提到系統(tǒng)的安全特性，我個(gè)人認(rèn)為這應(yīng)該是Windows Vista最大的亮點(diǎn)了。它相比之前Windows XP來(lái)說(shuō)可謂是一個(gè)飛躍。現(xiàn)在我們就從幾個(gè)主要的方面一一闡述這些安全方面的新特性。

在Windows Vista進(jìn)入開發(fā)的時(shí)候就已經(jīng)與以前的系統(tǒng)有很大的不同了，在這一整個(gè)的開發(fā)過(guò)程微軟始終是把“安全”放在最高的位置上來(lái)進(jìn)行的，Windows Vista的開發(fā)引入了Security Development Lifecycl(安全開發(fā)生命周期)這是一個(gè)從系統(tǒng)的設(shè)計(jì)一直到發(fā)布都始終貫穿其中的機(jī)制，它主要包括十一個(gè)流程。由于這個(gè)東西似乎和我們用戶的關(guān)系不是很大因此就不做過(guò)多的敘述了。

服務(wù)的強(qiáng)化升級(jí)，大家應(yīng)該還記得當(dāng)年惡貫滿盈的沖擊波吧，它就是通過(guò)攻擊系統(tǒng) RPC服務(wù)的漏洞來(lái)攻擊我們計(jì)算機(jī)的。在以前的系統(tǒng)中服務(wù)在計(jì)算機(jī)中基本上都是處在絕對(duì)高位的地方來(lái)運(yùn)作的，并且呢也沒(méi)有針對(duì)服務(wù)的限制機(jī)構(gòu)來(lái)對(duì)各種各樣的服務(wù)進(jìn)行管理，因此呢就很容易出現(xiàn)某個(gè)核心服務(wù)被一些惡意的程序利用進(jìn)而對(duì)我們的計(jì)算機(jī)造成破壞。這個(gè)問(wèn)題在Windows Vista中得到了解決，在Windows Vista中任何的系統(tǒng)關(guān)鍵服務(wù)都是不能做任何越權(quán)操作的，這樣如果有惡意程序想要利用一個(gè)系統(tǒng)的關(guān)鍵服務(wù)在我們的計(jì)算機(jī)中干壞事的話，它是絕對(duì)不可能得逞的。那么我們知道除了Windows的系統(tǒng)服務(wù)以外，一些我們需要用到的應(yīng)用軟件也是會(huì)把自身的一部分安裝為一個(gè)服務(wù)來(lái)保證其可靠的運(yùn)作。在以前的系統(tǒng)中，這些服務(wù)都是以LocalSystem這個(gè)賬戶運(yùn)行的，在這樣的情況下我們系統(tǒng)是非常脆弱的，并且沒(méi)有辦法對(duì)這些第三方的服務(wù)進(jìn)行有效的管理，嚴(yán)重的威脅到了系統(tǒng)的安全以及穩(wěn)定性。而在Windows Vista中則完全改變了這樣的格局，首先引入了每個(gè)服務(wù)的安全標(biāo)識(shí)符 (SID)。它啟用了每個(gè)服務(wù)的標(biāo)識(shí)，該標(biāo)識(shí)隨后又通過(guò)現(xiàn)有 Windows 訪問(wèn)控制模型(包括使用訪問(wèn)控制列表 (ACL) 的所有對(duì)象和資源管理器)啟用訪問(wèn)控制分區(qū)。服務(wù)就可以顯示 ACL 應(yīng)用于該服務(wù)專用的資源，從而可防止其他服務(wù)和用戶訪問(wèn)這些資源。

然后現(xiàn)在服務(wù)不在回像以前一樣使用LocalSystem賬戶來(lái)運(yùn)行，而是由專門的權(quán)限較低的LoaclService、NetworkService等這些賬戶來(lái)運(yùn)行，這會(huì)降低服務(wù)的總體權(quán)限級(jí)別，就類似于“用戶帳戶保護(hù)”的機(jī)制。并且去除了服務(wù)中不必要的系統(tǒng)權(quán)限。另外在Windows Vista中第三方的程序要插入一個(gè)令牌到服務(wù)中已經(jīng)被限制了，也就說(shuō)沒(méi)有得到服務(wù)SID訪問(wèn)的程序要想將它的令牌寫入服務(wù)中的話將會(huì)以失敗告終，這樣就可以徹底的保證在我們電腦中的每一個(gè)服務(wù)都是干凈的，這些服務(wù)不會(huì)再被一些惡意的程序所利用進(jìn)而來(lái)對(duì)我們的系統(tǒng)實(shí)施破壞。最后更令人激動(dòng)人心的一點(diǎn)就是基于每個(gè)服務(wù)都具有單獨(dú)且唯一的SID，這樣便可以利用Windows防火墻對(duì)每一個(gè)服務(wù)進(jìn)行規(guī)則限制，這樣做的好處是顯而易見(jiàn)的，比方說(shuō)一個(gè)存在一定安全風(fēng)險(xiǎn)的服務(wù)可能存在被網(wǎng)絡(luò)上其他的一些我們沒(méi)有授權(quán)的東西利用來(lái)侵入或者做一些我們不希望看到的事情的時(shí)候，你完全可以在防火墻中將這個(gè)服務(wù)的網(wǎng)絡(luò)訪問(wèn)規(guī)則做一個(gè)限制，這一點(diǎn)我會(huì)在Windows Vista TechView關(guān)于防火墻的章節(jié)中做出詳細(xì)的敘述。

