提到系統(tǒng)的安全特性，我個(gè)人認(rèn)為這應(yīng)該是Windows Vista最大的亮點(diǎn)了。它相比之前Windows XP來說可謂是一個(gè)飛躍。現(xiàn)在我們就從幾個(gè)主要的方面一一闡述這些安全方面的新特性。

在Windows Vista進(jìn)入開發(fā)的時(shí)候就已經(jīng)與以前的系統(tǒng)有很大的不同了，在這一整個(gè)的開發(fā)過程微軟始終是把“安全”放在最高的位置上來進(jìn)行的，Windows Vista的開發(fā)引入了Security Development Lifecycl(安全開發(fā)生命周期)這是一個(gè)從系統(tǒng)的設(shè)計(jì)一直到發(fā)布都始終貫穿其中的機(jī)制，它主要包括十一個(gè)流程。由于這個(gè)東西似乎和我們用戶的關(guān)系不是很大因此就不做過多的敘述了。

服務(wù)的強(qiáng)化升級，大家應(yīng)該還記得當(dāng)年惡貫滿盈的沖擊波吧，它就是通過攻擊系統(tǒng) RPC服務(wù)的漏洞來攻擊我們計(jì)算機(jī)的。在以前的系統(tǒng)中服務(wù)在計(jì)算機(jī)中基本上都是處在絕對高位的地方來運(yùn)作的，并且呢也沒有針對服務(wù)的限制機(jī)構(gòu)來對各種各樣的服務(wù)進(jìn)行管理，因此呢就很容易出現(xiàn)某個(gè)核心服務(wù)被一些惡意的程序利用進(jìn)而對我們的計(jì)算機(jī)造成破壞。這個(gè)問題在Windows Vista中得到了解決，在Windows Vista中任何的系統(tǒng)關(guān)鍵服務(wù)都是不能做任何越權(quán)操作的，這樣如果有惡意程序想要利用一個(gè)系統(tǒng)的關(guān)鍵服務(wù)在我們的計(jì)算機(jī)中干壞事的話，它是絕對不可能得逞的。那么我們知道除了Windows的系統(tǒng)服務(wù)以外，一些我們需要用到的應(yīng)用軟件也是會把自身的一部分安裝為一個(gè)服務(wù)來保證其可靠的運(yùn)作。在以前的系統(tǒng)中，這些服務(wù)都是以LocalSystem這個(gè)賬戶運(yùn)行的，在這樣的情況下我們系統(tǒng)是非常脆弱的，并且沒有辦法對這些第三方的服務(wù)進(jìn)行有效的管理，嚴(yán)重的威脅到了系統(tǒng)的安全以及穩(wěn)定性。而在Windows Vista中則完全改變了這樣的格局，首先引入了每個(gè)服務(wù)的安全標(biāo)識符 (SID)。它啟用了每個(gè)服務(wù)的標(biāo)識，該標(biāo)識隨后又通過現(xiàn)有 Windows 訪問控制模型(包括使用訪問控制列表 (ACL) 的所有對象和資源管理器)啟用訪問控制分區(qū)。服務(wù)就可以顯示 ACL 應(yīng)用于該服務(wù)專用的資源，從而可防止其他服務(wù)和用戶訪問這些資源。

然后現(xiàn)在服務(wù)不在回像以前一樣使用LocalSystem賬戶來運(yùn)行，而是由專門的權(quán)限較低的LoaclService、NetworkService等這些賬戶來運(yùn)行，這會降低服務(wù)的總體權(quán)限級別，就類似于“用戶帳戶保護(hù)”的機(jī)制。并且去除了服務(wù)中不必要的系統(tǒng)權(quán)限。另外在Windows Vista中第三方的程序要插入一個(gè)令牌到服務(wù)中已經(jīng)被限制了，也就說沒有得到服務(wù)SID訪問的程序要想將它的令牌寫入服務(wù)中的話將會以失敗告終，這樣就可以徹底的保證在我們電腦中的每一個(gè)服務(wù)都是干凈的，這些服務(wù)不會再被一些惡意的程序所利用進(jìn)而來對我們的系統(tǒng)實(shí)施破壞。最后更令人激動人心的一點(diǎn)就是基于每個(gè)服務(wù)都具有單獨(dú)且唯一的SID，這樣便可以利用Windows防火墻對每一個(gè)服務(wù)進(jìn)行規(guī)則限制，這樣做的好處是顯而易見的，比方說一個(gè)存在一定安全風(fēng)險(xiǎn)的服務(wù)可能存在被網(wǎng)絡(luò)上其他的一些我們沒有授權(quán)的東西利用來侵入或者做一些我們不希望看到的事情的時(shí)候，你完全可以在防火墻中將這個(gè)服務(wù)的網(wǎng)絡(luò)訪問規(guī)則做一個(gè)限制，這一點(diǎn)我會在Windows Vista TechView關(guān)于防火墻的章節(jié)中做出詳細(xì)的敘述。

