提到系统的安全特性,我个人认为这应该是 Windows Vista 最大的亮点了。它相比之前 Windows XP 来说可谓是一个飞跃。现在我们就从几个主要的方面一一阐述这些安全方面 的新特性。
在 Windows Vista 进入开发的时候就已经与以前的系统有很大的不同了,在这一整个的 开发过程微软始终是把“安全”放在最高的位置上来进行的, Windows Vista 的开发引入了 Security Development Lifecycl (安全开发生命周期)这是一个从系统的设计一直到发布 都始终贯穿其中的机制,它主要包括十一个流程。由于这个东西似乎和我们用户的关系不是 很大因此就不做过多的叙述了。
服务的强化升级,大家应该还记得当年恶贯满盈的冲击波吧,它就是通过攻击系统 RPC 服务的漏洞来攻击我们计算机的。在以前的系统中服务在计算机中基本上都是处在绝对高位 的地方来运作的,并且呢也没有针对服务的限制机构来对各种各样的服务进行管理,因此呢 就很容易出现某个核心服务被一些恶意的程序利用进而对我们的计算机造成破坏。这个问题 在 Windows Vista 中得到了解决,在 Windows Vista 中任何的系统关键服务都是不能做 任何越权操作的,这样如果有恶意程序想要利用一个系统的关键服务在我们的计算机中干坏 事的话,它是绝对不可能得逞的。那么我们知道除了 Windows 的系统服务以外,一些我们 需要用到的应用软件也是会把自身的一部分安装为一个服务来保证其可靠的运作。
在以前的 系统中,这些服务都是以 LocalSystem 这个账户运行的,在这样的情况下我们系统是非常 脆弱的,并且没有办法对这些第三方的服务进行有效的管理,严重的威胁到了系统的安全以及稳定性。而在 Windows Vista 中则完全改变了这样的格局,首先引入了每个服务的安全 标识符 (SID) 。它启用了每个服务的标识,该标识随后又通过现有 Windows 访问控制模 型(包括使用访问控制列表 (ACL) 的所有对象和资源管理器)启用访问控制分区。服务就 可以显示 ACL 应用于该服务专用的资源,从而可防止其他服务和用户访问这些资源。
然后现在服务不在回像以前一样使用 LocalSystem 账户来运行,而是由专门的权限较低的 LoaclService 、 NetworkService 等这些账户来运行,这会降低服务的总体权限级别,就类 似于 “ 用户帐户保护 ” 的机制。 并且去除了服务中不必要的系统权限。另外在 Windows Vista 中第三方的程序要插入一个令牌到服务中已经被限制了,也就说没有得到服务 SID 访问的 程序要想将它的令牌写入服务中的话将会以失败告终,这样就可以彻底的保证在我们电脑中 的每一个服务都是干净的,这些服务不会再被一些恶意的程序所利用进而来对我们的系统实 施破坏。最后更令人激动人心的一点就是基于每个服务都具有单独且唯一的 SID,这样便可 以利用 Windows 防火墙对每一个服务进行规则限制,这样做的好处是显而易见的,比方说 一个存在一定安全风险的服务可能存在被网络上其他的一些我们没有授权的东西利用来侵 入或者做一些我们不希望看到的事情的时候,你完全可以在防火墙中将这个服务的网络访问 规则做一个限制,这一点我会在 Windows Vista TechVIEw 关于防火墙的章节中做出详细 的叙述。
通过上面的简要介绍我们可以看到, Windows Vista 的服务强化升级可是使我们的系统时 刻处在最安全的状态,但是大家也要明白,只靠服务强化升级是不足以构成保护我们系统的 安全体系的,它也需要和 Windows Vista 中的其他安全模块协同运作,比如上面提到的 Windows 防火墙。好了,这个今天就先说道这里毕竟着一章是概览 ~ 我会在 Windows Vista TechView 关于系统服务的章节中做详细叙述,敬请期待 ~ 。
Internet Explorer 7 保护模式
