確實(shí),Vista里塞滿了新的安全特性——包括嵌入的防火墻���,整合的反間諜軟件功能��,BitLocker驅(qū)動(dòng)加密以及UAC(用戶帳戶控制)——而這些特性最終將使用戶們大為獲益����。對(duì)于企業(yè)用戶來說�,他們需要的是跨平臺(tái)的功能,集中化的處理能力和絕對(duì)可靠的信賴程度���,這些新的特性似乎只是一些修飾性的裝飾�。無論對(duì)于企業(yè)還是個(gè)人�,下面我們來深入研究一下Vista的安全特性。
BitLocker硬盤加密技術(shù)
eWEEK實(shí)驗(yàn)室也對(duì)BitLocker對(duì)企業(yè)的潛在作用十分感興趣��,由于它能加密所有系統(tǒng)驅(qū)動(dòng)的內(nèi)容——操作系統(tǒng)和數(shù)據(jù)文件皆可�����。
BitLocker嘗試提供一種與最終用戶無縫接近的體驗(yàn)����。理想中,解密的密鑰儲(chǔ)存在主板中的芯片上���,能夠在啟動(dòng)時(shí)解密硬件驅(qū)動(dòng)�����。管理員能夠?qū)itLocker進(jìn)行配置�,要求一個(gè)用戶進(jìn)入的驗(yàn)證碼,作為一個(gè)嵌入式的密鑰�,一旦驅(qū)動(dòng)被自動(dòng)載入,它能夠防止數(shù)據(jù)竊取者通過從其它引導(dǎo)驅(qū)動(dòng)進(jìn)行的離線攻擊而不是一個(gè)在線的暴力式的攻擊����。
打算使用BitLocker的企業(yè)需要從開始使用Vista就要有所準(zhǔn)備:系統(tǒng)的硬件驅(qū)動(dòng)需要以這樣一種方式進(jìn)行劃分,引導(dǎo)管理和引導(dǎo)鏡像都需要儲(chǔ)存在獨(dú)立于操作系統(tǒng)�����、應(yīng)用程序和數(shù)據(jù)文件之外的分區(qū)中���。雖然通過現(xiàn)有的安裝項(xiàng)目有可能再分配一個(gè)分區(qū)�,但這個(gè)過程并不是直接易懂的�����。同時(shí)�����,管理員需要確保計(jì)算機(jī)的BIOS做好了Vista的準(zhǔn)備,同時(shí)����,還需要有一個(gè)主板上的TPM(受信平臺(tái)管理)芯片,或能夠支持在預(yù)引導(dǎo)的情況下能訪問USB記憶棒���。
然而�,在目前Vista發(fā)展的早期階段�,對(duì)于硬件制造商所提供的必要的支持水平仍然還是不可或缺�����。例如����,雖然Vista的TPM驅(qū)動(dòng)是不帶商標(biāo)的,我們還是不能更新獲得這個(gè)驅(qū)動(dòng)���,以正確地安裝到我們的聯(lián)想ThinkPad T60上���。我們需要對(duì)BIOS進(jìn)行全新校訂的升級(jí),接著人工地定位與安裝這個(gè)驅(qū)動(dòng)。根據(jù)微軟的工程師所說�,T60的TPM芯片不能描述出設(shè)備的身份,讓Vista得以識(shí)別�,所以驅(qū)動(dòng)才無法被自動(dòng)安裝。
TPM芯片終于可用后����,我們就能通過BitLocker的設(shè)置壓縮開始加密過程,它會(huì)要求我們?cè)陂_始系統(tǒng)檢查之前儲(chǔ)存加密密鑰���,以確保BitLocker能夠開始工作�。這個(gè)壓縮會(huì)復(fù)引導(dǎo)機(jī)器�,測(cè)試這個(gè)密鑰是否會(huì)被破解,接著就會(huì)開始對(duì)整個(gè)分區(qū)進(jìn)行加密�����。
我們發(fā)現(xiàn)�,實(shí)際上磁盤加密過程是很慢的,一個(gè)30GB的分區(qū)需要花費(fèi)一個(gè)多小時(shí)的時(shí)間����。此外,由于加密密鑰需要在一臺(tái)接一臺(tái)的機(jī)器上被創(chuàng)建���,因此它就會(huì)花費(fèi)大量的時(shí)間和管理員的精力來通過BitLocker啟用許多的筆記本電腦����。
根據(jù)文件說明,管理員必須在開始進(jìn)行一項(xiàng)BIOS升級(jí)時(shí)先關(guān)閉BitLocker以將分區(qū)解密�。對(duì)BIOS所作的簡單更改可以在暫時(shí)禁用BitLocker的情況下完成,雖然我們發(fā)現(xiàn)一些更改——例如改變分區(qū)引導(dǎo)的順序��,則不需要這個(gè)步驟�。我們也確實(shí)注意到,當(dāng)Vista安裝光盤仍在光驅(qū)中����,我們就開始啟動(dòng)我們測(cè)試的計(jì)算機(jī)時(shí),我們不得不手動(dòng)地輸入恢復(fù)性的密鑰來啟動(dòng)系統(tǒng)�����,即使我們選擇不要通過光驅(qū)進(jìn)行實(shí)際引導(dǎo)�����。
通過快速地改變一個(gè)組策略設(shè)置��,我們也能夠利用BitLocker而不需要TPM芯片����,只需要在啟動(dòng)時(shí)將一個(gè)USB閃存盤插入計(jì)算機(jī)來提供解密密鑰。BIOS在啟動(dòng)的過程中必須要能夠訪問到這個(gè)密鑰才能夠工作——一些我們無法在ThinkPad T60上實(shí)現(xiàn)的事卻能夠通過有著AMD Athlon 64 3500+的處理器和一塊Abit主板的定制的計(jì)算機(jī)來做到��。