通過上面的簡要介紹我們可以看到，Windows Vista的服務(wù)強(qiáng)化升級可是使我們的系統(tǒng)時(shí)刻處在最安全的狀態(tài)，但是大家也要明白，只靠服務(wù)強(qiáng)化升級是不足以構(gòu)成保護(hù)我們系統(tǒng)的安全體系的，它也需要和Windows Vista中的其他安全模塊協(xié)同運(yùn)作，比如上面提到的Windows 防火墻。好了，這個(gè)今天就先說道這里畢竟著一章是概覽~我會在Windows Vista TechView關(guān)于系統(tǒng)服務(wù)的章節(jié)中做詳細(xì)敘述，敬請期待~。

Internet Explorer 7 保護(hù)模式

說道安全就不能不說一下目前網(wǎng)頁瀏覽所存在的安全隱患了，隨著互聯(lián)網(wǎng)的飛速發(fā)展，越來越多的Web應(yīng)用已經(jīng)走入了我們的生活，同時(shí)各種各樣的Web也是我們獲取信息的最重要途徑，但是林子大了什么鳥都有這句話似乎總是應(yīng)驗(yàn)在所有的事物上面。如今的互聯(lián)網(wǎng)處處充滿了陷阱與美麗的謊言。網(wǎng)頁惡意代碼，Web上面許多不懷好意的控件，欺詐我們財(cái)產(chǎn)的釣魚網(wǎng)站，等等這些已經(jīng)對我們的電腦構(gòu)成了嚴(yán)重的威脅，甚至是一場災(zāi)難。每年因?yàn)榫W(wǎng)頁惡意代碼導(dǎo)致系統(tǒng)癱瘓，因?yàn)楹芏嗖徽堊詠淼目丶谡加梦覀兙o俏的系統(tǒng)資源做一些上帝都不知道的事情，因?yàn)楸会烎~網(wǎng)站欺騙而只是我們信用卡中的數(shù)字呈指數(shù)級下降的案例已經(jīng)不計(jì)其數(shù)。可能對于精通電腦的人來說可以更多減少這些威脅但是對于更多的普通用戶應(yīng)該怎么面對這樣一個(gè)嚴(yán)峻的考驗(yàn)?zāi)?就是在這樣的時(shí)候Internet Explorer 7的保護(hù)模式被設(shè)計(jì)了出來，它能給我們怎樣的保護(hù)?我們接下來就大概的看一下吧。

IE7的保護(hù)模式是構(gòu)建于Windows Vista的UAC也就用戶賬戶控制這個(gè)模塊上面的，在以前的IE以及系統(tǒng)中IE瀏覽網(wǎng)站時(shí)使用有的權(quán)限就是我們登陸系統(tǒng)時(shí)用的帳戶的所有權(quán)限，而大多數(shù)的用戶在使用Windows XP的時(shí)候都喜歡用具有Admin權(quán)限的管理員身份帳戶來使用系統(tǒng)，這個(gè)時(shí)候IE自然也就擁有了Admini的所有權(quán)限，因此呢網(wǎng)頁上那些惡意的代碼或者控件才有了可趁之機(jī)，拿著管理員的權(quán)限在我們的系統(tǒng)中為所欲為。那么在Windows Vista中這個(gè)情況將得到改變，IE在默認(rèn)的情況下系統(tǒng)只會給他瀏覽網(wǎng)頁所必需的一些權(quán)限而不會給他管理員的權(quán)限，這些管理員權(quán)限對于網(wǎng)頁瀏覽器來說是多余的。

