作者：IT168 雪影藍風 編譯

【IT168 產品應用】Windows Vista中最廣為宣傳的特征之一就是安全性——也是微軟更新的焦點以及對使Windows操作系統更為可靠的致力專注。

確實，Vista里塞滿了新的安全特性——包括嵌入的防火墻，整合的反間諜軟件功能，BitLocker驅動加密以及UAC(用戶帳戶控制)——而這些特性最終將使用戶們大為獲益。對于企業用戶來說，他們需要的是跨平臺的功能，集中化的處理能力和絕對可靠的信賴程度，這些新的特性似乎只是一些修飾性的裝飾。無論對于企業還是個人，下面我們來深入研究一下Vista的安全特性。

BitLocker硬盤加密技術

eWEEK實驗室也對BitLocker對企業的潛在作用十分感興趣，由于它能加密所有系統驅動的內容——操作系統和數據文件皆可。

BitLocker能加密所有系統驅動的內容（點擊看大圖）

BitLocker嘗試提供一種與最終用戶無縫接近的體驗。理想中，解密的密鑰儲存在主板中的芯片上，能夠在啟動時解密硬件驅動。管理員能夠對BitLocker進行配置，要求一個用戶進入的驗證碼，作為一個嵌入式的密鑰，一旦驅動被自動載入，它能夠防止數據竊取者通過從其它引導驅動進行的離線攻擊而不是一個在線的暴力式的攻擊。

打算使用BitLocker的企業需要從開始使用Vista就要有所準備：系統的硬件驅動需要以這樣一種方式進行劃分，引導管理和引導鏡像都需要儲存在獨立于操作系統、應用程序和數據文件之外的分區中。雖然通過現有的安裝項目有可能再分配一個分區，但這個過程并不是直接易懂的。同時，管理員需要確保計算機的BIOS做好了Vista的準備，同時，還需要有一個主板上的TPM（受信平臺管理）芯片，或能夠支持在預引導的情況下能訪問USB記憶棒。

然而，在目前Vista發展的早期階段，對于硬件制造商所提供的必要的支持水平仍然還是不可或缺。例如，雖然Vista的TPM驅動是不帶商標的，我們還是不能更新獲得這個驅動，以正確地安裝到我們的聯想ThinkPad T60上。我們需要對BIOS進行全新校訂的升級，接著人工地定位與安裝這個驅動。根據微軟的工程師所說，T60的TPM芯片不能描述出設備的身份，讓Vista得以識別，所以驅動才無法被自動安裝。

TPM芯片終于可用后，我們就能通過BitLocker的設置壓縮開始加密過程，它會要求我們在開始系統檢查之前儲存加密密鑰，以確保BitLocker能夠開始工作。這個壓縮會復引導機器，測試這個密鑰是否會被破解，接著就會開始對整個分區進行加密。 我們發現，實際上磁盤加密過程是很慢的，一個30GB的分區需要花費一個多小時的時間。此外，由于加密密鑰需要在一臺接一臺的機器上被創建，因此它就會花費大量的時間和管理員的精力來通過BitLocker啟用許多的筆記本電腦。

根據文件說明，管理員必須在開始進行一項BIOS升級時先關閉BitLocker以將分區解密。對BIOS所作的簡單更改可以在暫時禁用BitLocker的情況下完成，雖然我們發現一些更改——例如改變分區引導的順序，則不需要這個步驟。我們也確實注意到，當Vista安裝光盤仍在光驅中，我們就開始啟動我們測試的計算機時，我們不得不手動地輸入恢復性的密鑰來啟動系統，即使我們選擇不要通過光驅進行實際引導。

通過快速地改變一個組策略設置，我們也能夠利用BitLocker而不需要TPM芯片，只需要在啟動時將一個USB閃存盤插入計算機來提供解密密鑰。BIOS在啟動的過程中必須要能夠訪問到這個密鑰才能夠工作——一些我們無法在ThinkPad T60上實現的事卻能夠通過有著AMD Athlon 64 3500+的處理器和一塊Abit主板的定制的計算機來做到。