反間諜軟件和防火墻
Vista中還包括了Windows Defender的反間諜軟件程序���。在之前的測(cè)試中���,我們發(fā)現(xiàn)Windows Defender用于偵測(cè)、移除和阻止間諜軟件����,還是可勝任的解決方案,但一些殘留還是會(huì)繼續(xù)留在Vista中���。
Windows Defender也許能夠作為選用了其它公司的標(biāo)準(zhǔn)反病毒/反間諜軟件之后的第二條防線����。因?yàn)樗狈谢牟呗钥刂?�,身份監(jiān)控以及反饋能力����,企業(yè)在許多的調(diào)校管理中����,必須有其它合適的方案來提供必須的文件說明和控制手段��。
通過活動(dòng)目錄組策略��,我們僅能夠控制Windows Defender的一些動(dòng)作:我們可以禁用或啟用程序����,啟用一些登錄規(guī)則,以及配置SpyNet的反饋特征��。我們無法預(yù)定掃描�,更改重要的升級(jí)檢查間隔時(shí)間,或是指明一些集中化反饋的形式�。我們能夠啟用的應(yīng)用僅是使用了Vista的計(jì)算機(jī)而不是合法的Windows版本,這樣就使得Windows Defender的安裝就像一個(gè)孤立的應(yīng)用程序一樣�����。
隨時(shí)準(zhǔn)備著提供企業(yè)級(jí)別的管理和反饋能力的是微軟的ForeFront Client Security套件����。于2007年第二季度上市的ForeFront�����,其具備了反間諜軟件的Windows Defender同樣的能力,并有著OneCare同樣的反病毒引擎�。目前ForeFront的測(cè)試版已開放下載。
Vista是第一個(gè)能夠提供整合了的雙向防火墻的操作系統(tǒng)����,我們對(duì)此總體還是感覺滿意的。而Windows XP中的防火墻僅能夠阻擋輸入的網(wǎng)絡(luò)流量�����,Vista的防火墻卻可以監(jiān)控和阻止輸出的內(nèi)容�,這樣就能夠防止為授權(quán)的內(nèi)容從已安裝的應(yīng)用程序中流出。
現(xiàn)在你能夠?qū)ο騼?nèi)和向外的連接都進(jìn)行保護(hù)
基本的Windows防火墻設(shè)置的配置面板看上去與XP中的防火墻配置面板相似�,雖然有一個(gè)用來阻止所有輸入的設(shè)置的新的按鈕替換了過去用來禁止策略異常的功能。
細(xì)看下去���,策略異常的頁面看起來非常像XP的重復(fù)的部分�����,但I(xiàn)CMC協(xié)議(Internet Control Message Protocol)的減免規(guī)則卻明顯的不見了�����。這些減免策略�����,伴隨著用于輸出內(nèi)容的策略控制��,現(xiàn)在都存在于一個(gè)新的基于MMC(微軟管理控制臺(tái))的配置下���,名叫改進(jìn)安全性的Windows防火墻���。
盡管我們認(rèn)為整個(gè)整合了的防火墻工具還是具有很高的功能性,但對(duì)于那些在可預(yù)見的未來中還必須繼續(xù)支持合法Windows操作系統(tǒng)的大企業(yè)來說����,我們?nèi)詰岩伤欠裼凶銐虻奈Α榱四軌蚴构芾砗唵位?����,一個(gè)已經(jīng)為他們基于XP的工作平臺(tái)用第三方的防火墻標(biāo)準(zhǔn)化了的阻止�,將會(huì)十分不情愿再特別地去部署和管理Vista的Windows防火墻。相反�����,他們很可能避開這個(gè)第三方的Vista防火墻�,無論它什么時(shí)候是可用的。
用戶帳戶控制
Vista的UAC是微軟第一次嘗試開發(fā)讓用戶以限制的本地權(quán)限來運(yùn)行的操作系統(tǒng)�,而不是通過管理員身份的證明。
核心的管理員能夠指定兩種UAC模式:用戶能夠被禁止享有管理員所有的功能的權(quán)限���,例如安裝軟件以及改變系統(tǒng)設(shè)置�����,或是他們能夠在一個(gè)安全的界面中����,無論管理員的行為什么時(shí)候發(fā)生�,他們都能收到警示。
運(yùn)行后一種模式�,UAC會(huì)產(chǎn)生許多的警示信息,足以使用戶對(duì)那些信息內(nèi)容感到麻木��,只是機(jī)械地點(diǎn)擊“Yes”����,“Yes”,“Yes”���。IT經(jīng)理們將其看作是類似XP或Windows 2000這樣的系統(tǒng)下LUA(最低用戶權(quán)限)的情況��,因此他們很可能不會(huì)讓他們的用戶蒙受這樣的遭遇����,而會(huì)以第一種模式所描述的方式運(yùn)行UAC。
微軟對(duì)UAC所作的構(gòu)想上的飛躍我們還是感到欣喜的���,它意識(shí)到用戶應(yīng)該不會(huì)時(shí)時(shí)刻刻都以管理員的權(quán)限在運(yùn)行系統(tǒng)���。但UAC所能提供的這些標(biāo)準(zhǔn),是IT部門很早前就應(yīng)該會(huì)棄用的����,也確實(shí)希望不去使用的。
