安全性是 Windows Vista 體系結構的基礎。利用 Windows Vista,您將能夠連接到想連接的任何用戶,並且做想做的任何事情,相信 Windows Vista 能保證您的信息和計算機的安全。
Windows Vista 的安全功能防止最新生成的威脅(如蠕蟲、病毒和 malware)。在不可能的成功入侵事件中,Windows Vista 確保將損壞程度降至最低。
用戶帳戶保護
通過運行帶有受限許可的應用程序,Windows Vista 用戶帳戶保護在用戶和管理特權之間架起壹座橋梁。當您需要執行諸如安裝軟件或驅動程序之類的管理任務時,Windows Vista 提示您確定自己的意圖,或提示您提供憑證。
例如,如果您正在旅途中並下載了壹款實為特洛伊木馬的遊戲,Windows Vista 可以防止此遊戲執行惡意任務,因為用戶缺少安裝所需的足夠權限。當您需要為旅店的打印機安裝打印機驅動程序時,Windows Vista 提示您驗證是否確實想安裝此打印機。
這項保護是結合 Internet Explorer 中的新的受保護模式功能,減少了病毒、間諜軟件和其他類型惡意軟件的影響(統稱為“malware”)。
防止 malware 的影響
IT 部門和個人用戶花費大量的時間和資源來解決由 malware 導致的問題以及在發生問題之前嘗試檢測和預防問題。Windows Vista 包含強大的功能,可以在 malware 導致問題之前防止、檢測和刪除 malware。結果:改善的計算機性能,較少的支持呼叫以及提高的安全性。
保護丟失、失竊或被挪用的計算機
Windows Vista 中的高級數據保護技術降低了膝上型電腦或其他計算機中的數據被未授權用戶查看的風險,即使膝上型電腦丟失或者失竊。
Windows Vista 支持全卷加密以防止其他操作系統從磁盤訪問文件。它還將密鑰存儲在壹個可信平臺模型 (TPM) v1.2 芯片中。整個系統分區都是加密的,不管是休眠的文件還是用戶數據。
自定義驗證機制
對很多組織來說,利用用戶名和密碼驗證用戶已經不足以保證必需的安全級別。Windows Vista 有改進的 Smart Card 支持,它使得開發人員更易於實現自定義的認證機制,如生物特征辨識和令牌。
網絡訪問保護
病毒和蠕蟲可以通過尚未下載最新升級、安全配置設置或病毒簽名的移動計算機來攻擊被保護的內部網絡。移動用戶可能會連接到旅館、飛機場或咖啡店的未保護網絡,在那裏他們的計算機可能被 malware 或病毒感染。Windows Vista 擁有網絡訪問保護,用以防止安全受損的計算機連接到您的內部網絡,直到它符合您的安全標準。
防火墻
Windows Vista 提供傳出和傳入篩選,此功能可以通過組策略集中管理。這允許管理員控制允許哪些應用程序在網絡上進行通信或被阻止在網絡上進行通信。控制網絡訪問是減輕安全風險的最重要方式之壹。
Windows 服務增強
在不可能發生的事件中,入侵者找出並利用有弱點的服務,Windows 服務增強將限制這種損壞的程度。它通過防止受損的服務更改文件系統或註冊表中重要的配置設置或防止其感染網絡上的其他計算機來實現此功能。例如,可以防止遠程程序呼叫 (RPC) 服務替換系統文件或者修改註冊表。
Internet Explorer 7 增強功能
Internet Explorer 7 包含很多可以阻止惡意 Web 站點和 malware 的功能。新的受保護模式為 Windows Vista 中的 Internet Explorer 7 提供了瀏覽 Web 的足夠權限,但是無權在未經用戶同意的情況下修改用戶設置或數據。
為了防止網絡釣魚 (phishing) 和欺騙攻擊,Internet Explorer 7 執行以下工作:
當用戶訪問安全套接層保護的站點時突出顯示地址欄,並允許他們輕松地檢查站點安全證書的合法性 包含壹個網絡釣魚 (phishing) 篩選器,如果用戶正在訪問已知不安全的站點,它將警告用戶 允許用戶通過單擊清除所有緩存的數據使用 Internet Explorer,用戶能更安心更安全地瀏覽。
下壹版本的Windows客戶端提供了壹些不錯的功能,但沒有實踐就沒有發言權,我們還是必須等到明年它發布後,人們紛紛運行,才可以對它做出更客觀正確的評價。 數年以來,尤其是Windows XP Service Pack 2發布後,微軟壹直在緊鑼密鼓地加強Windows和Internet瀏覽器的安全性。有時,微軟所做出的努力是很難看到的,但我認為他們確實取得了進展。不過,現在要推出的全新的Windows版本中,微軟倒真有機會做點工作,從根本上對安全方面大開刀。
