Microsoft Windows Vista安全改进白皮书

　　序言

　　仅仅在三十年中，在个人电脑和数字设备上运行的软件已经改变了全球数百万人工作、沟通和娱乐的方式。但是，我们只是刚刚开始意识到数字时代带给我们的承诺。

　　处理能力、存储、网络连接和绘图能力的持续进步正在形成一个似乎充满无限可能的数字架构。

　　事实上，只有一种事物可以实现这一点。随着计算机和互联网在商务和我们私人生活中的重要性日益突出，它们也已经成为众多不怀好意的黑客们和ID窃贼对准的目标，前者利用病毒感染未受保护的个人电脑，扩散间谍软件，传播垃圾邮件，发动恶意攻击；后者诱使消费者暴露重要的个人信息。

　　四年前，微软公司主席兼首席软件设计师比尔盖茨对公司战略进行了重大调整，把为客户提供安全、私密、可靠的计算体验列为微软公司的最优先目标。在个人电脑、设备及服务日益互联互通的当今世界中，打造“可信赖运算”的承诺比以往更加重要。

　　随着Windows Vista即将发布，微软将为客户提供各类创新，帮助企业和消费者在不断面对安全威胁的世界中维持对其计算机的控制，帮助终端用户变得更加安全并保护其信息隐私，为IT管理员提供使其计算机网络抵抗攻击的新方式，同时保持其数据的机密性、完整和可用性。

　　通过改进的安全性、可靠性和可管理性，Windows Vista将使用户对运算的信心提升到全新的水平。基于上述改进，微软和科技行业的其它厂商将携手采取下列措施，使运算变得更加可靠、更加安全：

　　• 构建一个信任生态系统，系统内的人、组织、设备制造商和代码编写人员可被正确识别并对其行为负责，同时仍将保护终端用户的隐私。

　　• 构建安全工程，建立、发布并共享最佳做法、安全检测工具和安全测试方法。

　　• 简化针对消费者和IT专业人士的安全维护程序，把行业标准、通用开发工具、各平台、产品和服务的通用惯例加以整合。

　　• 提供一个基本安全的平台，包括各类保护技术，启用隔离、基于信任的多要素认证、基于策略的访问控制和统一的应用程序检查

　　上述原则体现在Windows Vista的设计和开发过程中，在此过程中，微软采用了全面改进安全的方法，使其成为微软实现其打造“可信赖运算体验”理念的一个重要里程碑。

　　Windows Vista是第一个利用微软安全开发周期技术开发的视窗客户版本，使Windows开发伊始即把安全性视为首要目标，对每一个开发人员都必须遵守的工序进行了界定，而后在产品发布前对上述工具进行检查。

　　为了在设计层面提高安全性，Windows Vista执行了一种新的策略，即“（视窗服务强化）Windows Service Hardening”，提高了系统服务的安全性。通过改进的测试和开发程序，Windows Vista也降低了缓冲溢出漏洞的风险，同时还为64位系统增加了多项安全改进。

　　通过“用户帐户控制”技术，Windows Vista使每一个用户都可以更加便捷地以标准许可方式运行其帐户，减少了被攻击的表面积。Windows标识结构也重新进行了设计，改进了其可靠性，允许使用其它强大的认证方法。

　　网络访问保护（Network Access Protection）有助于保持企业网络的安全性，为网络管理员提供了工具，将不安全机器排除出网络。对智能卡的支持有所改进，使各类组织可以利用多要素认证更加方便地补充密码。

　　Windows Vista整合了Windows Defender反病毒软件技术和增强的双向视窗防火墙，针对恶意软件和潜在恶意软件为用户提供了更好的保护，并改进了视窗安全中心，简化了监控和调整用户个人电脑视窗系统安全状态的过程。

　　Windows Vista还具备多项改进措施，帮助保护用户的敏感数据，包括Windows BitLocker 磁盘加密更好的保护遗失的、被盗的或废弃的个人电脑中的数据；扩展的“视窗权限管理服务”帮助各类组织控制读取敏感数据的人员；文件加密系统也进行了改进。IT管理员的组策略得以强化，从而对新硬件的安装和USB以及其它可移除存储设备的使用加以限制。

　　Windows Vista中安装的微软IE7 是微软在浏览器安全性和隐私保护方面迈出的重要一步。其新型浏览架构增强了用户对其浏览活动安全性的信心，同时也有助于保护其个人数据免受钓鱼攻击和欺诈性网站的攻击。改进措施还包括受保护模式，该模式支持刺激的浏览体验，同时防止黑客侵入用户的浏览器和执行代码。新的“固定我的设置”功能帮助用户在安装和使用各种互联网应用程序时，使安全保护处于适当水平。“安全状态栏”帮助用户迅速区分真实网站和可疑或恶意网站，而微软“钓鱼过滤器”会帮助用户更安全地进行浏览，针对可疑网站或已知的钓鱼网站向用户进行提示。

　　Windows Vista不仅将应对今天计算机所面对的威胁，同时也将应对未来的各种威胁。系统更新将自动向用户发布，新的反病毒软件和潜在的恶意软件的定义将在必要时向Windows Defender发布，而IE将告知用户最新的钓鱼站点。计算机硬件方面的改进包括新一代64位处理器和硬件解决方案，例如Trusted Platform Module和No eXecute （NX）功能。这些改进使过去在Windows平台中不可能实现的安全改进成为了现实。

　　下文将详细介绍已经在当前各Windows Vista测试版本中实施的上述安全改进措施。随着开发进程的继续，微软希望根据测试和客户反馈继续改进这些措施。以后发布的白皮书将涵盖更多变化，并对这些措施提供更加翔实的介绍。

(责任编辑：韩建光)