Windows Vista明顯提高了對(duì)黑客和惡意入侵者的防范，毫無(wú)疑問(wèn)，它是迄今為止最為安全的微軟操作系統(tǒng)。通過(guò)諸如用戶帳號(hào)控制(UAC)、BitLocker驅(qū)動(dòng)器加密、文件/注冊(cè)表虛擬化、強(qiáng)制完整性控制(MIC)和IE瀏覽器保護(hù)模式等功能，你可以在系統(tǒng)級(jí)別或更精細(xì)級(jí)別來(lái)加固Vista的安全性。

然而，由于Vista的安全配置的復(fù)雜性，人們對(duì)一些Vista安全功能和推薦配置存在很多令人迷惑之處。下面讓我們看一下關(guān)于Vista安全的十大頂級(jí)誤解，并給出正確的理解。

1、administrator帳號(hào)默認(rèn)將被禁用?

通常情況下Vista會(huì)默認(rèn)禁用administrator帳號(hào)，但是有一個(gè)前提：在管理員組里面存在其他活躍的定義好的成員。更準(zhǔn)確的說(shuō)法應(yīng)該是，如果Vista檢測(cè)到其他啟用的管理員帳號(hào)的話，通過(guò)禁用真正的administrator帳號(hào)，來(lái)試圖最小化管理員帳號(hào)的數(shù)量。在新安裝Vista的時(shí)候，第一個(gè)新帳號(hào)將被增加到管理員組里，就如同在Windows XP和Windows 2000中一樣，但是后來(lái)增加的用戶不是。一旦第二個(gè)管理員帳號(hào)被增加后，Vista將禁用真正的administrator帳號(hào)。

需要注意的重要一點(diǎn)是，默認(rèn)禁用的管理員帳號(hào)是沒(méi)有密碼的。你應(yīng)該對(duì)administrator帳號(hào)設(shè)置一個(gè)復(fù)雜的密碼，即使它是被禁用的。如果你要啟用一個(gè)被禁用的administrator帳號(hào)的話，首先設(shè)置密碼，然后你就可以啟用這個(gè)帳號(hào)了。

2、Vista只存在四個(gè)強(qiáng)制完整性控制級(jí)別?

強(qiáng)制完整性控制(MIC)是Vista安全架構(gòu)中新增加的一種檢測(cè)機(jī)制。Vista中的所有安全性對(duì)象和進(jìn)程都有一個(gè)完整性級(jí)別，完整性級(jí)別(IL)低的進(jìn)程不能修改級(jí)別高的文件或注冊(cè)表表項(xiàng)。有四個(gè)主要的強(qiáng)制完整性控制(MIC)級(jí)別：

?低(Low)

?中等(Medium)

?高(High)

?系統(tǒng)(System)

包括管理員組中的非提升權(quán)限成員在內(nèi)的大多數(shù)用戶，都運(yùn)行在中等級(jí)別。以下是一些其他級(jí)別是如何被設(shè)定的。

?內(nèi)核級(jí)別的Windows文件以系統(tǒng)完整性級(jí)別運(yùn)行

?用戶級(jí)別的代碼，例如Windows Explorer和任務(wù)管理器，以中等完整級(jí)別運(yùn)行

?真正的administrator或系統(tǒng)管理員組中的提升權(quán)限的成員以高完整級(jí)別運(yùn)行

?保護(hù)模式下的IE瀏覽器以低完整性級(jí)別運(yùn)行

?如果一個(gè)對(duì)象或資源沒(méi)有明確的設(shè)定完整性級(jí)別，那么它具有中等完整性級(jí)別。

建立強(qiáng)制完整性控制的的主要目的是，使一般用戶、程序和在IE保護(hù)模式下的下載內(nèi)容難于修改系統(tǒng)文件。因此，即使一個(gè)用戶可能是系統(tǒng)管理員組的一個(gè)成員，或者甚至即使一個(gè)惡意軟件設(shè)法突破了IE的初級(jí)安全防御，它們也難于修改Windows的系統(tǒng)文件。

除了上述四個(gè)級(jí)別外，至少還有兩個(gè)人們知道比較少的強(qiáng)制完整性級(jí)別：非信任級(jí)別和保護(hù)進(jìn)程級(jí)別。非信賴完整性可能是級(jí)別最低的強(qiáng)制完整性級(jí)別，被設(shè)置給匿名空連接會(huì)話。保護(hù)進(jìn)程可能是級(jí)別最高的強(qiáng)制完整性級(jí)別，只有在系統(tǒng)需要的時(shí)候才會(huì)被使用。

