盡管Vista的發布一再推遲但現在它終於出現在我們面前許多公司已經開始制訂升級計劃尤其是那些一向積極率先使用先進工具的公司但是在行動之前用戶需要考慮以下事項
升級到Vista前要考慮的個事項
一硬件是否合乎要求
眾所周知Vista對硬件的要求非常高事實上Vista有兩套不同的硬件要求一是只能夠運行基本Vista(Vista Capable)版本的機器另一個是能夠運行高級Vista(Vista Premium Ready)版本的機器後者要求GHz處理器GB內存和高端視頻卡而前者的要求相對容易實現成本也比較低重要的是要記住這一點 盡管Aero Glass提供的視覺效果非常眩目但對大多數商業應用而言可能並非必不可少
二你需要哪個或哪些版本的Vista
Vista的版本情況比較復雜現在它有五個版本 家庭普通版(Home Basic)家庭高級版(Home Premium)商業版(Business)企業版(Enterprise)和旗艦版(Ultimate)用戶可能不想在公司網絡上使用家庭版但到底選擇商業版企業版還是旗艦版還是不太清楚商業版基本上相當於XP Pro 企業版包括了額外功能譬如BitLocker驅動器加密(為公司的筆記本電腦提供了一層額外的安全)應用程序兼容性工具基於UNIX的應用程序的子系統(SUA)及高級多語言支持等旗艦版包括了所有版本(包括媒體中心版)的所有功能而辦公計算機可能用不到它的全部功能
三了解Vista許可證
微軟為Vista添加了企業版該版本只銷售給與微軟簽有軟件保障協議或者微軟企業協議的用戶對於規模稍小的公司Windows隨時升級許可證也許值得他們關注該許可證允許他們從某些版本的Vista升級到更高版本
四應用程序兼容性如何
說到兼容性最重要的是應用程序升級一款新的操作系統時要考慮這個重要因素 確保必要的應用程序可在新款操作系統下運行
Vista內置的兼容性模式可以幫助用戶安裝及運行為舊版本Windows編寫的應用程序微軟開發了應用程序兼容性工具包可以幫助用戶確認哪些應用程序可能需要改進才能使用Vista的用戶賬戶控制(UAC)功能並且修補這些程序用戶也可以使用虛擬PC/虛擬服務器或者終端服務等技術作為不兼容的應用程序的變通辦法
不過事先對關鍵任務型應用程序進行測試很重要要確保它們在Vista環境下能夠正常工作想了解應用程序兼容性方面的資源請訪問該網址 us/windowsvista/aaaspx
五評估網絡基礎設施
雖然沒有要求用戶這麼做但升級到Vista可能會促使其網絡先升級到IPvVista對這個新的互聯網協議提供了更好的支持在XP/Server 中需要安裝獨立的協議才能支持IPv 而Vista/Longhorn Server中的TCP/IP協議棧支持雙IP架構而且IPv和IPv在默認狀態下都是啟用的
遷移至IPv不僅提高了IP安全性還可以棄用網絡地址轉換(NAT)協議並簡化了將視頻和音頻集成到應用程序裡面
六誰需要Vista(誰不需要)
用戶也許不想也不需要一下子把公司的所有桌面系統都升級到Vista事實上在大公司逐步實施操作系統升級方案具有諸多優點不應該隨意進行升級升級計劃的一方面應當包括評估 哪些用戶可從Vista的新功能中獲得最大好處哪些用戶最需要Vista的增強安全功能哪些用戶應在升級過程中優先升級
而在大部分時間使用文字處理軟件或者電子表格軟件的文職人員可能在很長一段時間內會繼續使用當前的操作系統
七用戶准備好了嗎
大部分計算機用戶都渴望使用新技術迫不及待地想率先試用並且掌握最新最好的技術但大多數用戶跟常人一樣都不願接受變化哪怕是好的變化
升級到新的操作系統總是需要一個學習過程無論這個軟件用起來多麼直觀但Vista的界面出現了一些重大變化還帶來了新的操作方式這可能會讓不太精通技術的用戶無所適從譬如說對那些新接觸Vista的用戶來說每當他們試圖完成需要管理員權限的任務時即便他們是以管理員的身份登錄系統AUC還是會彈出對話框這可能會讓他們感到困惑苦惱
通過適當的教育培訓和政策來幫助用戶做好升級前的准備這很重要譬如說可以允許那些喜歡使用經典Windows桌面主題的人將桌面設定成比較熟悉的模式
八支持人員准備好了嗎
需要為升級做好准備的不僅僅是最終用戶支持部門及其他技術支持人員會接到眾多問題和請求以求幫助就算他們訓練有素完全精通新的操作系統仍要准備好處理比平常多得多的工作量所以可以考慮在升級期間及升級之後臨時添加支持人員
九公司數據安全嗎
如果一切順利的話操作系統升級對用戶的所有寶貴數據不會有影響可是萬一某個環節出現了意外怎麼辦?最基本的也是最常忽視的一個因素就是用戶的所有數據是否都得到了妥當備份?這不僅僅意味著需要備份軟件及差不多每周都要更換的一大堆磁帶還意味著進行測試性恢復確保一旦用戶需要這些備份數據它們可以正常使用
