感受Vista安全大飞跃
提到系统的安全特性,我个人认为这应该是 Windows Vista 最大的亮点了。它相比之前 Windows XP 来说可谓是一个飞跃。现在我们就从几个主要的方面一一阐述这些安全方面 的新特性。
在 Windows Vista 进入开发的时候就已经与以前的系统有很大的不同了,在这一整个的 开发过程微软始终是把“安全”放在最高的位置上来进行的, Windows Vista 的开发引入了 Security Development Lifecycl (安全开发生命周期)这是一个从系统的设计一直到发布 都始终贯穿其中的机制,它主要包括十一个流程。由于这个东西似乎和我们用户的关系不是 很大因此就不做过多的叙述了。
服务的强化升级,大家应该还记得当年恶贯满盈的冲击波吧,它就是通过攻击系统 RPC 服务的漏洞来攻击我们计算机的。在以前的系统中服务在计算机中基本上都是处在绝对高位 的地方来运作的,并且呢也没有针对服务的限制机构来对各种各样的服务进行管理,因此呢 就很容易出现某个核心服务被一些恶意的程序利用进而对我们的计算机造成破坏。
这个问题 在 Windows Vista 中得到了解决,在 Windows Vista 中任何的系统关键服务都是不能做 任何越权操作的,这样如果有恶意程序想要利用一个系统的关键服务在我们的计算机中干坏 事的话,它是绝对不可能得逞的。那么我们知道除了 Windows 的系统服务以外,一些我们 需要用到的应用软件也是会把自身的一部分安装为一个服务来保证其可靠的运作。
在以前的 系统中,这些服务都是以 LocalSystem 这个账户运行的,在这样的情况下我们系统是非常 脆弱的,并且没有办法对这些第三方的服务进行有效的管理,严重的威胁到了系统的安全以及稳定性。而在 Windows Vista 中则完全改变了这样的格局,首先引入了每个服务的安全 标识符 (SID) 。
它启用了每个服务的标识,该标识随后又通过现有 Windows 访问控制模 型(包括使用访问控制列表 (ACL) 的所有对象和资源管理器)启用访问控制分区。服务就 可以显示 ACL 应用于该服务专用的资源,从而可防止其他服务和用户访问这些资源。
防火墙人性化新功能
然后现在服务不在回像以前一样使用 LocalSystem 账户来运行,而是由专门的权限较低的 LoaclService、NetworkService 等这些账户来运行,这会降低服务的总体权限级别,就类 似于 “ 用户帐户保护”的机制。 并且去除了服务中不必要的系统权限。
另外在 Windows Vista 中第三方的程序要插入一个令牌到服务中已经被限制了,也就说没有得到服务 SID 访问的 程序要想将它的令牌写入服务中的话将会以失败告终,这样就可以彻底的保证在我们电脑中 的每一个服务都是干净的,这些服务不会再被一些恶意的程序所利用进而来对我们的系统实 施破坏。
最后更令人激动人心的一点就是基于每个服务都具有单独且唯一的 SID,这样便可 以利用 Windows 防火墙对每一个服务进行规则限制,这样做的好处是显而易见的,比方说 一个存在一定安全风险的服务可能存在被网络上其他的一些我们没有授权的东西利用来侵 入或者做一些我们不希望看到的事情的时候,你完全可以在防火墙中将这个服务的网络访问 规则做一个限制,这一点我会在 Windows Vista TechView 关于防火墙的章节中做出详细 的叙述。
通过上面的简要介绍我们可以看到, Windows Vista 的服务强化升级可是使我们的系统时 刻处在最安全的状态,但是大家也要明白,只靠服务强化升级是不足以构成保护我们系统的 安全体系的,它也需要和 Windows Vista 中的其他安全模块协同运作,比如上面提到的 Windows 防火墙。
IE7浏览器保护模式
Internet Explorer 7 保护模式
说道安全就不能不说一下目前网页浏览所存在的安全隐患了,随着互联网的飞速发展,越来越多的 Web 应用已经走入了我们的生活,同时各种各样的 Web 也是我们获取信息的最重要途径,但是林子大了什么鸟都有这句话似乎总是应验在所有的事物上面。
