為幫助用戶確立對安全和隱私的信心,Windows Vista 還為用戶提供了有關安全和隱私選擇的信息。Windows Vista 還集成了應用程序安全性以幫助提供端到端安全方案,而且為應用程序發布商提供了強大的成本節約價值,使安全基礎結構及使用體驗得以擴展。有關 Windows Vista 安全性的詳細信息,請參閱 Microsoft TechNet Web 站點上的 Windows Vista 安全功能。
安全性新功能
Windows Vista 引入了新的重要安全改進,在保護您隱私的同時為個人和公司的數據提供更大的保護,使其免受惡意用戶及惡意程序導致的泄漏和損壞等破壞。
Microsoft 使用最佳工程方案和最新工具,幫助確保 Windows Vista 操作系統的設計安全。Windows Vista 構建于 Microsoft Windows XP Service Pack 2 (SP2) 和 Microsoft Windows Server 2003 Service Pack 1 (SP1) 基礎之上,減少了易受攻擊的范圍,而且幫助企業安全地對網絡進行管理和隔離。
Windows Vista 不需要最終用戶擁有對其計算機的管理權限,從而使客戶對桌面的部署更加容易,而以企業為中心的全新 Windows Vista 安全啟動技術可為丟失或失竊并基于 Windows 的計算機上的數據提供保護。
本節介紹 Windows Vista 中精選的新增和更新安全功能。
新增或改進安全功能的益處
| 功能領域 | 益處 |
| 防火墻 | 增強Windows 防火墻以積極防止惡意程序傳播并使個人數據免遭破壞。 |
| Windows 服務增強 | 通過限制攻擊者或軟件在破壞 Windows 服務后可執行的操作,提供針對惡意軟件攻擊的新增復原功能。 |
| 可信瀏覽 | 使對 Web 的瀏覽更為安全、可靠。 |
| 安全啟動和運行 | 確保 Windows Vista 的完整性得到保護,免受在線和離線攻擊。 |
| 網絡訪問保護客戶端 | 在允許計算機進入公司網絡前,允許對其隔離和掃描健康狀態。此功能要求支持 Windows Vista Server 中的功能。 |
| 安全更新改進 | 通過使用客戶端代理使安全狀態具有可視性,并減少了安全補丁需要的重啟次數。 |
| Windows 安全中心 | 用戶可快速了解計算機的安全狀態,并在計算機處于不安全狀態時得到警報。 |
| 用戶帳戶保護 | Windows Vista 不要求最終用戶擁有計算機的管理權限,用最低權限的用戶訪問部署計算機也變得更加容易。 |
| 驗證 | 提供了可伸縮和擴展的驗證基礎結構、協議及登錄提供程序。 |
| 授權 | 支持豐富的策略表達式和求值,以支持可擴展性和代理能力。 |
| 憑據管理 | 提供經改進和可管理的身份管理、令牌規定及生命周期管理服務。 |
| 加密服務 | 為必須保護數據的應用程序提供增強加密和簽名操作。 |
新增或改進安全功能的影響
以下是一個端到端用戶方案,說明了 Windows Vista 進行檢測和幫助保護免受潛在安全威脅的方式:
- •啟動 Windows Vista 計算機前,通過安全啟動保護系統免受攻擊。此功能使用基于硬件的“受信平臺模塊”確保意圖破壞 Windows Vista 安裝程序的惡意用戶無法在其他操作系統下啟動計算機。
- •系統運行后,網絡訪問保護 (NAP) 會在計算機連入網絡時對其進行掃描,以確保計算機有最新的補丁和最新的病毒簽名。NAP 還可用于掃描網絡管理員決定要檢查的許多其他功能。此功能要求 Windows Vista Server 中的 NAP 基礎結構。
- •如果計算機不符合公司的系統運行狀況策略,在符合該策略前不會被獲準接入網絡。
- •用戶使用標準用戶憑據(而非以管理員身份)登錄計算機和網絡,從而最小化了病毒或惡意程序的潛在影響,而且可以順利地自定義計算機設置和運行原有應用程序。