说道安全就不能不说一下目前网页浏览所存在的安全隐患了,随着互联网的飞速发展,越来 越多的 Web 应用已经走入了我们的生活,同时各种各样的 Web 也是我们获取信息的最重 要途径,但是林子大了什么鸟都有这句话似乎总是应验在所有的事物上面。如今的互联网处 处充满了陷阱与美丽的谎言。网页恶意代码, Web 上面许多不怀好意的控件,欺诈我们财 产的钓鱼网站,等等这些已经对我们的电脑构成了严重的威胁,甚至是一场灾难。每年因为 网页恶意代码导致系统瘫痪,因为很多不请自来的控件在占用我们紧俏的系统资源做一些上 帝都不知道的事情,因为被钓鱼网站欺骗而只是我们信用卡中的数字呈指数级下降的案例已 经不计其数。可能对于精通电脑的人来说可以更多减少这些威胁但是对于更多的普通用户应 该怎么面对这样一个严峻的考验呢? 就是在这样的时候 Internet Explorer 7 的保护模式 被设计了出来,它能给我们怎样的保护?我们接下来就大概的看一下吧。
IE7 的保护模式是构建于 Windows Vista 的 UAC 也就用户账户控制这个模块上面的,在以 前的 IE 以及系统中 IE 浏览网站时使用有的权限就是我们登陆系统时用的帐户的所有权限, 而大多数的用户在使用 Windows XP 的时候都喜欢用具有 Admin 权限的管理员身份帐户 来使用系统,这个时候 IE 自然也就拥有了 Admini 的所有权限,因此呢网页上那些恶意的 代码或者控件才有了可趁之机,拿着管理员的权限在我们的系统中为所欲为。那么在 Windows Vista 中这个情况将得到改变, IE 在默认的情况下系统只会给他浏览网页所必需 的一些权限而不会给他管理员的权限,这些管理员权限对于网页浏览器来说是多余的。所以 说在默认的情况下呢 IE 是不能修改用户的文件或者对系统进行配置的,这样即使我们访问 到一个含有恶意代码或控件的网页时这些代码也会因为没有足够的权限而胎死腹中变得一 无是处。
然后便是钓鱼网站,这些网站一般会伪装成某个银行或者某个网络服务商的网页, 然后以种种借口欺骗用户在这个页面上面输入自己的账户,从而达到窃取用户财产的目的。因为受到这些钓鱼网站欺骗造成财产损失的事情如今已是屡见不鲜,我认识的朋友中就有好 几个遭此不幸。解决一问题已经迫在眉睫,所以在 IE7 中就引入了专门针对这些网站的应对 机制。第一、网页仿冒的筛选,启用这个功能以后,我们如果放到一些仿冒的钓鱼网站的时 候 IE 首先就会停止加载这个页面,同时给出明确的警告,当然如果你确定你访问的这个页 面是安全的那么就可以点击继续访问。看到这里可能很多人会问 IE7 是怎么知道某个站点是 假冒的呢?其实这还要归功于微软庞大的资源,这些站点的关键字以及特征是被存放在微软 专门的一个服务器上面的,访问网页的时候 IE7 会先到这个服务器上查找,如果找到匹配的 记录那么 IE7 便会给出警告
。这个服务器中的数据一般是几分钟就更新一次,其数据的主要 来源是微软放到网络中的蜘蛛抓取还有用户的举报提交。前者就不用过多的解释了,对于后 者就是说我们如果发现某个站点可能是仿冒的用来欺骗我们的时候便可使用 IE7 的仿冒网 页提交功能将信息提交给微软,微软会对用户提交的信息做进一步的核实,确定之后这个站 点就会被立即添加进服务器中。这样一来那些假冒的网页就无处藏身了,但是很多人又有了 很多的疑问。这样每次打开一个网页 IE7 就要连接到微软的服务器作检查一定会让网页访问 变得很慢吧;这个数据筛选的服务器是微软的那么微软肯定会把竞争对手的网页也添加进取 咯? 等等,对于这些问题我自己也很关心 ~ 但是我在经过一段时间的使用后发现呢这个筛 选基本上不会拖慢网页开启的速度,虽然的确有一些延迟但是用户在使用的时候肯定是不容 易察觉这一秒钟以内的延迟的。对于第二问题我也专门问了一位 Windows 安全开发小组 的主管,对方给我的答复是否定的,就是说微软绝对不会把竞争对手的站点添加到这个服务 器中,而且如果今后有必要的话将会有第三方监管机构介入近来,所以大家还是可以相信微 软的。
那么说完这个大头以后呢在来看一个细节部分,就是地址栏的颜色状态反映和动态 安全状态栏。就是说呢比如我们在访问一个采用 SSL (安全套链字层)加密的站点时,地址 栏会变成黄色的,提醒用户现在的这个站点是被加密的,同时在地址栏右侧会出现一个安全状态栏,用户可以通过这个状态栏知道该站点目前的证书是否有效。 那么 IE7 方面今天就先说道这里,我会在 Windows TechView 关于 IE7 的章节中做更详细 的介绍。敬请期待哦!
