WindowsVista遭受的十大安全誤解真相

Windows Vista明顯提高了對(duì)黑客和惡意入侵者的防范，毫無(wú)疑問(wèn)，它是迄今為止最為安全的微軟操作系統(tǒng)。通過(guò)諸如用戶(hù)帳號(hào)控制(UAC)、BitLocker驅(qū)動(dòng)器加密、文件/注冊(cè)表虛擬化、強(qiáng)制完整性控制(MIC)和IE瀏覽器保護(hù)模式等功能，你可以在系統(tǒng)級(jí)別或更精細(xì)級(jí)別來(lái)加固Vista的安全性。
    然而，由于Vista的安全配置的復(fù)雜性，人們對(duì)一些Vista安全功能和推薦配置存在很多令人迷惑之處。下面讓我們看一下關(guān)于Vista安全的十大誤解，并給出正確的理解。
    1、administrator帳號(hào)默認(rèn)將被禁用?
    通常情況下Vista會(huì)默認(rèn)禁用administrator帳號(hào)，但是有一個(gè)前提：在管理員組里面存在其他活躍的定義好的成員。更準(zhǔn)確的說(shuō)法應(yīng)該是，如果Vista檢測(cè)到其他啟用的管理員帳號(hào)的話(huà)，通過(guò)禁用真正的administrator帳號(hào)，來(lái)試圖最小化管理員帳號(hào)的數(shù)量。在新安裝Vista的時(shí)候，第一個(gè)新帳號(hào)將被增加到管理員組里，就如同在windows xp和windows 2000中一樣，但是后來(lái)增加的用戶(hù)不是。一旦第二個(gè)管理員帳號(hào)被增加后，Vista將禁用真正的administrator帳號(hào)。
    需要注意的重要一點(diǎn)是，默認(rèn)禁用的管理員帳號(hào)是沒(méi)有密碼的。你應(yīng)該對(duì)administrator帳號(hào)設(shè)置一個(gè)復(fù)雜的密碼，即使它是被禁用的。如果你要啟用一個(gè)被禁用的administrator帳號(hào)的話(huà)，首先設(shè)置密碼，然后你就可以啟用這個(gè)帳號(hào)了。
    2、Vista只存在四個(gè)強(qiáng)制完整性控制級(jí)別?
    強(qiáng)制完整性控制(MIC)是Vista安全架構(gòu)中新增加的一種檢測(cè)機(jī)制。Vista中的所有安全性對(duì)象和進(jìn)程都有一個(gè)完整性級(jí)別，完整性級(jí)別(IL)低的進(jìn)程不能修改級(jí)別高的文件或注冊(cè)表表項(xiàng)。有四個(gè)主要的強(qiáng)制完整性控制(MIC)級(jí)別：
    ·低(Low)
    ·中等(Medium)
    ·高(High)
    ·系統(tǒng)(System)
    包括管理員組中的非提升權(quán)限成員在內(nèi)的大多數(shù)用戶(hù)，都運(yùn)行在中等級(jí)別。以下是一些其他級(jí)別是如何被設(shè)定的。
    ·內(nèi)核級(jí)別的Windows文件以系統(tǒng)完整性級(jí)別運(yùn)行
    ·用戶(hù)級(jí)別的代碼，例如Windows Explorer和任務(wù)管理器，以中等完整級(jí)別運(yùn)行
    ·真正的administrator或系統(tǒng)管理員組中的提升權(quán)限的成員以高完整級(jí)別運(yùn)行
    ·保護(hù)模式下的IE瀏覽器以低完整性級(jí)別運(yùn)行
    ·如果一個(gè)對(duì)象或資源沒(méi)有明確的設(shè)定完整性級(jí)別，那么它具有中等完整性級(jí)別。
    建立強(qiáng)制完整性控制的的主要目的是，使一般用戶(hù)、程序和在IE保護(hù)模式下的下載內(nèi)容難于修改系統(tǒng)文件。因此，即使一個(gè)用戶(hù)可能是系統(tǒng)管理員組的一個(gè)成員，或者甚至即使一個(gè)惡意軟件設(shè)法突破了IE的初級(jí)安全防御，它們也難于修改Windows的系統(tǒng)文件。
    除了上述四個(gè)級(jí)別外，至少還有兩個(gè)人們知道比較少的強(qiáng)制完整性級(jí)別：非信任級(jí)別和保護(hù)進(jìn)程級(jí)別。非信賴(lài)完整性可能是級(jí)別最低的強(qiáng)制完整性級(jí)別，被設(shè)置給匿名空連接會(huì)話(huà)。保護(hù)進(jìn)程可能是級(jí)別的強(qiáng)制完整性級(jí)別，只有在系統(tǒng)需要的時(shí)候才會(huì)被使用。
    或許只有你在進(jìn)行研究或故障排查的時(shí)候才能碰到這些強(qiáng)制完整性級(jí)別，你可以認(rèn)為惡意黑客們將試圖獲得一個(gè)保護(hù)進(jìn)程強(qiáng)制完整性級(jí)別的權(quán)限，來(lái)使Windows更輕松的被攻破。
    3、用戶(hù)帳號(hào)控制(UAC)減少管理員被需要的次數(shù)?
