Unix和Windows在系统安全设计上的对比

[陽光院景仁]

在系统安全方面，Unix和Windows最大的不同在于，Unix系统强大的安全性是因为它拥有良好的安全架构设计，不得不承认一个事实，在安全方面双方有很多相同点，而微软似乎更想将Unix的安全特性全部纳入其Windows系统，但微软有一点没有做好的是，其安全性设计都是驾临于操作系统之上，而不是从系统架构出发考虑的。
　　例如，Windows中的特权隔离长期以来对Windows安全都有一个问题，在Windows架构层面的确有一些特权隔离特性，但它只是一个半心半意的实现，依赖于用户级功能行为和使用意图。
　　系统模块化是Unix架构安全的另一个实例，而这是Windows所缺乏的。每一个Windows版本都捆绑了大量的应用程序，如IE浏览器。即使一次针对浏览器的攻击，也很容易获得内核空间的访问权，从而获得整个系统的控制权，而这种情况在Unix的基础系统中是不存在的。
　　特权隔离的重要性
　　有人可能会抱怨你想保护的系统信息存放在其他用户也能访问到的位置，因此特权隔离不能起到真正的作用。其实他们没有完全理解特权隔离的好处：可以防止入侵者获得root权限。
　　服务器进程通常运行在Unix系统一个特殊用户账户下，这意味着入侵者通过网络入侵得逞后，也只能拿到该服务对应用户账户的权限。大多数情况下这些用户都属于普通用户，大部分恶意软件都需要管理员账户才能正常工作。
　　键盘记录器是Windows用户的恶梦，但在Unix系统上，它们需要管理员级的系统组件才能正常运行。这意味着即使键盘记录器通过某些非特权用户账户成功注入到系统，但因没有足够的权限也不能开始它的工作。
　　其它安全威胁，如rootkit，木马和僵尸网络客户端也需要Unix系统的root用户权限才能工作。而在Windows系统上，缺乏严格的特权隔离致使其对恶意软件的防护能力不足。
　　用户控制和自动执行
　　众所周知，Windows很容易感染病毒，主要是因为它想为用户做太多的事情。恶意软件通常会随不相干的软件运行而自动启动，例如，当你打开一个Word文档时，巧妙设计的恶意软件也跟着运行，而这时Windows将重定向文件的执行路径，从Word文件转向恶意软件执行需要的文件。
　　相反，Unix系统在默认情况下是不会干这种蠢事的。在Unix上运行程序更规范，要打开的文件将作为一个参数传递给主程序。因此如果恶意软件试图用伪装的OpenOffice.org文档诱骗OO.o执行，操作系统是不会上当的;相反，文字处理软件无法打开该文件，因为它的文件类型不正确。
　　在Windows下还有一种无安全保证的自动执行 – 臭名昭著的AutoRun(自动运行)。美国国防部就曾被搞得很窝火，有人用U盘接入国防部电脑，恶意软件利用Windows的AutoRun特性自动运作，继而使它许多安装有Windows的电脑遭到入侵，虽然可以关闭Windows的自动运行功能，但并不是那么容易，这样的功能本身默认就不应该开启，不知为何微软没有意识到这一点，更糟糕的是，即便你关闭了自动运行功能，Windows自动更新也会暗中自动激活它。
　　不同的设计理念
　　Unix和Windows在安全方面的设计差异体现了不同的理念。遗憾的是，Unix从底层设计开始就将安全考虑进去了，而Windows的理念是“谁在乎安全呢?”。
　　但Windows并不孤单，类Unix的系统也正在朝这条路走去，如广为人知的Linux，拿现在最流行的Ubuntu为例吧，它在安全和受欢迎方面的平衡也如Windows一样，Ubuntu更注重用户体验，安全似乎不是它最关心的，但始终流淌着Unix系统安全设计的血液，可悲的是，它们之间的差距可能会随时间而越来越小。

[delectate]

Ubuntu不再是Linux，而且也渐渐脱离血统

[nmsfan]

还是自己小心一点是最重要的
有良好操作习惯的人不管是用win还是用lin都很少中病毒的啊

[wayne]

这篇貌似是翻译.... 我昨天刚看到篇英文的. 原文在此:http://blogs.techrepublic.com.com/security/?p=4627

安全与方便有时候是一对矛盾,就看怎么取舍了.

