尽管Vista的发布一再推迟但现在它终于出现在我们面前许多公司已经开始制订升级计划尤其是那些一向积极率先使用先进工具的公司但是在行动之前用户需要考虑以下事项
升级到Vista前要考虑的个事项
一硬件是否合乎要求
众所周知Vista对硬件的要求非常高事实上Vista有两套不同的硬件要求一是只能够运行基本Vista(Vista Capable)版本的机器另一个是能够运行高级Vista(Vista Premium Ready)版本的机器后者要求GHz处理器GB内存和高端视频卡而前者的要求相对容易实现成本也比较低重要的是要记住这一点 尽管Aero Glass提供的视觉效果非常眩目但对大多数商业应用而言可能并非必不可少
二你需要哪个或哪些版本的Vista
Vista的版本情况比较复杂现在它有五个版本 家庭普通版(Home Basic)家庭高级版(Home Premium)商业版(Business)企业版(Enterprise)和旗舰版(Ultimate)用户可能不想在公司网络上使用家庭版但到底选择商业版企业版还是旗舰版还是不太清楚商业版基本上相当于XP Pro 企业版包括了额外功能譬如BitLocker驱动器加密(为公司的笔记本电脑提供了一层额外的安全)应用程序兼容性工具基于UNIX的应用程序的子系统(SUA)及高级多语言支持等旗舰版包括了所有版本(包括媒体中心版)的所有功能而办公计算机可能用不到它的全部功能
三了解Vista许可证
微软为Vista添加了企业版该版本只销售给与微软签有软件保障协议或者微软企业协议的用户对于规模稍小的公司Windows随时升级许可证也许值得他们关注该许可证允许他们从某些版本的Vista升级到更高版本
四应用程序兼容性如何
说到兼容性最重要的是应用程序升级一款新的操作系统时要考虑这个重要因素 确保必要的应用程序可在新款操作系统下运行
Vista内置的兼容性模式可以帮助用户安装及运行为旧版本Windows编写的应用程序微软开发了应用程序兼容性工具包可以帮助用户确认哪些应用程序可能需要改进才能使用Vista的用户账户控制(UAC)功能并且修补这些程序用户也可以使用虚拟PC/虚拟服务器或者终端服务等技术作为不兼容的应用程序的变通办法
不过事先对关键任务型应用程序进行测试很重要要确保它们在Vista环境下能够正常工作想了解应用程序兼容性方面的资源请访问该网址 us/windowsvista/aaaspx
五评估网络基础设施
虽然没有要求用户这么做但升级到Vista可能会促使其网络先升级到IPvVista对这个新的互联网协议提供了更好的支持在XP/Server 中需要安装独立的协议才能支持IPv 而Vista/Longhorn Server中的TCP/IP协议栈支持双IP架构而且IPv和IPv在默认状态下都是启用的
迁移至IPv不仅提高了IP安全性还可以弃用网络地址转换(NAT)协议并简化了将视频和音频集成到应用程序里面
六谁需要Vista(谁不需要)
用户也许不想也不需要一下子把公司的所有桌面系统都升级到Vista事实上在大公司逐步实施操作系统升级方案具有诸多优点不应该随意进行升级升级计划的一方面应当包括评估 哪些用户可从Vista的新功能中获得最大好处哪些用户最需要Vista的增强安全功能哪些用户应在升级过程中优先升级
而在大部分时间使用文字处理软件或者电子表格软件的文职人员可能在很长一段时间内会继续使用当前的操作系统
七用户准备好了吗
大部分计算机用户都渴望使用新技术迫不及待地想率先试用并且掌握最新最好的技术但大多数用户跟常人一样都不愿接受变化哪怕是好的变化
升级到新的操作系统总是需要一个学习过程无论这个软件用起来多么直观但Vista的界面出现了一些重大变化还带来了新的操作方式这可能会让不太精通技术的用户无所适从譬如说对那些新接触Vista的用户来说每当他们试图完成需要管理员权限的任务时即便他们是以管理员的身份登录系统AUC还是会弹出对话框这可能会让他们感到困惑苦恼
通过适当的教育培训和政策来帮助用户做好升级前的准备这很重要譬如说可以允许那些喜欢使用经典Windows桌面主题的人将桌面设定成比较熟悉的模式
八支持人员准备好了吗
需要为升级做好准备的不仅仅是最终用户支持部门及其他技术支持人员会接到众多问题和请求以求帮助就算他们训练有素完全精通新的操作系统仍要准备好处理比平常多得多的工作量所以可以考虑在升级期间及升级之后临时添加支持人员
九公司数据安全吗
如果一切顺利的话操作系统升级对用户的所有宝贵数据不会有影响可是万一某个环节出现了意外怎么办?最基本的也是最常忽视的一个因素就是用户的所有数据是否都得到了妥当备份?这不仅仅意味着需要备份软件及差不多每周都要更换的一大堆磁带还意味着进行测试性恢复确保一旦用户需要这些备份数据它们可以正常使用