像Service Pack 2壹樣,這些變化會打破現有應用系統的平靜,需要獨立軟件開發商(ISV,Independent Software Vendor)和設備驅動開發者做出相應的改變。我想說,事物規律本來就是這樣,就像SP2出現時壹樣,獨立軟件開發商會花費非常非常多的時間更新他們的軟件。如果當Vista明年下半年面市時某個產品不能工作了,那麽幾乎可以斷言,應該受到責備的是獨立軟件開發商。
別的操作系統或第三方產品都提供許多這些“新的”特性,但是把這些特性做成Windows中的標準並不那麽容易。我願意對比較重要的幾個特性做些工作。
長期以來,無論在網絡上還是在本地主機上,協同IT都因其在有限許可的情況下管理Windows用戶而出名(如果不出名,說明它不能勝任這份工作)。對於普通家庭用戶來講,建立這樣的賬號並不難,但通常情況下,協同IT用於需要更大特權的應用程序,而這些特權只提供給Windows XP的很少壹部分用戶。
在Windows Vista中,首先,對於這個問題的態度有所改變。擁有特權的對象不再是“很少壹部分”用戶,但現在“很少”的是賬號。得到壹個有管理者權限的賬號很不容易,不過通常情況下,也不是非有這樣壹個賬號不可。如果妳要做壹些需要管理者權限的操作,比如方改變防火墻設置,系統可以提供給妳壹個獲得有足夠權限的賬號的機會,比如說,給妳管理員賬號。這樣,平時,妳可以用普通賬號操作系統,而在需要的時候又可以擁有管理員權限。這就叫“用戶賬號保護(User Account Protection)”,beta 1版本中,必須手動實現此項功能。
當然了,這個方法直接來自Mac OS X,Mac鼓吹說這正是解決問題的最佳辦法,但實際上對於這種方法能夠怎樣保護妳這個問題,還是有壹定的局限性。許多安裝在Windows上的間諜軟件或廣告軟件並不是由於用戶的粗心造成的,他們是故意這樣做的。妳想要那條酷酷的工具條,妳也知道自己在安裝壹個軟件,所以,妳當然會給它管理者權限或者滿足它需要的其它什麽條件。安裝合法的軟件,妳需要做的也是這些工作。另壹方面,應該提供針對隱蔽強迫下載(silent drive-by downloads)的保護,否則,傻乎乎的用戶就又壹次地被利用了。
用戶帳戶保護的另外壹個特征是,當寫了保護文件系統和註冊表的程序後,這些寫好的代碼實際上放在壹個獨立的區域,由單個用戶維護,稱作虛擬存儲。這和在終端服務器(Terminal Server)上的情況壹樣。實際上,我非常想知道為什麽虛擬存儲存放在C盤的C:\Virtual Store目錄下,而不是像在終端服務器上那樣存放在每個用戶自己的Documents and Settings文件夾裏。
IE7及其它
在Windows Vista及Windows XP中,Internet Explorer 7有許多新的安全相關的特色,但最重要的特色只能在XP中發揮出來。IE默認的工作模式是名為保護模式的壹種殘缺模式。做有危險性的工作需要特殊的允許,這是對於瀏覽器的壹種特殊的用戶賬號保護機制。
有了用戶賬號保護機制,就可能在社會工程方面跌跤。既便這種機制可以完美地工作,妳也需要做這樣的工作:說服用戶他們確實在做Windows警告可能出現危險的事。IE7還有大量其它酷酷的有用的安全特性,但都只是在Windows XP中才能壹展身手。
舉例來說,流行了壹陣子的NAP(網絡訪問保護,Network Access Protection),我覺得,它是為了迎合Windows Server 2003的需要而出現的。NAP是壹個程序和策略組成的集合,定義了對客戶連網前的安全和其它方面的要求。這些要求可以是給Windows打上最新更新補丁、更新防病毒軟件、安裝其它軟件等等。
Vista所做出的進步可能就像把NAP的客戶端組件捆綁起來那麽簡單,但如果這樣做促使人們使用Vista,則相當好。我有這麽壹個夢想,某壹天,出現了壹個這樣的系統,它足夠簡單,簡單到ISP可以使用並且可以把惡意用戶驅逐出他們的網絡——但現實和理想還是有壹定差距的。
當然,差距是很大的。Windows的防火墻最終會過濾流量數據。EFS盤加密也會做些改進。系統會勾勒Windows程序的輪廓,以便明晰程序所使用的資源(比如,TCP端口),並清楚其它可能引起紅色警報的因素。這裏會用到在更新時運行的微軟的惡意軟件去除工具。這壹切大都是很重要的,我相信在接下來的幾個月中,我會更深入地對他進行研究。
這並不是微軟第壹次對安全問題如此關註,所以,現在宣布對安全威脅已取得勝利還顯得太早,微軟對於這些問題的未來考慮得非常細致周到。但是,下壹版本確實還是提供了許多不錯的功能,從上世紀90年代末期提供的非安全服務熱潮過後,微軟就壹直在努力讓安全之舟出海遠航。如果所有的Windows用戶都將使用Vista,網絡可能會變成壹個更加安全的家園。