Windows Defender 防间谍软件
木马!如今已经取代了病毒的老大地位,成为了用户最担心的东西。我的 XX 帐户被盗啦 ~ 这句话现在随处可见。而木马能做的事情却并非只是盗取一个 XX 帐户那么简单,它能窃取 计算机中的资料; 在企业网络中如果某一台计算机中了木马,那么他很可能通过这台计算机 来入侵整个企业网络,窃取商业机密;准黑客们也会通过对别的计算机安插木马来做跳板实 施他堕落的某个计划。由此来看木马无疑又是一个严重威胁到我们计算机安全的东西。另外 还有一种称作 Malware 的东西,这些东西总是后台运行在计算机当中,严重的降低了系统 性能,使系统变得迟钝,并且令我们的系统千疮百孔。现在有很多的反病毒厂商都推出了专 门针对木马和这些间谍软件的工具或者附加模块。 Windows Vista 中也已经加入了这个新的成员, Windows Defender 。它的工作就是发现 并清除我们计算机中的这些坏家伙。并且 Windows Defender 是免费的,它包含在 Windows Vista 的安装光盘中,所以不需要用户另外花钱购买,这一点我觉得很好,又少 了一笔开销,呵呵。 具体的今天就不谈了,我会在 Windows Vista TechVIEw 关于 Windows Defender 的章节中做详细的介绍。敬请期待哦。
IPSec/Firewall Integration
在 Windows Vista 中另一个重大的改变就是防火墙这个部分,我们知道在 Windows XP 中呢已经加入了 Windows 防火墙这个组件,但是相信真正用的人不多,大部分用户包括我肯定是购买第三方的防火墙来用,比如我就用的是 McAfee 的墙,具体的原因恐怕就是 Windows XP 中的防火墙简陋得可怕,有时候甚至怀疑它是否能真正发挥作用。并且你根 本不要想对它做深入的设置,这一点就是我不用它的理由了。 现在 Windows Vista 中的防火墙终于是飞黄腾达了,它有了非常完美的控制台,这个控制 台是基于 GP 的也就是组策略,因此不仅是对于单独的电脑配置明确简单,对于一个管理多 台计算机的管理员来说也更容易管理。今天就先卖个关子 ~ 我会在 Windows Vista TechView 关于组策略的章节中详细的介绍它 ~ 要期待哦。
还有呢就是 Windows Vista 中 的防火墙已经可以实现通信的双向控制了,也就是说你不仅可以控制连入电脑的访问,也可 以控制流出的数据,这在很多第三方的防火墙中都是可以实现的,它的好处也是很显而易见 的。还有最大的亮点便是 IPSec 的整合了, IPSec ( IP 安全策略)是所有的 ITPro 一直以来 很喜欢的一个东西,有一些人甚至利用 IPSec 就可以达到使用防火墙的目的,因此就这一点 与 IPSec 的整合上来看 Windows Vista 中的防火墙在某种层面上就足以超越其他第三方的 软件防火墙了,并且对于第三方的软件防火墙来说最致命的就是它是完全免费的,包含在 Windows Vista 的安装光盘中,系统装好了就有,又少了一笔开销哦 ~ 呵呵,今天关于防火 墙的话题还是要到这里就停一下了,我会在 Windows Vista TecnView 关于防火墙与 IPSec 的章节中详细介绍,敬请期待哦。
Network Access Protection 网络访问保护