或許只有你在進(jìn)行研究或故障排查的時(shí)候才能碰到這些強(qiáng)制完整性級(jí)別，你可以認(rèn)為惡意黑客們將試圖獲得一個(gè)保護(hù)進(jìn)程強(qiáng)制完整性級(jí)別的權(quán)限，來(lái)使Windows更輕松的被攻破。

3、用戶帳號(hào)控制(UAC)減少管理員被需要的次數(shù)?

Vista要求用戶獲得提升的權(quán)限和許可來(lái)完成系統(tǒng)任務(wù)，諸如安裝軟件、更新內(nèi)核驅(qū)動(dòng)等等。Vista還有一些新的要求較少管理性帳號(hào)的功能，但是用戶帳號(hào)控制(UAC)不是其中之一。

用戶帳號(hào)控制(UAC)明確的要求那些希望完成管理性任務(wù)的用戶具有提升的本地組中成員資格，例如administrators組或backup operators組。用戶帳號(hào)控制(UAC)的存在并不會(huì)減少對(duì)管理性用戶的需要，當(dāng)執(zhí)行諸如電子郵件或網(wǎng)絡(luò)瀏覽等非管理性任務(wù)的時(shí)候，它提供了針對(duì)屬于提升權(quán)限組的用戶的額外的保護(hù)。

當(dāng)一個(gè)提升權(quán)限的用戶(但不是真正的administrator)登錄后，用戶帳號(hào)控制(UAC)設(shè)定兩個(gè)訪問(wèn)安全令牌，也被叫做一個(gè)“分離令牌split-token”。直到用戶通過(guò)用戶帳號(hào)控制(UAC)提升了訪問(wèn)權(quán)限后，標(biāo)準(zhǔn)系統(tǒng)管理員組的成員安全令牌才可用。否則，Vista針對(duì)用戶的安全令牌采取如下措施：

?Vista移除通常設(shè)置給管理員組成員的9個(gè)提升的權(quán)限

?用戶的強(qiáng)制完整等級(jí)從高等降級(jí)為中級(jí)

?指定禁用安全標(biāo)示符(deny-only security identifier,deny-only SID)

?出現(xiàn)用戶帳號(hào)控制(UAC)同意提示窗口

?應(yīng)用文件和注冊(cè)虛擬化

當(dāng)用戶提升它們的session時(shí)，那些額外的限制將被移除。但是，Vista要求一個(gè)管理員帳號(hào)來(lái)完成許多普通的系統(tǒng)任務(wù)。通過(guò)在不明確被需要的時(shí)候移除提升的權(quán)限和許可，用戶帳號(hào)控制可以同時(shí)保護(hù)系統(tǒng)和用戶。這樣，管理帳號(hào)不用在瀏覽網(wǎng)頁(yè)或打開(kāi)惡意電子郵件的時(shí)候擔(dān)心其被提升的安全權(quán)限被使用。

在其他方面，Vista的確降低了必需的管理員的數(shù)量。首先，Vista已經(jīng)移除了完成許多普通系統(tǒng)任務(wù)對(duì)管理員權(quán)限的需要，諸如查看或修改時(shí)區(qū)，配置無(wú)線網(wǎng)絡(luò)，修改電源管理設(shè)置，創(chuàng)建和配置一個(gè)虛擬專用網(wǎng)絡(luò)(VPN)連接和安裝關(guān)鍵的Windows更新。

其次，Vista讓管理員可以定義非管理員帳號(hào)可以安裝的驅(qū)動(dòng)、設(shè)備和ActiveX控制。因此，舉個(gè)例子來(lái)說(shuō)，你可以讓你的用戶安裝打印機(jī)、網(wǎng)卡、USB設(shè)備和VPN軟件。

第三，對(duì)于基本的網(wǎng)絡(luò)重新配置任務(wù)，你可以增加非管理員用戶到網(wǎng)絡(luò)配置操作組中。在這個(gè)組中的用戶可以釋放IP地址，清空DNS緩存和完成其他普通網(wǎng)絡(luò)任務(wù)。還有很多其他的方式來(lái)降低你需要管理員權(quán)限的次數(shù)。UAC不是其中之一。

4、只有administrators才能使用用戶帳號(hào)控制(UAC)權(quán)限提升?

