Windows Vista操作系统安全体系概览

User Account Control用户帐户控制

网管论坛bbs_bitsCN_com

　　UAC可是Windows Vista在安全方面的重头戏，尽管目前的版本还存在较大的争议，但是它给我系统安全所带来的作用依然不可小视，相信在最终发布时UAC将会以最符合用户使用习惯的面貌来保护我们的计算机。 中国网管联盟bitsCN.com

　　前面说到IE的时候我就已经说过现在很多人在使用计算机的时候都喜欢用具有Admin权限的管理员身份帐户登陆使用系统，这肯定是所有的安全专家都反对的行为，因为它给我们的系统带来了巨大的安全隐患，但是在Windows XP中如果用普通的User帐户来使用的话将会面临很多麻烦，比如安装某个应用程序就可能无法安装，必须要我们注销以后再用Admin登陆安装或者使用Run As命令来实现，这对于普通用户来说肯定是无法忍受的。所以宁愿冒着安全风险使用Admin来使用系统，正所谓鱼和熊掌不可兼得一样，安全和易用性也是不可兼得的，你要使系统很安全，那么易用性方面肯定就相对较差，如果你想要一个很容易使用的系统那么这个系统肯定存在很多的安全隐患。所以在Windows Vista中就引入了UAC这个机制，在这个机制下使用普通的User帐户登陆系统时如果要安装某个程序或者某个操作需要用到Admin权限的话系统将会自动识别出来并且弹出一个对话框告诉用户这个操作需要用到管理员权限，并且会标示出这个操作的发起源，用户可以根据发起源的信息来判断这个操作是否是自己所要做的，是的话就可以键入管理员的密码来执行这个操作。如果发现某个操作是来自一个未知的程序的话拒绝掉就好~这样还可以达到阻止一些会悄悄在后台自动安装的莫名其妙的程序。而对于很多专业的计算机用户来说可能更像避免这些麻烦，所以还是会使用管理员庄户来登陆使用系统，不过在这个时候UAC还是还是会发挥作用哦~所以即使你使用的是管理员帐户来登陆的系统，在运行程序的时候系统依然只会分配给这些程序很有限的权限，只要使这些程序能正常运作就可以了，当某个程序或者操作会对系统的设置做更改的时候还是会弹出一个确认对话框告诉用户是否授权这项操作，只不过这个时候不再需要用键入管理员的密码，还有当某个程序或者操作请求的权限过大的时候还会出现传说中的黑屏，也就是系统会暂停当前所有的进程，弹出一个对话框警告用户是否授权这项操作。我想这一点就是目前UAC被人指责得最多的地方了，所以很多用户在一装完Windows Vista的时候第一件事情就是关闭UAC。对于这一点我真是很替微软难过，UAC的确是非常好的东西，我也非常不建议大家关闭它，而且如果你受不了那些提示对话框的话完全可以在不关闭UAC的情况下让那些对话框不再烦我们，我们只需要做一些小小的设置。至于怎么样来实现我又要卖关子了~~哈哈不要打我哦~毕竟这一章只是概览啊，我会在Windows Vista TechView关于UAC的章节中做更详细的介绍，并且现在已经确定下来UAC这一章将会是第三章，也就是说这个部分会很快和大家见面~~敬请期待哦。 网管论坛bbs_bitsCN_com