既然扯到了防火墙与 IPSec ,也就不得不引入 NAP 的话题了,在 Windows Vista 中内建了 NAP 的客户端, NAP 是一种全新的内部网络针对从外往访问接入的保护体系,在 Windows Vista 中只有它的客户端,而服务端则是包含在 Windows Longhorn Server ( Code Name ) 中的,所以 NAP 是需要网络中的 Windows Longhorn Server ( Code Name )来配置管理来运行。 NAP 的工作主要是保护内部网络,它主要应用在企业网络环境中。比方说你下 班或者出差的时候需要访问公司网络调用当中的一些资源时,你向公司网络发起访问请求, 这个时候首先会由 NAP 来对你的计算机做安全检查,这些检查包括你的电脑中是否有病毒、 是否存在木马、是否打了安全更新补丁、或者是别的安全规则是否已经满足,验证完这些以 后确定你的电脑是安全的才会给你访问内部网络的令牌,如果达不到安全要求则会将你防在 隔离区域,然后非常详细的列出是什么地方没有达到要求,并且给出最快的解决方法,等到 符合要求以后才会给你发放访问令牌。
而这些安全规则是可以由公司 IT 管理员来针对企业 的要求作出自由详细的设定。当然对于普通在家使用电脑的用户来说这个功能可能没有多大 的关系,所以只要了解一下下就好,如果想要了解 NAP 的朋友可以稍微等待几天我会在不 久发布 Windows Vista TechView 关于 NAP 的章节做详细叙述,因为现阶段 NAP 的所有 功能还没有完全开发出来,其关键部位还在 Windows Server 那边做开发,所以这个章节 可能需要等待一段时间我才会发布,这取决于我所掌握的资料详尽程度。敬请关注。
User Account Control 用户帐户控制
UAC 可是 Windows Vista 在安全方面的重头戏,尽管目前的版本还存在较大的争议,但是 它给我系统安全所带来的作用依然不可小视,相信在最终发布时 UAC 将会以最符合用户使 用习惯的面貌来保护我们的计算机。
前面说到 IE 的时候我就已经说过现在很多人在使用计算机的时候都喜欢用具有 Admin 权限 的管理员身份帐户登陆使用系统,这肯定是所有的安全专家都反对的行为,因为它给我们的 系统带来了巨大的安全隐患,但是在 Windows XP 中如果用普通的 User 帐户来使用的话 将会面临很多麻烦,比如安装某个应用程序就可能无法安装,必须要我们注销以后再用 Admin 登陆安装或者使用 Run As 命令来实现,这对于普通用户来说肯定是无法忍受的。
所以宁愿冒着安全风险使用 Admin 来使用系统,正所谓鱼和熊掌不可兼得一样,安全和易 用性也是不可兼得的,你要使系统很安全,那么易用性方面肯定就相对较差,如果你想要一 个很容易使用的系统那么这个系统肯定存在很多的安全隐患。所以在 Windows Vista 中就 引入了 UAC 这个机制,在这个机制下使用普通的 User 帐户登陆系统时如果要安装某个程 序或者某个操作需要用到 Admin 权限的话系统将会自动识别出来并且弹出一个对话框告诉 用户这个操作需要用到管理员权限,并且会标示出这个操作的发起源,用户可以根据发起源 的信息来判断这个操作是否是自己所要做的,是的话就可以键入管理员的密码来执行这个操 作。
如果发现某个操作是来自一个未知的程序的话拒绝掉就好 ~ 这样还可以达到阻止一些会 悄悄在后台自动安装的莫名其妙的程序。而对于很多专业的计算机用户来说可能更像避免这 些麻烦,所以还是会使用管理员庄户来登陆使用系统,不过在这个时候 UAC 还是还是会发 挥作用哦 ~ 所以即使你使用的是管理员帐户来登陆的系统,在运行程序的时候系统依然只会 分配给这些程序很有限的权限,只要使这些程序能正常运作就可以了,当某个程序或者操作 会对系统的设置做更改的时候还是会弹出一个确认对话框告诉用户是否授权这项操作,只不 过这个时候不再需要用键入管理员的密码,还有当某个程序或者操作请求的权限过大的时候 还会出现传说中的黑屏,也就是系统会暂停当前所有的进程,弹出一个对话框警告用户是否 授权这项操作。