十實際費用會是多少
考慮了所有其他因素後用戶就可以開始考慮升級費用了不要忘了最終費用要比許可費多得多還應該包括這方面的費用 任何必要的硬件升級應用程序改動網絡基礎設施的更改要聘請顧問來幫助升級用戶培訓對支持人員和IT管理人員的培訓以及處理所有這些准備工作的管理費用包括應用程序兼容性測試和備份測試等費用
一旦完成了切合實際的費用評估後就可以確定升級是否值得
有些公司在為Vista積極做准備但另一些則打算繼續使用目前的操作系統
升級到Windows Vista的個理由
無論你的選擇是什麼事先了解一下得失總會有所幫助以下分別是升級到Windows Vista以及不升級到的十個理由
一安全性
Vista的一個主要設計重點就是建立盡可能安全的環境Windows的許多基本方面(如以管理員身份來運行)都進行了變動旨在有助於建立這種安全環境此外Internet Explorer 還有許多新功能以便用戶在上網時有助於提供保護
二增強網絡功能
微軟為Vista改寫了TCP/IP網絡堆棧以提供更好的性能另外Vista大大改變了用戶與PC上及網絡上的網絡設備進行聯系的方式現在用戶可以利用新的內置工具幫助診斷網絡問題這可以減少支持部門接到的電話在一些情況下還可以加快支持速度支持部門可以利用診斷工具提供的信息來幫助診斷及排除故障
三Aero Glass用戶界面
對采用圖形用戶界面(GUI)設計的Windows而言Windows Vista中的Aero Glass界面是一大飛躍支持Aero Glass的Vista版本比之前任何Windows桌面都要來得漂亮除了外觀漂亮外GUI的整個布局也發生了變化使得查找起來更容易使用起來更直觀
四集成的側欄和搜索功能
大多數人已經在Windows XP上安裝了第三方搜索程序RSS閱讀器側欄或者小工具欄而這些功能現在已經被集成到Vista裡面在Aero Glass界面上看起來非常棒文檔搜索起來也非常容易因為Windows的集成搜索功能支持許多較新搜索程序的索引特性
五Windows可靠性和性能監視器
IT專業人士已經很熟悉性能監視器而現在普通大眾也可以領略這個實用程序的強大功能用戶很容易設置新的Windows可靠性和性能監視器從而獲得新PC的基准性能參數性能開始下降時這個工具可以幫助診斷問題的根源
六新增個GPO對象
許多公司依靠活動目錄及組策略的功能在台式機上執行標准Vista提供了多個新的組策略對象(GPO)從而進一步增強了這方面的功能
七BitLocker驅動器加密
在過去的幾年我們發現筆記本電腦成了最大的安全漏洞之一Windows Vista中新的BitLocker技術有助於緩解這個風險 它可以對數據進行加密誰要是沒有啟動密鑰(可以由用戶輸入或者保存在U盤上)都無法使用計算機
八持續支持
作為微軟的最新操作系統Vista的支持期會超過現有的任何一款Windows操作系統除了微軟的支持外還會來自整個網絡的支持因為在可預見的將來人們會使用Windows Vista相當長一段時間
九ReadyBoost(U盤作為內存)
微軟有一種新的方法可以幫用戶不用購買太多昂貴的新硬件就可以提升操作系統的性能現在用戶插入可移動內存(U盤微型閃存卡和SD卡等)然後分配全部或者部分空間用於使用ReadyBoost這部分內存就可用作系統內存和硬盤之間的預取部分測試結果顯示這可以大大提升許多系統的速度
十DirectX
DirectX 只有面向Windows Vista的版本DirectX有助於許多圖形和視頻功能包括視頻會議等商業應用如果用戶要玩最新最酷的游戲那麼升級到Windows Vista是自然選擇因為這是其如願以償的惟一辦法DirectX 還聲稱可以解決以前版本的小小的批處理問題微軟聲稱這可能會導致DirectX 游戲在Vista上運行的性能比在Windows XP上使用DirectX 運行要快倍
不升級的十個理由
一硬件要求苛刻
Vista對硬件的要求是微軟迄今為止推出的各款操作系統當中最苛刻的又因為Aero Glass界面需要能支持DirectX 的GPU許多比較舊的台式機和筆記本電腦即使滿足了其他要求也無法使用Aero Glass
二有個學習過程
Vista有別於以前的幾款Windows操作系統雖然不少工具相同或者相似但還是有許多地方要學習
三對Win XP的支持沒有中斷
微軟支持Vista的時間會超過對XP的支持但XP仍有兩年可以得到微軟的主流支持
四應用程序兼容性
許多流行的應用程序無法在Vista下運行iTunes和Nero等應用程序在Vista下運行時存在問題 實際上與抓取或者刻錄媒體有關的幾乎每個程序都與Vista存在兼容問題
