Vista系統 安全新特性

f66666602

提到系統的安全特性，我個人認為這應該是 Windows Vista 最大的亮點了。它相比之前 Windows XP 來說可謂是一個飛躍。現在我們就從幾個主要的方面一一闡述這些安全方面 的新特性。
　　在 Windows Vista 進入開發的時候就已經與以前的系統有很大的不同了，在這一整個的 開發過程微軟始終是把「安全」放在最高的位置上來進行的， Windows Vista 的開發引入了 Security Development Lifecycl (安全開發生命週期)這是一個從系統的設計一直到發佈 都始終貫穿其中的機制，它主要包括十一個流程。由於這個東西似乎和我們用戶的關係不是 很大因此就不做過多的敘述了。
　　服務的強化升級，大家應該還記得當年惡貫滿盈的衝擊波吧，它就是通過攻擊系統 Rpc 服務的漏洞來攻擊我們電腦的。在以前的系統中服務在電腦中基本上都是處在絕對高位 的地方來運作的，並且呢也沒有針對服務的限制機構來對各種各樣的服務進行管理，因此呢 就很容易出現某個核心服務被一些惡意的程序利用進而對我們的電腦造成破壞。
　　這個問題 在 Windows Vista 中得到了解決，在 Windows Vista 中任何的系統關鍵服務都是不能做 任何越權操作的，這樣如果有惡意程序想要利用一個系統的關鍵服務在我們的電腦中干壞 事的話，它是絕對不可能得逞的。那麼我們知道除了 Windows 的系統服務以外，一些我們 需要用到的應用軟體也是會把自身的一部分安裝為一個服務來保證其可靠的運作。
　　在以前的 系統中，這些服務都是以 LocalSystem 這個賬戶運行的，在這樣的情況下我們系統是非常 脆弱的，並且沒有辦法對這些第三方的服務進行有效的管理，嚴重的威脅到了系統的安全以及穩定性。而在 Windows Vista 中則完全改變了這樣的格局，首先引入了每個服務的安全 標識符 (SID) 。
　　它啟用了每個服務的標識，該標識隨後又通過現有 Windows 訪問控制模 型(包括使用訪問控制列表 (ACL) 的所有對象和資源管理器)啟用訪問控制分區。服務就 可以顯示 ACL 應用於該服務專用的資源，從而可防止其他服務和用戶訪問這些資源。
防火牆人性化新功能

　　然後現在服務不在回像以前一樣使用 LocalSystem 賬戶來運行，而是由專門的權限較低的 LoaclService、NetworkService 等這些賬戶來運行，這會降低服務的總體權限級別，就類 似於 「 用戶帳戶保護」的機制。 並且去除了服務中不必要的系統權限。
　　另外在 Windows Vista 中第三方的程序要插入一個令牌到服務中已經被限制了，也就說沒有得到服務 SID 訪問的 程序要想將它的令牌寫入服務中的話將會以失敗告終，這樣就可以徹底的保證在我們電腦中 的每一個服務都是乾淨的，這些服務不會再被一些惡意的程序所利用進而來對我們的系統實 施破壞。
　　最後更令人激動人心的一點就是基於每個服務都具有單獨且唯一的 SID，這樣便可 以利用 Windows 防火牆對每一個服務進行規則限制，這樣做的好處是顯而易見的，比方說 一個存在一定安全風險的服務可能存在被網路上其他的一些我們沒有授權的東西利用來侵 入或者做一些我們不希望看到的事情的時候，你完全可以在防火牆中將這個服務的網路訪問 規則做一個限制，這一點我會在 Windows Vista TechView 關於防火牆的章節中做出詳細 的敘述。
　　通過上面的簡要介紹我們可以看到， Windows Vista 的服務強化升級可是使我們的系統時 刻處在最安全的狀態，但是大家也要明白，只靠服務強化升級是不足以構成保護我們系統的 安全體系的，它也需要和 Windows Vista 中的其他安全模塊協同運作，比如上面提到的 Windows 防火牆。