通過(guò)上面的簡(jiǎn)要介紹我們可以看到，Windows Vista的服務(wù)強(qiáng)化升級(jí)可是使我們的系統(tǒng)時(shí)刻處在最安全的狀態(tài)，但是大家也要明白，只靠服務(wù)強(qiáng)化升級(jí)是不足以構(gòu)成保護(hù)我們系統(tǒng)的安全體系的，它也需要和Windows Vista中的其他安全模塊協(xié)同運(yùn)作，比如上面提到的Windows 防火墻。好了，這個(gè)今天就先說(shuō)道這里畢竟著一章是概覽~我會(huì)在Windows Vista TechView關(guān)于系統(tǒng)服務(wù)的章節(jié)中做詳細(xì)敘述，敬請(qǐng)期待~。

Internet Explorer 7 保護(hù)模式

說(shuō)道安全就不能不說(shuō)一下目前網(wǎng)頁(yè)瀏覽所存在的安全隱患了，隨著互聯(lián)網(wǎng)的飛速發(fā)展，越來(lái)越多的Web應(yīng)用已經(jīng)走入了我們的生活，同時(shí)各種各樣的Web也是我們獲取信息的最重要途徑，但是林子大了什么鳥都有這句話似乎總是應(yīng)驗(yàn)在所有的事物上面。如今的互聯(lián)網(wǎng)處處充滿了陷阱與美麗的謊言。網(wǎng)頁(yè)惡意代碼，Web上面許多不懷好意的控件，欺詐我們財(cái)產(chǎn)的釣魚網(wǎng)站，等等這些已經(jīng)對(duì)我們的電腦構(gòu)成了嚴(yán)重的威脅，甚至是一場(chǎng)災(zāi)難。每年因?yàn)榫W(wǎng)頁(yè)惡意代碼導(dǎo)致系統(tǒng)癱瘓，因?yàn)楹芏嗖徽?qǐng)自來(lái)的控件在占用我們緊俏的系統(tǒng)資源做一些上帝都不知道的事情，因?yàn)楸会烎~網(wǎng)站欺騙而只是我們信用卡中的數(shù)字呈指數(shù)級(jí)下降的案例已經(jīng)不計(jì)其數(shù)?？赡軐?duì)于精通電腦的人來(lái)說(shuō)可以更多減少這些威脅但是對(duì)于更多的普通用戶應(yīng)該怎么面對(duì)這樣一個(gè)嚴(yán)峻的考驗(yàn)?zāi)?就是在這樣的時(shí)候Internet Explorer 7的保護(hù)模式被設(shè)計(jì)了出來(lái)，它能給我們?cè)鯓拥谋Ｗo(hù)?我們接下來(lái)就大概的看一下吧。

IE7的保護(hù)模式是構(gòu)建于Windows Vista的UAC也就用戶賬戶控制這個(gè)模塊上面的，在以前的IE以及系統(tǒng)中IE瀏覽網(wǎng)站時(shí)使用有的權(quán)限就是我們登陸系統(tǒng)時(shí)用的帳戶的所有權(quán)限，而大多數(shù)的用戶在使用Windows XP的時(shí)候都喜歡用具有Admin權(quán)限的管理員身份帳戶來(lái)使用系統(tǒng)，這個(gè)時(shí)候IE自然也就擁有了Admini的所有權(quán)限，因此呢網(wǎng)頁(yè)上那些惡意的代碼或者控件才有了可趁之機(jī)，拿著管理員的權(quán)限在我們的系統(tǒng)中為所欲為。那么在Windows Vista中這個(gè)情況將得到改變，IE在默認(rèn)的情況下系統(tǒng)只會(huì)給他瀏覽網(wǎng)頁(yè)所必需的一些權(quán)限而不會(huì)給他管理員的權(quán)限，這些管理員權(quán)限對(duì)于網(wǎng)頁(yè)瀏覽器來(lái)說(shuō)是多余的。

