作者：IT168 雪影藍(lán)風(fēng) 編譯

【IT168 產(chǎn)品應(yīng)用】Windows Vista中最廣為宣傳的特征之一就是安全性——也是微軟更新的焦點(diǎn)以及對(duì)使Windows操作系統(tǒng)更為可靠的致力專注。

確實(shí)，Vista里塞滿了新的安全特性——包括嵌入的防火墻，整合的反間諜軟件功能，BitLocker驅(qū)動(dòng)加密以及UAC(用戶帳戶控制)——而這些特性最終將使用戶們大為獲益。對(duì)于企業(yè)用戶來說，他們需要的是跨平臺(tái)的功能，集中化的處理能力和絕對(duì)可靠的信賴程度，這些新的特性似乎只是一些修飾性的裝飾。無論對(duì)于企業(yè)還是個(gè)人，下面我們來深入研究一下Vista的安全特性。

BitLocker硬盤加密技術(shù)

eWEEK實(shí)驗(yàn)室也對(duì)BitLocker對(duì)企業(yè)的潛在作用十分感興趣，由于它能加密所有系統(tǒng)驅(qū)動(dòng)的內(nèi)容——操作系統(tǒng)和數(shù)據(jù)文件皆可。

BitLocker能加密所有系統(tǒng)驅(qū)動(dòng)的內(nèi)容（點(diǎn)擊看大圖）

BitLocker嘗試提供一種與最終用戶無縫接近的體驗(yàn)。理想中，解密的密鑰儲(chǔ)存在主板中的芯片上，能夠在啟動(dòng)時(shí)解密硬件驅(qū)動(dòng)。管理員能夠?qū)itLocker進(jìn)行配置，要求一個(gè)用戶進(jìn)入的驗(yàn)證碼，作為一個(gè)嵌入式的密鑰，一旦驅(qū)動(dòng)被自動(dòng)載入，它能夠防止數(shù)據(jù)竊取者通過從其它引導(dǎo)驅(qū)動(dòng)進(jìn)行的離線攻擊而不是一個(gè)在線的暴力式的攻擊。

打算使用BitLocker的企業(yè)需要從開始使用Vista就要有所準(zhǔn)備：系統(tǒng)的硬件驅(qū)動(dòng)需要以這樣一種方式進(jìn)行劃分，引導(dǎo)管理和引導(dǎo)鏡像都需要儲(chǔ)存在獨(dú)立于操作系統(tǒng)、應(yīng)用程序和數(shù)據(jù)文件之外的分區(qū)中。雖然通過現(xiàn)有的安裝項(xiàng)目有可能再分配一個(gè)分區(qū)，但這個(gè)過程并不是直接易懂的。同時(shí)，管理員需要確保計(jì)算機(jī)的BIOS做好了Vista的準(zhǔn)備，同時(shí)，還需要有一個(gè)主板上的TPM（受信平臺(tái)管理）芯片，或能夠支持在預(yù)引導(dǎo)的情況下能訪問USB記憶棒。

然而，在目前Vista發(fā)展的早期階段，對(duì)于硬件制造商所提供的必要的支持水平仍然還是不可或缺。例如，雖然Vista的TPM驅(qū)動(dòng)是不帶商標(biāo)的，我們還是不能更新獲得這個(gè)驅(qū)動(dòng)，以正確地安裝到我們的聯(lián)想ThinkPad T60上。我們需要對(duì)BIOS進(jìn)行全新校訂的升級(jí)，接著人工地定位與安裝這個(gè)驅(qū)動(dòng)。根據(jù)微軟的工程師所說，T60的TPM芯片不能描述出設(shè)備的身份，讓Vista得以識(shí)別，所以驅(qū)動(dòng)才無法被自動(dòng)安裝。

TPM芯片終于可用后，我們就能通過BitLocker的設(shè)置壓縮開始加密過程，它會(huì)要求我們?cè)陂_始系統(tǒng)檢查之前儲(chǔ)存加密密鑰，以確保BitLocker能夠開始工作。這個(gè)壓縮會(huì)復(fù)引導(dǎo)機(jī)器，測(cè)試這個(gè)密鑰是否會(huì)被破解，接著就會(huì)開始對(duì)整個(gè)分區(qū)進(jìn)行加密。 我們發(fā)現(xiàn)，實(shí)際上磁盤加密過程是很慢的，一個(gè)30GB的分區(qū)需要花費(fèi)一個(gè)多小時(shí)的時(shí)間。此外，由于加密密鑰需要在一臺(tái)接一臺(tái)的機(jī)器上被創(chuàng)建，因此它就會(huì)花費(fèi)大量的時(shí)間和管理員的精力來通過BitLocker啟用許多的筆記本電腦。

根據(jù)文件說明，管理員必須在開始進(jìn)行一項(xiàng)BIOS升級(jí)時(shí)先關(guān)閉BitLocker以將分區(qū)解密。對(duì)BIOS所作的簡(jiǎn)單更改可以在暫時(shí)禁用BitLocker的情況下完成，雖然我們發(fā)現(xiàn)一些更改——例如改變分區(qū)引導(dǎo)的順序，則不需要這個(gè)步驟。我們也確實(shí)注意到，當(dāng)Vista安裝光盤仍在光驅(qū)中，我們就開始啟動(dòng)我們測(cè)試的計(jì)算機(jī)時(shí)，我們不得不手動(dòng)地輸入恢復(fù)性的密鑰來啟動(dòng)系統(tǒng)，即使我們選擇不要通過光驅(qū)進(jìn)行實(shí)際引導(dǎo)。