五數字版權管理(DRM)問題
雖然PC在作為客廳的娛樂設備方面取得了長足發展但你在播放下一代(HDDVD和藍光)內容時Vista的DRM帶來了極大麻煩播放這種內容時分量輸出和S/PDIF輸出功能被禁用這實際上大大削弱了Vista作為娛樂系統的用途
六筆記本電腦的耗電問題
Windows Vista需要更強的電源才能運行——需要的PC硬件越多筆記本電腦的電池使用壽命就越短即使單單運行Aero Glass界面電池使用時間也會因額外的GPU處理而縮短得很快
七不是特別創新
其實用戶可以免費下載許多高級的搜尋應用程序Google免費提供了一個很好的工具條內置RSS閱讀器 雅虎的窗口組件可以把桌面變成虛擬工作空間各種數據和工具隨手可得 Apple的OS X無疑是現代桌面環境的領導者而Vista的Aero Glass也無法與OS X的流暢性相提並論
八成本
Vista價格不菲如果你需要Vista預計得為其中一款主要版本支付美元
九需要新的視頻卡來支持DirectX
DirectX 只針對Vista游戲玩家們不但要掏錢購買新的操作系統還要購買支持DirectX 的新視頻卡目前只有nVIDIA的芯片組與DirectX 兼容最低檔的(GTS)零售價也要美元
十游戲性能較差
Aero Glass 是Vista的核心部分之一但它給視頻卡帶來了負擔從而會影響游戲性能微軟的幾份報告告訴開發人員當前的游戲在Vista上運行起來比在XP上慢%到%而專門為Vista設計的游戲會不會出現性能受影響這個問題仍須拭目以待
實際上微軟投入了大量精力來提高IE 的安全性
對IE 的安全性應了解的件事
IE 最終版本發布後不久媒體就大肆報道了它存在安全漏洞的事件但結果發現其實是Outlook Express的漏洞而不是IE的漏洞實際上微軟投入了大量精力來提高IE 的安全性以下是新款IE 的一些安全特性和功能
一默認狀態下可防范具有潛在危險的Active X控件
默認狀態下經過檢查後被確認為不安全的Active X控件再也不能自動運行相反它們被Active X選擇加入(optin)功能自動禁用
二可以控制每個區域的Active X選擇加入功能
用戶可以對每個區域逐一禁用Active X選擇加入功能默認狀態下選擇加入功能在互聯網和受限網站區域上是啟用的 而在內聯網和可信網站區域上是禁用的
三Active X控件的鎖定
開發人員現在可以限制控件只在某個網站上運行(網站鎖定)或者只在指定安全區域內運行(區域鎖定)從而提高Active X控件的安全性
四防范網絡釣魚
IE 引入了網絡釣魚過濾器(Phishing Filter)這有助於保護用戶避免上當受騙輸入個人信息或者口令從而防止身份竊賊收集及利用這些信息網絡釣魚過濾器可以自動將用戶訪問的網站與已知網絡釣魚站點列表進行對照 如果該網站已被確認為網絡釣魚站點它會發出警告如果用戶不想對網站自動檢查也可以選擇性地檢查可疑的特定網站
五跨域安全
新IE 的一種安全機制可以預防名為跨域腳本(crossdomain scripting)的一種攻擊手法該機制可以迫使腳本在原來的安全環境下運行即使它們被轉到不同的安全域也是如此
六鎖定安全區域
IE 裡面的安全區域鎖得比以往更嚴密使用了更高級別的默認安全設置禁用非域計算機上的內聯網區域
七更安全的SSL/TLS通知和數字證書信息
IE 用戶可以更輕松地確定某網站是不是得到SSL/TLS的保護並獲取發給該網站的數字證書方面的信息若網站具有高可靠度認證地址欄就會變成綠色
八隱私保護功能
IE 新增了三種注冊鍵名為功能控制鍵可防止HTML獲取用戶的個人信息另外只要點一下鼠標就很容易清除你在網頁上輸入的信息以及浏覽器緩存(臨時Internet文件)歷史紀錄cookie及其他個人信息
九地址欄
IE中的所有浏覽器窗口都包括地址欄所以惡意網站更難通過隱藏網站的URL來欺瞞身份了
十國際字符警示
IE支持國際字符但為了防止利用不同語言的字符存在相似的欺騙手法每當用戶使用國際字符集如果出現了另一種語言的字符IE浏覽器就會警示你
運行微軟的這款最新旗艦操作系統的最低要求比以前任何操作系統都要高得多
安裝Windows Vista前要注意的個事項
如果用戶打算利用Windows Vista提供的所有優點那麼肯定需要高端硬件運行微軟的這款最新旗艦操作系統的最低要求比以前任何操作系統都要高得多
以下是准備在現有計算機上運行Windows Vista前要注意的十件事雖然這款操作系統要求比較高但許多硬件要求還是很容易滿足運行Windows Vista的最大障礙是圖形卡方面的要求但如果用戶不准備使用新的Aero Glass圖形這個要求就不大嚴格
