个内置的TPM 2.0并默认启用”。Windows 11更进一步,要求新的和升级的设备都有TPM 2.0,以使用硬件信任根安全模型(Microsoft,2022f)加强所有Windows 11设备的安全态势。
·无密码认证
Windows 11提供了一个安全的认证过程,允许终端用户使用多因素认证(MFA)来显著降低数据泄露的风险。用户凭证被保护在硬件和软件的安全层之下,以提供对应用程序和服务的无密码访问。TPM 2.0在芯片级硬件层面提供非对称密钥以保证无密码认证过程的使用安全。
存储在TPM 2.0中的密钥永远不会离开计算机本身,因此,任何没有物理访问计算机的人都不能使用(Microsoft, 2022f)。(译者注:此处物理访问可理解为“实际使用或直接接触到”)
·内存完整性功能
Hypervisor-protected Code Integrity通常称为内存完整性,是Windows 10和11中基于虚拟化的安全特性(VBS)(Microsoft,2021f)。从Windows 11开始,新安装的兼容系统将默认启用内存完整性功能(Microsoft,2021b)。值得一提的是,即使不符合所需的硬件要求(见附录Q),仍然可以通过配置各种注册表键来打开内存完整性功能。
·传输层安全性协议1.3
传输层安全协议(Transport Layer Security,TLS)是互联网上使用最多的安全协议(Cloudflare, 2022)。TLS 1.3在Windows 11中被默认启用,通过消除过时的加密算法来提高安全性。TLS 1.3还尽可能多地对握手进行加密,同时减少每次连接所需的往返平均握手次数。作为一个安全保障措施,如果服务器或客户端应用程序不支持TLS 1.3,Windows 11支持回退到TLS 1.2(Microsoft,2022f)。
·基于HTTPS的DNS
DNS over HTTPS是一种加密的DNS协议,允许IT管理员保护他们的域名查询不会受到攻击者的影响。确保与域名解析器的连接安全,可以防止攻击者监控浏览历史记录或主动将客户端重定向到恶意网站(Microsoft,2022)。Windows 11允许IT管理员在其组织内默认实施DNS over HTTPS(Williams,2022)。
·SMB协议的升级
在商业和公共部门行业中,SMB和文件服务通常被用户和应用程序用来访问文件。Windows 11更新了SMB协议,包括AES-256位加密、加速SMB签名、远程目录内存访问(Remote Directory Memory Access,RDMA)的网络加密以及针对不可信网络的SMB over QUIC技术。在同另一台计算机连接时,Windows11会自动协商使用最安全的密码,以减少常见的中继攻击和欺骗攻击(Microsoft, 2022)。
·WPA3
Windows 11支持WPA3、WPA Enterprise 192-bit Suite B和机会性无线加密(Opportunistic Wireless Encryption,OWE)(Microsoft, 2021f)。Wi-Fi保护接入(WPA)是一种安全标准,在连接Wi-Fi网络时提供用户认证和加密(Wi-Fi联盟,2018)。微软(2021f)称,WPA3“提供了更安全、更可靠的连接方法,并取代了WPA2和旧的安全协议”。微软(2021f)称,机会性无线加密是一种“允许无线设备与公共Wi- Fi热点建立加密连接的技术”。
未来的研究工作
Windows下的Android子系统
Windows的Android子系统允许用户在他们的Windows 11设备上运行在亚马逊应用商店的Android应用程序(Microsoft,2022g)。这个功能在Windows 11的最初版本中没有附带,因此本文中也没有研究。Windows 11上的Android应用程序为潜在的恶意活动提供了另一个载体,也为传统Windows痕迹之外的各种痕迹的存在提供了另一个位置。
·智能应用控制(SAC)
智能应用控制是一项旨在“通过阻止恶意应用程序或不可信应用程序来提供重要保护的功能,包括新兴威胁”(Microsoft,2022e)。一旦发布,这项功能将需要通过测试来确定它作为阻止恶意行为的有效性。这项功能并没有随Windows 11的最初发布而出现,因此本文没有进行研究。
·配置锁定
