Windows Vista操作系统安全体系概览

　　提到系统的安全特性，我个人认为这应该是Windows Vista最大的亮点了。它相比之前Windows XP来说可谓是一个飞跃。现在我们就从几个主要的方面一一阐述这些安全方面的新特性。

　　在Windows Vista进入开发的时候就已经与以前的系统有很大的不同了，在这一整个的开发过程微软始终是把“安全”放在最高的位置上来进行的，Windows Vista的开发引入了Security Development Lifecycl(安全开发生命周期)这是一个从系统的设计一直到发布都始终贯穿其中的机制，它主要包括十一个流程。由于这个东西似乎和我们用户的关系不是很大因此就不做过多的叙述了。

　　服务的强化升级，大家应该还记得当年恶贯满盈的冲击波吧，它就是通过攻击系统 RPC服务的漏洞来攻击我们计算机的。在以前的系统中服务在计算机中基本上都是处在绝对高位的地方来运作的，并且呢也没有针对服务的限制机构来对各种各样的服务进行管理，因此呢就很容易出现某个核心服务被一些恶意的程序利用进而对我们的计算机造成破坏。这个问题在Windows Vista中得到了解决，在Windows Vista中任何的系统关键服务都是不能做任何越权操作的，这样如果有恶意程序想要利用一个系统的关键服务在我们的计算机中干坏事的话，它是绝对不可能得逞的。那么我们知道除了Windows的系统服务以外，一些我们需要用到的应用软件也是会把自身的一部分安装为一个服务来保证其可靠的运作。在以前的系统中，这些服务都是以LocalSystem这个账户运行的，在这样的情况下我们系统是非常脆弱的，并且没有办法对这些第三方的服务进行有效的管理，严重的威胁到了系统的安全以及稳定性。而在Windows Vista中则完全改变了这样的格局，首先引入了每个服务的安全标识符 (SID)。它启用了每个服务的标识，该标识随后又通过现有 Windows 访问控制模型(包括使用访问控制列表 (ACL) 的所有对象和资源管理器)启用访问控制分区。服务就可以显示 ACL 应用于该服务专用的资源，从而可防止其他服务和用户访问这些资源。

　　然后现在服务不在回像以前一样使用LocalSystem账户来运行，而是由专门的权限较低的LoaclService、NetworkService等这些账户来运行，这会降低服务的总体权限级别，就类似于“用户帐户保护”的机制。并且去除了服务中不必要的系统权限。另外在Windows Vista中第三方的程序要插入一个令牌到服务中已经被限制了，也就说没有得到服务SID访问的程序要想将它的令牌写入服务中的话将会以失败告终，这样就可以彻底的保证在我们电脑中的每一个服务都是干净的，这些服务不会再被一些恶意的程序所利用进而来对我们的系统实施破坏。最后更令人激动人心的一点就是基于每个服务都具有单独且唯一的SID，这样便可以利用Windows防火墙对每一个服务进行规则限制，这样做的好处是显而易见的，比方说一个存在一定安全风险的服务可能存在被网络上其他的一些我们没有授权的东西利用来侵入或者做一些我们不希望看到的事情的时候，你完全可以在防火墙中将这个服务的网络访问规则做一个限制，这一点我会在Windows Vista TechView关于防火墙的章节中做出详细的叙述。

　　通过上面的简要介绍我们可以看到，Windows Vista的服务强化升级可是使我们的系统时刻处在最安全的状态，但是大家也要明白，只靠服务强化升级是不足以构成保护我们系统的安全体系的，它也需要和Windows Vista中的其他安全模块协同运作，比如上面提到的Windows 防火墙。好了，这个今天就先说道这里毕竟着一章是概览~我会在Windows Vista TechView关于系统服务的章节中做详细叙述，敬请期待~。