一分析機器的升級能力
首先你應下載及運行Windows升級顧問實用程序該軟件會檢查你的計算機並簡要說明計算機能夠運行哪些版本的Windows Vista注意 升級顧問只表明計算機能否運行Windows Vista無法表明它實現不了哪些要求
二檢查CPU
Windows Vista對CPU的要求不是非常高被認為是Vista Capable的計算機要有運行速度至少為MHz的CPUPremium Ready的計算機則要求處理器的速度至少是GHz近些年銷售的大多數計算機都能輕松滿足這一要求
三確保有足夠內存
對Vista而言內存是另一個相當容易滿足的硬件要求被認為是Vista Capable的計算機至少要有MB的內存Premium Ready機器至少要有GB的系統內存現在的大多數計算機滿足這種要求
四評估圖形適配器
那些對新的三維Aero Glass圖形功能翹首以待的用戶需要確保 自己的圖形適配器能夠支持DirectX 另外建議機器與WDDM(這是用於編寫驅動程序的Windows顯示驅動程序模型)兼容被認為是Premium Ready的圖形適配器至少要有MB的視頻內存 被認為是Vista Capable的適配卡只需要MB的視頻內存除非用戶打算使用Aero Glass圖形否則如果現有的視頻適配器是Vista Capable就沒有必要升級
五確認有足夠硬盤空間
要注意Windows Vista對硬盤空間的最低要求要安裝Windows Vista硬盤至少要GB大還要有至少GB的剩余空間
六確保有DVD驅動器
Windows Vista通過DVD來發布所以要安裝這款新操作系統計算機得有DVD驅動器
七選擇版本
與以前幾個版本的Windows相比確定安裝哪個版本的Windows Vista可能要復雜一點Windows Vista有以下五個版本
■ Windows Vista家庭普通版 該版本Vista提供基本的操作系統功能如果用戶不需要Aero Glass等高級功能可以選擇這個版本
■ Windows Vista家庭高級版 該版本是Windows XP家庭版和Windows XP專業版的某種混合體它的功能比Windows Vista家庭普通版多得多大多數普通及高級家庭用戶會安裝該版本
■ Windows Vista商業版 該版本相當於Windows XP專業版它提供標准的商業功能會成為公司桌面上的必備系統
■ Windows Vista企業版 Vista企業版提供了諸多高級功能譬如針對筆記本電腦的BitLocker驅動器加密應用程序兼容性工具和多語言支持
■ Windows Vista旗艦版 Vista旗艦版把家庭版和商業版的優點融入到了這個功能豐富的操作系統中該版本還包括Windows媒體中心
八檢查應用程序兼容性
為了讓Windows Vista安裝過程盡可能順利應當在安裝前確保現有的應用程序能夠在Vista下運行用戶可以下載及運行應用程序兼容性工具包來幫助確定哪些應用程序在Windows Vista下可能無法運行
九不要忽視數據備份
在升級操作系統前對數據進行備份是極為重要的步驟之一除了備份數據外在開始安裝前最好確認是否擁有安裝現有軟件所需的各種盤片以及相應的許可信息
十筆記本電腦的煩惱
筆記本電腦同樣必須滿足與台式機同樣的硬件規格不過筆記本電腦存在的一個問題是要是圖形卡不兼容基本上就無法升級系統
微軟對Vista中的Windows防火牆作了重大改變從而增強了安全性讓高級用戶更容易配置及定制
有關Windows Vista防火牆的個事項
微軟對Vista中的Windows防火牆做了重大改變從而增強了安全性讓高級用戶更容易配置及定制同時保留了新手用戶所需的簡潔性
一采用兩種界面來滿足不同需求
Vista防火牆有兩種獨立的圖形配置界面 一是基本的配置界面可以通過安全中心和控制面板來訪問 二是高級配置界面用戶在創建自定義的MMC後可作為插件來訪問這可以防止新手用戶無意中的改變而導致連接中斷又為高級用戶對防火牆設置進行更細化地定制以及控制出站和入站流量提供了一種方法用戶還可以在netsh advfirewall上下文中使用命令從命令行對Vista防火牆進行配置 也可以編寫腳本針對一組計算機自動對防火牆進行配置 還可以通過組策略來控制Vista防火牆的設置
二基本配置選項
利用基本配置界面用戶可以啟動或者關閉防火牆或者設置防火牆完全阻擋所有程序 還可以允許有例外情況存在(可以指定不阻擋哪些程序服務或者端口)並且指定每種例外情況的范圍(是否適用於來自所有計算機的流量包括互聯網上的計算機局域網/子網上的計算機或者是你指定了IP地址或者子網的計算機) 還可以指定希望防火牆保護哪些連接並且配置安全日志和ICMP設置