配置锁定(Config Lock)是一个“监视IT管理员设置的注册表密钥,以确保其生态系统中的设备符合公司安全策略”(Microsoft,2022h)的功能。微软(2022f)指出,配置锁定将检测注册表项的变化,并将受影响的系统注册表项恢复到IT管理员设置的期望状态。此外,当检测到注册表配置发生变化时,配置锁定将记录该配置的活动。这一特性并没有随着Windows 11的最初发布而出现,因此本文不对其进行研究。独立的研究将需要确定该活动记录在何处。
·痕迹验证
随着操作系统的版本更新,本文中所提及的常规Windows痕迹会随之而发展。随着Windows 11的逐年更新,研究人员和取证人员将有责任继续验证这些痕迹的一般理解和功能是否依旧。我们鼓励报告新的发现并与社区分享,以使更多人受益。
结论
从DFIR审查员的角度来看,相对于一个新版本发布来说,Windows 11所包含的差异相对较小。
然而,本文中提到的新功能和尚未披露的新功能将很可能为电子数据取证人员提供相关的新的痕迹。随着微软承诺每年更新Windows 11, DFIR社区将需要重新审视每个功能更新,以重新验证这些痕迹,并寻找可以提供可靠用户活动证据的新痕迹。
参考文献:
Bencherchali, N., & Rathbun, A. D. (2022, May 19). NASBENCH/EVTX-ETW- resources: Event tracing for windows (ETW) resources. Retrieved May 27, 2022, from https://github.com/nasbench/EVTX-ETW-Resources
Cloudflare. (2022, May 21). What is transport layer security? | TLS protocol | cloudflare. Retrieved May 21, 2022, from https://www.cloudflare.com/learning/ssl/transport- layer-security-tls/
Davis, R. (2021, July 19). Let’s talk about shimcache - the most misunderstood artifact. Retrieved May 27, 2022, from https://www.youtube.com/watch?v=7byz1dR_CLg
Kroll. (2022). Kroll artifact parser and extractor - kape. Retrieved May 21, 2022, from https://www.kroll.com/en/insights/publications/cyber/kroll-artifact-parser- extractor-kape
Microsoft. (2021a). Microsoft. Retrieved May 6, 2022, from https://support.microsoft.com/en-us/windows/get-help-with-timeline-febc28db- 034c-d2b0-3bbe-79aa0c501039
Microsoft. (2021b, December 17). Enable virtualization-based protection of code integrity - windows security. Retrieved May 21, 2022, from https://docs.microsoft.com/en-us/windows/security/threat-protection/device- guard/enable-virtualitzation-based-protection-of-code-integrity
Microsoft. (2021c, June 24). Introducing Windows 11. Retrieved May 14, 2022, from https://news.microsoft.com/windows11-general-availability/
Microsoft. (2021d, June 24). Introducing Windows 11. Retrieved May 7, 2022, from https://news.microsoft.com/june-24-2021/
Microsoft. (2021e, June 24). [MS-SHLLINK]: Shell link (.LNK) binary file format.