我想这一点就是目前 UAC 被人指责得最多的地方了,所以很多用户在一装 完 Windows Vista 的时候第一件事情就是关闭 UAC 。对于这一点我真是很替微软难过, UAC 的确是非常好的东西,我也非常不建议大家关闭它,而且如果你受不了那些提示对话 框的话完全可以在不关闭 UAC 的情况下让那些对话框不再烦我们,我们只需要做一些小小 的设置。至于怎么样来实现我又要卖关子了 ~~ 哈哈不要打我哦 ~ 毕竟这一章只是概览啊, 我会在 Windows Vista TechView 关于 UAC 的章节中做更详细的介绍,并且现在已经确定 下来 UAC 这一章将会是第三章,也就是说这个部分会很快和大家见面 ~~ 敬请期待哦。
Bitlocker Drive Encryption/ EFS Smartcard key storage/ RMS clIEnt
再来说说这个新的 Bitlocker ,这个组组件主要是在本地用软硬结合的方式来保护我们硬盘 上的数据的。现在电脑的丢失已经是很常见的事情了吧,有时候连放在办公室的电脑有有可 能会被偷走就更不要说笔记本电脑和平板电脑了。而如果你的电脑中存放着很敏感的资料, 例如你工作单位的一些机密、你的银行账户等等这些如果被不怀好意的人拿到的话后果可能 是致命的,不知道大家有没有参加前两天关于这个 Bitlocker 的 Webcast ,里面就提到几个 案例,因为存放着敏感资料的笔记本被盗以后导致一个公司的商业机密泄露到了它的竞争对 手手中而面临倒闭,也有个人资料泄露以后导致隐私被公开或者受到要挟。
而 Windows XP 的账户密码是非常脆弱的,懂一点专业技术的人都能在几分钟之内破解掉它,拿到计算机里 面的数据,这种攻击方法称之为离线式攻击,也就是攻击者直接接触你的电脑来实施入侵行 为,所以如何保护我们硬盘中的数据特别是对笔记本电脑这类更容易丢失的电脑来说显得尤 为重要。 Bitlocker 也就是在这样一种局面下诞生了,它采用了硬件和软件相结合的方法来 保护我们硬盘中的数据。启用了 Bitlocker 以后呢会生成两个密钥一个存放于引导分区中, 另外一个存放在主板上的一个名叫 TPM 的芯片里,在计算机加电的时候首先是 TPM 最先 加载,他会和引导区中的密钥进行对比验证,通过了以后才会加载 BOIS 完成计算机启动过 程,而如果这当中任何一个不匹配的话,比如有对这个 TPM 芯片作了手脚,或者是把硬盘 拆下来放到别的机器中。
Windows Vista 将会拒绝掉密钥的释放,系统将无法启动。这个 加密机制我可以毫不夸张地告诉大家,在各位的有生之年是它绝对是安全可靠的,不会被破 解掉。当然,对于一些可能存在的事情,比如主板坏啦,或者需要把磁盘移动到一台新的计 算机中的时候, Bitlocker 也提供了恢复功能,就是在加密的时候 Bitlocker 会给出一个 48 位的恢复密钥,要求用户在做加密的时候一定要妥善的保管这个密钥,否则当遇到上面提到的这些情况时你将永远无法取回那块硬盘中的资料了。
再说 TPM 芯片,这个东西是比较新的一种硬件芯片,在比较新的主板中已经有了,我也在 市场上看了一下,发现已经有部分的主板和笔记本电脑都包含了这个芯片,但是包含着个芯 片的台式机主板还是比较少,但是在不久这种芯片将会得到普及。那么 Bitlocker 在没有 TPM 芯片的电脑中就不能使用了吗? 其实还是可以使用的,只需要一个 USB Key 就可以 了,其实就是一个 U 盘,相信基本上都有这个东西吧 ~ 很方便的东西也很便宜。 Vista 完全 可以用 U 盘来代替 TPM 芯片存放密钥。所以说 Bitlocker 的使用还是比较灵活的,并且在 使用的时候不会对系统性能产生影响。
