windows的安全改进设计

柯林

windows一路走来，成为全球最大的电脑操作系统，成为最多人使用的系统，这是它的功绩；同时，它也是病毒最多的系统，被黑客盯住最长的系统，被病毒搞得焦头烂额的系统！虽然微软一直在致力于windows的安全改进，但病毒还是满天飞，为啥就这么多呢？

作为一个小白，从不与代码打交道的外行，仅凭一点观感与多年的使用经验，从“信口胡说”的角度，提一点外行的意见，或许可帮助windows改进安全性上的设计，在未来（比如windows12或windows16……）提供给用户好用又安全的windows……

太多的槽点就不说了，仅从分区布局与软件组织的安全性上，简单说点外行意见：
1、内外分开：windows目录里，本来就是存放windows原生自带的系统程序与配置文件，能够修改的除了系统补丁与安装程序，一般不存在其它的东东。既然是这么回事，还允许其它软件往里面扔东东、隐藏病毒，就纯属扯淡——为安全计，应该划分两大目录（属于windows原生自带的目录，拒绝第三方修改搞怪；提供给用户与第三方修改的目录（比如安装驱动、字体、壁纸、输入法之类）另外开列一个目录。——也就是说，windows目录下，划分两大子目录，一个是windows原生系统目录，一个是扩展目录。

2、权限分明：对于windows核心目录，除了微软自身，不允许第三方改动，对于windows核心进程与内核文件，应该提供更高的权限管理，不是随便一个windows进程都能修改；对于扩展目录，不是随随便便什么程序都能往里面扔文件，应该强化授权（比如没有微软签名认可的，不可以进入）。仅此一个改动，就可以杜绝神马病、恶意软件都可以隐身系统搞怪的弊端。

3、贯彻始终：把分隔与授权管理的安全宗旨贯彻始终，则“将无任何非法作怪者可以扬长而去”的弊端。也就是说：想要安装、使用驱动与服务，以获得高权限，必须把相应的文件，放到windows目录下的扩展目录里的drivers目录或services目录里去，否则无效，系统禁止加载，而要完成此功能，必须获得微软审核、授权（仅此一招，所有玩驱动与后台服务的“非法程序”全部歇菜），同理，exe与dll之类，想要放到windows下的扩展目录里获得“系统通用”效果的，必须获得微软审核、授权，否则无法进入（凡是不具有“系统通用”效果的，只对单一程序有效）；原本安装在C:\Program Files里的，也划分两个目录，windows自带的在一个目录（只允许微软的程序修改），用户安装的程序另列一个目录，杀毒软件属于特殊用途软件，应该直接安装到windows下的扩展目录里提供强力保护，不要与普通程序混在一起；Temp目录，涉及安装与使用，应该分成两个temp目录，一个是程序temp（可执行文件临时目录），另一个是数据temp（凡是进入数据temp的不管什么文件，一律当作数据处理，此目录不具备执行权限，exe之类文件进入必瞎）；对用户创建的数据提供强力保护（除了指定目录的程序（比如windows扩展目录下的“管理用户数据程序组”（加上windows核心程序组里的”管理用户数据程序组“）与C:\Program Files里的“管理用户数据程序组“具有修改用户创建的数据外，诸如移动磁盘、网络缓存、temp目录、磁盘根目录、及各个”非法位置“上的程序，无权对用户创建的数据进行修改（为便于管理，安装windows时，windows可在非系统盘上创建“用户数据目录”以实施保护管理（只有本机上合法的授权程序（位于”管理用户数据程序组“里的程序有权写入）；windows自身的权限划分，应该再细一点，不能一个system权限就是最高权限，应该再分个三级（最高只能给系统核心；杀软之类只能获得第三极的系统权限；第二级留给二者之间的使用吧）；最后，管好该死的svchost.exe这个混账东东，windows系统核心目录下的svchost.exe只加载系统服务；位于windows扩展目录下的svchost.exe则加载用户扔进去windows扩展目录里的dll之类，其它的一律不去招事，病毒何为？rundll32.exe之类也是同理处理……最后，是该死的链接库加载顺序，应该强制规定，优先从windows核心目录里的（dll之类）加载，然后是windows扩展目录，没有的话，才到程序目录下的（如此设定，假冒系统dll进行打劫的一朝湮灭）……