所以說(shuō)在默認(rèn)的情況下呢IE是不能修改用戶的文件或者對(duì)系統(tǒng)進(jìn)行配置的，這樣即使我們?cè)L問(wèn)到一個(gè)含有惡意代碼或控件的網(wǎng)頁(yè)時(shí)這些代碼也會(huì)因?yàn)闆](méi)有足夠的權(quán)限而胎死腹中變得一無(wú)是處。然后便是釣魚網(wǎng)站，這些網(wǎng)站一般會(huì)偽裝成某個(gè)銀行或者某個(gè)網(wǎng)絡(luò)服務(wù)商的網(wǎng)頁(yè)，然后以種種借口欺騙用戶在這個(gè)頁(yè)面上面輸入自己的賬戶，從而達(dá)到竊取用戶財(cái)產(chǎn)的目的。因?yàn)槭艿竭@些釣魚網(wǎng)站欺騙造成財(cái)產(chǎn)損失的事情如今已是屢見(jiàn)不鮮，我認(rèn)識(shí)的朋友中就有好幾個(gè)遭此不幸。解決一問(wèn)題已經(jīng)迫在眉睫，所以在IE7中就引入了專門針對(duì)這些網(wǎng)站的應(yīng)對(duì)機(jī)制。第一、網(wǎng)頁(yè)仿冒的篩選，啟用這個(gè)功能以后，我們?nèi)绻诺揭恍┓旅暗尼烎~網(wǎng)站的時(shí)候IE首先就會(huì)停止加載這個(gè)頁(yè)面，同時(shí)給出明確的警告，當(dāng)然如果你確定你訪問(wèn)的這個(gè)頁(yè)面是安全的那么就可以點(diǎn)擊繼續(xù)訪問(wèn)。

看到這里可能很多人會(huì)問(wèn)IE7是怎么知道某個(gè)站點(diǎn)是假冒的呢?其實(shí)這還要?dú)w功于微軟龐大的資源，這些站點(diǎn)的關(guān)鍵字以及特征是被存放在微軟專門的一個(gè)服務(wù)器上面的，訪問(wèn)網(wǎng)頁(yè)的時(shí)候IE7會(huì)先到這個(gè)服務(wù)器上查找，如果找到匹配的記錄那么IE7便會(huì)給出警告。這個(gè)服務(wù)器中的數(shù)據(jù)一般是幾分鐘就更新一次，其數(shù)據(jù)的主要來(lái)源是微軟放到網(wǎng)絡(luò)中的蜘蛛抓取還有用戶的舉報(bào)提交。前者就不用過(guò)多的解釋了，對(duì)于后者就是說(shuō)我們?nèi)绻l(fā)現(xiàn)某個(gè)站點(diǎn)可能是仿冒的用來(lái)欺騙我們的時(shí)候便可使用IE7的仿冒網(wǎng)頁(yè)提交功能將信息提交給微軟，微軟會(huì)對(duì)用戶提交的信息做進(jìn)一步的核實(shí)，確定之后這個(gè)站點(diǎn)就會(huì)被立即添加進(jìn)服務(wù)器中。這樣一來(lái)那些假冒的網(wǎng)頁(yè)就無(wú)處藏身了，但是很多人又有了很多的疑問(wèn)。這樣每次打開一個(gè)網(wǎng)頁(yè)IE7就要連接到微軟的服務(wù)器作檢查一定會(huì)讓網(wǎng)頁(yè)訪問(wèn)變得很慢吧;這個(gè)數(shù)據(jù)篩選的服務(wù)器是微軟的那么微軟肯定會(huì)把競(jìng)爭(zhēng)對(duì)手的網(wǎng)頁(yè)也添加進(jìn)取咯?等等，對(duì)于這些問(wèn)題我自己也很關(guān)心~但是我在經(jīng)過(guò)一段時(shí)間的使用后發(fā)現(xiàn)呢這個(gè)篩選基本上不會(huì)拖慢網(wǎng)頁(yè)開啟的速度，雖然的確有一些延遲但是用戶在使用的時(shí)候肯定是不容易察覺(jué)這一秒鐘以內(nèi)的延遲的。