反間諜軟件和防火墻

Vista中還包括了Windows Defender的反間諜軟件程序。在之前的測試中，我們發現Windows Defender用于偵測、移除和阻止間諜軟件，還是可勝任的解決方案，但一些殘留還是會繼續留在Vista中。

Windows Defender也許能夠作為選用了其它公司的標準反病毒/反間諜軟件之后的第二條防線。因為它缺乏集中化的策略控制，身份監控以及反饋能力，企業在許多的調校管理中，必須有其它合適的方案來提供必須的文件說明和控制手段。

Vista中集成的Windows Defender并不是非常令人滿意（點擊看大圖）

通過活動目錄組策略，我們僅能夠控制Windows Defender的一些動作：我們可以禁用或啟用程序，啟用一些登錄規則，以及配置SpyNet的反饋特征。我們無法預定掃描，更改重要的升級檢查間隔時間，或是指明一些集中化反饋的形式。我們能夠啟用的應用僅是使用了Vista的計算機而不是合法的Windows版本，這樣就使得Windows Defender的安裝就像一個孤立的應用程序一樣。

隨時準備著提供企業級別的管理和反饋能力的是微軟的ForeFront ClIEnt Security套件。于2007年第二季度上市的ForeFront，其具備了反間諜軟件的Windows Defender同樣的能力，并有著OneCare同樣的反病毒引擎。目前ForeFront的測試版已開放下載。

Vista是第一個能夠提供整合了的雙向防火墻的操作系統，我們對此總體還是感覺滿意的。而Windows XP中的防火墻僅能夠阻擋輸入的網絡流量，Vista的防火墻卻可以監控和阻止輸出的內容，這樣就能夠防止為授權的內容從已安裝的應用程序中流出。

現在你能夠對向內和向外的連接都進行保護

基本的Windows防火墻設置的配置面板看上去與XP中的防火墻配置面板相似，雖然有一個用來阻止所有輸入的設置的新的按鈕替換了過去用來禁止策略異常的功能。

細看下去，策略異常的頁面看起來非常像XP的重復的部分，但ICMC協議（Internet Control Message Protocol）的減免規則卻明顯的不見了。這些減免策略，伴隨著用于輸出內容的策略控制，現在都存在于一個新的基于MMC（微軟管理控制臺）的配置下，名叫改進安全性的Windows防火墻。

盡管我們認為整個整合了的防火墻工具還是具有很高的功能性，但對于那些在可預見的未來中還必須繼續支持合法Windows操作系統的大企業來說，我們仍懷疑它是否有足夠的吸引力。為了能夠使管理簡單化，一個已經為他們基于XP的工作平臺用第三方的防火墻標準化了的阻止，將會十分不情愿再特別地去部署和管理Vista的Windows防火墻。相反，他們很可能避開這個第三方的Vista防火墻，無論它什么時候是可用的。

用戶帳戶控制

Vista的UAC是微軟第一次嘗試開發讓用戶以限制的本地權限來運行的操作系統，而不是通過管理員身份的證明。

核心的管理員能夠指定兩種UAC模式：用戶能夠被禁止享有管理員所有的功能的權限，例如安裝軟件以及改變系統設置，或是他們能夠在一個安全的界面中，無論管理員的行為什么時候發生，他們都能收到警示。 運行后一種模式，UAC會產生許多的警示信息，足以使用戶對那些信息內容感到麻木，只是機械地點擊“Yes”，“Yes”，“Yes”。IT經理們將其看作是類似XP或Windows 2000這樣的系統下LUA（最低用戶權限）的情況，因此他們很可能不會讓他們的用戶蒙受這樣的遭遇，而會以第一種模式所描述的方式運行UAC。

微軟對UAC所作的構想上的飛躍我們還是感到欣喜的，它意識到用戶應該不會時時刻刻都以管理員的權限在運行系統。但UAC所能提供的這些標準，是IT部門很早前就應該會棄用的，也確實希望不去使用的。

（原文作者：Andrew Garcia)