电脑技术学习

微软为Vista编制的企业梦想(安全篇)

dn001

  2005 年的7月,微软第一次向人们展示了Vista 操作系统的测试版,如今Vista Beta2 也已经放出。从Dos 时代到Windows 1.0,Window 3.1,Windows 95,Windows98,Windows XP ,微软已经整整走过了30年。步入而立之年的Windows 操作系统,还能再创Win95 的神化吗?回顾Windows 平台的企业桌面市场,长期以来一直是Windows 2000,主要原因是 Windows XP 始终被业界认为是面向消费者市场,其安全性也让企业望而却步,直到sp2 推出后,情况才有好转。所以Vista 必须要拿出足够的吸引力才能推动企业升级.

  Vista 要实现的3个目标:

  给个人计算提升到一个新层次信赖度;(本文只关注这个目标)
  为组织和运用信息的提供清晰途径;
  提供一个人与计算机的无缝衔接.

  让我们来看看微软为Vista 较Windows XP sp2增加了新的安全性。

  用户帐户保护(UAP): 传统的企业安全规则告诫用户必须工作在受限帐户下,大多数用户会受限无法安装应用程序,只可以进行有限的操作。而UAP则是鼓励用户工作在管理员帐户下,只是这个管理员帐户经过特殊的“降级”处理。如果执行需要高特权的管理任务,系统会自动侦测到这种请求,在得到确认后,会自动提升到高级特权环境,以便顺利完成管理任务。这样做的好处是:减轻了网络管理员负担,可以灵活的根据用户需求分配计算机权限。但这样做也引发了一些问题,即使是简单的工作如开启控制台中的小程序也需要提出申请到确认这个过程。另外,企业一旦部署了UAP,那么就有可能使原有应用程序因无法得到足够的系统权限而出现兼容性问题。

  IE 7.0 受保护模式: 浏览器作为接入Web 的一扇门,安全性非常的重要。微软的IE6一直饱受非议,所以在IE7.0中增加了许多安全方面的更新,比如在IE 中增加了反钓鱼机制.可疑的Web站点,比如那些以一串数字开始的地址,将会触发“可疑Web站点”消息。当Vista用户报告其它的一些站点为确定的诈骗站点时,将会触发系统中的红色警报,并且系统会尝试阻止用户连接这些站点。不过在Vista 中还提供了一种独有受保护模式.这使运行于IE中的任何控件在用户不许可的情况下无法运行于临时文件夹以外。这将使企业网络环境更加安全,恶意软件将更难以透过IE感染系统。

  服务隔离:在目前的Windows 版本中,服务和应用都运行于首个用户的登陆会话中即,0会话。这是许多黑客攻击利用的地方,它们会通过提升权限的方式来攻击系统。在新的Vista操作系统中这种情况是不存在的,它会将登陆会话0,与其它应用会话隔离这样恶意应用程序也就无法提升自己的权限达到了一定的安全性。但这样做不利的地方是,可能许多原有应用程序或者服务因为得不到系统权限而无法运行,在企业部署时需要调整应用程序。

  安全启动:目前来看,这是微软仅仅针对企业用户提供的“软件保障”计划,它通过在主版上增加一块叫做TPM的芯片,存储秘要,密码和数字证书.并通过Bitlocker硬盘加密技术.最终使得在系统加载前不用有安全隐患.但这一方面需要硬件支持,同时由于全硬盘加密技术,使得Vista很难进行双操作系统启动。

  双向防火墙:可以监控“Windows Services Hardening”功能的入口和出口的通行状况,预防后台运行的木马程序窃取或者改动系统信息。对内部程序访问网络(也就是出站连接)的限制,以及和其他计算机之间的连接限制。

  备份功能:Windows Vista中加入了一个经过极大改进的备份程序,用来帮助用户避免批量数据彻底崩溃情况的发生。微软也在Vista中加入了一个非常有用的“系统还原”功能——为你的系统状态建立快照,这样当系统受到病毒感染或者在软件安装过程中遭遇崩溃时,都可以快速复原。

  除了,以上功能,微软在Vista 中还加入了 “重起管理”,“版权保护”的新安全特性,同时微软第一代安全产品

  OneCare也有可能被集成到Vista 中。

  Vista较Windows XP sp2 带来了新的安全特性,但是能否让企业愿意将自己的业务转换到Vista 上。还有一道坎。那就是因为因提高安全性而带来的兼容性问题。能否帮助企业尽快地测试原有应用程序兼容性,帮助企业过度并构建基于Vista的应用程序.是企业是否会快速的选择升级到Vista 的一个要点.在安全性和兼容性中选择一个平衡点,是微软在Vista 发布前期要着重考虑的一个问题.

标签: