谣言六:Vista的安全功能只是表面上的
谣言六:微软打着Windows Vista是史上最安全的Windows版本的旗号来招徕客户,而实际上Vista的改变绝大多数都是表面上的。另外,新的用户帐户控制十分令人生厌以致于大多数的Vista用户都会把它彻底关闭。
实际上:Windows Vista中不仅只是靠几个对话框来保护你的系统安全,而有比这些要多得多的安全选项,所以你只要能合理利用所有新的安全特性,就一定能让你的计算机更安全。然而在Vista广泛普及之前,没有人能够确切地说这些新的工具对广大的Windows用户群体有多大的效用。
用户帐户控制是Windows Vista的安全防护之星。它被进行最大的宣传,而通过Beta2却不受好评。在早期的版本中,测试版的使用者们抱怨用户帐户控制让人厌恶和困惑,看上去只是一些简单操作的询问对话框蜂拥而至,使用户几乎感到崩溃。
|
|
| 图6 用户帐户控制是Windows Vista的安全防护之星 |
在Vista RC1中,用户帐号控制(UAC)突然大幅地低调了许多。我曾经集中了一个图集展示了这近乎最终版本的安全特性,你们可以自己去看看。如果你安装了RC1版本,你会发现,用户帐号控制仅当你实际要改变一个系统设置,安装一个新程序或是要访问受保护的文件或文件夹时才会发出询问。以Beta2版为例,仅是简单地打开任务管理器就需要经用户帐号控制的询问;而在RC1中,打开任务管理器是很平常的事,询问仅仅在你想要看属于系统的帐户或不是当前登录的其他用户帐户时才会发出。除了在初始设置一台新的计算机时,大多数的用户几乎都没有机会遭遇用户帐号控制。微软希望能通过这样说服大多数的用户让这项特性启用。
然而larger picture又怎样呢?新的安全特性对此有所裨益吗?答案在一定条件下是肯定的。
从安全角度来说,Windows XP最大的薄弱环节就是对受限帐户用户(也就是所谓的标准用户)的支持表现尚显拙劣。标准用户使用任何操作系统是相当安全的操作,因为安全防护的效果通常都与登录用户的权限相关联。标准用户点击了一个具有欺骗性的链接通往恶意的Web页面或者被安装了一些恶意软件都不会改变系统的设置。然而,即使一个可靠的用户,在没有管理权限的情况下使用受限帐户运行Windows XP,都有可能使他们连续抓狂几小时。而Vista通过对文件目录和可写入注册表键的虚拟化从安全架构上改变这些。这是因为许多程序在Widows XP下使用标准用户帐户会无法运行,而在Vista中则不会出现这样的情况。这一切都归功于Vista这创举性的改变。在家庭和商业网络中,这意味着管理员(包括家长)就能设置标准用户帐户并严格限制他们的使用可能对造成的破坏,即使当攻击者欺骗他们安装某个程序的时候。
Internet Explorer 7的新的保护模式作为UAC的一个伙伴,它能将浏览器的插件移入沙盒(sandbox)使它们难以访问到系统的关键位置。管理员可以通过安装恶意软件或改变系统设置能力的限制审慎地设置一个Vsita系统,从而使用户都能自我保护。(根据PB_z的回复,IE的保护模式是将整个浏览器的运行进程放入沙盒,而不仅仅是插件)
然而UAC与新的IE7的安全特性都仅仅只是提出询问,它们无法提供让菜鸟们得以依赖其作出决定的详细的信息。如图所示,用户得以作为决定的基础仅仅是面对那些通常只具有一些文件名或是技术上的官样文章的片段的UAC对话框。把这些当作阻拦善于玩弄手段的欺骗者与攻击者的壁垒,力量不免有些微薄。于是批评家们认为,即使是保留UAC启用的用户也只是简单机械地点击“是”,大多数安全特性的益处都被荒废了。
企业用户们有一个含有附加安全工具的工具箱,包括驱动器加密(BDE),更好的支持Smart Card认证,以及在不锁定用户的情况下锁定系统的方法。
Vista会更安全吗?那是当然的。然而它究竟有多少实质性的不同,我们还需要数月甚至是一年的时间去考量。
网友评论