對(duì)于第二問(wèn)題我也專門問(wèn)了一位Windows 安全開發(fā)小組的主管，對(duì)方給我的答復(fù)是否定的，就是說(shuō)微軟絕對(duì)不會(huì)把競(jìng)爭(zhēng)對(duì)手的站點(diǎn)添加到這個(gè)服務(wù)器中，而且如果今后有必要的話將會(huì)有第三方監(jiān)管機(jī)構(gòu)介入近來(lái)，所以大家還是可以相信微軟的。那么說(shuō)完這個(gè)大頭以后呢在來(lái)看一個(gè)細(xì)節(jié)部分，就是地址欄的顏色狀態(tài)反映和動(dòng)態(tài)安全狀態(tài)欄。就是說(shuō)呢比如我們?cè)谠L問(wèn)一個(gè)采用SSL(安全套鏈字層)加密的站點(diǎn)時(shí)，地址欄會(huì)變成黃色的，提醒用戶現(xiàn)在的這個(gè)站點(diǎn)是被加密的，同時(shí)在地址欄右側(cè)會(huì)出現(xiàn)一個(gè)安全狀態(tài)欄，用戶可以通過(guò)這個(gè)狀態(tài)欄知道該站點(diǎn)目前的證書是否有效。

那么IE7方面今天就先說(shuō)道這里，我會(huì)在Windows TechView關(guān)于IE7的章節(jié)中做更詳細(xì)的介紹。敬請(qǐng)期待哦!

Windows Defender 防間諜軟件

木馬!如今已經(jīng)取代了病毒的老大地位，成為了用戶最擔(dān)心的東西。我的XX帳戶被盜啦~這句話現(xiàn)在隨處可見(jiàn)。而木馬能做的事情卻并非只是盜取一個(gè)XX帳戶那么簡(jiǎn)單，它能竊取計(jì)算機(jī)中的資料;在企業(yè)網(wǎng)絡(luò)中如果某一臺(tái)計(jì)算機(jī)中了木馬，那么他很可能通過(guò)這臺(tái)計(jì)算機(jī)來(lái)入侵整個(gè)企業(yè)網(wǎng)絡(luò)，竊取商業(yè)機(jī)密;準(zhǔn)黑客們也會(huì)通過(guò)對(duì)別的計(jì)算機(jī)安插木馬來(lái)做跳板實(shí)施他墮落的某個(gè)計(jì)劃。由此來(lái)看木馬無(wú)疑又是一個(gè)嚴(yán)重威脅到我們計(jì)算機(jī)安全的東西。另外還有一種稱作Malware的東西，這些東西總是后臺(tái)運(yùn)行在計(jì)算機(jī)當(dāng)中，嚴(yán)重的降低了系統(tǒng)性能，使系統(tǒng)變得遲鈍，并且令我們的系統(tǒng)千瘡百孔?，F(xiàn)在有很多的反病毒廠商都推出了專門針對(duì)木馬和這些間諜軟件的工具或者附加模塊。

Windows Vista中也已經(jīng)加入了這個(gè)新的成員，Windows Defender。它的工作就是發(fā)現(xiàn)并清除我們計(jì)算機(jī)中的這些壞家伙。并且Windows Defender是免費(fèi)的，它包含在Windows Vista的安裝光盤中，所以不需要用戶另外花錢購(gòu)買，這一點(diǎn)我覺(jué)得很好，又少了一筆開銷，呵呵。具體的今天就不談了，我會(huì)在Windows Vista TechView關(guān)于Windows Defender的章節(jié)中做詳細(xì)的介紹。敬請(qǐng)期待哦。

IPSec/Firewall Integration

在Windows Vista中另一個(gè)重大的改變就是防火墻這個(gè)部分，我們知道在Windows XP中呢已經(jīng)加入了Windows 防火墻這個(gè)組件，但是相信真正用的人不多，大部分用戶包括我肯定是購(gòu)買第三方的防火墻來(lái)用，比如我就用的是McAfee的墻，具體的原因恐怕就是Windows XP中的防火墻簡(jiǎn)陋得可怕，有時(shí)候甚至懷疑它是否能真正發(fā)揮作用。并且你根本不要想對(duì)它做深入的設(shè)置，這一點(diǎn)就是我不用它的理由了。