十实际费用会是多少
考虑了所有其他因素后用户就可以开始考虑升级费用了不要忘了最终费用要比许可费多得多还应该包括这方面的费用 任何必要的硬件升级应用程序改动网络基础设施的更改要聘请顾问来帮助升级用户培训对支持人员和IT管理人员的培训以及处理所有这些准备工作的管理费用包括应用程序兼容性测试和备份测试等费用
一旦完成了切合实际的费用评估后就可以确定升级是否值得
有些公司在为Vista积极做准备但另一些则打算继续使用目前的操作系统
升级到Windows Vista的个理由
无论你的选择是什么事先了解一下得失总会有所帮助以下分别是升级到Windows Vista以及不升级到的十个理由
一安全性
Vista的一个主要设计重点就是建立尽可能安全的环境Windows的许多基本方面(如以管理员身份来运行)都进行了变动旨在有助于建立这种安全环境此外Internet Explorer 还有许多新功能以便用户在上网时有助于提供保护
二增强网络功能
微软为Vista改写了TCP/IP网络堆栈以提供更好的性能另外Vista大大改变了用户与PC上及网络上的网络设备进行联系的方式现在用户可以利用新的内置工具帮助诊断网络问题这可以减少支持部门接到的电话在一些情况下还可以加快支持速度支持部门可以利用诊断工具提供的信息来帮助诊断及排除故障
三Aero Glass用户界面
对采用图形用户界面(GUI)设计的Windows而言Windows Vista中的Aero Glass界面是一大飞跃支持Aero Glass的Vista版本比之前任何Windows桌面都要来得漂亮除了外观漂亮外GUI的整个布局也发生了变化使得查找起来更容易使用起来更直观
四集成的侧栏和搜索功能
大多数人已经在Windows XP上安装了第三方搜索程序RSS阅读器侧栏或者小工具栏而这些功能现在已经被集成到Vista里面在Aero Glass界面上看起来非常棒文档搜索起来也非常容易因为Windows的集成搜索功能支持许多较新搜索程序的索引特性
五Windows可靠性和性能监视器
IT专业人士已经很熟悉性能监视器而现在普通大众也可以领略这个实用程序的强大功能用户很容易设置新的Windows可靠性和性能监视器从而获得新PC的基准性能参数性能开始下降时这个工具可以帮助诊断问题的根源
六新增个GPO对象
许多公司依靠活动目录及组策略的功能在台式机上执行标准Vista提供了多个新的组策略对象(GPO)从而进一步增强了这方面的功能
七BitLocker驱动器加密
在过去的几年我们发现笔记本电脑成了最大的安全漏洞之一Windows Vista中新的BitLocker技术有助于缓解这个风险 它可以对数据进行加密谁要是没有启动密钥(可以由用户输入或者保存在U盘上)都无法使用计算机
八持续支持
作为微软的最新操作系统Vista的支持期会超过现有的任何一款Windows操作系统除了微软的支持外还会来自整个网络的支持因为在可预见的将来人们会使用Windows Vista相当长一段时间
九ReadyBoost(U盘作为内存)
微软有一种新的方法可以帮用户不用购买太多昂贵的新硬件就可以提升操作系统的性能现在用户插入可移动内存(U盘微型闪存卡和SD卡等)然后分配全部或者部分空间用于使用ReadyBoost这部分内存就可用作系统内存和硬盘之间的预取部分测试结果显示这可以大大提升许多系统的速度
十DirectX
DirectX 只有面向Windows Vista的版本DirectX有助于许多图形和视频功能包括视频会议等商业应用如果用户要玩最新最酷的游戏那么升级到Windows Vista是自然选择因为这是其如愿以偿的惟一办法DirectX 还声称可以解决以前版本的小小的批处理问题微软声称这可能会导致DirectX 游戏在Vista上运行的性能比在Windows XP上使用DirectX 运行要快倍
不升级的十个理由
一硬件要求苛刻
Vista对硬件的要求是微软迄今为止推出的各款操作系统当中最苛刻的又因为Aero Glass界面需要能支持DirectX 的GPU许多比较旧的台式机和笔记本电脑即使满足了其他要求也无法使用Aero Glass
二有个学习过程
Vista有别于以前的几款Windows操作系统虽然不少工具相同或者相似但还是有许多地方要学习
三对Win XP的支持没有中断
微软支持Vista的时间会超过对XP的支持但XP仍有两年可以得到微软的主流支持
四应用程序兼容性
许多流行的应用程序无法在Vista下运行iTunes和Nero等应用程序在Vista下运行时存在问题 实际上与抓取或者刻录媒体有关的几乎每个程序都与Vista存在兼容问题
