续：Windows Vista操作系统最新安全特性分析：改进和局限 (下)

4. 权限保护 4.1用户帐 控制（User Account Control） 背景。在以往的Windows系统上，绝大多数用户都是以管理员（Admin）权限登录。这是因为太多的操作，如应用程序的安装和运行，操作系统配置的修改等等，都需要管理员权限。 那么，导致的后果就是，计算机病毒和间谍软件一旦感染系统，也就同时拥有了管理员权限，可以随心所欲地做各种事情，如篡改防火墙的设置，安装Rootkit驱动程序这些必须需要管理员权限的操作。 用户帐 控制的目的就是尽量减少用户权限为管理员级别的时间。换句话说，不到迫不得已，决不运行于管理员模式下。具体而言，指： · 用户登陆后的缺省权限是非管理员身份 · 如果要执行需要管理员权限的操作，例如修改防火墙设置，用户必须通过特定的用户界面（UAC的对话框）才能将权限升为管理员级别。

图 7： 络权限保护 局限性。通过系统健康检查是否就意味着接入的计算机安全了是安全补丁检查或者是其它检查，并不能百分百保证接入设备的安全。 5. 防止有害软件和恶意入侵 5.1安全中心 安全中心（Windows Security Center）最初出现在Windows XP SP2上，目的是给用户提供一个对系统安全配置信息的集中汇总。在SP2的安全中心上，显示以下系统安全特性的状态信息：防火墙，自动更新，和反病毒软件。 在Windows Vista的安全中心，新增加了以下安全特性的状态信息： · 反间谍软件 · Internet Explorer 的安全设置 · 用户帐 控制

图 9：IE7保护模式 IE7的另外一个重要改进是提供了 络钓鱼的 页过滤器。所谓 络钓鱼，是指复制一个官方 站的主页，诱使用户输入个人的机密信息，如银行账 ，密码等等。 当用户访问 站时， 页过滤器会通过分析 页的特性，以及和online服务的数据库对照，可以向用户 警可疑的钓鱼 站，减少用户个人信息泄密的可能。

表1：BitLocker保护方式 6.2加密文件系统 Windows Vista引入了磁盘全加密（Full Volume Encryption）功能。以前的加密文件系统（EFS）只是对数据卷加密，重要的系统数据并不包括在内。例如，临时文件和虚拟内存的页面文件，尽管可能包括用户的重要信息，也不在加密范围了。 Windows Vista磁盘全加密，除了基本的系统引导代码，将其余一切都包括在加密范围内。以下是磁盘全加密的硬件布局。

图 11：磁盘全加密的硬件布局 6.3版权保护 版权保护，目的在于确保重要的文档只能被授权的用户所使用，而使用的方式也遵循相应设置。例如，一封重要的电子邮件可以指明只能被特定的用户群浏览，而且授权用户不能执行打印，转发等其他操作。 在Windows Vista 中，提供了访问版权保护Office 文档的客户端 （RMS client）。用户不再需要新安装/配置额外软件。 上面介绍了三种Windows Vista提供的数据保护技术：BitLocker，加密文件系统，和版权保护。那么，每种技术适用的场景是什么 简要说，如果数据保护的防范对象是机器其他正常用户或系统管理员，应考虑使用加密文件系统。如果数据保护的防范对象是未授权非法用户，应考虑使用BitLocker。如果需要对Office 文档进行远程权限控制，应考虑使用版权保护。

表2：Windows Vista数据保护技术 6.4 USB设备控制 背景。对USB设备，以及其它可移动存储介质的控制，使每个系统管理员头痛的地方，因为存在着以下两个安全问题。 通过USB设备，或其它可移动存储介质，用户可以方便拷贝并并随身携带大量的数据信息。 如果USB设备，或其它可移动存储介质的文件已被病毒感染。一旦接入，而用户又选择“自动执行”特性的话，系统就会被自动感染。

Trackback: http://tb.blog.csdn.net/TrackBack.aspxstId=1591676

相关资源：漫谈软件性能测试技术-其它代码类资源-CSDN文库