現(xiàn)在Windows Vista中的防火墻終于是飛黃騰達(dá)了，它有了非常完美的控制臺(tái)，這個(gè)控制臺(tái)是基于GP的也就是組策略，因此不僅是對(duì)于單獨(dú)的電腦配置明確簡(jiǎn)單，對(duì)于一個(gè)管理多臺(tái)計(jì)算機(jī)的管理員來(lái)說(shuō)也更容易管理。今天就先賣個(gè)關(guān)子~我會(huì)在Windows Vista TechView關(guān)于組策略的章節(jié)中詳細(xì)的介紹它~要期待哦。 還有呢就是Windows Vista中的防火墻已經(jīng)可以實(shí)現(xiàn)通信的雙向控制了，也就是說(shuō)你不僅可以控制連入電腦的訪問(wèn)，也可以控制流出的數(shù)據(jù)，這在很多第三方的防火墻中都是可以實(shí)現(xiàn)的，它的好處也是很顯而易見(jiàn)的。還有最大的亮點(diǎn)便是IPSec的整合了，IPSec(IP安全策略)是所有的ITPro一直以來(lái)很喜歡的一個(gè)東西，有一些人甚至利用IPSec就可以達(dá)到使用防火墻的目的，因此就這一點(diǎn)與IPSec的整合上來(lái)看Windows Vista中的防火墻在某種層面上就足以超越其他第三方的軟件防火墻了，并且對(duì)于第三方的軟件防火墻來(lái)說(shuō)最致命的就是它是完全免費(fèi)的，包含在Windows Vista的安裝光盤中，系統(tǒng)裝好了就有，又少了一筆開銷哦~呵呵，今天關(guān)于防火墻的話題還是要到這里就停一下了，我會(huì)在Windows Vista TecnView關(guān)于防火墻與IPSec的章節(jié)中詳細(xì)介紹，敬請(qǐng)期待哦。

Network Access Protection 網(wǎng)絡(luò)訪問(wèn)保護(hù)

既然扯到了防火墻與IPSec，也就不得不引入NAP的話題了，在Windows Vista中內(nèi)建了NAP的客戶端，NAP是一種全新的內(nèi)部網(wǎng)絡(luò)針對(duì)從外往訪問(wèn)接入的保護(hù)體系，在Windows Vista中只有它的客戶端，而服務(wù)端則是包含在Windows Longhorn Server(Code Name)中的，所以NAP是需要網(wǎng)絡(luò)中的Windows Longhorn Server(Code Name)來(lái)配置管理來(lái)運(yùn)行。NAP的工作主要是保護(hù)內(nèi)部網(wǎng)絡(luò)，它主要應(yīng)用在企業(yè)網(wǎng)絡(luò)環(huán)境中。比方說(shuō)你下班或者出差的時(shí)候需要訪問(wèn)公司網(wǎng)絡(luò)調(diào)用當(dāng)中的一些資源時(shí)，你向公司網(wǎng)絡(luò)發(fā)起訪問(wèn)請(qǐng)求，這個(gè)時(shí)候首先會(huì)由NAP來(lái)對(duì)你的計(jì)算機(jī)做安全檢查，這些檢查包括你的電腦中是否有病毒、是否存在木馬、是否打了安全更新補(bǔ)丁、或者是別的安全規(guī)則是否已經(jīng)滿足，驗(yàn)證完這些以后確定你的電腦是安全的才會(huì)給你訪問(wèn)內(nèi)部網(wǎng)絡(luò)的令牌，如果達(dá)不到安全要求則會(huì)將你防在隔離區(qū)域，然后非常詳細(xì)的列出是什么地方?jīng)]有達(dá)到要求，并且給出最快的解決方法，等到符合要求以后才會(huì)給你發(fā)放訪問(wèn)令牌。而這些安全規(guī)則是可以由公司IT管理員來(lái)針對(duì)企業(yè)的要求作出自由詳細(xì)的設(shè)定。當(dāng)然對(duì)于普通在家使用電腦的用戶來(lái)說(shuō)這個(gè)功能可能沒(méi)有多大的關(guān)系，所以只要了解一下下就好，如果想要了解NAP的朋友可以稍微等待幾天我會(huì)在不久發(fā)布Windows Vista TechView關(guān)于NAP的章節(jié)做詳細(xì)敘述，因?yàn)楝F(xiàn)階段NAP的所有功能還沒(méi)有完全開發(fā)出來(lái)，其關(guān)鍵部位還在Windows Server那邊做開發(fā)，所以這個(gè)章節(jié)可能需要等待一段時(shí)間我才會(huì)發(fā)布，這取決于我所掌握的資料詳盡程度。敬請(qǐng)關(guān)注。

User Account Control用戶帳戶控制

UAC可是Windows Vista在安全方面的重頭戲，盡管目前的版本還存在較大的爭(zhēng)議，但是它給我系統(tǒng)安全所帶來(lái)的作用依然不可小視，相信在最終發(fā)布時(shí)UAC將會(huì)以最符合用戶使用習(xí)慣的面貌來(lái)保護(hù)我們的計(jì)算機(jī)。

