微软一直将Vista定位为一个最安全的Windows操作系统,而他是如何打造这个安全航母的呢?下面,就看看小编编译自MSBLOG上的一位Vista开发人员的一个笔记吧:
在Windows Vista中,我们对我们的用户帐号模型进行了许多改变。在初始化安装之后,标准用户如今是新账号创建的默认用户类型。Power Users组被有效的限制了。另外,默认情况下,我们还使以一个标准用户身份进行操作更加容易,使管理员身份的操作以有限的Windows特权和用户权限进行。但是人们经常问我们,“关于内建的管理员帐号都有什么?如果存在一个没有密码的管理员帐号不就是存在一个安全隐患了?”是的,在某些情况下,这个管理员帐号可以用来智取其他安全体系。比如,如果用内建管理员帐号可以轻易登陆子系统,并且可以做任何他们希望做的,包括禁用父级别控制(Parental Control),那么那么父系统的控制将系统虚设。
在Windows Vista RC1中,我们进行许多改变,完善了大多数运行环境中的内建管理员帐号的禁用。这些改变被应用到系统中默认的叫做Administrator的默认管理员帐号,该帐号在系统安装的时候即创建。
1、在最新Windows Vista的安装中,管理员帐号是默认禁用的。
2、如果在从Windows XP升级至Windows Vista的过程中,内建Administrator是系统中唯一被激活的本地管理员帐号,Windows Vista将仍旧启用该帐号,并将其至于Admin Approval Mode中。默认情况,内建的管理员帐号不能在安全模式登陆这台计算机。请查阅下列段节获取更多信息。
3、在没有加入某个域的计算机上,当至少有一个启用的本地管理员帐号的时候,安全模式将禁止默认的内建管理员帐号的登陆。相反,任何本地管理员帐号可以登陆。如果最后一个本地管理员帐号被无意中降级或者删除了,那么安全模式将允许禁用的内建管理员帐号登陆安全模式进行灾难恢复。
4、再一台加入到某个域的计算机上,禁用的内建管理员帐号将不能登陆安全模式。默认下,如果没有本地管理员帐号,一个Domain Admins组成员的用户帐号可以登陆这台计算机并创建一个本地管理员帐号。如果该域的管理帐号先前并没有登陆过该计算机,那么该计算机必须在带有网络连接的安全模式下启动,因为帐号证书并没有被缓存。一旦该计算机从该域退出,它将返回先前提到的未加入某域的行为状态。
作为一个Windows Vista的用户,你必须意识到这点:禁用内建管理员帐号意味着,你不能忘记用以登陆这台电脑的其他管理员帐号的用户名和密码。如果你忘记了,那么你将面临无法对你的电脑再进行管理员级别的改动--甚至根本无法登陆。当这种情况发生之后,家庭用户可以参考如下几点建议:
1、通过用户帐号控制面板(User Accounts Control Panel)的忘记密码向导(Forgotten PassWord wizard)来为你的帐号创建一个密码恢复磁盘。保存这些信息再一个磁盘磁盘上或者一个USB设备上,并放置在一个安全的地方。
2、为你的帐号创建一个密码提示。
3、记下你的用户名和密码,并将其保存在一个安全的地方。