三默認設置下的安全
Vista中的Windows防火牆在默認狀態下采用安全配置同時仍支持最佳易用性默認狀態下大多數入站流量被阻擋出站連接被允許Vista防火牆可與Vista的Windows服務加固這項新功能協同工作所以如果防火牆檢測到被Windows服務加固網絡規則禁止的行為它就會阻擋該行為防火牆還完全支持純IPv的網絡環境
四ICMP消息阻擋
默認狀態下入站ICMP回應請求可以通過防火牆而其他所有ICMP信息被阻擋在外這是因為Ping工具定期用來發送回應請求消息用於故障診斷不過黑客也可以發送回應請求消息來鎖定目標主機用戶可以通過基本配置界面上的高級選項卡阻擋回應請求消息
五多個防火牆配置文件
附帶高級安全MMC插件的Vista防火牆可以讓用戶在計算機上創建多個防火牆配置文件那樣就可以針對不同環境使用不同的防火牆配置這對便攜式計算機來說特別有用譬如說當用戶連接到公共無線熱點時可能需要比連接到家庭網絡時更安全的配置用戶最多可以創建三個防火牆配置文件 一個用於連接到Windows域一個用於連接到專用網絡另一個用於連接到公共網絡
六IPSec功能
通過高級配置界面用戶可以定制IPSec設置指定用於加密和完整性的安全方法確定密鑰的生命周期按時間計算還是按會話計算並且選擇所需的DiffieHellman密鑰交換算法默認狀態下IPSec連接的數據加密功能是禁用的但可以啟用它並且選擇哪些算法用於數據加密和完整性
七安全規則
通過向導程序用戶可以逐步創建安全規則從而控制單台計算機或者一組計算機之間如何及何時建立安全連接 也可以根據域成員或者安全狀況等標准來限制連接但允許指定的計算機可以不符合連接驗證要求 還可以創建規則要求兩台特定的計算機(服務器到服務器)連接時需要驗證或者使用隧道規則對網關之間的連接進行驗證
八自定義的驗證規則
在創建自定義的驗證規則時要指定單台計算機或者一組計算機(通過IP地址或者地址范圍)成為連接端點用戶可以請求或者要求對入站連接出站連接或者兩者進行驗證
九入站和出站規則
用戶可以創建入站和出站規則從而阻擋或者允許特定程序或者端口進行連接 可以使用預先設置的規則也可以創建自定義規則新建規則向導可以幫用戶逐步完成創建規則的步驟 用戶可以將規則應用於一組程序端口或者服務也可以將規則應用於所有程序或者某個特定程序 可以阻擋某個軟件進行所有連接允許所有連接或者只允許安全連接並要求使用加密來保護通過該連接發送的數據的安全性 可以為入站和出站流量配置源IP地址及目的地IP地址同樣還可以為源TCP和UDP端口及目的地TCP和UPD端口配置規則
十基於活動目錄的規則
用戶可以創建規則來阻擋或者允許基於活動目錄用戶計算機或者組賬戶的連接只要連接通過帶有Kerberos v(包含活動目錄賬戶信息)的IPSec來保護安全用戶還可以使用具有高級安全功能的Windows防火牆執行網絡訪問保護(NAP)策略
Windows Meeting Space(WMS)是Windows Vista內置的一個新程序它便於最多個協作者共享桌面文件和演示文檔並通過網絡傳送個人消息給對方
WMS 的個重要特性
一WMS僅適用於Vista
Windows Meeting Space取代了微軟NetMeeting它只提供給Windows Vista操作系統的用戶因為它建立在Vista的對等網絡技術上並使用Vista的功能如WSDiscovery
二WMS易於設置及使用
首次打開該程序後它會自動執行使用WMS所需的任務譬如配置防火牆允許Meeting Space通信啟用People Near Me和文件復制功能如果沒有檢測到網絡它甚至會創建一個特定的無線網絡用於WMS通信
三WMS包含內置的安全機制
用戶可以選擇只接收來自可信聯系人(即提供數字證書以證明身份的那些人)的邀請要求參與者先輸入口令然後才可以加入會議所有Meeting Space通信都經過加密那樣只有授權者才可以看到共享的桌面應用程序和文件
四可以將會議隱藏起來
Windows Meeting Space可以將會議隱藏起來鄰近的Vista用戶就無法在可用會議列表中看到它必須經過明確邀請才能加入
五WMS提供加入會議的多個選項
有三種方式可以加入會議 通過WMS界面上顯示的可用會議列表 通過電子郵件發送的邀請 通過共享或者傳輸的邀請文件
六可以在會議期間提供演示文檔
為了在會議期間演示文檔可以連接到網絡投影儀或者在桌面上顯示演示文檔然後跟其他與會者共享桌面或者演示文檔應用程序
七可以將會議資料分發給與會者
為了共享會議資料只要選擇想要分發的文件它們就會拷貝到每個與會者的計算機上任何參與者都可以編輯會議資料變更內容會發送到其他參與者的拷貝上而不會改變原始文件
八WMS需要IPv