五数字版权管理(DRM)问题
虽然PC在作为客厅的娱乐设备方面取得了长足发展但你在播放下一代(HDDVD和蓝光)内容时Vista的DRM带来了极大麻烦播放这种内容时分量输出和S/PDIF输出功能被禁用这实际上大大削弱了Vista作为娱乐系统的用途
六笔记本电脑的耗电问题
Windows Vista需要更强的电源才能运行——需要的PC硬件越多笔记本电脑的电池使用寿命就越短即使单单运行Aero Glass界面电池使用时间也会因额外的GPU处理而缩短得很快
七不是特别创新
其实用户可以免费下载许多高级的搜寻应用程序Google免费提供了一个很好的工具条内置RSS阅读器 雅虎的窗口组件可以把桌面变成虚拟工作空间各种数据和工具随手可得 Apple的OS X无疑是现代桌面环境的领导者而Vista的Aero Glass也无法与OS X的流畅性相提并论
八成本
Vista价格不菲如果你需要Vista预计得为其中一款主要版本支付美元
九需要新的视频卡来支持DirectX
DirectX 只针对Vista游戏玩家们不但要掏钱购买新的操作系统还要购买支持DirectX 的新视频卡目前只有nVIDIA的芯片组与DirectX 兼容最低档的(GTS)零售价也要美元
十游戏性能较差
Aero Glass 是Vista的核心部分之一但它给视频卡带来了负担从而会影响游戏性能微软的几份报告告诉开发人员当前的游戏在Vista上运行起来比在XP上慢%到%而专门为Vista设计的游戏会不会出现性能受影响这个问题仍须拭目以待
实际上微软投入了大量精力来提高IE 的安全性
对IE 的安全性应了解的件事
IE 最终版本发布后不久媒体就大肆报道了它存在安全漏洞的事件但结果发现其实是Outlook Express的漏洞而不是IE的漏洞实际上微软投入了大量精力来提高IE 的安全性以下是新款IE 的一些安全特性和功能
一默认状态下可防范具有潜在危险的Active X控件
默认状态下经过检查后被确认为不安全的Active X控件再也不能自动运行相反它们被Active X选择加入(optin)功能自动禁用
二可以控制每个区域的Active X选择加入功能
用户可以对每个区域逐一禁用Active X选择加入功能默认状态下选择加入功能在互联网和受限网站区域上是启用的 而在内联网和可信网站区域上是禁用的
三Active X控件的锁定
开发人员现在可以限制控件只在某个网站上运行(网站锁定)或者只在指定安全区域内运行(区域锁定)从而提高Active X控件的安全性
四防范网络钓鱼
IE 引入了网络钓鱼过滤器(Phishing Filter)这有助于保护用户避免上当受骗输入个人信息或者口令从而防止身份窃贼收集及利用这些信息网络钓鱼过滤器可以自动将用户访问的网站与已知网络钓鱼站点列表进行对照 如果该网站已被确认为网络钓鱼站点它会发出警告如果用户不想对网站自动检查也可以选择性地检查可疑的特定网站
五跨域安全
新IE 的一种安全机制可以预防名为跨域脚本(crossdomain scripting)的一种攻击手法该机制可以迫使脚本在原来的安全环境下运行即使它们被转到不同的安全域也是如此
六锁定安全区域
IE 里面的安全区域锁得比以往更严密使用了更高级别的默认安全设置禁用非域计算机上的内联网区域
七更安全的SSL/TLS通知和数字证书信息
IE 用户可以更轻松地确定某网站是不是得到SSL/TLS的保护并获取发给该网站的数字证书方面的信息若网站具有高可靠度认证地址栏就会变成绿色
八隐私保护功能
IE 新增了三种注册键名为功能控制键可防止HTML获取用户的个人信息另外只要点一下鼠标就很容易清除你在网页上输入的信息以及浏览器缓存(临时Internet文件)历史纪录cookie及其他个人信息
九地址栏
IE中的所有浏览器窗口都包括地址栏所以恶意网站更难通过隐藏网站的URL来欺瞒身份了
十国际字符警示
IE支持国际字符但为了防止利用不同语言的字符存在相似的欺骗手法每当用户使用国际字符集如果出现了另一种语言的字符IE浏览器就会警示你
运行微软的这款最新旗舰操作系统的最低要求比以前任何操作系统都要高得多
安装Windows Vista前要注意的个事项
如果用户打算利用Windows Vista提供的所有优点那么肯定需要高端硬件运行微软的这款最新旗舰操作系统的最低要求比以前任何操作系统都要高得多
以下是准备在现有计算机上运行Windows Vista前要注意的十件事虽然这款操作系统要求比较高但许多硬件要求还是很容易满足运行Windows Vista的最大障碍是图形卡方面的要求但如果用户不准备使用新的Aero Glass图形这个要求就不大严格