如今的互联网处 处充满了陷阱与美丽的谎言。网页恶意代码, Web 上面许多不怀好意的控件,欺诈我们财产的钓鱼网站,等等这些已经对我们的电脑构成了严重的威胁,甚至是一场灾难。每年因为 网页恶意代码导致系统瘫痪,因为很多不请自来的控件在占用我们紧俏的系统资源做一些上 帝都不知道的事情,因为被钓鱼网站欺骗而只是我们信用卡中的数字呈指数级下降的案例已 经不计其数。
可能对于精通电脑的人来说可以更多减少这些威胁但是对于更多的普通用户应 该怎么面对这样一个严峻的考验呢? 就是在这样的时候 Internet Explorer 7 的保护模式 被设计了出来,它能给我们怎样的保护?我们接下来就大概的看一下吧。
IE7 的保护模式是构建于 Windows Vista 的 UAC 也就用户账户控制这个模块上面的,在以 前的 IE 以及系统中 IE 浏览网站时使用有的权限就是我们登陆系统时用的帐户的所有权限, 而大多数的用户在使用 Windows XP 的时候都喜欢用具有 Admin 权限的管理员身份帐户 来使用系统,这个时候 IE 自然也就拥有了 Admini 的所有权限,因此呢网页上那些恶意的 代码或者控件才有了可趁之机,拿着管理员的权限在我们的系统中为所欲为。
那么在 Windows Vista 中这个情况将得到改变, IE 在默认的情况下系统只会给他浏览网页所必需 的一些权限而不会给他管理员的权限,这些管理员权限对于网页浏览器来说是多余的。所以 说在默认的情况下呢 IE 是不能修改用户的文件或者对系统进行配置的,这样即使我们访问 到一个含有恶意代码或控件的网页时这些代码也会因为没有足够的权限而胎死腹中变得一无是处。
钓鱼网站要关门了
然后便是钓鱼网站,这些网站一般会伪装成某个银行或者某个网络服务商的网页, 然后以种种借口欺骗用户在这个页面上面输入自己的账户,从而达到窃取用户财产的目的。
因为受到这些钓鱼网站欺骗造成财产损失的事情如今已是屡见不鲜,我认识的朋友中就有好 几个遭此不幸。解决一问题已经迫在眉睫,所以在 IE7 中就引入了专门针对这些网站的应对 机制。第一、网页仿冒的筛选,启用这个功能以后,我们如果放到一些仿冒的钓鱼网站的时 候 IE 首先就会停止加载这个页面,同时给出明确的警告,当然如果你确定你访问的这个页 面是安全的那么就可以点击继续访问。
看到这里可能很多人会问 IE7 是怎么知道某个站点是 假冒的呢?其实这还要归功于微软庞大的资源,这些站点的关键字以及特征是被存放在微软 专门的一个服务器上面的,访问网页的时候 IE7 会先到这个服务器上查找,如果找到匹配的 记录那么 IE7 便会给出警告。
这个服务器中的数据一般是几分钟就更新一次,其数据的主要 来源是微软放到网络中的蜘蛛抓取还有用户的举报提交。前者就不用过多的解释了,对于后 者就是说我们如果发现某个站点可能是仿冒的用来欺骗我们的时候便可使用 IE7 的仿冒网 页提交功能将信息提交给微软,微软会对用户提交的信息做进一步的核实,确定之后这个站 点就会被立即添加进服务器中。
这样一来那些假冒的网页就无处藏身了,但是很多人又有了 很多的疑问。这样每次打开一个网页 IE7 就要连接到微软的服务器作检查一定会让网页访问 变得很慢吧;这个数据筛选的服务器是微软的那么微软肯定会把竞争对手的网页也添加进取 咯? 等等,对于这些问题我自己也很关心 ~ 但是我在经过一段时间的使用后发现呢这个筛 选基本上不会拖慢网页开启的速度,虽然的确有一些延迟但是用户在使用的时候肯定是不容 易察觉这一秒钟以内的延迟的。
对于第二问题我也专门问了一位 Windows 安全开发小组 的主管,对方给我的答复是否定的,就是说微软绝对不会把竞争对手的站点添加到这个服务 器中,而且如果今后有必要的话将会有第三方监管机构介入近来,所以大家还是可以相信微 软的。
那么说完这个大头以后呢在来看一个细节部分,就是地址栏的颜色状态反映和动态 安全状态栏。就是说呢比如我们在访问一个采用 SSL
(安全套链字层)加密的站点时,地址
栏会变成黄色的,提醒用户现在的这个站点是被加密的,同时在地址栏右侧会出现一个安全状态栏,用户可以通过这个状态栏知道该站点目前的证书是否有效。
网友评论