第 4 劑：PatchGuard 核心防護機制

提高對作業系統核心的保護，64 位元版才有

在 Windows XP 有許多惡意程式透過 Rootkit 手法，自我隱藏並變更作業系統核心層程式，因為防毒軟體多數難以察覺 Rootkit，導致相關資安案件層出不窮。微軟為了杜絕這種後遺症，在開發 Vista 時祭出了殺手鐗 PatchGuard，禁止所有應用程式變更作業系統的核心層。

這對於資安公司的影響最直接，在 Vista Beta 版推出時，許多資安大廠便對此向微軟提出抗議。臺灣微軟伺服器平臺事業部產品行銷經理葉怡君表示，這個問題隨著微軟即將推出 Vista SP 1 正式版將會獲得解決。

邱銘彰戲稱「 PatchGuard 是 Vista 的禁衛軍，」具有類似 HIPS (主機端入侵防禦系統) 的功能，在 2006 年 11 月 Vista 推出 RTM 版本時，便已經確認這樣功能的存在。Nanika 進一步解釋，「PatchGuard 能阻止對核心物件的修改，可提高對核心層的保護。」不過，「PatchGuard 功能只能在 Vista 64 位元版本中執行。」李倫銓說。

葉怡君指出，Vista 32 位元與 64 位元版本最大的差異點在於記憶體定址問題，32 位元版本有 4GB 定址的上限，64 位元版本則沒有限制。由於記憶體對於運算速度有直接的影響，目前已經陸續克服一些硬體驅動程式相容問題，她說，「在64 位元趨勢不變的情況下，Vista 64 位元也將陸續克服軟、硬體相容性的問題。」

PatchGuard 只能在 Vista 64 位元版本執行，而 64 位元作業系統要求所有的驅動程式，都必須先經過微軟的簽章認證才能安裝。李倫銓指出，以前有許多惡意程式仿效驅動程式的手法撰寫，但當 Vista 要求驅動程式必須經過認證時，這樣的手法將可以大幅降低。王岳忠則提醒，驅動程式簽章沒有回收的機制，是否成為一個資安漏洞有待觀察。

Vista 64 位 元版本限制更多，李倫銓認為，Vista 讓舊有攻擊手法與後門程式不能存活，新的攻擊手法更難完成，「64 位元的 Vista 作業系統，幾乎可以不用安裝防毒軟體。」他說。邱銘彰說，使用 XP 會比較需要安裝防毒軟體，但以 Vista 架構來看，現階段入侵程式 (exploit code) 尚未針對 Vista 開發，而 PatchGuard、驅動程式電子簽章等機制，只在 64 位元版本的 Vista 支援，「唯有改用 64 位元的 Vista 才是真的安全，甚至不太需要安裝防毒軟體。」

微軟 Vista 作業系統，是微軟第一套從開發過程中，就已嚴謹的寫安全程式碼 (導入 SDLC) 的作業系統，透過全新的 UAC 功能，限制使用者權限以及可以安裝程式的權限功能，並透過 ASLR 與 NX 功能的配合，加上 PatchGuard 對 Vista 的限制，「都使得 Vista 成為一套讓駭客很頭痛的作業系統。」李倫銓說。

                                                                                                                     下一頁