前面說(shuō)到IE的時(shí)候我就已經(jīng)說(shuō)過(guò)現(xiàn)在很多人在使用計(jì)算機(jī)的時(shí)候都喜歡用具有Admin權(quán)限的管理員身份帳戶登陸使用系統(tǒng)，這肯定是所有的安全專家都反對(duì)的行為，因?yàn)樗o我們的系統(tǒng)帶來(lái)了巨大的安全隱患，但是在Windows XP中如果用普通的User帳戶來(lái)使用的話將會(huì)面臨很多麻煩，比如安裝某個(gè)應(yīng)用程序就可能無(wú)法安裝，必須要我們注銷以后再用Admin登陸安裝或者使用Run As命令來(lái)實(shí)現(xiàn)，這對(duì)于普通用戶來(lái)說(shuō)肯定是無(wú)法忍受的。所以寧愿冒著安全風(fēng)險(xiǎn)使用Admin來(lái)使用系統(tǒng)，正所謂魚和熊掌不可兼得一樣，安全和易用性也是不可兼得的，你要使系統(tǒng)很安全，那么易用性方面肯定就相對(duì)較差，如果你想要一個(gè)很容易使用的系統(tǒng)那么這個(gè)系統(tǒng)肯定存在很多的安全隱患。所以在Windows Vista中就引入了UAC這個(gè)機(jī)制，在這個(gè)機(jī)制下使用普通的User帳戶登陸系統(tǒng)時(shí)如果要安裝某個(gè)程序或者某個(gè)操作需要用到Admin權(quán)限的話系統(tǒng)將會(huì)自動(dòng)識(shí)別出來(lái)并且彈出一個(gè)對(duì)話框告訴用戶這個(gè)操作需要用到管理員權(quán)限，并且會(huì)標(biāo)示出這個(gè)操作的發(fā)起源，用戶可以根據(jù)發(fā)起源的信息來(lái)判斷這個(gè)操作是否是自己所要做的，是的話就可以鍵入管理員的密碼來(lái)執(zhí)行這個(gè)操作。如果發(fā)現(xiàn)某個(gè)操作是來(lái)自一個(gè)未知的程序的話拒絕掉就好~這樣還可以達(dá)到阻止一些會(huì)悄悄在后臺(tái)自動(dòng)安裝的莫名其妙的程序。而對(duì)于很多專業(yè)的計(jì)算機(jī)用戶來(lái)說(shuō)可能更像避免這些麻煩，所以還是會(huì)使用管理員莊戶來(lái)登陸使用系統(tǒng)，不過(guò)在這個(gè)時(shí)候UAC還是還是會(huì)發(fā)揮作用哦~所以即使你使用的是管理員帳戶來(lái)登陸的系統(tǒng)，在運(yùn)行程序的時(shí)候系統(tǒng)依然只會(huì)分配給這些程序很有限的權(quán)限，只要使這些程序能正常運(yùn)作就可以了，當(dāng)某個(gè)程序或者操作會(huì)對(duì)系統(tǒng)的設(shè)置做更改的時(shí)候還是會(huì)彈出一個(gè)確認(rèn)對(duì)話框告訴用戶是否授權(quán)這項(xiàng)操作，只不過(guò)這個(gè)時(shí)候不再需要用鍵入管理員的密碼，還有當(dāng)某個(gè)程序或者操作請(qǐng)求的權(quán)限過(guò)大的時(shí)候還會(huì)出現(xiàn)傳說(shuō)中的黑屏，也就是系統(tǒng)會(huì)暫停當(dāng)前所有的進(jìn)程，彈出一個(gè)對(duì)話框警告用戶是否授權(quán)這項(xiàng)操作。我想這一點(diǎn)就是目前UAC被人指責(zé)得最多的地方了，所以很多用戶在一裝完Windows Vista的時(shí)候第一件事情就是關(guān)閉UAC。對(duì)于這一點(diǎn)我真是很替微軟難過(guò)，UAC的確是非常好的東西，我也非常不建議大家關(guān)閉它，而且如果你受不了那些提示對(duì)話框的話完全可以在不關(guān)閉UAC的情況下讓那些對(duì)話框不再煩我們，我們只需要做一些小小的設(shè)置。至于怎么樣來(lái)實(shí)現(xiàn)我又要賣關(guān)子了~~哈哈不要打我哦~畢竟這一章只是概覽啊，我會(huì)在Windows Vista TechView關(guān)于UAC的章節(jié)中做更詳細(xì)的介紹，并且現(xiàn)在已經(jīng)確定下來(lái)UAC這一章將會(huì)是第三章，也就是說(shuō)這個(gè)部分會(huì)很快和大家見(jiàn)面~~敬請(qǐng)期待哦。

