先看一下Windows Vista:终于安全了?

在华盛顿州雷德蒙德举行的MVP全球峰会上,我有机会听取了一些微软内部人士的意见,这些人实际上是编写代码的,他们讲述了创建新操作系统的目标和理念,包括Internet Explorer 7.0等组件。

我听到的话使我深受鼓舞。纵深防御是一个不断出现的概念。多层安全是提供真正保护的唯一途径,微软承诺对体系结构进行根本性的改变,以支持这种保护,这将使Vista在安全性方面比旧的Windows操作系统更具优势。

我们从微软员工那里听到的另一个哲学观点与“边缘整合”有关,或者说互联网就是网络。这与微软安全业务部门的高级项目经理之一史蒂夫·赖利(Steve Riley)所发布的广为宣传的“DMZ之死”概念相吻合(你可以从他的网站下载Steve关于这个主题的演示)。这个主题,以这样或那样的形式,贯穿于微软的许多演示文稿中。

综上所述,这些理念表明了一种全新的安全观,它结合了服务器和域隔离以及网络访问保护(NAP)实施等策略。另一个重点是身份验证和管理。我们到处都能看到这种情况,从提议的反垃圾邮件技术(如发送者ID)到企业/联盟级产品(如MIIS)。我们也可以从Vista对IPsec和更好的智能卡支持等技术的改进中看到这一点。

以最小权限运行

峰会上不断出现的一个问题是“你在桌面上以管理员的身份运行吗?”从IT专业人士到微软高管,大多数被问者都回答(有时会不好意思)“是的。”这有一个很好的理由——在Vista之前的操作系统中,如果你不以管理员身份登录,很难完成任何事情。Vista通过两种方式解决这一问题:

多年来,Windows在安全性方面一直与Unix相形见绌。与Windows不同,Unix从一开始就被设计成一个网络操作系统,并且长期以来一直具有常识性的安全特性,比如用最少的权限运行进程。微软在Vista中引入了同样的理念,并称之为用户帐户保护(useraccountprotection,简称UAP)。Derek Melber在其题为“Windows Vista和最小特权原则”的文章中详细介绍了此功能,因此我们将不详细介绍它的工作原理,但这是对Windows XP中RunAs功能的重要改进。

更多内置保护

市场上有大量的第三方产品旨在抵御特定的威胁(病毒、间谍软件、攻击)。对于企业客户来说,能够从这些产品中进行选择是一种优势。然而,对于家庭和小型企业用户来说,这是一项额外的开支,他们中的许多人觉得自己负担不起。他们希望在操作系统中内置保护。

这使得基于主机的防火墙被包含在XP/2003中,而Vista使微软更进一步,包括清除许多病毒和蠕虫的能力以及内置的反间谍软件组件。为了便于管理,这些功能将集成到安全中心界面中。

尽管Vista中的反间谍软件版本的详细信息仍在保密协议中,但我们知道这将是整体威胁缓解策略的一部分,旨在三管齐下保护客户端、服务器和网络。微软的反间谍软件Beta 1,建立在巨人的技术之上,已经是一个非常受欢迎的下载,并且已经有数百万的用户。这是一个好的开始,但是在beta2中有了很大的改进。

保护网络

作为前面提到的三管齐下方法的一部分,Vista的开发人员并不完全关心保护Vista计算机不受网络攻击——他们还关心保护网络不受Vista计算机攻击。Vista中的网络访问保护(NAP)组件由向NAP服务器(Longhorn server中包含的组件)报告Vista客户端运行状况的代理组成。

这使管理员能够拒绝对不符合其标准的客户端计算机的访问(例如应用当前的service Pack和安全更新、启用最新的防病毒软件等等)。

NAP类似于windowsserver2003的网络访问隔离控制,但它是一种不同的技术,它进一步扩展了保护。NAQC用于在远程访问和VPN客户端上实施健康策略,但是NAP可以做到这一点,还可以在直接连接到LAN的计算机上实施策略,包括定期插入LAN的移动计算机。与NAQC一样,不符合要求的计算机被隔离在一个受限的网络上,在那里它们可以自动更新以满足您的要求。

隔离可以通过许多不同的网络组件(单独或相互结合)提供:

NAP是可配置的,这样管理员就可以创建策略规则的例外,它还包括API,这样第三方开发人员就可以创建使用NAP的策略遵从性和隔离解决方案。

摘要

这些只是Vista附带的一些安全增强功能。许多仍然涵盖了保密协议,但我们所看到的到目前为止看起来很有希望,我们会让你在这里更新更多的信息是正式公布。

Debra Littlejohn Shinder,MCSE,MVP(Security)是一位技术顾问、培训师和作家,曾撰写过许多关于计算机操作系统、网络和安全的书籍。她还是一名技术编辑,发展编辑和贡献超过20本书。她的文章定期发表在TechRepublic的TechProGuild网站和Windowsecurity.com,并出现在印刷杂志,如Windows IT Pro(以前的Windows&.NET)杂志。她曾为微软公司、惠普公司、DigitalThink公司、GFI软件公司、Sunbelt软件公司、CNET和其他科技公司撰写培训材料、企业白皮书、营销材料和产品文档。她生活和工作在达拉斯沃思堡地区,可以在邮箱:deb@shinder.net或在www.shinder.net。