默認狀態下IPv被Windows Vista安裝及啟用不過對於在本地子網(People Near Me)上的會議不需要正式的IPv基礎設施安裝到位
九可以共享桌面或應用程序
如果與別人共享桌面其他與會者就能看到你桌面上的所有項目這類似遠程幫助但他們無法控制你的桌面除非明確將控制權授予對方
十管理員有多種方法可以控制WMS的使用
管理員可以使用組策略來限制或者控制WMS的使用選項包括 完全禁用WMS禁用共享資料執行口令長度和復雜性方面的要求
用戶賬戶控制(UAC)是Windows Vista的核心安全功能也是Vista最常被人誤解的眾多安全功能當中的一種
UAC的個變化
一UAC消除了以管理員身份登錄帶來的風險
這是個常見問題 擁有管理員賬戶的用戶往往使用這種賬戶登錄即使他們也有普通用戶賬戶雖然使用管理員賬戶登錄比較方便但同時也帶來了風險而使用UAC可以消除以管理員身份登錄帶來的部分風險因為Vista使用普通用戶權限來執行大部分任務即便某人以管理員身份登錄也是如此
二登錄過程發生了變化
雖然登錄過程對用戶來說似乎一樣——都需要輸入賬戶名和口令但是Vista的登錄過程實際上發生了變化現在如果使用管理員賬戶登錄不但會獲得該賬戶的訪問令牌還會獲得普通用戶的訪問令牌這個普通令牌可用於啟動ExplorerexeExplorerexe的所有子進程都使用該令牌的權限運行除非通過響應UAC提示對話框提升了權限
三比較容易區別哪些任務需要管理員權限
對話框裡必須擁有管理員權限的選項都有一個盾形圖標該圖標表明如果選擇該選項需要響應UAC提示對話框
四管理員批准模式是默認值
默認狀態下Vista使用普通用戶權限運行即使以管理員身份登錄也是如此如果某項任務需要管理員特權對話框就會要求獲得許可才能繼續操作這可以阻止惡意軟件在用戶不知情的情況下提升權限
五可以提高UAC的安全性
可以通過編輯組策略(本地安全策略或者域策略)來改變UAC的行為可以用這種方法來提高安全性 要求用戶輸入管理員證書信息來提升權限而不是只點擊繼續按鈕默認狀態下以普通用戶賬戶登錄的用戶如果試圖執行需要提升權限的任務對話框會提示要求輸入管理員證書信息在域環境下默認值是禁用權限提升
六進一步提高安全性
默認狀態下如果響應了UAC提示對話框簽名和未簽名的可執行文件都可以使用提升權限來運行不過在高度安全環境下可通過編輯組策略以便Vista只為簽名有效的可執行文件提升權限從而改變這種行為
七可降低安全性從而提高便利性
雖然不推薦這麼做但要是絕對肯定所處環境沒有惡意軟件那麼可以編輯組策略讓那些以管理員身份登錄的用戶可以使用提升權限來執行任務不必要求響應UAC提示對話框這可以消除有時煩人的對話框 而且對管理員(譬如需要安裝許多軟件)來說更加便利了
八可以關閉UAC或者安全桌面
UAC提示要求獲得許可才能提升權限時桌面被鎖定這樣它只接受來自Windows進程的消息這時其他軟件無法與桌面進行聯系桌面也會變成灰色通過編輯組策略可以禁用安全桌面禁用後提示對話框仍會彈出來但會在交互桌面上顯示出來也可以完全關閉UAC(不過不推薦這麼做)用戶只需要禁用所有管理員在管理員批准模式下運行策略即可
九遺留程序需要做上標記
Vista出現前編寫的不支持UAC的程序需要經過特別配置才能在Vista下工作如果程序需要執行具有管理員權限的任務應當將它們標上請求的執行級別提示用戶要求得到批准可使用應用程序兼容性工具包來完成這一步這個工具可從微軟網站免費下載
十UAC並不取代其他安全措施
UAC提供了額外保護譬如說它讓惡意軟件更難以對系統造成破壞不過UAC並不取代反病毒或者反間諜軟件程序仍應當使用性能良好合理配置的防火牆為了確保效果必須采取多層安全策略UAC只是妥善的客戶機安全方案的一個部分
服務加固功能是Windows Vista及下一代Windows服務器(目前名為Longhorn Server)的許多新的安全機制中的一種它增加了黑客利用服務漏洞進行大肆破壞的難度
關於服務加固的個事項
一SCM管理服務
Windows服務是由服務控制管理器(SCM)管理的一些程序SCM包含已安裝服務的數據庫負責管理每項服務的狀態
二高權限意味著高風險
在以前的Windows操作系統中大多數服務在本地系統賬戶下運行該賬戶擁有高級別的權限這意味著萬一服務受到危及攻擊者就可能造成重大破壞因為他們幾乎可以訪問一切
三以盡可能低的權限運行服務
在Vista和Longhorn中用來在本地系統賬戶下運行的許多服務如今在網絡服務或本地服務賬戶下運行這兩個賬戶的權限級別比較低服務不需要的任何權限都被取消這有助於縮小攻擊面
四用隔離技術保護服務
隔離技術包括Session 隔離這可以阻止用戶的應用程序在Session 中運行這可以保護服務遠離其他程序的操作