但是 Bitlocker 只能加密系统分区也就是 Windows Vista 所在的分区,那么其他分区的数 据难道就得不到保护了吗??我们说其他分区的数据也是可以保护的,至于方法就是利用在 Windows XP 中就已经存在 EFS ,这个是一种基于用户账户的文件保护机制,也就是说它 使用用户的计算机帐户对该用户的数据进行加密,在 Windows XP 的使用过 EFS 的用户一 定知道, EFS 的加密是非常有效的,并且在使用的时候完全没有任何的影响, 用户完全感觉 不到它的存在, 然而当换一个用户登录操作系统想要访问另一个账户的被加密的文档时候肯 定是不可能的,但是之所以这套加密机制在 Windows XP 中有如形同虚设的原因就是前面 提到的, Windows XP 的帐户密码可以在几分钟之内被破解掉, 因此 EFS 也就失去作用了, 但是在 Windows Vista 中有 Bitlocker 来保护我们的系统分区,也就是等于保护了用户账 户,攻击者在拿不到这些账户的时候是也就根本不可能拿到那些在其他分区中被 EFS 所保 护的任何数据了。 因此有了这套机制的保护, 我们的硬盘就是被 FBI 拿到, 他们拿硬盘中的 数据也是没有任何办法的。
在上面标题中我还写了一个 RMS client 这是干什么的呢?这个 RMS 呢主要就是针对企业 的一个文档权限控制机制,他可以保护从电脑中发布出去的文件的安全,为什么这么说呢,是因为 RMS 可以非常有效的控制一个文件的使用权限, 比如我发了一个 Word 文档到网络 中, 那么 RMS 在这个时候就可以发挥作用了, 我完全可以设置这个 Word 文档可以被什么 人打开阅读、 可以被什么人修改、什么人不能看也不能修改、 什么人可以看几次、 什么人可 以在什么时间看等等非常详细的权限设置。 这对于一个企业网络来说是非常必要的。 那么关 于这部分的内容还是就到这里暂停了哦 ~ 我会在 Windows Vista TechView 关于 Bitlocker 的章节中详细的叙述,要期待哦 ~
最后还有一个东西,大家只需要了解就行。就是全新的加密架构。 Windows Vista 用新的加密基础结构代替了现有的 CAPI 1.0 API 。新的加密结构可以允许 客户增加、替换系统中的加密算法,比如你甚至可以把 SSL 加密算法替换掉。可以在系统 中加入自己开发的加密算法。 这样就解决一直来困扰很多国家政府机构以及一些企业的忧虑, 他们担心使用美国的操作系统会对自己国家的安全构成威胁, 因为所使用的加密算法是美国 人开发出来的, 而现在呢各个国家完全可以自行开发自己的加密算法加入到系统中来, 并且 删掉原来的那些算法,这样就完全解决了各国政府等对使用美国操作系统的安全顾虑。
到这里本章的内容就已经基本上写完了, 感谢大家抽出宝贵的时间来阅读, 从文中可以看 到这个 Windows Vista TechView 系列文本可能会有非常多的章节,至于最终会有多还不 是很确定,毕竟需要详细描写的东西太多了, Windows Vista 的改变完全可以称之为一场 翻天覆地的革命, 并且目前这个系统还没有发布, 今后根据市场、 技术或者其他原因在最终 发布上市的 Windows Vista 中可能有些地方会和现在有所不同,因此这个 TechView 最后 会出现多少章节我自己也无法控制。 最后还是希望大家能从中获益, 同时也非常感谢大家的 阅读。
