探索中国CIO人才现状 | 第四季调研报告
证书锁定的最佳实践
2015-08-25  来源:techtarget

为了能在操作系统上开始配置证书锁定功能,你需要安装上EMET功能软件包。安装前,需要你的操作系统已装上NET 4.0 Framework软件。你可以从微软官方网站上下载MSI文件格式的EMET软件包。你可以通过使用组策略或你熟悉的分发软件进行部署,或者你可以在一个独立系统上进行软件安装。另外,EMET是免费软件。

每次打开EMET软件时,你会立即注意到证书锁定功能已默认开启。你可以同时点击Ctrl + Shift + T键来访问信任的区域。你会发现微软与和Twitter、Facebook一样,在软件中对于几条在线属性已经预先设置了证书锁定规则。当然,你也可以自定义设置其它证书锁定规则。另外,你应该在每个已经配置好的证书锁定规则上打开阻止规则复选框功能。这样就能每当检查到伪造的安全证书时,这个站点上的访问就会完全被阻止。

一些潜在风险

注意,证书锁定解决方案也不是十全十美的。例如EMET只会针对技术人员和IT专业人士,而不是终端用户发出告警。如果你认为能够为监控用户帐户解决所有的恶意软件所带来的问题,那么你就错误了。例如,如果用户仅仅只点击了“通过”或“忽略”的按钮的话,这些告警信息对他的价值就很少。使用证书锁定最重要的一点就是让你的用户理解告警所涉及的信息。当然EMET软件工具默认是不会阻止对一个站点的访问的,因为网络上有许多不满足你证书锁定规则的合法证书。例如,一个网页站点使用一种的新的具有VeriSign和Comodo认证证书的负载均衡软件或者遇到证书过期,都可能自动默认设定为能够访问。所以你必须对教育你的用户当他们浏览网页站点,对弹出的告警信息时应保持警觉,并且正如我在这篇文章前面所提到的,当遇到弹出拦截规则复选框信息这类情况时,应做到“先阻止,后询问”。

证书锁定功能目前只能在IE浏览器上使用,Google Chrome已自带有的证书锁定功能,它也不是受Windows EMET功能软件包管理。另外,EMET 5版本(最新主流版本)不支持Windows平台电脑中的Metro 或Modern类型的IE浏览器,它仅支持IE桌面版。EMET 5.2及以后的版本已支持 Metro版IE ,但是你必须升级你现有EMET客户端软件版本,来获得对IE浏览器的保护。

现在最好的防御方式是多层架构防御。对于证书锁定功能,EMET软件包在许多安全层面上提供了那样的安全保护功能——而且另一个优势是它完全免费。证书锁定功能现并不是完美的,但是对于以IE为中心的应用生态系统,现在它是另一种可以整体提高安全水平的工具。