默認(rèn)情況下，你不能輸入非提升權(quán)限的帳號(hào)到用戶帳號(hào)控制(UAC)同意對(duì)話框中。這意味著，如果一個(gè)用戶帳號(hào)不屬于一個(gè)提升權(quán)限組，它不能通過(guò)用戶帳號(hào)控制(UAC)來(lái)提升權(quán)限。但是權(quán)限提升并不是管理員才有的功能。任何在administrators、backup operators、network configuration operators和power users組的帳號(hào)都被認(rèn)為是可以提升權(quán)限的。你可以把它們作為潛在的用戶帳號(hào)控制(UAC)憑證來(lái)使用進(jìn)行合適的權(quán)限提升。當(dāng)然，你依然不能使用非管理員用戶來(lái)完成只有管理員才能完成的任務(wù)，但是你可以使用這些在提升權(quán)限組里的帳號(hào)來(lái)完成其他任務(wù)。

舉個(gè)例子來(lái)說(shuō)，你可能需要用戶來(lái)運(yùn)行一個(gè)要求細(xì)微差別許可的程序，但是你并不想給予他們管理權(quán)限。你可以創(chuàng)建一個(gè)具有合適權(quán)限的新用戶帳號(hào)，并把它放到power用戶組里(這個(gè)Vista中的組沒(méi)有默認(rèn)的權(quán)限或許可)。當(dāng)這個(gè)用戶需要“提升權(quán)限”來(lái)運(yùn)行這個(gè)應(yīng)用程序的時(shí)候，他們可以使用在power users組中的那個(gè)新帳號(hào)。

5、用戶帳號(hào)控制是一個(gè)安全防線?

用戶帳號(hào)控制(UAC)不是一個(gè)安全邊界或安全范圍。微軟從來(lái)沒(méi)有想讓用戶帳號(hào)控制(UAC)成為像防火墻一樣具有定義好的安全范圍的安全邊界。當(dāng)用戶通過(guò)一個(gè)提升權(quán)限的帳號(hào)登錄到系統(tǒng)時(shí)，用戶帳號(hào)控制(UAC)保護(hù)保護(hù)用戶和系統(tǒng)免遭特定類型的惡意攻擊。它實(shí)際被用作一個(gè)支撐系統(tǒng)，無(wú)論什么時(shí)候要求臨時(shí)的管理員訪問(wèn)。對(duì)于合法的應(yīng)用程序來(lái)說(shuō)，這是經(jīng)常發(fā)生的事情。

用戶帳號(hào)控制提供了以前版本的Windows操作系統(tǒng)所不能提供的保護(hù)。如果你想具有承諾的安全的真正保護(hù)，用戶不應(yīng)該作為一個(gè)管理員來(lái)登錄到系統(tǒng)。就是那么簡(jiǎn)單。

6、IE保護(hù)模式會(huì)保護(hù)所有下載內(nèi)容?

更準(zhǔn)確的說(shuō)，IE保護(hù)模式提供了對(duì)瀏覽網(wǎng)頁(yè)過(guò)程中自動(dòng)下載的互聯(lián)網(wǎng)內(nèi)容的額外保護(hù)。這兒的第一個(gè)例外是IE保護(hù)模式不適用于所有IE安全區(qū)域。默認(rèn)情況下，IE保護(hù)模式并不會(huì)對(duì)在信任站點(diǎn)區(qū)域的任何網(wǎng)站起作用。但是，實(shí)際上還不僅僅有這一個(gè)例外。

通過(guò)以一個(gè)低強(qiáng)制完整性級(jí)別來(lái)運(yùn)行IE瀏覽器，IE保護(hù)模式會(huì)給你額外的保護(hù)。這個(gè)原理也適用于大多數(shù)其他IE對(duì)象，諸如菜單條、瀏覽器幫助對(duì)象和其他插件。被IE保護(hù)模式自動(dòng)下載下來(lái)的內(nèi)容被存儲(chǔ)在低完整性文件和注冊(cè)表區(qū)域中，因此它不能直接對(duì)系統(tǒng)文件和標(biāo)準(zhǔn)中等完整性用戶區(qū)域進(jìn)行寫(xiě)訪問(wèn)。