所以說在默認(rèn)的情況下呢IE是不能修改用戶的文件或者對系統(tǒng)進(jìn)行配置的，這樣即使我們訪問到一個(gè)含有惡意代碼或控件的網(wǎng)頁時(shí)這些代碼也會因?yàn)闆]有足夠的權(quán)限而胎死腹中變得一無是處。然后便是釣魚網(wǎng)站，這些網(wǎng)站一般會偽裝成某個(gè)銀行或者某個(gè)網(wǎng)絡(luò)服務(wù)商的網(wǎng)頁，然后以種種借口欺騙用戶在這個(gè)頁面上面輸入自己的賬戶，從而達(dá)到竊取用戶財(cái)產(chǎn)的目的。因?yàn)槭艿竭@些釣魚網(wǎng)站欺騙造成財(cái)產(chǎn)損失的事情如今已是屢見不鮮，我認(rèn)識的朋友中就有好幾個(gè)遭此不幸。解決一問題已經(jīng)迫在眉睫，所以在IE7中就引入了專門針對這些網(wǎng)站的應(yīng)對機(jī)制。第一、網(wǎng)頁仿冒的篩選，啟用這個(gè)功能以后，我們?nèi)绻诺揭恍┓旅暗尼烎~網(wǎng)站的時(shí)候IE首先就會停止加載這個(gè)頁面，同時(shí)給出明確的警告，當(dāng)然如果你確定你訪問的這個(gè)頁面是安全的那么就可以點(diǎn)擊繼續(xù)訪問。

看到這里可能很多人會問IE7是怎么知道某個(gè)站點(diǎn)是假冒的呢?其實(shí)這還要?dú)w功于微軟龐大的資源，這些站點(diǎn)的關(guān)鍵字以及特征是被存放在微軟專門的一個(gè)服務(wù)器上面的，訪問網(wǎng)頁的時(shí)候IE7會先到這個(gè)服務(wù)器上查找，如果找到匹配的記錄那么IE7便會給出警告。這個(gè)服務(wù)器中的數(shù)據(jù)一般是幾分鐘就更新一次，其數(shù)據(jù)的主要來源是微軟放到網(wǎng)絡(luò)中的蜘蛛抓取還有用戶的舉報(bào)提交。前者就不用過多的解釋了，對于后者就是說我們?nèi)绻l(fā)現(xiàn)某個(gè)站點(diǎn)可能是仿冒的用來欺騙我們的時(shí)候便可使用IE7的仿冒網(wǎng)頁提交功能將信息提交給微軟，微軟會對用戶提交的信息做進(jìn)一步的核實(shí)，確定之后這個(gè)站點(diǎn)就會被立即添加進(jìn)服務(wù)器中。這樣一來那些假冒的網(wǎng)頁就無處藏身了，但是很多人又有了很多的疑問。這樣每次打開一個(gè)網(wǎng)頁IE7就要連接到微軟的服務(wù)器作檢查一定會讓網(wǎng)頁訪問變得很慢吧;這個(gè)數(shù)據(jù)篩選的服務(wù)器是微軟的那么微軟肯定會把競爭對手的網(wǎng)頁也添加進(jìn)取咯?等等，對于這些問題我自己也很關(guān)心~但是我在經(jīng)過一段時(shí)間的使用后發(fā)現(xiàn)呢這個(gè)篩選基本上不會拖慢網(wǎng)頁開啟的速度，雖然的確有一些延遲但是用戶在使用的時(shí)候肯定是不容易察覺這一秒鐘以內(nèi)的延遲的。

對于第二問題我也專門問了一位Windows 安全開發(fā)小組的主管，對方給我的答復(fù)是否定的，就是說微軟絕對不會把競爭對手的站點(diǎn)添加到這個(gè)服務(wù)器中，而且如果今后有必要的話將會有第三方監(jiān)管機(jī)構(gòu)介入近來，所以大家還是可以相信微軟的。那么說完這個(gè)大頭以后呢在來看一個(gè)細(xì)節(jié)部分，就是地址欄的顏色狀態(tài)反映和動態(tài)安全狀態(tài)欄。就是說呢比如我們在訪問一個(gè)采用SSL(安全套鏈字層)加密的站點(diǎn)時(shí)，地址欄會變成黃色的，提醒用戶現(xiàn)在的這個(gè)站點(diǎn)是被加密的，同時(shí)在地址欄右側(cè)會出現(xiàn)一個(gè)安全狀態(tài)欄，用戶可以通過這個(gè)狀態(tài)欄知道該站點(diǎn)目前的證書是否有效。

那么IE7方面今天就先說道這里，我會在Windows TechView關(guān)于IE7的章節(jié)中做更詳細(xì)的介紹。敬請期待哦!

