简介
Microsoft® Windows® XP Embedded 是 Microsoft Windows NT® Embedded 4.0 的后续产品。Windows XP Embedded 采用与 Windows XP Professional 相同的二进制文件,使您能够快速开发可靠的、功能齐全的连接设备。
Windows XP Embedded 组件数据库包括大约 10,000 个组件。您可以建立许多 Windows XP Embedded 运行时映像,从安全要求最低的基本仅内核配置到功能齐全的设备(包含联网、多媒体、安全保护以及其他通常在安装有 Windows XP Professional 的计算机上可以找到的功能)。
独特的安全性和可靠性优点
Windows XP Embedded 继承了 Windows XP Professional 中的所有安全保护功能。
此外,Windows XP Embedded 还具有以下优点:
代码更少 - 您可以忽略您的产品不需要的组件,从而降低操作系统 (OS) 的复杂性并增强可靠性。
硬件更少 - 您可以只包括设计中所需要的硬件,从而提高可靠性。这也有助于实现一个更为安全的系统,因为其中的硬件访问点更少。
可完全控制访问点 - 您可以控制用户接触到的输入和输出设备,从而能够精确指定支持哪些设备。嵌入式设备可以配置为一个封闭式系统,并且可以有选择地支持设备。例如,您可以通过谨慎选择设备驱动程序组件,禁止支持可以从外部访问的设备,例如 USB 设备、鼠标、键盘、游戏控制器、软盘驱动器和网络等。
单一目标配置 - 您可以针对单一目标来配置设备。可以控制设备上能够运行哪些应用程序以及是否可以安装第三方应用程序,这样可以减少出现应用程序兼容性问题或受到安全攻击的可能性。
网络脆弱性降低 - 通过只选择目标设备所需要的组件,降低安全方面的脆弱性。例如,如果不是出于维护的需要,您可以删除网络的 Telnet 功能,从而避免为攻击者提供一个可能的入口点。
防止修改系统数据或应用程序 - 您可以使用增强型写入筛选器 (EWF) 组件使只读存储卷在 OS 上显示为读/写设备。这是通过将磁盘写入操作重定向到一个替代的可写存储位置(例如,系统内存)或者重定向到一个特殊磁盘覆盖分区来实现的。例如,当 El Torito CD-ROM 启动组件与 EWF(配置为将磁盘写入操作重定向到系统内存)一起使用时,您可以从只读 CD-ROM 介质启动。
禁止安装劣质应用程序 - 可以使用增强型写入筛选器 (EWF) 禁止安装劣质应用程序,并禁止更改其他永久性配置。如果设计中不包含读/写存储设备,则在启动之间该设计将被视为无状态,因为必须保证系统每次都以同样的方式启动。启动之间对 OS 所做的任何更改都只保存在系统内存中,并且在系统重新启动时这些更改将丢失。例如,这种技术可以用于赌博性游戏设备,某些国家(地区)的法律要求这些设备在系统启动之间不能保留任何信息。
备份和恢复优势 - 以下两个优点使您能够创建一个更加安全的备份和恢复环境:
系统备份和恢复速度更快。由于设备减少了存储所占用的空间,因此可以更快更可靠地执行备份和恢复操作。
默认恢复。使用默认恢复时,无状态的 El Torito CD-ROM 系统将自动使系统在重新启动或重新开机时恢复到原始状态。这样可以免去专门的备份或恢复过程以及与备份和恢复相关的相应安全问题。
无需移动式部件 - 通过使用不带硬盘驱动器的存储设备(例如电子盘 [Disk On Chip]、闪存设备以及其他基于硅元件的存储设备),可以使您的设计更加强壮。
简化了设计测试和验证 - 较少的设计量可以减少系统的测试工作,从而允许您更专注于嵌入式应用程序的测试。
针对基准配置的安全性考虑
您可以通过以下基准配置之一使用目标设计器来建立您的基本设计配置:
仅内核 - 仅内核配置不支持 Microsoft Win32® 应用程序编程接口 (API),并且不包含任何内置安全保护功能或工具。
Minlogon - 与 Winlogon 相比,Minlogon 配置的登录进程的可靠性要差一些。默认情况下,Minlogon 不包括本地安全验证子系统进程 (LSASS)。
选择 Minlogon 之前,请确保您不要求 LSASS 用户身份验证。
如果没有 LSASS,Minlogon 就没有标准的 Windows XP Professional 中所提供的交互式登录和身份验证功能,而总是将用户登录为系统用户。