    Vista要求用戶(hù)獲得提升的權(quán)限和許可來(lái)完成系統(tǒng)任務(wù)，諸如安裝軟件、更新內(nèi)核驅(qū)動(dòng)等等。Vista還有一些新的要求較少管理性帳號(hào)的功能，但是用戶(hù)帳號(hào)控制(UAC)不是其中之一。
    用戶(hù)帳號(hào)控制(UAC)明確的要求那些希望完成管理性任務(wù)的用戶(hù)具有提升的本地組中成員資格，例如administrators組或backup operators組。用戶(hù)帳號(hào)控制(UAC)的存在并不會(huì)減少對(duì)管理性用戶(hù)的需要，當(dāng)執(zhí)行諸如電子郵件或網(wǎng)絡(luò)瀏覽等非管理性任務(wù)的時(shí)候，它提供了針對(duì)屬于提升權(quán)限組的用戶(hù)的額外的保護(hù)。
    當(dāng)一個(gè)提升權(quán)限的用戶(hù)(但不是真正的administrator)登錄后，用戶(hù)帳號(hào)控制(UAC)設(shè)定兩個(gè)訪(fǎng)問(wèn)安全令牌，也被叫做一個(gè)“分離令牌split-token”。直到用戶(hù)通過(guò)用戶(hù)帳號(hào)控制(UAC)提升了訪(fǎng)問(wèn)權(quán)限后，標(biāo)準(zhǔn)系統(tǒng)管理員組的成員安全令牌才可用。否則，Vista針對(duì)用戶(hù)的安全令牌采取如下措施：
    ·Vista移除通常設(shè)置給管理員組成員的9個(gè)提升的權(quán)限
    ·用戶(hù)的強(qiáng)制完整等級(jí)從高等降級(jí)為中級(jí)
    ·指定禁用安全標(biāo)示符(deny-only security identifier,deny-only SID)
    ·出現(xiàn)用戶(hù)帳號(hào)控制(UAC)同意提示窗口
    ·應(yīng)用文件和注冊(cè)虛擬化
    當(dāng)用戶(hù)提升它們的session時(shí)，那些額外的限制將被移除。但是，Vista要求一個(gè)管理員帳號(hào)來(lái)完成許多普通的系統(tǒng)任務(wù)。通過(guò)在不明確被需要的時(shí)候移除提升的權(quán)限和許可，用戶(hù)帳號(hào)控制可以同時(shí)保護(hù)系統(tǒng)和用戶(hù)。這樣，管理帳號(hào)不用在瀏覽網(wǎng)頁(yè)或打開(kāi)惡意電子郵件的時(shí)候擔(dān)心其被提升的安全權(quán)限被使用。
    在其他方面，Vista的確降低了必需的管理員的數(shù)量。首先，Vista已經(jīng)移除了完成許多普通系統(tǒng)任務(wù)對(duì)管理員權(quán)限的需要，諸如查看或修改時(shí)區(qū)，配置無(wú)線(xiàn)網(wǎng)絡(luò)，修改電源管理設(shè)置，創(chuàng)建和配置一個(gè)虛擬專(zhuān)用網(wǎng)絡(luò)(VPN)連接和安裝關(guān)鍵的Windows更新。
    其次，Vista讓管理員可以定義非管理員帳號(hào)可以安裝的驅(qū)動(dòng)、設(shè)備和ActiveX控制。因此，舉個(gè)例子來(lái)說(shuō)，你可以讓你的用戶(hù)安裝打印機(jī)、網(wǎng)卡、USB設(shè)備和VPN軟件。
    第三，對(duì)于基本的網(wǎng)絡(luò)重新配置任務(wù)，你可以增加非管理員用戶(hù)到網(wǎng)絡(luò)配置操作組中。在這個(gè)組中的用戶(hù)可以釋放IP地址，清空DNS緩存和完成其他普通網(wǎng)絡(luò)任務(wù)。還有很多其他的方式來(lái)降低你需要管理員權(quán)限的次數(shù)。UAC不是其中之一。