創(chuàng)建IE保護(hù)模式是專門(mén)用于針對(duì)“隱蔽強(qiáng)迫(drive-by)”下載：那些未經(jīng)用戶同意就下載的行為。如果一個(gè)用戶手動(dòng)的下載一個(gè)文件或故意的執(zhí)行激活一個(gè)內(nèi)容，它會(huì)被標(biāo)記為中等完整性級(jí)別。被一個(gè)提升權(quán)限的用戶所同意的內(nèi)容(例如安裝一個(gè)ActiveX控件)則運(yùn)行在高完整性級(jí)別。因此，假若用戶被欺騙下載或執(zhí)行一個(gè)內(nèi)容，IE保護(hù)模式就不起作用了。

7、所有Windows進(jìn)程被數(shù)據(jù)執(zhí)行保護(hù)(DEP)所保護(hù)?

IE主進(jìn)程Iexplore.exe被排除在Windows的數(shù)據(jù)執(zhí)行保護(hù)(DEP)緩存溢出的默認(rèn)保護(hù)之外。微軟專門(mén)選擇不啟用對(duì)Iexplore.exe的數(shù)據(jù)執(zhí)行保護(hù)(DEP)，因?yàn)樗赡軐?dǎo)致Java和許多常用瀏覽器插件的問(wèn)題。

因此，即使是在IE保護(hù)模式下瀏覽器也依然將暴露出許多常見(jiàn)的緩存溢出缺陷。但是，即使一個(gè)緩存溢出漏洞被成功利用，這個(gè)惡意的攻擊將會(huì)發(fā)現(xiàn)它非常難于執(zhí)行一個(gè)有意義的攻擊。你可以輕松的對(duì)IE瀏覽器啟用數(shù)據(jù)執(zhí)行保護(hù)(DEP)，如果數(shù)據(jù)執(zhí)行保護(hù)不會(huì)引發(fā)任何問(wèn)題的話，你可以保持它運(yùn)行。

8、文件和注冊(cè)表虛擬化會(huì)阻擋惡意文件和注冊(cè)表修改?

文件和注冊(cè)虛擬化的確可以阻擋惡意的修改，但是那是針對(duì)有限的一部分位置而說(shuō)的。默認(rèn)情況下，原有的應(yīng)用程序?qū)σ韵挛恢眠M(jìn)行讀寫(xiě)的時(shí)候會(huì)被重定向到每個(gè)用戶的虛擬化的區(qū)域(這不是一個(gè)完整的列表)：

?Program Files何其子文件夾

?64位系統(tǒng)上的Program Files (x86)

?Windows和所有的子文件夾，包括System 32

?Users%AllUsersProfile% ProgramData(在XP中是Documents and SettingsAll Users)

?Documents and Settings

?HKLMSoftware

除了這個(gè)有限的列表中的寫(xiě)阻擋位置外，以下對(duì)象從不會(huì)被虛擬化：

?默認(rèn)的Vista應(yīng)用程序

?具有可執(zhí)行擴(kuò)展名的文件，諸如.EXE、.BAT、.VBS和.SCR。你還可以在注冊(cè)表中以下位置增加額外的文件擴(kuò)展名例外：HKLMSystemCurrentControlSetServicesLuafvParameters

ExcludedExtensionsAdd

?64位的應(yīng)用程序和過(guò)程

?在可執(zhí)行名單中具有一個(gè)被請(qǐng)求的執(zhí)行級(jí)別指示的應(yīng)用程序，例如大多數(shù)Vista進(jìn)程

?使用管理員權(quán)限運(yùn)行的過(guò)程或應(yīng)用程序

?內(nèi)核模式應(yīng)用程序

?修改一個(gè)標(biāo)有Don't_Virtualize注冊(cè)標(biāo)志的注冊(cè)表值的應(yīng)用程序

關(guān)于最后一點(diǎn)，任何在HKLMSoftware下的鍵具有三個(gè)新的注冊(cè)標(biāo)志，你可以通過(guò)Reg.exe來(lái)查看：

?Don't_Virtualize

?Don't_Silent_Fail

?Recurse_Flag

標(biāo)有Don't_Virtualize的任何鍵不會(huì)參與注冊(cè)虛擬化。你可以使用Reg.exe來(lái)顯示和設(shè)置注冊(cè)標(biāo)志。

