Windows Vista安全性能細評說

作者觀點:下一版本的Windows客戶端提供了一些不錯的功能，但沒有實踐就沒有發言權，我們還是必須等到明年它發布後，人們紛紛運行，才可以對它做出更客觀正確的評價。

　　數年以來，尤其是Windows XP Service Pack 2發布後，微軟一直在緊鑼密鼓地加強Windows和Internet浏覽器的安全性。有時，微軟所做出的努力是很難看到的，但我認為他們確實取得了進展。不過，現在要推出的全新的Windows版本中，微軟倒真有機會做點工作，從根本上對安全方面大開刀。

　　像Service Pack 2一樣，這些變化會打破現有應用系統的平靜，需要獨立軟件開發商(ISV，Independent Software Vendor)和設備驅動開發者做出相應的改變。我想說，事物規律本來就是這樣，就像SP2出現時一樣，獨立軟件開發商會花費非常非常多的時間更新他們的軟件。如果當Vista明年下半年面市時某個產品不能工作了，那麼幾乎可以斷言，應該受到責備的是獨立軟件開發商。

　　別的操作系統或第三方產品都提供許多這些“新的”特性，但是把這些特性做成Windows中的標准並不那麼容易。我願意對比較重要的幾個特性做些工作。

　　長期以來，無論在網絡上還是在本地主機上，協同IT都因其在有限許可的情況下管理Windows用戶而出名(如果不出名，說明它不能勝任這份工作)。對於普通家庭用戶來講，建立這樣的賬號並不難，但通常情況下，協同IT用於需要更大特權的應用程序，而這些特權只提供給Windows XP的很少一部分用戶。

　　在Windows Vista中，首先，對於這個問題的態度有所改變。擁有特權的對象不再是“很少一部分”用戶，但現在“很少”的是賬號。得到一個有管理者權限的賬號很不容易，不過通常情況下，也不是非有這樣一個賬號不可。如果你要做一些需要管理者權限的操作，比如方改變防火牆設置，系統可以提供給你一個獲得有足夠權限的賬號的機會，比如說，給你管理員賬號。這樣，平時，你可以用普通賬號操作系統，而在需要的時候又可以擁有管理員權限。這就叫“用戶賬號保護(User Account Protection)”，beta 1版本中，必須手動實現此項功能。

　　當然了，這個方法直接來自Mac OS X，Mac鼓吹說這正是解決問題的最佳辦法，但實際上對於這種方法能夠怎樣保護你這個問題，還是有一定的局限性。許多安裝在Windows上的間諜軟件或廣告軟件並不是由於用戶的粗心造成的，他們是故意這樣做的。你想要那條酷酷的工具條，你也知道自己在安裝一個軟件，所以，你當然會給它管理者權限或者滿足它需要的其它什麼條件。安裝合法的軟件，你需要做的也是這些工作。另一方面，應該提供針對隱蔽強迫下載(silent drive-by downloads)的保護，否則，傻乎乎的用戶就又一次地被利用了。

　　用戶帳戶保護的另外一個特征是，當寫了保護文件系統和注冊表的程序後，這些寫好的代碼實際上放在一個獨立的區域，由單個用戶維護，稱作虛擬存儲。這和在終端服務器(Terminal Server)上的情況一樣。實際上，我非常想知道為什麼虛擬存儲存放在C盤的C:\Virtual Store目錄下，而不是像在終端服務器上那樣存放在每個用戶自己的Documents and Settings文件夾裡。

　　IE7及其它

　　在Windows Vista及Windows XP中，Internet Explorer 7有許多新的安全相關的特色，但最重要的特色只能在XP中發揮出來。IE默認的工作模式是名為保護模式的一種殘缺模式。做有危險性的工作需要特殊的允許，這是對於浏覽器的一種特殊的用戶賬號保護機制。

　　有了用戶賬號保護機制，就可能在社會工程方面跌跤。既便這種機制可以完美地工作，你也需要做這樣的工作:說服用戶他們確實在做Windows警告可能出現危險的事。IE7還有大量其它酷酷的有用的安全特性，但都只是在Windows XP中才能一展身手。

　　舉例來說，流行了一陣子的NAP(網絡訪問保護，Network Access Protection)，我覺得，它是為了迎合Windows Server 2003的需要而出現的。和思科的網絡訪問控制程序(Network Access Control Program)及Zone實驗室完整性 (Zone Labs Integrity) 產品線都很相似，NAP是一個程序和策略組成的集合，定義了對客戶連網前的安全和其它方面的要求。這些要求可以是給Windows打上最新更新補丁、更新防病毒軟件、安裝其它軟件等等。

　　Vista所做出的進步可能就像把NAP的客戶端組件捆綁起來那麼簡單，但如果這樣做促使人們使用Vista，則相當好。我有這麼一個夢想，某一天，出現了一個這樣的系統，它足夠簡單，簡單到ISP可以使用並且可以把惡意用戶驅逐出他們的網絡——但現實和理想還是有一定差距的。

　　當然，差距是很大的。Windows的防火牆最終會過濾流量數據。EFS盤加密也會做些改進。系統會勾勒Windows程序的輪廓，以便明晰程序所使用的資源(比如，TCP端口)，並清楚其它可能引起紅色警報的因素。這裡會用到在更新時運行的微軟的惡意軟件去除工具。這一切大都是很重要的，我相信在接下來的幾個月中，我會更深入地對他媽進行研究。

　　這並不是微軟第一次對安全問題如此關注，所以，現在宣布對安全威脅已取得勝利還顯得太早，微軟對於這些問題的未來考慮得非常細致周到。但是，下一版本確實還是提供了許多不錯的功能，從上世紀90年代末期提供的非安全服務熱潮過後，微軟就一直在努力讓安全之舟出海遠航。如果所有的Windows用戶都將使用Vista，網絡可能會變成一個更加安全的家園。