一分析机器的升级能力
首先你应下载及运行Windows升级顾问实用程序该软件会检查你的计算机并简要说明计算机能够运行哪些版本的Windows Vista注意 升级顾问只表明计算机能否运行Windows Vista无法表明它实现不了哪些要求
二检查CPU
Windows Vista对CPU的要求不是非常高被认为是Vista Capable的计算机要有运行速度至少为MHz的CPUPremium Ready的计算机则要求处理器的速度至少是GHz近些年销售的大多数计算机都能轻松满足这一要求
三确保有足够内存
对Vista而言内存是另一个相当容易满足的硬件要求被认为是Vista Capable的计算机至少要有MB的内存Premium Ready机器至少要有GB的系统内存现在的大多数计算机满足这种要求
四评估图形适配器
那些对新的三维Aero Glass图形功能翘首以待的用户需要确保 自己的图形适配器能够支持DirectX 另外建议机器与WDDM(这是用于编写驱动程序的Windows显示驱动程序模型)兼容被认为是Premium Ready的图形适配器至少要有MB的视频内存 被认为是Vista Capable的适配卡只需要MB的视频内存除非用户打算使用Aero Glass图形否则如果现有的视频适配器是Vista Capable就没有必要升级
五确认有足够硬盘空间
要注意Windows Vista对硬盘空间的最低要求要安装Windows Vista硬盘至少要GB大还要有至少GB的剩余空间
六确保有DVD驱动器
Windows Vista通过DVD来发布所以要安装这款新操作系统计算机得有DVD驱动器
七选择版本
与以前几个版本的Windows相比确定安装哪个版本的Windows Vista可能要复杂一点Windows Vista有以下五个版本
■ Windows Vista家庭普通版 该版本Vista提供基本的操作系统功能如果用户不需要Aero Glass等高级功能可以选择这个版本
■ Windows Vista家庭高级版 该版本是Windows XP家庭版和Windows XP专业版的某种混合体它的功能比Windows Vista家庭普通版多得多大多数普通及高级家庭用户会安装该版本
■ Windows Vista商业版 该版本相当于Windows XP专业版它提供标准的商业功能会成为公司桌面上的必备系统
■ Windows Vista企业版 Vista企业版提供了诸多高级功能譬如针对笔记本电脑的BitLocker驱动器加密应用程序兼容性工具和多语言支持
■ Windows Vista旗舰版 Vista旗舰版把家庭版和商业版的优点融入到了这个功能丰富的操作系统中该版本还包括Windows媒体中心
八检查应用程序兼容性
为了让Windows Vista安装过程尽可能顺利应当在安装前确保现有的应用程序能够在Vista下运行用户可以下载及运行应用程序兼容性工具包来帮助确定哪些应用程序在Windows Vista下可能无法运行
九不要忽视数据备份
在升级操作系统前对数据进行备份是极为重要的步骤之一除了备份数据外在开始安装前最好确认是否拥有安装现有软件所需的各种盘片以及相应的许可信息
十笔记本电脑的烦恼
笔记本电脑同样必须满足与台式机同样的硬件规格不过笔记本电脑存在的一个问题是要是图形卡不兼容基本上就无法升级系统
微软对Vista中的Windows防火墙作了重大改变从而增强了安全性让高级用户更容易配置及定制
有关Windows Vista防火墙的个事项
微软对Vista中的Windows防火墙做了重大改变从而增强了安全性让高级用户更容易配置及定制同时保留了新手用户所需的简洁性
一采用两种界面来满足不同需求
Vista防火墙有两种独立的图形配置界面 一是基本的配置界面可以通过安全中心和控制面板来访问 二是高级配置界面用户在创建自定义的MMC后可作为插件来访问这可以防止新手用户无意中的改变而导致连接中断又为高级用户对防火墙设置进行更细化地定制以及控制出站和入站流量提供了一种方法用户还可以在netsh advfirewall上下文中使用命令从命令行对Vista防火墙进行配置 也可以编写脚本针对一组计算机自动对防火墙进行配置 还可以通过组策略来控制Vista防火墙的设置
二基本配置选项
利用基本配置界面用户可以启动或者关闭防火墙或者设置防火墙完全阻挡所有程序 还可以允许有例外情况存在(可以指定不阻挡哪些程序服务或者端口)并且指定每种例外情况的范围(是否适用于来自所有计算机的流量包括互联网上的计算机局域网/子网上的计算机或者是你指定了IP地址或者子网的计算机) 还可以指定希望防火墙保护哪些连接并且配置安全日志和ICMP设置
三默认设置下的安全
Vista中的Windows防火墙在默认状态下采用安全配置同时仍支持最佳易用性默认状态下大多数入站流量被阻挡出站连接被允许Vista防火墙可与Vista的Windows服务加固这项新功能协同工作所以如果防火墙检测到被Windows服务加固网络规则禁止的行为它就会阻挡该行为防火墙还完全支持纯IPv的网络环境
四ICMP消息阻挡
默认状态下入站ICMP回应请求可以通过防火墙而其他所有ICMP信息被阻挡在外这是因为Ping工具定期用来发送回应请求消息用于故障诊断不过黑客也可以发送回应请求消息来锁定目标主机用户可以通过基本配置界面上的高级选项卡阻挡回应请求消息
五多个防火墙配置文件
附带高级安全MMC插件的Vista防火墙可以让用户在计算机上创建多个防火墙配置文件那样就可以针对不同环境使用不同的防火墙配置这对便携式计算机来说特别有用譬如说当用户连接到公共无线热点时可能需要比连接到家庭网络时更安全的配置用户最多可以创建三个防火墙配置文件 一个用于连接到Windows域一个用于连接到专用网络另一个用于连接到公共网络
六IPSec功能
通过高级配置界面用户可以定制IPSec设置指定用于加密和完整性的安全方法确定密钥的生命周期按时间计算还是按会话计算并且选择所需的DiffieHellman密钥交换算法默认状态下IPSec连接的数据加密功能是禁用的但可以启用它并且选择哪些算法用于数据加密和完整性
七安全规则
通过向导程序用户可以逐步创建安全规则从而控制单台计算机或者一组计算机之间如何及何时建立安全连接 也可以根据域成员或者安全状况等标准来限制连接但允许指定的计算机可以不符合连接验证要求 还可以创建规则要求两台特定的计算机(服务器到服务器)连接时需要验证或者使用隧道规则对网关之间的连接进行验证
八自定义的验证规则
在创建自定义的验证规则时要指定单台计算机或者一组计算机(通过IP地址或者地址范围)成为连接端点用户可以请求或者要求对入站连接出站连接或者两者进行验证
九入站和出站规则
用户可以创建入站和出站规则从而阻挡或者允许特定程序或者端口进行连接 可以使用预先设置的规则也可以创建自定义规则新建规则向导可以帮用户逐步完成创建规则的步骤 用户可以将规则应用于一组程序端口或者服务也可以将规则应用于所有程序或者某个特定程序 可以阻挡某个软件进行所有连接允许所有连接或者只允许安全连接并要求使用加密来保护通过该连接发送的数据的安全性 可以为入站和出站流量配置源IP地址及目的地IP地址同样还可以为源TCP和UDP端口及目的地TCP和UPD端口配置规则
十基于活动目录的规则
用户可以创建规则来阻挡或者允许基于活动目录用户计算机或者组账户的连接只要连接通过带有Kerberos v(包含活动目录账户信息)的IPSec来保护安全用户还可以使用具有高级安全功能的Windows防火墙执行网络访问保护(NAP)策略
Windows Meeting Space(WMS)是Windows Vista内置的一个新程序它便于最多个协作者共享桌面文件和演示文档并通过网络传送个人消息给对方
WMS 的个重要特性
一WMS仅适用于Vista
Windows Meeting Space取代了微软NetMeeting它只提供给Windows Vista操作系统的用户因为它建立在Vista的对等网络技术上并使用Vista的功能如WSDiscovery
二WMS易于设置及使用
首次打开该程序后它会自动执行使用WMS所需的任务譬如配置防火墙允许Meeting Space通信启用People Near Me和文件复制功能如果没有检测到网络它甚至会创建一个特定的无线网络用于WMS通信
三WMS包含内置的安全机制
用户可以选择只接收来自可信联系人(即提供数字证书以证明身份的那些人)的邀请要求参与者先输入口令然后才可以加入会议所有Meeting Space通信都经过加密那样只有授权者才可以看到共享的桌面应用程序和文件
四可以将会议隐藏起来
Windows Meeting Space可以将会议隐藏起来邻近的Vista用户就无法在可用会议列表中看到它必须经过明确邀请才能加入
五WMS提供加入会议的多个选项
有三种方式可以加入会议 通过WMS界面上显示的可用会议列表 通过电子邮件发送的邀请 通过共享或者传输的邀请文件
六可以在会议期间提供演示文档
为了在会议期间演示文档可以连接到网络投影仪或者在桌面上显示演示文档然后跟其他与会者共享桌面或者演示文档应用程序
七可以将会议资料分发给与会者
为了共享会议资料只要选择想要分发的文件它们就会拷贝到每个与会者的计算机上任何参与者都可以编辑会议资料变更内容会发送到其他参与者的拷贝上而不会改变原始文件
