Windows Vista遭受的十大安全误解真相

　　4、只有administrators才能使用用户帐号控制(UAC)权限提升? 网管u家u.bitscn@com

　　默认情况下，你不能输入非提升权限的帐号到用户帐号控制(UAC)同意对话框中。这意味着，如果一个用户帐号不属于一个提升权限组，它不能通过用户帐号控制(UAC)来提升权限。但是权限提升并不是管理员才有的功能。任何在administrators、backup operators、network configuration operators和power users组的帐号都被认为是可以提升权限的。你可以把它们作为潜在的用户帐号控制(UAC)凭证来使用进行合适的权限提升。当然，你依然不能使用非管理员用户来完成只有管理员才能完成的任务，但是你可以使用这些在提升权限组里的帐号来完成其他任务。

　　举个例子来说，你可能需要用户来运行一个要求细微差别许可的程序，但是你并不想给予他们管理权限。你可以创建一个具有合适权限的新用户帐号，并把它放到power用户组里(这个Vista中的组没有默认的权限或许可)。当这个用户需要“提升权限”来运行这个应用程序的时候，他们可以使用在power users组中的那个新帐号。

　　5、用户帐号控制是一个安全防线?

　　用户帐号控制(UAC)不是一个安全边界或安全范围。微软从来没有想让用户帐号控制(UAC)成为像防火墙一样具有定义好的安全范围的安全边界。当用户通过一个提升权限的帐号登录到系统时，用户帐号控制(UAC)保护保护用户和系统免遭特定类型的恶意攻击。它实际被用作一个支撑系统，无论什么时候要求临时的管理员访问。对于合法的应用程序来说，这是经常发生的事情。 网管网www_bitscn_com

　　用户帐号控制提供了以前版本的Windows操作系统所不能提供的保护。如果你想具有承诺的安全的真正保护，用户不应该作为一个管理员来登录到系统。就是那么简单。 网管u家u.bitscn@com

　　6、IE保护模式会保护所有下载内容? 网管bitscn_com

　　更准确的说，IE保护模式提供了对浏览网页过程中自动下载的互联网内容的额外保护。这儿的第一个例外是IE保护模式不适用于所有IE安全区域。默认情况下，IE保护模式并不会对在信任站点区域的任何网站起作用。但是，实际上还不仅仅有这一个例外。

　　通过以一个低强制完整性级别来运行IE浏览器，IE保护模式会给你额外的保护。这个原理也适用于大多数其他IE对象，诸如菜单条、浏览器帮助对象和其他插件。被IE保护模式自动下载下来的内容被存储在低完整性文件和注册表区域中，因此它不能直接对系统文件和标准中等完整性用户区域进行写访问。 网管下载dl.bitscn.com

　　创建IE保护模式是专门用于针对“隐蔽强迫(drive-by)”下载：那些未经用户同意就下载的行为。如果一个用户手动的下载一个文件或故意的执行激活一个内容，它会被标记为中等完整性级别。被一个提升权限的用户所同意的内容(例如安装一个ActiveX控件)则运行在高完整性级别。因此，假若用户被欺骗下载或执行一个内容，IE保护模式就不起作用了。 网管u家u.bitsCN.com

　　7、所有Windows进程被数据执行保护(DEP)所保护?

中国网管联盟bitsCN.com

　　IE主进程Iexplore.exe被排除在Windows的数据执行保护(DEP)缓存溢出的默认保护之外。微软专门选择不启用对Iexplore.exe的数据执行保护(DEP)，因为它可能导致Java和许多常用浏览器插件的问题。 网管论坛bbs_bitsCN_com

　　因此，即使是在IE保护模式下浏览器也依然将暴露出许多常见的缓存溢出缺陷。但是，即使一个缓存溢出漏洞被成功利用，这个恶意的攻击将会发现它非常难于执行一个有意义的攻击。你可以轻松的对IE浏览器启用数据执行保护(DEP)，如果数据执行保护不会引发任何问题的话，你可以保持它运行。 网管下载dl.bitscn.com

　　8、文件和注册表虚拟化会阻挡恶意文件和注册表修改?

网管u家u.bitscn@com

　　文件和注册虚拟化的确可以阻挡恶意的修改，但是那是针对有限的一部分位置而说的。默认情况下，原有的应用程序对以下位置进行读写的时候会被重定向到每个用户的虚拟化的区域(这不是一个完整的列表)： 中国网管联盟bitsCN.com

　　·\Program Files何其子文件夹

网管论坛bbs_bitsCN_com

　　·64位系统上的\Program Files (x86)

　　·\Windows和所有的子文件夹，包括System 32

网管论坛bbs_bitsCN_com

　　·\Users\%AllUsersProfile% \ProgramData(在XP中是\Documents and Settings\All Users) 网管网www.bitscn.com

　　·\Documents and Settings

网管联盟bitsCN@com

　　·HKLM\Software 网管联盟bitsCN_com

　　除了这个有限的列表中的写阻挡位置外，以下对象从不会被虚拟化： 网管下载dl.bitscn.com

　　·默认的Vista应用程序

　　·具有可执行扩展名的文件，诸如.EXE、.BAT、.VBS和.SCR。你还可以在注册表中以下位置增加额外的文件扩展名例外：HKLM\System\CurrentControlSet\Services\Luafv\Parameters 网管论坛bbs_bitsCN_com

　　\ExcludedExtensionsAdd

网管u家u.bitscn@com

　　·64位的应用程序和过程

　　·在可执行名单中具有一个被请求的执行级别指示的应用程序，例如大多数Vista进程 网管下载dl.bitscn.com

　　·使用管理员权限运行的过程或应用程序

　　·内核模式应用程序 网管u家u.bitscn@com

　　·修改一个标有Don't_Virtualize注册标志的注册表值的应用程序 网管u家u.bitscn@com

　　关于最后一点，任何在HKLM\Software下的键具有三个新的注册标志，你可以通过Reg.exe来查看：

网管网www_bitscn_com

　　·Don't_Virtualize

网管u家u.bitsCN.com

　　·Don't_Silent_Fail

网管联盟bitsCN_com

　　·Recurse_Flag 网管网www_bitscn_com

　　标有Don't_Virtualize的任何键不会参与注册虚拟化。你可以使用Reg.exe来显示和设置注册标志。 网管下载dl.bitscn.com

网管u家u.bitsCN.com