即使选择了 Minlogon 组件,目标设计器也可以在运行时映像中包括 LSASS。如果所包括的其他组件要求使用 LSASS,或者手动添加了本地安全授权子系统组件,就会发生这种情况。
LSASS 组件的可见性设置较低,因此,您需要降低可见性级别才能在目标设计器中看到该组件。有关详细信息,请参阅 Windows XP Embedded 帮助文档。
Winlogon - Winlogon 配置使用 Windows XP Professional 提供的标准 Windows 登录进程。
在 Windows XP Professional 中,会话管理器 Smss.exe 是系统中创建的第一个用户模式进程。而会话管理器将启动 Windows 子系统进程和标准的 Windows 登录进程。标准的 Windows 登录进程要求本地安全验证子系统进程 (LSASS)。
LSASS 是一种用户模式进程,它负责以下几个方面的工作:
本地系统安全策略,例如,允许哪些用户登录到计算机、密码策略、授予用户和组的权限以及系统安全审核设置。
用户身份验证。
将安全审核消息发送到事件日志。
即使开始指定了仅内核或 Minlogon 配置,您添加到设计中的某些组件也可能会需要 Winlogon 基准配置。这些组件表明自己需要 Winlogon,从而导致在运行目标设计器相关性检查时会自动将 Winlogon 组件添加到您的设计中。
注意:默认的用户密码为空白,应将其更改为一个可靠的密码,以确保适当的身份验证安全保护。
下表显示了可用的设计模板以及它们是支持 Minlogon 还是 Winlogon。
选择设计模板时,应考虑以下问题:
目标用户是谁,需要什么级别的访问安全性?
如果设备包含敏感数据,那么如何确保数据的安全?或如何防止数据被破坏或泄漏?
针对与该设备进行通信的任何其他设备或用户,将采取什么样的安全措施?
恶意实体可能会通过什么方法实际访问该设备?设备是否具有足够的安全保护?
有关详细信息,请参阅 Windows XP Embedded 帮助文档。
嵌入式设备面临的威胁和攻击
Michael Howard 和 David LeBlanc 所著的《Writing Secure Code》一书提供了有关安全设计、安全编码以及测试技术的实用信息。
规避技术列出了 Windows XP 的安全保护功能,这些功能必须映射到将安全保护功能映射到组件中所述的组件。
下表使用《Writing Secure Code》一书中介绍的 STRIDE 模型,介绍了主要的安全威胁以及可以用来规避风险的相应 Windows XP Professional 安全保护功能。
将安全保护功能映射到组件
Windows XP Embedded 支持与 Windows XP Professional 相同的可配置安全选项。默认安全设置在 Defltwk.inf 中定义。要了解如何将自定义安全设置应用到嵌入式设备,请参阅“系统设计中的安全性”指南。
以下各表包含了有关 Windows XP 安全保护功能以及它们如何与组件相关的信息。每一个功能都需要一个拥有关键二进制文件的组件以及组件的相关性。
某些列出的组件可能不可见。如果要看到这些组件,您需要在目标设计器中降低其可见性级别。
身份验证支持
身份验证是一个用户或设备向另一个当事人、用户或设备证明其身份的过程。下表显示了如何将身份验证功能映射到组件。
授权支持
一旦当事人、用户或计算机通过身份验证,授权进程将确定该当事人可以执行什么操作。下表显示如何将授权支持功能映射到组件。
API 支持
您可以利用内置到 Windows XP 中的全功能安全 API 支持。下表显示了如何将 API 支持功能映射到组件。
存储介质上的防篡改和数据保密功能
嵌入式运行时配置中的文件系统的安全级别在很大程度上是由您所选择的文件系统组件确定的。下表显示了如何将存储介质上的防篡改和数据保密功能映射到组件。
网络上的防篡改和数据保密功能
嵌入式运行时映像中的网络安全级别在很大程度上是由您所选择的网络组件决定的。下表显示了如何将网络上的防篡改和数据保密功能映射到组件。
无线安全保护支持
无线网络连接提出了一系列新的需要考虑的安全问题。下表显示了如何将 802.11 / 无线安全保护支持功能映射到组件。
Internet 连接安全保护支持
您可以使用功能完备的 Internet 连接安全保护支持。下表显示了如何将 Internet 连接安全保护支持功能映射到组件。
安全管理支持
在 Windows XP Embedded 中,您可以利用 Windows XP Professional 中包含的全套管