八WMS需要IPv
默认状态下IPv被Windows Vista安装及启用不过对于在本地子网(People Near Me)上的会议不需要正式的IPv基础设施安装到位
九可以共享桌面或应用程序
如果与别人共享桌面其他与会者就能看到你桌面上的所有项目这类似远程帮助但他们无法控制你的桌面除非明确将控制权授予对方
十管理员有多种方法可以控制WMS的使用
管理员可以使用组策略来限制或者控制WMS的使用选项包括 完全禁用WMS禁用共享资料执行口令长度和复杂性方面的要求
用户账户控制(UAC)是Windows Vista的核心安全功能也是Vista最常被人误解的众多安全功能当中的一种
UAC的个变化
一UAC消除了以管理员身份登录带来的风险
这是个常见问题 拥有管理员账户的用户往往使用这种账户登录即使他们也有普通用户账户虽然使用管理员账户登录比较方便但同时也带来了风险而使用UAC可以消除以管理员身份登录带来的部分风险因为Vista使用普通用户权限来执行大部分任务即便某人以管理员身份登录也是如此
二登录过程发生了变化
虽然登录过程对用户来说似乎一样——都需要输入账户名和口令但是Vista的登录过程实际上发生了变化现在如果使用管理员账户登录不但会获得该账户的访问令牌还会获得普通用户的访问令牌这个普通令牌可用于启动ExplorerexeExplorerexe的所有子进程都使用该令牌的权限运行除非通过响应UAC提示对话框提升了权限
三比较容易区别哪些任务需要管理员权限
对话框里必须拥有管理员权限的选项都有一个盾形图标该图标表明如果选择该选项需要响应UAC提示对话框
四管理员批准模式是默认值
默认状态下Vista使用普通用户权限运行即使以管理员身份登录也是如此如果某项任务需要管理员特权对话框就会要求获得许可才能继续操作这可以阻止恶意软件在用户不知情的情况下提升权限
五可以提高UAC的安全性
可以通过编辑组策略(本地安全策略或者域策略)来改变UAC的行为可以用这种方法来提高安全性 要求用户输入管理员证书信息来提升权限而不是只点击继续按钮默认状态下以普通用户账户登录的用户如果试图执行需要提升权限的任务对话框会提示要求输入管理员证书信息在域环境下默认值是禁用权限提升
六进一步提高安全性
默认状态下如果响应了UAC提示对话框签名和未签名的可执行文件都可以使用提升权限来运行不过在高度安全环境下可通过编辑组策略以便Vista只为签名有效的可执行文件提升权限从而改变这种行为
七可降低安全性从而提高便利性
虽然不推荐这么做但要是绝对肯定所处环境没有恶意软件那么可以编辑组策略让那些以管理员身份登录的用户可以使用提升权限来执行任务不必要求响应UAC提示对话框这可以消除有时烦人的对话框 而且对管理员(譬如需要安装许多软件)来说更加便利了
八可以关闭UAC或者安全桌面
UAC提示要求获得许可才能提升权限时桌面被锁定这样它只接受来自Windows进程的消息这时其他软件无法与桌面进行联系桌面也会变成灰色通过编辑组策略可以禁用安全桌面禁用后提示对话框仍会弹出来但会在交互桌面上显示出来也可以完全关闭UAC(不过不推荐这么做)用户只需要禁用所有管理员在管理员批准模式下运行策略即可
九遗留程序需要做上标记
Vista出现前编写的不支持UAC的程序需要经过特别配置才能在Vista下工作如果程序需要执行具有管理员权限的任务应当将它们标上请求的执行级别提示用户要求得到批准可使用应用程序兼容性工具包来完成这一步这个工具可从微软网站免费下载
十UAC并不取代其他安全措施
UAC提供了额外保护譬如说它让恶意软件更难以对系统造成破坏不过UAC并不取代反病毒或者反间谍软件程序仍应当使用性能良好合理配置的防火墙为了确保效果必须采取多层安全策略UAC只是妥善的客户机安全方案的一个部分
服务加固功能是Windows Vista及下一代Windows服务器(目前名为Longhorn Server)的许多新的安全机制中的一种它增加了黑客利用服务漏洞进行大肆破坏的难度
关于服务加固的个事项
一SCM管理服务
Windows服务是由服务控制管理器(SCM)管理的一些程序SCM包含已安装服务的数据库负责管理每项服务的状态
二高权限意味着高风险
在以前的Windows操作系统中大多数服务在本地系统账户下运行该账户拥有高级别的权限这意味着万一服务受到危及攻击者就可能造成重大破坏因为他们几乎可以访问一切
三以尽可能低的权限运行服务
在Vista和Longhorn中用来在本地系统账户下运行的许多服务如今在网络服务或本地服务账户下运行这两个账户的权限级别比较低服务不需要的任何权限都被取消这有助于缩小攻击面
