当前位置: 首页 > 图文教程 > 操作系统 > windows vista > Vista安全性能细评说

windows vista
Win2008、Vista驱动兼容问题的解决
Vista SP1无法和杀毒软件兼容
Vista浏览网页时无法显示的故障
清除Vista通知区域的旧图标
Vista不能上网也不能Ping故障解决
Vista SP1封杀盗版破解、激活机制
调整Vista文件夹显示方式一致
Vista下通过蓝牙手机控制计算机
Vista系统进行优化设置的三个方面
Vista下删除EISA硬盘隐藏分区
C盘空间越来越少原因彻底查清楚
如何修改Vista与XP的窗口背景和字体颜色
优化Windows Vista进程的技巧
Vista系统的语言包(MUI)下载
Vista系统加速与优化的几招技巧
Vista系统自动清除虚拟内存页面
Vista系统的公用文件夹的操作技巧
Vista用Defrag命令整理磁盘碎片
Vista系统禁用USB端口的方法
Vista系统Rundll32 常用命令列表

windows vista 中的 Vista安全性能细评说


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-01   浏览: 90 ::
收藏到网摘: n/a

作者观点:下一版本的Windows客户端提供了一些不错的功能,但没有实践就没有发言权,我们还是必须等到明年它发布后,人们纷纷运行,才可以对它做出更客观正确的评价。

数年以来,尤其是Windows XP Service Pack 2发布后,微软一直在紧锣密鼓地加强Windows和Internet浏览器的安全性。有时,微软所做出的努力是很难看到的,但我认为他们确实取得了进展。不过,现在要推出的全新的Windows版本中,微软倒真有机会做点工作,从根本上对安全方面大开刀。

像Service Pack 2一样,这些变化会打破现有应用系统的平静,需要独立软件开发商(ISV,Independent Software Vendor)和设备驱动开发者做出相应的改变。我想说,事物规律本来就是这样,就像SP2出现时一样,独立软件开发商会花费非常非常多的时间更新他们的软件。如果当Vista明年下半年面市时某个产品不能工作了,那么几乎可以断言,应该受到责备的是独立软件开发商。

别的操作系统或第三方产品都提供许多这些“新的”特性,但是把这些特性做成Windows中的标准并不那么容易。我愿意对比较重要的几个特性做些工作。

长期以来,无论在网络上还是在本地主机上,协同IT都因其在有限许可的情况下管理Windows用户而出名(如果不出名,说明它不能胜任这份工作)。对于普通家庭用户来讲,建立这样的账号并不难,但通常情况下,协同IT用于需要更大特权的应用程序,而这些特权只提供给Windows XP的很少一部分用户。

在Windows Vista中,首先,对于这个问题的态度有所改变。拥有特权的对象不再是“很少一部分”用户,但现在“很少”的是账号。得到一个有管理者权限的账号很不容易,不过通常情况下,也不是非有这样一个账号不可。如果你要做一些需要管理者权限的操作,比如方改变防火墙设置,系统可以提供给你一个获得有足够权限的账号的机会,比如说,给你管理员账号。这样,平时,你可以用普通账号操作系统,而在需要的时候又可以拥有管理员权限。这就叫“用户账号保护(User Account Protection)”,beta 1版本中,必须手动实现此项功能。

当然了,这个方法直接来自Mac OS X,Mac鼓吹说这正是解决问题的最佳办法,但实际上对于这种方法能够怎样保护你这个问题,还是有一定的局限性。许多安装在Windows上的间谍软件或广告软件并不是由于用户的粗心造成的,他们是故意这样做的。你想要那条酷酷的工具条,你也知道自己在安装一个软件,所以,你当然会给它管理者权限或者满足它需要的其它什么条件。安装合法的软件,你需要做的也是这些工作。另一方面,应该提供针对隐蔽强迫下载(silent drive-by downloads)的保护,否则,傻乎乎的用户就又一次地被利用了。

用户帐户保护的另外一个特征是,当写了保护文件系统和注册表的程序后,这些写好的代码实际上放在一个独立的区域,由单个用户维护,称作虚拟存储。这和在终端服务器(Terminal Server)上的情况一样。实际上,我非常想知道为什么虚拟存储存放在C盘的C:\Virtual Store目录下,而不是像在终端服务器上那样存放在每个用户自己的Documents and Settings文件夹里。

IE7及其它

在Windows Vista及Windows XP中,Internet Explorer 7有许多新的安全相关的特色,但最重要的特色只能在XP中发挥出来。IE默认的工作模式是名为保护模式的一种残缺模式。做有危险性的工作需要特殊的允许,这是对于浏览器的一种特殊的用户账号保护机制。

有了用户账号保护机制,就可能在社会工程方面跌跤。既便这种机制可以完美地工作,你也需要做这样的工作:说服用户他们确实在做Windows警告可能出现危险的事。IE7还有大量其它酷酷的有用的安全特性,但都只是在Windows XP中才能一展身手。

举例来说,流行了一阵子的NAP(网络访问保护,Network Access Protection),我觉得,它是为了迎合Windows Server 2003的需要而出现的。和思科的网络访问控制程序(Network Access Control Program)及Zone实验室完整性 (Zone Labs Integrity) 产品线都很相似,NAP是一个程序和策略组成的集合,定义了对客户连网前的安全和其它方面的要求。这些要求可以是给Windows打上最新更新补丁、更新防病毒软件、安装其它软件等等。

Vista所做出的进步可能就像把NAP的客户端组件捆绑起来那么简单,但如果这样做促使人们使用Vista,则相当好。我有这么一个梦想,某一天,出现了一个这样的系统,它足够简单,简单到ISP可以使用并且可以把恶意用户驱逐出他们的网络——但现实和理想还是有一定差距的。

当然,差距是很大的。Windows的防火墙最终会过滤流量数