　　Bitlocker Drive Encryption/ EFS Smartcard key storage/ RMS client

　　再来说说这个新的Bitlocker，这个组组件主要是在本地用软硬结合的方式来保护我们硬盘上的数据的。现在电脑的丢失已经是很常见的事情了吧，有时候连放在办公室的电脑有有可能会被偷走就更不要说笔记本电脑和平板电脑了。而如果你的电脑中存放着很敏感的资料，例如你工作单位的一些机密、你的银行账户等等这些如果被不怀好意的人拿到的话后果可能是致命的，不知道大家有没有参加前两天关于这个Bitlocker的Webcast，里面就提到几个案例，因为存放着敏感资料的笔记本被盗以后导致一个公司的商业机密泄露到了它的竞争对手手中而面临倒闭，也有个人资料泄露以后导致隐私被公开或者受到要挟。而Windows XP的账户密码是非常脆弱的，懂一点专业技术的人都能在几分钟之内破解掉它，拿到计算机里面的数据，这种攻击方法称之为离线式攻击，也就是攻击者直接接触你的电脑来实施入侵行为，所以如何保护我们硬盘中的数据特别是对笔记本电脑这类更容易丢失的电脑来说显得尤为重要。Bitlocker也就是在这样一种局面下诞生了，它采用了硬件和软件相结合的方法来保护我们硬盘中的数据。启用了Bitlocker 以后呢会生成两个密钥一个存放于引导分区中，另外一个存放在主板上的一个名叫TPM的芯片里，在计算机加电的时候首先是TPM最先加载，他会和引导区中的密钥进行对比验证，通过了以后才会加载BOIS完成计算机启动过程，而如果这当中任何一个不匹配的话，比如有对这个TPM芯片作了手脚，或者是把硬盘拆下来放到别的机器中。Windows Vista将会拒绝掉密钥的释放，系统将无法启动。这个加密机制我可以毫不夸张地告诉大家，在各位的有生之年是它绝对是安全可靠的，不会被破解掉。当然，对于一些可能存在的事情，比如主板坏啦，或者需要把磁盘移动到一台新的计算机中的时候，Bitlocker也提供了恢复功能，就是在加密的时候Bitlocker会给出一个48位的恢复密钥，要求用户在做加密的时候一定要妥善的保管这个密钥，否则当遇到上面提到的这些情况时你将永远无法取回那块硬盘中的资料了。

网管bitscn_com

　　再说TPM芯片，这个东西是比较新的一种硬件芯片，在比较新的主板中已经有了，我也在市场上看了一下，发现已经有部分的主板和笔记本电脑都包含了这个芯片，但是包含着个芯片的台式机主板还是比较少，但是在不久这种芯片将会得到普及。那么Bitlocker在没有TPM芯片的电脑中就不能使用了吗? 其实还是可以使用的，只需要一个USB Key就可以了，其实就是一个U盘，相信基本上都有这个东西吧~很方便的东西也很便宜。Vista完全可以用U盘来代替TPM芯片存放密钥。所以说Bitlocker的使用还是比较灵活的，并且在使用的时候不会对系统性能产生影响。

　　但是Bitlocker只能加密系统分区也就是Windows Vista所在的分区，那么其他分区的数据难道就得不到保护了吗??我们说其他分区的数据也是可以保护的，至于方法就是利用在Windows XP中就已经存在EFS，这个是一种基于用户账户的文件保护机制，也就是说它使用用户的计算机帐户对该用户的数据进行加密，在Windows XP的使用过EFS的用户一定知道，EFS的加密是非常有效的，并且在使用的时候完全没有任何的影响，用户完全感觉不到它的存在，然而当换一个用户登录操作系统想要访问另一个账户的被加密的文档时候肯定是不可能的，但是之所以这套加密机制在Windows XP中有如形同虚设的原因就是前面提到的，Windows XP的帐户密码可以在几分钟之内被破解掉，因此EFS也就失去作用了，但是在Windows Vista中有Bitlocker来保护我们的系统分区，也就是等于保护了用户账户，攻击者在拿不到这些账户的时候是也就根本不可能拿到那些在其他分区中被EFS所保护的任何数据了。因此有了这套机制的保护，我们的硬盘就是被FBI拿到，他们拿硬盘中的数据也是没有任何办法的。

　　在上面标题中我还写了一个RMS client这是干什么的呢?这个RMS呢主要就是针对企业的一个文档权限控制机制，他可以保护从电脑中发布出去的文件的安全，为什么这么说呢，是因为RMS可以非常有效的控制一个文件的使用权限，比如我发了一个Word文档到网络中，那么RMS在这个时候就可以发挥作用了，我完全可以设置这个Word文档可以被什么人打开阅读、可以被什么人修改、什么人不能看也不能修改、什么人可以看几次、什么人可以在什么时间看等等非常详细的权限设置。这对于一个企业网络来说是非常必要的。那么关于这部分的内容还是就到这里暂停了哦~我会在Windows Vista TechView关于Bitlocker的章节中详细的叙述，要期待哦~ 网管论坛bbs_bitsCN_com