四用隔离技术保护服务
隔离技术包括Session 隔离这可以阻止用户的应用程序在Session 中运行这可以保护服务远离其他程序的操作
五为每项服务分配安全识别符
为每项服务分配SID让服务可以彼此隔离开来并使操作系统能够应用Windows访问控制模型从而限制服务对资源的访问这与限制用户和用户组账户的访问采用的方式一样
六访问控制列表可用于服务
ACL是一组访问控制条目(ACE)网络上的每项资源都有一个安全描述符包含分配给它的ACL定义谁可以访问该资源的许可权保存在ACL里面
七将网络防火墙策略用于服务
该策略与服务的SID相关联因而用户可以控制如何允许服务访问网络防止它以不应该的方式使用网络
八可以限制特定服务那样它们就无法编辑注册表写入系统文件及进行其他操作
如果某服务需要执行上述操作才能正常使用那么可以限制它以便它只能写入到注册表或者文件系统的特定区域也可以防止服务改动配置设置执行有可能被攻击者利用的其他操作
九每项服务事先被分配了服务加固配置文件
该配置文件定义了服务可以执行哪些操作基于该配置文件SCM只为服务分配必要的权限这一切都以透明方式进行不需要任何配置或者管理开销
十服务加固不能阻止攻击者危及服务安全
Windows防火墙及其他保护层倒是旨在防止这种攻击服务加固的目的是万一服务果真受到危及就尽量减小破坏程度它通过Vista的多层安全策略来提高内层保护
微软的网络访问保护(NAP)允许用户监控试图连接到网络的所有计算机(而不仅仅是远程访问客户机)的安全状况并且确保它们符合安全策略
部署NAP之前要知道的件事
NAP功能内置在Windows Longhorn Server和Windows Vista客户操作系统中它增强了Windows Server 中网络访问隔离控制特性的功能
一NAP只是一项补充功能
NAP并不取代其他网络安全机制它根本无法阻止未授权用户访问网络而是帮助保护网络远离通过未打补丁配置不当或者未加保护的计算机连接到网络的授权用户带来的攻击和恶意软件
二NAP有两种部署模式 监控模式和隔离模式
如果配置监控模式即使发现授权用户的计算机不符合策略他们照样可以访问网络但不符合策略的状况会被记入日志那样管理员就可以指导用户如何让计算机符合策略在隔离模式下不符合策略的计算机只能有限访问网络他们可以在该网络上找到符合策略的资源
三可以为连接到网络的计算机选择符合策略的标准
符合策略的标准包括 要求服务包和安全补丁反病毒软件反间谍软件保护防火墙和Windows自动更新这些标准在NAP服务器上的系统安全验证器(SHV)里面进行配置
四NAP服务器必须运行Windows Longhorn Server
NAP服务器是一个网络策略服务器(NPS)Longhorn中的NPS取代了Windows Server 中的互联网验证服务(IAS)提供了验证和授权功能NAP服务包括 NAP管理服务器和NAP执行服务器系统安全验证器(SHV)在NAP服务器上运行
五NAP要求客户机安装NAP客户软件
NAP客户软件内置在Windows Vista中 Windows Longhorn Server发布后面向Windows XP的NAP客户软件应当也会推出系统安全代理(SHA)运行在客户机上如果网络上有计算机在运行不支持NAP的操作系统可以允许有例外情况存在它们可以不符合安全要求那样这些计算机仍可以访问网络如果不允许有例外情况存在那么不支持NAP的计算机就只能有限访问网络
六SHV根据客户机的安全状况来创建安全声明(SoH)
NAP软件将SoH提交给SHVSHV则与策略服务器进行通信确定SoH里面提供的安全状况是否符合安全策略的要求如果符合则允许该计算机全面访问网络如果不符合(在隔离模式下)该计算机只能有限访问网络
七可以使用安全证书证明符合策略
这种情况下需要运行互联网信息服务(IIS)和证书服务的Longhorn服务器充当证书管理机构颁发安全证书该服务器名为安全注册管理机构(HRA)NAP客户机发送SoH给HRA然后由HRA发送给NPS服务器NPS服务器与策略服务器通信后确认该SoH是否有效如果有效HRA为客户机颁发安全证书该证书可用来建立基于IPSec的连接
八有四种NAP执行方法
IPSec执行依赖HRA和X证书x执行依赖EAPHost NAP执行客户机用于通过x接入点(可以是无线接入点或者以太网交换机)进行连接的客户机访问被限制的配置文件放在不符合策略的客户机上使用数据包过滤器或者VLAN识别符把它们限制在限制网络上VPN执行则依赖VPN服务器当计算机试图通过VPN连接网络时就执行安全策略而DHCP执行依赖DHCP服务器当计算机租用或者更新IP地址时执行安全策略可以在某个网络上使用一种几种或者所有执行方法