五為每項服務分配安全識別符
為每項服務分配SID讓服務可以彼此隔離開來並使操作系統能夠應用Windows訪問控制模型從而限制服務對資源的訪問這與限制用戶和用戶組賬戶的訪問采用的方式一樣
六訪問控制列表可用於服務
ACL是一組訪問控制條目(ACE)網絡上的每項資源都有一個安全描述符包含分配給它的ACL定義誰可以訪問該資源的許可權保存在ACL裡面
七將網絡防火牆策略用於服務
該策略與服務的SID相關聯因而用戶可以控制如何允許服務訪問網絡防止它以不應該的方式使用網絡
八可以限制特定服務那樣它們就無法編輯注冊表寫入系統文件及進行其他操作
如果某服務需要執行上述操作才能正常使用那麼可以限制它以便它只能寫入到注冊表或者文件系統的特定區域也可以防止服務改動配置設置執行有可能被攻擊者利用的其他操作
九每項服務事先被分配了服務加固配置文件
該配置文件定義了服務可以執行哪些操作基於該配置文件SCM只為服務分配必要的權限這一切都以透明方式進行不需要任何配置或者管理開銷
十服務加固不能阻止攻擊者危及服務安全
Windows防火牆及其他保護層倒是旨在防止這種攻擊服務加固的目的是萬一服務果真受到危及就盡量減小破壞程度它通過Vista的多層安全策略來提高內層保護
微軟的網絡訪問保護(NAP)允許用戶監控試圖連接到網絡的所有計算機(而不僅僅是遠程訪問客戶機)的安全狀況並且確保它們符合安全策略
部署NAP之前要知道的件事
NAP功能內置在Windows Longhorn Server和Windows Vista客戶操作系統中它增強了Windows Server 中網絡訪問隔離控制特性的功能
一NAP只是一項補充功能
NAP並不取代其他網絡安全機制它根本無法阻止未授權用戶訪問網絡而是幫助保護網絡遠離通過未打補丁配置不當或者未加保護的計算機連接到網絡的授權用戶帶來的攻擊和惡意軟件
二NAP有兩種部署模式 監控模式和隔離模式
如果配置監控模式即使發現授權用戶的計算機不符合策略他們照樣可以訪問網絡但不符合策略的狀況會被記入日志那樣管理員就可以指導用戶如何讓計算機符合策略在隔離模式下不符合策略的計算機只能有限訪問網絡他們可以在該網絡上找到符合策略的資源
三可以為連接到網絡的計算機選擇符合策略的標准
符合策略的標准包括 要求服務包和安全補丁反病毒軟件反間諜軟件保護防火牆和Windows自動更新這些標准在NAP服務器上的系統安全驗證器(SHV)裡面進行配置
四NAP服務器必須運行Windows Longhorn Server
NAP服務器是一個網絡策略服務器(NPS)Longhorn中的NPS取代了Windows Server 中的互聯網驗證服務(IAS)提供了驗證和授權功能NAP服務包括 NAP管理服務器和NAP執行服務器系統安全驗證器(SHV)在NAP服務器上運行
五NAP要求客戶機安裝NAP客戶軟件
NAP客戶軟件內置在Windows Vista中 Windows Longhorn Server發布後面向Windows XP的NAP客戶軟件應當也會推出系統安全代理(SHA)運行在客戶機上如果網絡上有計算機在運行不支持NAP的操作系統可以允許有例外情況存在它們可以不符合安全要求那樣這些計算機仍可以訪問網絡如果不允許有例外情況存在那麼不支持NAP的計算機就只能有限訪問網絡
六SHV根據客戶機的安全狀況來創建安全聲明(SoH)
NAP軟件將SoH提交給SHVSHV則與策略服務器進行通信確定SoH裡面提供的安全狀況是否符合安全策略的要求如果符合則允許該計算機全面訪問網絡如果不符合(在隔離模式下)該計算機只能有限訪問網絡
七可以使用安全證書證明符合策略
這種情況下需要運行互聯網信息服務(IIS)和證書服務的Longhorn服務器充當證書管理機構頒發安全證書該服務器名為安全注冊管理機構(HRA)NAP客戶機發送SoH給HRA然後由HRA發送給NPS服務器NPS服務器與策略服務器通信後確認該SoH是否有效如果有效HRA為客戶機頒發安全證書該證書可用來建立基於IPSec的連接
八有四種NAP執行方法
IPSec執行依賴HRA和X證書x執行依賴EAPHost NAP執行客戶機用於通過x接入點(可以是無線接入點或者以太網交換機)進行連接的客戶機訪問被限制的配置文件放在不符合策略的客戶機上使用數據包過濾器或者VLAN識別符把它們限制在限制網絡上VPN執行則依賴VPN服務器當計算機試圖通過VPN連接網絡時就執行安全策略而DHCP執行依賴DHCP服務器當計算機租用或者更新IP地址時執行安全策略可以在某個網絡上使用一種幾種或者所有執行方法
九如果不符合策略通過四種執行方法的一種連接到網絡的計算機其訪問會受到限制