　　Internet Explorer 7 保护模式

　　说道安全就不能不说一下目前网页浏览所存在的安全隐患了，随着互联网的飞速发展，越来越多的Web应用已经走入了我们的生活，同时各种各样的Web也是我们获取信息的最重要途径，但是林子大了什么鸟都有这句话似乎总是应验在所有的事物上面。如今的互联网处处充满了陷阱与美丽的谎言。网页恶意代码，Web上面许多不怀好意的控件，欺诈我们财产的钓鱼网站，等等这些已经对我们的电脑构成了严重的威胁，甚至是一场灾难。每年因为网页恶意代码导致系统瘫痪，因为很多不请自来的控件在占用我们紧俏的系统资源做一些上帝都不知道的事情，因为被钓鱼网站欺骗而只是我们信用卡中的数字呈指数级下降的案例已经不计其数。可能对于精通电脑的人来说可以更多减少这些威胁但是对于更多的普通用户应该怎么面对这样一个严峻的考验呢?就是在这样的时候Internet Explorer 7的保护模式被设计了出来，它能给我们怎样的保护?我们接下来就大概的看一下吧。

　　IE7的保护模式是构建于Windows Vista的UAC也就用户账户控制这个模块上面的，在以前的IE以及系统中IE浏览网站时使用有的权限就是我们登陆系统时用的帐户的所有权限，而大多数的用户在使用Windows XP的时候都喜欢用具有Admin权限的管理员身份帐户来使用系统，这个时候IE自然也就拥有了Admini的所有权限，因此呢网页上那些恶意的代码或者控件才有了可趁之机，拿着管理员的权限在我们的系统中为所欲为。那么在Windows Vista中这个情况将得到改变，IE在默认的情况下系统只会给他浏览网页所必需的一些权限而不会给他管理员的权限，这些管理员权限对于网页浏览器来说是多余的。

　　所以说在默认的情况下呢IE是不能修改用户的文件或者对系统进行配置的，这样即使我们访问到一个含有恶意代码或控件的网页时这些代码也会因为没有足够的权限而胎死腹中变得一无是处。然后便是钓鱼网站，这些网站一般会伪装成某个银行或者某个网络服务商的网页，然后以种种借口欺骗用户在这个页面上面输入自己的账户，从而达到窃取用户财产的目的。因为受到这些钓鱼网站欺骗造成财产损失的事情如今已是屡见不鲜，我认识的朋友中就有好几个遭此不幸。解决一问题已经迫在眉睫，所以在IE7中就引入了专门针对这些网站的应对机制。第一、网页仿冒的筛选，启用这个功能以后，我们如果放到一些仿冒的钓鱼网站的时候IE首先就会停止加载这个页面，同时给出明确的警告，当然如果你确定你访问的这个页面是安全的那么就可以点击继续访问。

　　看到这里可能很多人会问IE7是怎么知道某个站点是假冒的呢?其实这还要归功于微软庞大的资源，这些站点的关键字以及特征是被存放在微软专门的一个服务器上面的，访问网页的时候IE7会先到这个服务器上查找，如果找到匹配的记录那么IE7便会给出警告。这个服务器中的数据一般是几分钟就更新一次，其数据的主要来源是微软放到网络中的蜘蛛抓取还有用户的举报提交。前者就不用过多的解释了，对于后者就是说我们如果发现某个站点可能是仿冒的用来欺骗我们的时候便可使用IE7的仿冒网页提交功能将信息提交给微软，微软会对用户提交的信息做进一步的核实，确定之后这个站点就会被立即添加进服务器中。这样一来那些假冒的网页就无处藏身了，但是很多人又有了很多的疑问。这样每次打开一个网页IE7就要连接到微软的服务器作检查一定会让网页访问变得很慢吧;这个数据筛选的服务器是微软的那么微软肯定会把竞争对手的网页也添加进取咯?等等，对于这些问题我自己也很关心~但是我在经过一段时间的使用后发现呢这个筛选基本上不会拖慢网页开启的速度，虽然的确有一些延迟但是用户在使用的时候肯定是不容易察觉这一秒钟以内的延迟的。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有