Vista的新的Windows資源保護(hù)(WRP)經(jīng)常被吹捧為Windows文件保護(hù)(WFP)的一個(gè)插件替代。Windows文件保護(hù)(WFP)在Windows 2000中被初次引入，在此前的Windows版本中采用了一個(gè)類似的系統(tǒng)文件保護(hù)(SFP)。兩者都與Windows資源保護(hù)(WRP)類似，但是它們的工作原理和完成任務(wù)存在巨大的不同。

Windows文件保護(hù)只保護(hù)文件。而Windows資源保護(hù)則對(duì)關(guān)鍵文件、文件夾和注冊(cè)表值進(jìn)行保護(hù)。Windows文件保護(hù)和系統(tǒng)文件保護(hù)監(jiān)視對(duì)受保護(hù)系統(tǒng)文件的修改。如果這個(gè)修改是未經(jīng)授權(quán)的，它就使用一個(gè)合法的源文件的備份來(lái)提到被修改的文件。通常情況下，一個(gè)Windows文件保護(hù)事件發(fā)生的唯一警告是一個(gè)快速告警信息或者一個(gè)被寫(xiě)到事件日志中的事件。

Windows資源保護(hù)首先盡力來(lái)防止對(duì)系統(tǒng)資源的修改。管理員不能修改系統(tǒng)資源。默認(rèn)情況下，只有Windows信任的安裝安全主體(security principal)才能使用Windows模塊安裝服務(wù)來(lái)進(jìn)行修改。

這兒需要提出的一個(gè)重大警告是，假若你個(gè)系統(tǒng)管理員或一個(gè)提升權(quán)限的用戶完全掌握了一個(gè)受保護(hù)資源，并給了它們自己完全控制的權(quán)限，它們將能夠修改，甚至是刪除這些受保護(hù)的資源。和Windows文件保護(hù)WFP和系統(tǒng)文件保護(hù)SFP不同的是，Windows資源保護(hù)不會(huì)自動(dòng)的使用一個(gè)合法的備份拷貝來(lái)替代受保護(hù)的文件。Windows資源保護(hù)WRP只替代對(duì)重起Windows比較關(guān)鍵的系統(tǒng)文件。

為了使Windows資源保護(hù)替代所有被修改的受保護(hù)資源(這在排障情況下是一個(gè)不錯(cuò)的想法)，運(yùn)行以下命令：sfc/scan now。如果你需要一個(gè)受保護(hù)文件的原始拷貝，你可能必須提供Vista安裝文件。

10、Windows防火墻默認(rèn)情況下不阻擋出站連接?

除了別的功能，Vista還增加了出站連接阻擋功能到Windows防火墻中。不過(guò)批評(píng)家們迅速指出，Vista默認(rèn)情況下不阻擋任何出站連接，但是這種說(shuō)法是不對(duì)的。默認(rèn)情況下，在好幾種場(chǎng)合Vista會(huì)阻擋出站通信。

Vista防火墻阻擋了一些源自許多默認(rèn)服務(wù)的多余的或不需要的通信。它有82個(gè)默認(rèn)過(guò)濾器來(lái)防止34個(gè)服務(wù)出站通信，而不是通過(guò)定義端口和IP地址范圍來(lái)限制。舉個(gè)例子來(lái)說(shuō)，P2P分組服務(wù)被拒絕外出訪問(wèn)任何端口，而不僅僅是它默認(rèn)的3587端口。另外還有很多其他的默認(rèn)出站阻止，其中包括那些針對(duì)Windows Defender、Session Isolation和SNMP Trap通信等。

不幸的是，沒(méi)有圖形化的界面來(lái)配置或查看這些默認(rèn)的過(guò)濾器。不過(guò)只想查看的話，這些默認(rèn)的過(guò)濾器被列在注冊(cè)表中的以下位置：

HKLMSystemCurrentControlSetServicesSharedAccessParametersFirewallPolicy

RestrictedServicesstaticsystem

目前，COM腳本工具是其主要的管理界面。

Windows Vista實(shí)際上具有比人們想到的更多默認(rèn)的保護(hù)。只有經(jīng)過(guò)合適的配置，你才能將Vista的安全性達(dá)到你要求的程度。