DHCP執行是最容易實現的也是最全面的方法因為大多數計算機需要租用IP地址(被分配了靜態地址的計算機除外)但IPSec執行是最安全的執行方法計算機的訪問受限制後它仍可以訪問DNS和DHCP服務器以及補救服務器不過可以在限制網絡上放置輔助DNS服務器或者轉發服務器而不是主DNS服務器
十NAP有別於Windows Server 中的網絡訪問隔離控制(NAQC)
NAP可以應用於網絡上所有系統而不僅僅是遠程訪問客戶機有了NAP還可以監控及控制來訪筆記本電腦甚至台式機的安全狀況部署起來也比較容易因為它不像NAQC那樣需要創建定制腳本及使用命令行進行手工配置此外第三方軟件廠商可以使用NAP API來開發符合NAP的安全狀況驗證和網絡訪問限制組件NAP和NAQC可同時使用但一般NAP充當NAQC的替代者
Windows Vista隨帶一個內置的反間諜軟件程序名為Windows Defender它是Vista的加固安全機制的一個必要部分
充分利用Defender的項必備知識
一Windows Defender只是多層安全戰略的一部分
Defender旨在檢測及清除或者隔離擅自安裝在計算機上的已知及可疑的間諜軟件程序它不能阻止針對計算機的所有攻擊Defender應當結合其他安全機制使用
二默認狀態下Defender在Vista上是啟用的
可以開啟及關閉Defender並通過Windows Defender控制面板小應用程序來配置其屬性和行為還可以通過Vista中的安全中心來訪問它界面很簡單只要點擊一下按鍵就可以立即掃描查找間諜軟件還能夠根據每天或者所選的某一天安排自動掃描時間
三Defender可以執行三種掃描
快速掃描查找間諜軟件最常出現的位置這可以節省時間查出大多數間諜軟件全面掃描檢查計算機上的每個驅動器和文件夾這是最徹底的選項但需要相當長的時間具體取決於硬盤容量及文件數量自定義掃描可以選擇想要掃描的特定驅動器或者文件夾如果Defender在自定義掃描期間檢測到了間諜軟件隨後會執行快速掃描以便清除或者隔離它
四可以指定希望Defender怎樣執行掃描
可以選擇Defender要不要掃描被存檔的文件和文件夾可以選擇使用啟發式方法根據模式和行為來識別可能是間諜軟件的軟件還可以使用識別已知間諜軟件的定義文件此外可以選擇要不要在清除檢測到的間諜軟件之前創建恢復點那樣要是其中一個合法程序所必要的某個文件不小心被清除就很容易解決這問題還可以指定執行掃描過程中Defender可以完全跳過哪些文件和文件夾
五如果某個可疑的間諜軟件程序企圖在計算機上安裝或者運行實時保護功能會立即報警
實時保護功能在默認狀態下是啟用的但可以選擇要不要使用它還可以選擇應當開啟哪些安全代理來監控系統的各個方面
六管理員可以控制Defender在用戶機器上如何運行
管理員可以允許所有用戶使用Defender來掃描計算機選擇檢測到可疑間諜軟件後Defender應采取什麼步驟以及分析Defender的活動他們還可以限制只有擁有管理員權限才可以使用Defender默認狀態下每個人都可以使用Windows Defender
七可以通過歷史頁面查看Defender執行的活動
在歷史頁面上可以看到程序和活動列表包括檢測到項目的描述如何處理每個項目的建議以及與程序相關的文件位置和注冊表鍵等資源可以看到報警級別在某一天采取的步驟以及項目的當前狀態還可以通過允許的項目鏈接查看允許運行的項目列表可以通過隔離的項目鏈接查看阻止了哪些項目運行清除或者恢復這些項目
八Defender可根據四個報警級別對潛在的間諜軟件威脅進行分類
嚴重意味著該惡意程序會破壞計算機高意味著該程序可能會收集用戶的個人信息或者更改設置被列為嚴重或者高級別的軟件應當立即予以清除中等意味著該程序可能會收集個人信息但也有可能是可靠程序的一部分低級別意味著該軟件可能收集信息或者更改設置不過是根據用戶認可的許可協議安裝的用戶應當分析被標為中等和低級別的程序確定是要阻止還是清除
九應當讓Defender定期查找新定義
為了確保效果反間諜軟件程序要使用最新的定義文件因為經常會出現新的間諜軟件威脅最佳辦法就是在執行計劃掃描之前讓Defender通過Windows Update自動查找新定義用戶還可以手動查找新定義
十微軟依靠Defender用戶的SpyNet社區幫助擴建間諜軟件數據庫
用戶用不著加入SpyNet即可使用Defender但如果加入該社區Defender會把它檢測到的可疑間諜軟件及采取的步驟方面的信息發送給微軟通過工具→設置選項就很容易加入SpyNet社區
From:http://tw.wingwit.com/Article/Common/201311/5091.html
