自从Windows
XP推出SP2以来,Windows系统在安装时其防火墙功能默认是开启的。在Vista中,Windows防火墙除了像XP中一样能阻止外界与电脑的会话,还能阻止电脑与外界的会话。
对于日益增加的间谍软件、网络钓鱼以及拒绝服务攻击威胁,这是Windows的一个非常重要的改进。然而,不幸的是,Vista安装时,对向外发送的包进行过滤这一功能默认是关闭的。换句话说,如果不进行手工配置,Vista的防火墙对连接提供的保护与XP
SP2相比没有多大区别。
Vista中还有一个新的应用程序叫Windows
Defender,它为系统提供了防间谍软件的功能。但是根据间谍软件供应商Webroot的说法,Windows
Defender对绝大多数的间谍软件都不起作用。更糟糕的是,2月份有人发现Windows
Defender有可能成为恶意软件攻击Vista的跳板。因为微软的恶意软件检测引擎有一个漏洞,可以被恶意者利用来发起对Vista的攻击。
与前面所说类似,尽管Vista中新增了一个硬盘加密功能,名为Bitlocker,但系统安装时这项功能默认也是关闭的,而且,它究竟能多大程度上为用户提供保护也还存在疑问。
最最糟糕的是,Vista中新添的功能有些被证明实际上对总体安全是有害的。今年1月份,有黑客发现,可以通过Vista的语音识别功能访问远程系统,执行包括删除系统中的任意文件等功能。这些听起来也许过于耸人听闻,不过的确应该引起重视,否则会给自己造成损失。
应用程序中的Bug
Vista语音识别功能漏洞再次揭示出一个事实,到目前为止,与此前的各种Windows操作系统版本一样,针对运行Vista系统的电脑的攻击主要形式不是利用操作系统本身的漏洞,而是利用了运行在操作系统之上的各种应用系统的漏洞发起的。
实际上,为了减少那些应用程序中最常见的漏洞给整个系统带来危害,Vista已经在这方面做了很多工作,比如,采用内存地址空间的隐藏、对操作系统内核的保护等技术以后,现在黑客要想再利用那些普通的Bug来发起对系统攻击将非常困难。赛门铁克进行的初步研究证明,尽管Vista在某些形式的攻击面前仍然比较脆弱,不过,赛门铁克还是认为,Vista基本上达到了微软预先设想的安全目标。
而且,Vista把.Net作为首选的开发模式对未来应用系统的安全也非常有好处。.Net开发平台的托管代码和安全沙漏功能有助于帮助开发人员避免犯一些常见的程序错误,这些错误很可能成为黑客们利用的漏洞。
不过,尽管.Net开发平台带来了不少改善,但要从这些技术中真正受益,开发人员必须重写原来的代码。而那些以前开发的应用程序则无法从Vista受益,它们仍然还像从前一样容易被黑客们利用其中的漏洞。这样的例子已经有了不少,比如CA不久发布补丁的BrightStor备份软件。
毫无疑问,接下来的几个月,很多商业的应用软件会发布针对Vista的补丁,而那些企业自己开发的软件其安全性则很不确定。除非将以前的软件统统升级,以充分利用微软最新的安全技术,否则当它们在Vista中运行时,将无法受到UAC的任何保护。尽管微软已经在技术上前进了一大步,但是这个最新的操作系统并不是保证运行在它上面的IT环境安全的万能药。
安全之路
“对于Vista我们很自信,它是微软到目前为止最为安全的操作系统,”微软的一位负责Vista安全的高级经理说,“不过,有一点大家必须认识到,那就是没有100%安全的系统,也就是说没有银弹。”他说,“Vista对于攻击没有免疫力,因此,我们如果对它抱有这样的希望也是不公平的。”
的确,操作系统在技术上的进步给系统的安全带来很大帮助,但是,与微软以前所有版本的操作系统一样,微软自己也承认,Vista用户最好还是同时安装一些防恶意软件的软件以及其他一些安全软件。
正如微软所有的操作系统一样,Vista最大的问题也许出在与旧版本兼容上。到目前为止,Vista中发现的大多数漏洞都出在那些老的应用程序中,因为它们无法从Vista新的安全模式中受益,甚至UAC本身也是一个妥协的产物。
对于企业而言,越早跟上微软的最新技术,它就越早能从微软在安全方面的最新研究成果中受益。无论在哪里,只要有可能,企业都应该尽快把那些自己开发的应用升级到托管代码和.Net框架,同时对微软最新的安全API和最佳实践进行评估。
未来,随着行业转向64位的计算平台,将会有越来越多的基于硬件的安全策略出现,到那时,安全形势也许会好一些。但是,今天我们最好还是小心谨慎为好。微软已经为那些正在对Vista进行评估、准备在企业网中采用活动目录(Active
Directory)的IT管理员专门制定了一份安全指南。
尽管对一个机构而言,如何进行配置取决于需要的安全级别,但是指导方针非常明确:
Vista系统的安全需要各方共同努力,这包括IT人员的认真对待、安全策略的严格执行,以及第三方的防恶意软件和安全管理工具,换句话说,仍然和以前没有什么区别。Vista并不意味着与XP相比,安全性有了重大改善,毕竟它仍然是Windows。(博文译自美国《Infowrold》杂志)
链接:UAC的工作机制
在Windows
Vista中,默认有两个级别的用户组,即标准用户组和管理员组,其中,标准用户是计算机Users组的成员;
管理员是计算机Administrators组的成员。微软在Vista中所做的改进在于,与以前版本的Windows不同,默认情况下标准用户和管理员都会在标准用户安全上下文中访问资源和运行应用程序。用户登录后,系统为该用户创建一个访问令牌。该访问令牌包含有关授予给该用户的访问权限级别的信息,其中包括特定的安全标识符(SID)和Windows权限。
Bitlocker的加密原理
启用了Bitlocker以后会生成两个密钥: 一个存放于引导分区中;
另外一个存放在主板上的一个名叫TPM的芯片里,在计算机加电的时候首先是TPM最先加载,它会和引导区中的密钥进行对比验证,通过了以后才会加载BOIS完成计算机启动过程。如果这个过程中任何一个不匹配的话,比如有人对这个TPM芯片做了手脚,或者是把硬盘拆下来放到别的机器中,Windows
Vista将会拒绝掉密钥的释放,系统将无法启动。
(责任编辑:韩建光)
《变形金刚2》送票!