Retrieved April 14, 2022, from https://docs.microsoft.com/en- us/openspecs/windows_protocols/ms-shllink/16cb4ca1-9339-4d0c-a68d- bf1d6cc0f943
Microsoft. (2021f, October 26). Hypervisor-protected code integrity enablement. Retrieved May 21, 2022, from https://docs.microsoft.com/en-us/windows- hardware/design/device-experiences/oem-hvci-enablement
Microsoft. (2022a). Microsoft by the numbers. Retrieved May 7, 2022, from https://news.microsoft.com/bythenumbers/en/windowsdevices
Microsoft. (2022b). Windows 10 home and Pro - Microsoft Lifecycle. Retrieved April 16, 2022, from https://docs.microsoft.com/en-us/lifecycle/products/windows-10- home-and-pro
Microsoft. (2022c, April 13). Windows 10 - release information. Retrieved April 16, 2022, from https://docs.microsoft.com/en-us/windows/release-health/release- information
Microsoft. (2022d, April 25). Windows 11 - release information. Retrieved May 7, 2022, from https://docs.microsoft.com/en-us/windows/release-health/windows11-release- information
Microsoft. (2022e, April 5). What is Smart App Control? Retrieved May 14, 2022, from https://support.microsoft.com/en-gb/topic/what-is-smart-app-control-285ea03d- fa88-4d56-882e-6698afdb7003
Microsoft. (2022f, April 5). Windows 11 security book: Powerful security from chip to cloud. Retrieved May 15, 2022, from https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RWMyFE
Microsoft. (2022g, March 1). Windows subsystem for Android™. Retrieved May 13, 2022, from https://docs.microsoft.com/en-us/windows/android/wsa/
Microsoft. (2022h, March 14). Secured-core configuration lock - windows client management. Retrieved May 14, 2022, from https://docs.microsoft.com/en- us/windows/client-management/mdm/config-lock
Rathbun, A. D. (2022a, February 25). Add messaging for windows 11 $i files by Andrewrathbun · pull request #5 · Ericzimmerman/RBCMD. Retrieved April 14, 2022, from https://github.com/EricZimmerman/RBCmd/pull/5
Rathbun, A. D. (2022b, May 19). Andrewrathbun/Vanillawindowsreference: A repo that contains recursive directory listings (using PowerShell) of a vanilla (clean) install of every windows OS version to compare and see what’s been added with each update. use these CSVS to create your own known good hash sets! Retrieved May 21, 2022, from https://github.com/AndrewRathbun/VanillaWindowsReference
Rathbun, A. D. (2022c, May 27).
AndrewRathbun/SANSGoldPaperResearch_FOR500_Rathbun: A repository containing the output of my research in comparing Windows 10 and Windows 11. (github.com). Retrieved May 27, 2022, from https://github.com/AndrewRathbun/SANSGoldPaperResearch_FOR500_Rathbun
Scooter Software. (2022). Beyond Compare. Retrieved May 21, 2022, from https://scootersoftware.com
Sofer, N. (2021). Compare Snapshots of Windows Registry. Retrieved May 30, 2022, from https://www.nirsoft.net/utils/registry_changes_view.html
Statcounter. (2022, March). Desktop Operating System Market Share Worldwide.
Retrieved April 14, 2022, from https://gs.statcounter.com/os-market- share/desktop/worldwide
Statcounter. (2022, March). Desktop windows version market share worldwide.
Retrieved April 16, 2022, from https://gs.statcounter.com/windows-version-market- share/desktop/worldwide/
SweetScape Software Inc. (2021, October 7). 010 editor - pro text/hex editor: EDIT 200+ formats: FAST & powerful: Reverse engineering. Retrieved May 21, 2022, from https://www.sweetscape.com/010editor/
VMware. (2022, May 18). Workstation Pro - VMware Products : Windows Virtualization for everyone. Retrieved May 21, 2022, from https://www.vmware.com/products/workstation-pro.html
Wi-Fi Alliance. (2018, June 25). Wi-Fi Alliance® introduces Wi-Fi certified WPA3™ security. Retrieved May 21, 2022, from https://www.wi-fi.org/news- events/newsroom/wi-fi-alliance-introduces-wi-fi-certified-wpa3-security
Williams, J. (2022, January 7). How SMBs Can Benefit from the Security Protections of Windows 11. Retrieved April 15, 2022, from https://www.sans.org/white- papers/how-smbs-benefit-from-security-protections-windows-11/
Zimmerman, E. R. (2017, March 30). Windows 10 creators update VS shimcache parsers: Fight!! Retrieved May 27, 2022, from https://binaryforay.blogspot.com/2017/03/windows-10-creators-update-vs- shimcache.html
Zimmerman, E. R. (2022, May 20). Eric Zimmerman’s tools. Retrieved May 21, 2022, from https://ericzimmerman.github.io/#!index.md
原文始发于微信公众号(数据安全与取证):Windows 10与Windows 11对比:安全特性
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论