九如果不符合策略通过四种执行方法的一种连接到网络的计算机其访问会受到限制
DHCP执行是最容易实现的也是最全面的方法因为大多数计算机需要租用IP地址(被分配了静态地址的计算机除外)但IPSec执行是最安全的执行方法计算机的访问受限制后它仍可以访问DNS和DHCP服务器以及补救服务器不过可以在限制网络上放置辅助DNS服务器或者转发服务器而不是主DNS服务器
十NAP有别于Windows Server 中的网络访问隔离控制(NAQC)
NAP可以应用于网络上所有系统而不仅仅是远程访问客户机有了NAP还可以监控及控制来访笔记本电脑甚至台式机的安全状况部署起来也比较容易因为它不像NAQC那样需要创建定制脚本及使用命令行进行手工配置此外第三方软件厂商可以使用NAP API来开发符合NAP的安全状况验证和网络访问限制组件NAP和NAQC可同时使用但一般NAP充当NAQC的替代者
Windows Vista随带一个内置的反间谍软件程序名为Windows Defender它是Vista的加固安全机制的一个必要部分
充分利用Defender的项必备知识
一Windows Defender只是多层安全战略的一部分
Defender旨在检测及清除或者隔离擅自安装在计算机上的已知及可疑的间谍软件程序它不能阻止针对计算机的所有攻击Defender应当结合其他安全机制使用
二默认状态下Defender在Vista上是启用的
可以开启及关闭Defender并通过Windows Defender控制面板小应用程序来配置其属性和行为还可以通过Vista中的安全中心来访问它界面很简单只要点击一下按键就可以立即扫描查找间谍软件还能够根据每天或者所选的某一天安排自动扫描时间
三Defender可以执行三种扫描
快速扫描查找间谍软件最常出现的位置这可以节省时间查出大多数间谍软件全面扫描检查计算机上的每个驱动器和文件夹这是最彻底的选项但需要相当长的时间具体取决于硬盘容量及文件数量自定义扫描可以选择想要扫描的特定驱动器或者文件夹如果Defender在自定义扫描期间检测到了间谍软件随后会执行快速扫描以便清除或者隔离它
四可以指定希望Defender怎样执行扫描
可以选择Defender要不要扫描被存档的文件和文件夹可以选择使用启发式方法根据模式和行为来识别可能是间谍软件的软件还可以使用识别已知间谍软件的定义文件此外可以选择要不要在清除检测到的间谍软件之前创建恢复点那样要是其中一个合法程序所必要的某个文件不小心被清除就很容易解决这问题还可以指定执行扫描过程中Defender可以完全跳过哪些文件和文件夹
五如果某个可疑的间谍软件程序企图在计算机上安装或者运行实时保护功能会立即报警
实时保护功能在默认状态下是启用的但可以选择要不要使用它还可以选择应当开启哪些安全代理来监控系统的各个方面
六管理员可以控制Defender在用户机器上如何运行
管理员可以允许所有用户使用Defender来扫描计算机选择检测到可疑间谍软件后Defender应采取什么步骤以及分析Defender的活动他们还可以限制只有拥有管理员权限才可以使用Defender默认状态下每个人都可以使用Windows Defender
七可以通过历史页面查看Defender执行的活动
在历史页面上可以看到程序和活动列表包括检测到项目的描述如何处理每个项目的建议以及与程序相关的文件位置和注册表键等资源可以看到报警级别在某一天采取的步骤以及项目的当前状态还可以通过允许的项目链接查看允许运行的项目列表可以通过隔离的项目链接查看阻止了哪些项目运行清除或者恢复这些项目
八Defender可根据四个报警级别对潜在的间谍软件威胁进行分类
严重意味着该恶意程序会破坏计算机高意味着该程序可能会收集用户的个人信息或者更改设置被列为严重或者高级别的软件应当立即予以清除中等意味着该程序可能会收集个人信息但也有可能是可靠程序的一部分低级别意味着该软件可能收集信息或者更改设置不过是根据用户认可的许可协议安装的用户应当分析被标为中等和低级别的程序确定是要阻止还是清除
九应当让Defender定期查找新定义
为了确保效果反间谍软件程序要使用最新的定义文件因为经常会出现新的间谍软件威胁最佳办法就是在执行计划扫描之前让Defender通过Windows Update自动查找新定义用户还可以手动查找新定义
十微软依靠Defender用户的SpyNet社区帮助扩建间谍软件数据库
用户用不着加入SpyNet即可使用Defender但如果加入该社区Defender会把它检测到的可疑间谍软件及采取的步骤方面的信息发送给微软通过工具→设置选项就很容易加入SpyNet社区