4、“法外之地”：如此严苛安全的设计，必然会让一些私人程序、小作坊文件，连跑起来的机会都没有，许多人必然会抱怨、骂街，为“法外施恩”，可以提供一个“模拟空间”（专门的隔离目录），让小程序及“非法程序”在里面进行地试跑，类似虚拟，它de们对实机（或者说“模拟空间外的世界“没有任何伤害），要想让这些程序获得预想的功用，只有提交申请、获得授权，能够进入授权目录取得相应的权限而实现相应的功能，否则就是一堆死代码，毫无作用——如果不想获得授权或难以获得授权而必须使用，可在”模拟空间“设置一”绿色通道“而进行”法外使用“（只能在”模拟空间“作为一种单独程序使用，无法对”模拟空间外的世界“进行侵犯，其创建的数据，只能由explorer之类进行复制转储）

峪飞鹰

楼主的想法是好的，但并不是现实的。倒不是说微软没有工程师想到这些，也不是说微软不可以做到这些限制，最大的问题是，市场和历史遗留的问题。之所以windows的目录可以随便写，主要是微软不具有对第三方软件的控制能力，以及最初没有做好限制。最早windows读取公用数据的时候，会首先从windows, system等目录里读取，而放到其它地方，会导致读取失败。很多开发商图省事，自然就什么屎都拉到windows, system目录里了。有些第三方软件有年头了，可能源码都丢失了，如果这是行业关键部门使用的软件，重写和修改都需要花很大的力气。微软为了兼容性，加上不具备对这些第三方软件的强制力，所以对此无能为力。甚至，微软在windows update补丁的时候，还会针对第三方特殊的情况对系统打补丁去适应第三方的需求。微软当初并不是没有尝试加强权限，第一个权限加强的版本就是vista，结果你也看到了，一堆嘲讽，不得不在win7的时候重新写兼容性，一些早于win2000的软件，在win7下都能正常运行，甚至给program files等目录加了uac权限，但没有权限的软件，在win8.1下，还能正确写入，因为微软加了个重定向功能。市场和历史遗留问题，使得微软无法做到楼主的要求。楼主你看，现在win11加了tpm的强制要求，虽然这个要求实际上近3年的新设备都满足（国内除外，另外一件事），但还是被骂成狗了，各种绕过的方法论坛里比比皆是。这样的控制力，别说楼主这些提议了，哪怕一点点改动，用户都是不接受的。所以，我说楼主的想法没错，但不现实。

gsgaosheng

windows因包罗万象丰富多彩。楼主诉求的模式，试用下Linux、ChromeOS。
Q&A:
1、2、3回答：Windows有目录保护(权限管理XP时代就有了，楼主问问自己会用吗？)敲诈勒索类病毒，不知道是您的被加密后的个人照片、工作成果、商业资料有价值，还是可以无限重装的操作系统软件有价值？这三个问题无意义。
4的回答：以前有，HIPS代表MalwareDefender，访问目录弹确权、访问网络弹确权、访问注册表弹确权、创建进程弹个确权，目前的程序一秒内可以执行至少上百个访问(读取、修改)操作，楼主这样使用不知体验如何？如何辨别大小作坊程序，楼主自己发布标准，让网友用爱发电替自己维护黑白名单？

柯林

峪飞鹰 发表于 2021-7-5 10:13
楼主的想法是好的，但并不是现实的。倒不是说微软没有工程师想到这些，也不是说微软不可以做到这些限制，最 ...

习惯成定势，这是常人无法克服的心理，难以打破的壁垒。
历史的推动，往往需要大刀阔斧敢于扫荡的人才能完成，比如汉朝，从刘邦到汉武帝的爹，都是缩头和亲，到汉武帝启用卫青霍去病等俊杰扫荡历史，才开创新纪元。
道理延用到科技界也是一样的，就像乔布斯之前的苹果。不破不立，敢于天翻地覆、摧枯拉朽的，不是一般人能做到——普通人掌舵，也只能求个平安，只有真正的改革者，才能书写新篇。

ps：诚如你所说，windows一开始的权限设计就是烂透了，这么多年修修补补，已经没什么实质改变，是时候总结过往，告别旧史，开创新篇了，否则，永远是石器时代的windows

柯林

gsgaosheng 发表于 2021-7-5 10:52
windows因包罗万象丰富多彩。楼主诉求的模式，试用下Linux、ChromeOS。
Q&A:
1、2、3回答：Windows有目录 ...

我说的是改变windows权限管理与设计上的烂糟弊根，不局限于某一方面，举例只是一部分，关键思想是权限与隔离，是安全系统设计的根本要点，与HIPS之类无关。

linux之类也并不是安全系统设计的典范。windows作为使用人数最大的系统，提供安全系统是它的本职，见系统安全性设计引上新台阶，是一个有追求的公司必须具有的追求。

按照历史潮流的趋势，迟早有一天，会诞生更加安全好用的操作系统，到时将一统河山。谁在这条路上迈出步子早一点，谁将获得先机。所有墨守成规、不求上进的，到时只有死亡。