IE7瀏覽器保護模式

Internet Explorer 7 保護模式
　　說道安全就不能不說一下目前網頁瀏覽所存在的安全隱患了，隨著互聯網的飛速發展，越來越多的 Web 應用已經走入了我們的生活，同時各種各樣的 Web 也是我們獲取信息的最重要途徑，但是林子大了什麼鳥都有這句話似乎總是應驗在所有的事物上面。
　　如今的互聯網處 處充滿了陷阱與美麗的謊言。網頁惡意代碼， Web 上面許多不懷好意的控件，欺詐我們財產的釣魚網站，等等這些已經對我們的電腦構成了嚴重的威脅，甚至是一場災難。每年因為 網頁惡意代碼導致系統癱瘓，因為很多不請自來的控件在佔用我們緊俏的系統資源做一些上 帝都不知道的事情，因為被釣魚網站欺騙而只是我們信用卡中的數字呈指數級下降的案例已 經不計其數。
　　可能對於精通電腦的人來說可以更多減少這些威脅但是對於更多的普通用戶應 該怎麼面對這樣一個嚴峻的考驗呢? 就是在這樣的時候 Internet Explorer 7 的保護模式 被設計了出來，它能給我們怎樣的保護?我們接下來就大概的看一下吧。
　　IE7 的保護模式是構建於 Windows Vista 的 UAC 也就用戶賬戶控制這個模塊上面的，在以 前的 IE 以及系統中 IE 瀏覽網站時使用有的權限就是我們登陸系統時用的帳戶的所有權限， 而大多數的用戶在使用 Windows XP 的時候都喜歡用具有 Admin 權限的管理員身份帳戶 來使用系統，這個時候 IE 自然也就擁有了 Admini 的所有權限，因此呢網頁上那些惡意的 代碼或者控件才有了可趁之機，拿著管理員的權限在我們的系統中為所欲為。
　　那麼在 Windows Vista 中這個情況將得到改變， IE 在預設的情況下系統只會給他瀏覽網頁所必需 的一些權限而不會給他管理員的權限，這些管理員權限對於網頁瀏覽器來說是多餘的。所以 說在預設的情況下呢 IE 是不能修改用戶的檔案或者對系統進行配置的，這樣即使我們訪問 到一個含有惡意代碼或控件的網頁時這些代碼也會因為沒有足夠的權限而胎死腹中變得一無是處。
釣魚網站要關門了

　　然後便是釣魚網站，這些網站一般會偽裝成某個銀行或者某個網路服務商的網頁， 然後以種種借口欺騙用戶在這個頁面上面輸入自己的賬戶，從而達到竊取用戶財產的目的。
　　因為受到這些釣魚網站欺騙造成財產損失的事情如今已是屢見不鮮，我認識的朋友中就有好 幾個遭此不幸。解決一問題已經迫在眉睫，所以在 IE7 中就引入了專門針對這些網站的應對 機制。第一、網頁仿冒的篩選，啟用這個功能以後，我們如果放到一些仿冒的釣魚網站的時 候 IE 首先就會停止加載這個頁面，同時給出明確的警告，當然如果你確定你訪問的這個頁 面是安全的那麼就可以點擊繼續訪問。
　　看到這裡可能很多人會問 IE7 是怎麼知道某個站點是 假冒的呢?其實這還要歸功於微軟龐大的資源，這些站點的關鍵字以及特徵是被存放在微軟 專門的一個服務器上面的，訪問網頁的時候 IE7 會先到這個服務器上查找，如果找到匹配的 記錄那麼 IE7 便會給出警告。
　　這個服務器中的資料一般是幾分鐘就更新一次，其資料的主要 來源是微軟放到網路中的蜘蛛抓取還有用戶的舉報提交。前者就不用過多的解釋了，對於後 者就是說我們如果發現某個站點可能是仿冒的用來欺騙我們的時候便可使用 IE7 的仿冒網 頁提交功能將信息提交給微軟，微軟會對用戶提交的信息做進一步的核實，確定之後這個站 點就會被立即添加進服務器中。
　　這樣一來那些假冒的網頁就無處藏身了，但是很多人又有了 很多的疑問。這樣每次打開一個網頁 IE7 就要連接到微軟的服務器作檢查一定會讓網頁訪問 變得很慢吧;這個資料篩選的服務器是微軟的那麼微軟肯定會把競爭對手的網頁也添加進取 咯? 等等，對於這些問題我自己也很關心 ~ 但是我在經過一段時間的使用後發現呢這個篩 選基本上不會拖慢網頁開啟的速度，雖然的確有一些延遲但是用戶在使用的時候肯定是不容 易察覺這一秒鐘以內的延遲的。
　　對於第二問題我也專門問了一位 Windows 安全開發小組 的主管，對方給我的答覆是否定的，就是說微軟絕對不會把競爭對手的站點添加到這個服務 器中，而且如果今後有必要的話將會有第三方監管機構介入近來，所以大家還是可以相信微 軟的。
　　那麼說完這個大頭以後呢在來看一個細節部分，就是地址欄的顏色狀態反映和動態 安全狀態欄。就是說呢比如我們在訪問一個採用 SSL (安全套鏈字層)加密的站點時，地址 欄會變成黃色的，提醒用戶現在的這個站點是被加密的，同時在地址欄右側會出現一個安全狀態欄，用戶可以通過這個狀態欄知道該站點目前的證書是否有效