Bitlocker Drive Encryption/ EFS Smartcard key storage/ RMS client

再來(lái)說(shuō)說(shuō)這個(gè)新的Bitlocker，這個(gè)組組件主要是在本地用軟硬結(jié)合的方式來(lái)保護(hù)我們硬盤上的數(shù)據(jù)的?，F(xiàn)在電腦的丟失已經(jīng)是很常見(jiàn)的事情了吧，有時(shí)候連放在辦公室的電腦有有可能會(huì)被偷走就更不要說(shuō)筆記本電腦和平板電腦了。而如果你的電腦中存放著很敏感的資料，例如你工作單位的一些機(jī)密、你的銀行賬戶等等這些如果被不懷好意的人拿到的話后果可能是致命的，不知道大家有沒(méi)有參加前兩天關(guān)于這個(gè)Bitlocker的Webcast，里面就提到幾個(gè)案例，因?yàn)榇娣胖舾匈Y料的筆記本被盜以后導(dǎo)致一個(gè)公司的商業(yè)機(jī)密泄露到了它的競(jìng)爭(zhēng)對(duì)手手中而面臨倒閉，也有個(gè)人資料泄露以后導(dǎo)致隱私被公開或者受到要挾。而Windows XP的賬戶密碼是非常脆弱的，懂一點(diǎn)專業(yè)技術(shù)的人都能在幾分鐘之內(nèi)破解掉它，拿到計(jì)算機(jī)里面的數(shù)據(jù)，這種攻擊方法稱之為離線式攻擊，也就是攻擊者直接接觸你的電腦來(lái)實(shí)施入侵行為，所以如何保護(hù)我們硬盤中的數(shù)據(jù)特別是對(duì)筆記本電腦這類更容易丟失的電腦來(lái)說(shuō)顯得尤為重要。Bitlocker也就是在這樣一種局面下誕生了，它采用了硬件和軟件相結(jié)合的方法來(lái)保護(hù)我們硬盤中的數(shù)據(jù)。啟用了Bitlocker 以后呢會(huì)生成兩個(gè)密鑰一個(gè)存放于引導(dǎo)分區(qū)中，另外一個(gè)存放在主板上的一個(gè)名叫TPM的芯片里，在計(jì)算機(jī)加電的時(shí)候首先是TPM最先加載，他會(huì)和引導(dǎo)區(qū)中的密鑰進(jìn)行對(duì)比驗(yàn)證，通過(guò)了以后才會(huì)加載BOIS完成計(jì)算機(jī)啟動(dòng)過(guò)程，而如果這當(dāng)中任何一個(gè)不匹配的話，比如有對(duì)這個(gè)TPM芯片作了手腳，或者是把硬盤拆下來(lái)放到別的機(jī)器中。Windows Vista將會(huì)拒絕掉密鑰的釋放，系統(tǒng)將無(wú)法啟動(dòng)。這個(gè)加密機(jī)制我可以毫不夸張地告訴大家，在各位的有生之年是它絕對(duì)是安全可靠的，不會(huì)被破解掉。當(dāng)然，對(duì)于一些可能存在的事情，比如主板壞啦，或者需要把磁盤移動(dòng)到一臺(tái)新的計(jì)算機(jī)中的時(shí)候，Bitlocker也提供了恢復(fù)功能，就是在加密的時(shí)候Bitlocker會(huì)給出一個(gè)48位的恢復(fù)密鑰，要求用戶在做加密的時(shí)候一定要妥善的保管這個(gè)密鑰，否則當(dāng)遇到上面提到的這些情況時(shí)你將永遠(yuǎn)無(wú)法取回那塊硬盤中的資料了。

再說(shuō)TPM芯片，這個(gè)東西是比較新的一種硬件芯片，在比較新的主板中已經(jīng)有了，我也在市場(chǎng)上看了一下，發(fā)現(xiàn)已經(jīng)有部分的主板和筆記本電腦都包含了這個(gè)芯片，但是包含著個(gè)芯片的臺(tái)式機(jī)主板還是比較少，但是在不久這種芯片將會(huì)得到普及。那么Bitlocker在沒(méi)有TPM芯片的電腦中就不能使用了嗎? 其實(shí)還是可以使用的，只需要一個(gè)USB Key就可以了，其實(shí)就是一個(gè)U盤，相信基本上都有這個(gè)東西吧~很方便的東西也很便宜。Vista完全可以用U盤來(lái)代替TPM芯片存放密鑰。所以說(shuō)Bitlocker的使用還是比較靈活的，并且在使用的時(shí)候不會(huì)對(duì)系統(tǒng)性能產(chǎn)生影響。