- •將補丁部署到計算機時,與 Windows XP 相比,重新啟動管理器會減少需要的重啟次數。
- •用戶瀏覽 Web 時,Internet Explorer 的增強及原有功能有助于提供針對惡意軟件等有害軟件的復原功能,而且可控制用戶的個人識別信息。
評估貴組織內軟件限制策略和用戶帳戶保護的重要方案
本節介紹基本評估方案,在這些方案中域管理員可控制用戶可在 Windows Vista 客戶端上安裝和運行哪些應用程序。
在這些方案中,管理員想要控制域用戶可安裝和運行的應用程序。通過使用軟件限制策略,管理員可控制用戶以常規權限級別可安裝的應用程序。
Application Information Service (AIS) 是 Microsoft Windows Vista 中的新服務,可實現“用戶帳戶保護”(UAP)。通過要求用戶在受保護的用戶模式下運行和將對授權進程訪問限制為管理員級,UAP 有助于減少惡意軟件、root kit、malware 及病毒的影響。它還允許組織更接近托管桌面,以阻止用戶安裝未授權應用程序或對系統設置進行無意更改。
下列是控制用戶可在 Windows Vista 客戶端計算機上安裝或運行哪些應用程序的前提條件:
- •創建域。
- •創建一個域管理員,例如 admin1。
- •創建一個域用戶,例如 user1。
- •通過組策略向允許安裝應用程序的域提供軟件限制策略。
- •安裝 Microsoft Windows Vista。
- •將客戶端加入該域。
- •驗證此域管理員是否是 Local Administrators 組的成員。
運行測試方案
要測試軟件限制策略和 AIS 交互,請讓某個域用戶登錄到 Windows Vista 客戶端計算機并啟用 UAP,然后嘗試安裝、運行和卸載域策略定義的允許和不允許的應用程序。
方案 1:讓域用戶嘗試安裝允許的應用程序。
用戶應該不需向 admin1 要求憑據即可安裝該應用程序。
安裝允許的應用程序
- 1.以 admin1 身份登錄并將應用程序發布到 Active Directory。
- 2.以 user1 登錄。
- 3.使用“添加或刪除程序”安裝該應用程序。
- 4.驗證該應用程序已安裝并可用。
方案 2:嘗試安裝域管理員未通過策略明確允許安裝的應用程序。
用戶應該無法安裝該應用程序。
嘗試安裝不允許的應用程序
- 1.不為該應用程序應用策略設置。
- 2.以 user1 登錄。
- 3.嘗試安裝該應用程序。
- 4.驗證安裝并未發生。
方案 3:嘗試運行域管理員已允許用戶運行的應用程序。
用戶應該可以運行該應用程序。
運行允許的應用程序
- 1.安裝應用程序并將其標記為允許。
- 2.以 user1 登錄。
- 3.嘗試運行該應用程序。
方案 4:嘗試運行域管理員尚未允許用戶運行的應用程序。
用戶應該無法運行該應用程序。
嘗試運行不允許的應用程序
- 1.以 user1 登錄。
- 2.安裝一個應用程序。
- 3.將該應用程序標記為不允許。
- 4.嘗試運行該應用程序。
方案 5:嘗試卸載域管理員允許用戶卸載的應用程序。
注意此測試驗證 Application Information Service 的交互,以及域策略對象是否允許用戶無需使用管理憑據即可刪除應用程序。在此例中,將應用域策略設置以允許用戶安裝、更新和卸載應用程序。
用戶應該可以卸載該應用程序。
卸載允許的應用程序
- 1.以 user1 登錄。
- 2.安裝某個允許的應用程序。
- 3.卸載該應用程序。
- 4.驗證該應用程序未殘留任何內容。
方案 6:嘗試卸載域管理員尚未允許用戶卸載的應用程序。
注意在此例中,應用程序已安裝,但域策略設置不允許用戶安裝、更新或刪除應用程序。
用戶應該無法卸載該應用程序。
嘗試卸載不允許的應用程序
- 1.以 user1 登錄。
- 2.安裝一個應用程序。
- 3.將該應用程序標記為不允許。
- 4.嘗試卸載該應用程序。
注意本站點所述功能可能有所更改。由于市場、技術或其他原因,最終產品中可能不含某些功能。