通過快速地改變一個(gè)組策略設(shè)置，我們也能夠利用BitLocker而不需要TPM芯片，只需要在啟動(dòng)時(shí)將一個(gè)USB閃存盤插入計(jì)算機(jī)來提供解密密鑰。BIOS在啟動(dòng)的過程中必須要能夠訪問到這個(gè)密鑰才能夠工作——一些我們無法在ThinkPad T60上實(shí)現(xiàn)的事卻能夠通過有著AMD Athlon 64 3500+的處理器和一塊Abit主板的定制的計(jì)算機(jī)來做到。

反間諜軟件和防火墻

Vista中還包括了Windows Defender的反間諜軟件程序。在之前的測(cè)試中，我們發(fā)現(xiàn)Windows Defender用于偵測(cè)、移除和阻止間諜軟件，還是可勝任的解決方案，但一些殘留還是會(huì)繼續(xù)留在Vista中。

Windows Defender也許能夠作為選用了其它公司的標(biāo)準(zhǔn)反病毒/反間諜軟件之后的第二條防線。因?yàn)樗狈谢牟呗钥刂疲矸荼O(jiān)控以及反饋能力，企業(yè)在許多的調(diào)校管理中，必須有其它合適的方案來提供必須的文件說明和控制手段。

Vista中集成的Windows Defender并不是非常令人滿意（點(diǎn)擊看大圖）

通過活動(dòng)目錄組策略，我們僅能夠控制Windows Defender的一些動(dòng)作：我們可以禁用或啟用程序，啟用一些登錄規(guī)則，以及配置SpyNet的反饋特征。我們無法預(yù)定掃描，更改重要的升級(jí)檢查間隔時(shí)間，或是指明一些集中化反饋的形式。我們能夠啟用的應(yīng)用僅是使用了Vista的計(jì)算機(jī)而不是合法的Windows版本，這樣就使得Windows Defender的安裝就像一個(gè)孤立的應(yīng)用程序一樣。

隨時(shí)準(zhǔn)備著提供企業(yè)級(jí)別的管理和反饋能力的是微軟的ForeFront ClIEnt Security套件。于2007年第二季度上市的ForeFront，其具備了反間諜軟件的Windows Defender同樣的能力，并有著OneCare同樣的反病毒引擎。目前ForeFront的測(cè)試版已開放下載。

Vista是第一個(gè)能夠提供整合了的雙向防火墻的操作系統(tǒng)，我們對(duì)此總體還是感覺滿意的。而Windows XP中的防火墻僅能夠阻擋輸入的網(wǎng)絡(luò)流量，Vista的防火墻卻可以監(jiān)控和阻止輸出的內(nèi)容，這樣就能夠防止為授權(quán)的內(nèi)容從已安裝的應(yīng)用程序中流出。

現(xiàn)在你能夠?qū)ο騼?nèi)和向外的連接都進(jìn)行保護(hù)

基本的Windows防火墻設(shè)置的配置面板看上去與XP中的防火墻配置面板相似，雖然有一個(gè)用來阻止所有輸入的設(shè)置的新的按鈕替換了過去用來禁止策略異常的功能。

細(xì)看下去，策略異常的頁面看起來非常像XP的重復(fù)的部分，但I(xiàn)CMC協(xié)議（Internet Control Message Protocol）的減免規(guī)則卻明顯的不見了。這些減免策略，伴隨著用于輸出內(nèi)容的策略控制，現(xiàn)在都存在于一個(gè)新的基于MMC（微軟管理控制臺(tái)）的配置下，名叫改進(jìn)安全性的Windows防火墻。

盡管我們認(rèn)為整個(gè)整合了的防火墻工具還是具有很高的功能性，但對(duì)于那些在可預(yù)見的未來中還必須繼續(xù)支持合法Windows操作系統(tǒng)的大企業(yè)來說，我們?nèi)詰岩伤欠裼凶銐虻奈Α榱四軌蚴构芾砗?jiǎn)單化，一個(gè)已經(jīng)為他們基于XP的工作平臺(tái)用第三方的防火墻標(biāo)準(zhǔn)化了的阻止，將會(huì)十分不情愿再特別地去部署和管理Vista的Windows防火墻。相反，他們很可能避開這個(gè)第三方的Vista防火墻，無論它什么時(shí)候是可用的。

用戶帳戶控制

Vista的UAC是微軟第一次嘗試開發(fā)讓用戶以限制的本地權(quán)限來運(yùn)行的操作系統(tǒng)，而不是通過管理員身份的證明。

核心的管理員能夠指定兩種UAC模式：用戶能夠被禁止享有管理員所有的功能的權(quán)限，例如安裝軟件以及改變系統(tǒng)設(shè)置，或是他們能夠在一個(gè)安全的界面中，無論管理員的行為什么時(shí)候發(fā)生，他們都能收到警示。 運(yùn)行后一種模式，UAC會(huì)產(chǎn)生許多的警示信息，足以使用戶對(duì)那些信息內(nèi)容感到麻木，只是機(jī)械地點(diǎn)擊“Yes”，“Yes”，“Yes”。IT經(jīng)理們將其看作是類似XP或Windows 2000這樣的系統(tǒng)下LUA（最低用戶權(quán)限）的情況，因此他們很可能不會(huì)讓他們的用戶蒙受這樣的遭遇，而會(huì)以第一種模式所描述的方式運(yùn)行UAC。

微軟對(duì)UAC所作的構(gòu)想上的飛躍我們還是感到欣喜的，它意識(shí)到用戶應(yīng)該不會(huì)時(shí)時(shí)刻刻都以管理員的權(quán)限在運(yùn)行系統(tǒng)。但UAC所能提供的這些標(biāo)準(zhǔn)，是IT部門很早前就應(yīng)該會(huì)棄用的，也確實(shí)希望不去使用的。

（原文作者：Andrew Garcia)