[gbsonic]

规范的标准就像法律，只有制定，没有执行，所以社会各种各样的人才能层出不穷

换言之，什么都要以规范来约束自己的话，虽然一直走的是直线，不会弯曲，但是却缺乏了艺术体验及创新，将变得枯燥乏味

反之，不按规范标准来执行，则可实现五花八门的体验，让生活更精彩

那你们说，是Unix的世界精彩还是Windows的世界精彩呢？

不否认在重视安全的现在，Unix可以得到更多的支持，但是，世界的发展总会有其弯曲的时候，这个时候就需要Windows来带给我们更多生活的精彩

说Windows一直想借鉴Unix，没错，因为Unix就是直线，当直线前进很多后，曲线当然要向其靠拢后在分支啊

Windows就是要给用户自由的使用体验，所以才放开权限让你可以为所欲为，当然，病毒木马后门也是，因为好的用户体验是不需要经常跳出一个对话框让你输入密码的，本来现在的网站上需要输入密码的地方就够多了，而到了本地操作系统还要每次都输入密码，是不是让人觉得很无奈？所以Windows借鉴权限控制开发的UAC只需要点击一下继续即可继续下一步操作了，那你说是Windows的开发者站在普通用户的角度着想还是Unix类操作系统站在普通用户着想？

[冲浪板]

我很小心了 ，但是也中招了，嘿嘿；
关键是有漏洞吧

[shinery]

但微软有一点没有做好的是，其安全性设计都是驾临于操作系统之上，而不是从系统架构出发考虑的。

那是因为微软起初没有好好考虑安全，在开发新版本的时候，就修修补补，安全是外加的特性。
微软又没有勇气从头开发一个具有类Unix核心而windows外壳的系统，就只能继续遭鄙视了。

[soblue]

我一直是ubuntu的死忠，从6.10到现在。

但是，正如此文所说的问题，也许在不久的将来，我将转向其他linux版本。

最根本的问题在于ubuntu忽视安全性，牺牲安全性来满足易用性，比如文档类型，我发现从10.04开始，ubuntu仅根据扩展名来关联文件类型，这让我非常反感。相反，windows却在学习和采用linux的一些安全机制。

[tenzu]

ubuntu学习windows的易用性，windows学习linux的安全性

[y616116306]

我非常谨慎，也装了微软那个杀毒软件，可我的win7也中招了！杀不出毒，主页被暗中修改（ie属性主页确是空白），一上网它就自动安装pptv uusee等等，（如果我不管它，天知道它还会装什么），opera也被整的不能使用，开机进win7异常慢，这是看得见的改变，看不见的还不知道有什么

[shinery]

我非常谨慎，也装了微软那个杀毒软件，可我的win7也中招了！杀不出毒，主页被暗中修改（ie属性主页确是空白），一上网它就自动安装pptv uusee等等，（如果我不管它，天知道它还会装什么），opera也被整的不能使用，开机进win7异常慢，这是看得见的改变，看不见的还不知道有什么

windows从来都不安全，偶用的Server2008 R2 （64bit）+McAfee企业版+IE9beta，结果IE9主页被国内某流氓软件改了，怎么也取消不了，后来还是用了金山专杀才解决，汗！

[风间星魂]

某天有人给你个脚本，说是一键下载xx图
然后你chmod +x xxxx后，发现是rm -rf *

[陽光院景仁]

某天有人给你个脚本，说是一键下载xx图
然后你chmod +x xxxx后，发现是rm -rf *

這個命令預設不允許使用，有些乾脆把rm命令刪除。

[风间星魂]

某天有人给你个脚本，说是一键下载xx图
然后你chmod +x xxxx后，发现是rm -rf *

這個命令預設不允許使用，有些乾脆把rm命令刪除。

不可能删掉rm
至少我用的debian没有转义通配符

然后……unix一条命令秒杀系统的方法太多了

然后可以看看《unix痛恨者手册》那书

[浪得虚名]

对家庭用户来说，过分地讨论安全性完全没有必要
拿相对不安全的windows来说，中毒Ghost恢复一下就好了，2分钟的事情
平时最好重要文件的备份，比如照片，经常拍照的话，每隔一段时间就可以刻一张DVD盘作为备份（当然质量一定要好）。需要珍藏的视频也可以定时备份

我想对于大多数家庭用户，只要做到这几点，哪怕硬盘损坏数据丢失，损失也不算很大
一般的黑客也不会对个人用户感兴趣，除了菜鸟级的黑客。对付这种黑客，装个防火墙就可以了——你不是大明星，黑客是不会对你感兴趣的。电脑用了十几年还没听说过周围有谁的电脑被入侵后数据外泄的。

但是政府和公司，则另当别论