但是Bitlocker只能加密系統(tǒng)分區(qū)也就是Windows Vista所在的分區(qū)，那么其他分區(qū)的數(shù)據(jù)難道就得不到保護(hù)了嗎??我們說(shuō)其他分區(qū)的數(shù)據(jù)也是可以保護(hù)的，至于方法就是利用在Windows XP中就已經(jīng)存在EFS，這個(gè)是一種基于用戶賬戶的文件保護(hù)機(jī)制，也就是說(shuō)它使用用戶的計(jì)算機(jī)帳戶對(duì)該用戶的數(shù)據(jù)進(jìn)行加密，在Windows XP的使用過(guò)EFS的用戶一定知道，EFS的加密是非常有效的，并且在使用的時(shí)候完全沒(méi)有任何的影響，用戶完全感覺(jué)不到它的存在，然而當(dāng)換一個(gè)用戶登錄操作系統(tǒng)想要訪問(wèn)另一個(gè)賬戶的被加密的文檔時(shí)候肯定是不可能的，但是之所以這套加密機(jī)制在Windows XP中有如形同虛設(shè)的原因就是前面提到的，Windows XP的帳戶密碼可以在幾分鐘之內(nèi)被破解掉，因此EFS也就失去作用了，但是在Windows Vista中有Bitlocker來(lái)保護(hù)我們的系統(tǒng)分區(qū)，也就是等于保護(hù)了用戶賬戶，攻擊者在拿不到這些賬戶的時(shí)候是也就根本不可能拿到那些在其他分區(qū)中被EFS所保護(hù)的任何數(shù)據(jù)了。因此有了這套機(jī)制的保護(hù)，我們的硬盤就是被FBI拿到，他們拿硬盤中的數(shù)據(jù)也是沒(méi)有任何辦法的。

在上面標(biāo)題中我還寫了一個(gè)RMS client這是干什么的呢?這個(gè)RMS呢主要就是針對(duì)企業(yè)的一個(gè)文檔權(quán)限控制機(jī)制，他可以保護(hù)從電腦中發(fā)布出去的文件的安全，為什么這么說(shuō)呢，是因?yàn)镽MS可以非常有效的控制一個(gè)文件的使用權(quán)限，比如我發(fā)了一個(gè)Word文檔到網(wǎng)絡(luò)中，那么RMS在這個(gè)時(shí)候就可以發(fā)揮作用了，我完全可以設(shè)置這個(gè)Word文檔可以被什么人打開閱讀、可以被什么人修改、什么人不能看也不能修改、什么人可以看幾次、什么人可以在什么時(shí)間看等等非常詳細(xì)的權(quán)限設(shè)置。這對(duì)于一個(gè)企業(yè)網(wǎng)絡(luò)來(lái)說(shuō)是非常必要的。那么關(guān)于這部分的內(nèi)容還是就到這里暫停了哦~我會(huì)在Windows Vista TechView關(guān)于Bitlocker的章節(jié)中詳細(xì)的敘述，要期待哦~

最后還有一個(gè)東西，大家只需要了解就行。就是全新的加密架構(gòu)。

Windows Vista用新的加密基礎(chǔ)結(jié)構(gòu)代替了現(xiàn)有的CAPI 1.0 API。新的加密結(jié)構(gòu)可以允許客戶增加、替換系統(tǒng)中的加密算法，比如你甚至可以把SSL加密算法替換掉。可以在系統(tǒng)中加入自己開發(fā)的加密算法。這樣就解決一直來(lái)困擾很多國(guó)家政府機(jī)構(gòu)以及一些企業(yè)的憂慮，他們擔(dān)心使用美國(guó)的操作系統(tǒng)會(huì)對(duì)自己國(guó)家的安全構(gòu)成威脅，因?yàn)樗褂玫募用芩惴ㄊ敲绹?guó)人開發(fā)出來(lái)的，而現(xiàn)在呢各個(gè)國(guó)家完全可以自行開發(fā)自己的加密算法加入到系統(tǒng)中來(lái)，并且刪掉原來(lái)的那些算法，這樣就完全解決了各國(guó)政府等對(duì)使用美國(guó)操作系統(tǒng)的安全顧慮。

到這里本章的內(nèi)容就已經(jīng)基本上寫完了，感謝大家抽出寶貴的時(shí)間來(lái)閱讀，從文中可以看到這個(gè)Windows Vista TechView系列文本可能會(huì)有非常多的章節(jié)，至于最終會(huì)有多還不是很確定，畢竟需要詳細(xì)描寫的東西太多了，Windows Vista的改變完全可以稱之為一場(chǎng)翻天覆地的革命，并且目前這個(gè)系統(tǒng)還沒(méi)有發(fā)布，今后根據(jù)市場(chǎng)、技術(shù)或者其他原因在最終發(fā)布上市的Windows Vista中可能有些地方會(huì)和現(xiàn)在有所不同，因此這個(gè)TechView最后會(huì)出現(xiàn)多少章節(jié)我自己也無(wú)法控制。最后還是希望大家能從中獲益，同時(shí)也非常感謝大家的閱讀。