Windows Defender 防間諜軟件

木馬!如今已經(jīng)取代了病毒的老大地位，成為了用戶最擔(dān)心的東西。我的XX帳戶被盜啦~這句話現(xiàn)在隨處可見。而木馬能做的事情卻并非只是盜取一個(gè)XX帳戶那么簡單，它能竊取計(jì)算機(jī)中的資料;在企業(yè)網(wǎng)絡(luò)中如果某一臺計(jì)算機(jī)中了木馬，那么他很可能通過這臺計(jì)算機(jī)來入侵整個(gè)企業(yè)網(wǎng)絡(luò)，竊取商業(yè)機(jī)密;準(zhǔn)黑客們也會通過對別的計(jì)算機(jī)安插木馬來做跳板實(shí)施他墮落的某個(gè)計(jì)劃。由此來看木馬無疑又是一個(gè)嚴(yán)重威脅到我們計(jì)算機(jī)安全的東西。另外還有一種稱作Malware的東西，這些東西總是后臺運(yùn)行在計(jì)算機(jī)當(dāng)中，嚴(yán)重的降低了系統(tǒng)性能，使系統(tǒng)變得遲鈍，并且令我們的系統(tǒng)千瘡百孔。現(xiàn)在有很多的反病毒廠商都推出了專門針對木馬和這些間諜軟件的工具或者附加模塊。

Windows Vista中也已經(jīng)加入了這個(gè)新的成員，Windows Defender。它的工作就是發(fā)現(xiàn)并清除我們計(jì)算機(jī)中的這些壞家伙。并且Windows Defender是免費(fèi)的，它包含在Windows Vista的安裝光盤中，所以不需要用戶另外花錢購買，這一點(diǎn)我覺得很好，又少了一筆開銷，呵呵。具體的今天就不談了，我會在Windows Vista TechView關(guān)于Windows Defender的章節(jié)中做詳細(xì)的介紹。敬請期待哦。

IPSec/Firewall Integration

在Windows Vista中另一個(gè)重大的改變就是防火墻這個(gè)部分，我們知道在Windows XP中呢已經(jīng)加入了Windows 防火墻這個(gè)組件，但是相信真正用的人不多，大部分用戶包括我肯定是購買第三方的防火墻來用，比如我就用的是McAfee的墻，具體的原因恐怕就是Windows XP中的防火墻簡陋得可怕，有時(shí)候甚至懷疑它是否能真正發(fā)揮作用。并且你根本不要想對它做深入的設(shè)置，這一點(diǎn)就是我不用它的理由了。

現(xiàn)在Windows Vista中的防火墻終于是飛黃騰達(dá)了，它有了非常完美的控制臺，這個(gè)控制臺是基于GP的也就是組策略，因此不僅是對于單獨(dú)的電腦配置明確簡單，對于一個(gè)管理多臺計(jì)算機(jī)的管理員來說也更容易管理。今天就先賣個(gè)關(guān)子~我會在Windows Vista TechView關(guān)于組策略的章節(jié)中詳細(xì)的介紹它~要期待哦。 還有呢就是Windows Vista中的防火墻已經(jīng)可以實(shí)現(xiàn)通信的雙向控制了，也就是說你不僅可以控制連入電腦的訪問，也可以控制流出的數(shù)據(jù)，這在很多第三方的防火墻中都是可以實(shí)現(xiàn)的，它的好處也是很顯而易見的。還有最大的亮點(diǎn)便是IPSec的整合了，IPSec(IP安全策略)是所有的ITPro一直以來很喜歡的一個(gè)東西，有一些人甚至利用IPSec就可以達(dá)到使用防火墻的目的，因此就這一點(diǎn)與IPSec的整合上來看Windows Vista中的防火墻在某種層面上就足以超越其他第三方的軟件防火墻了，并且對于第三方的軟件防火墻來說最致命的就是它是完全免費(fèi)的，包含在Windows Vista的安裝光盤中，系統(tǒng)裝好了就有，又少了一筆開銷哦~呵呵，今天關(guān)于防火墻的話題還是要到這里就停一下了，我會在Windows Vista TecnView關(guān)于防火墻與IPSec的章節(jié)中詳細(xì)介紹，敬請期待哦。

Network Access Protection 網(wǎng)絡(luò)訪問保護(hù)

既然扯到了防火墻與IPSec，也就不得不引入NAP的話題了，在Windows Vista中內(nèi)建了NAP的客戶端，NAP是一種全新的內(nèi)部網(wǎng)絡(luò)針對從外往訪問接入的保護(hù)體系，在Windows Vista中只有它的客戶端，而服務(wù)端則是包含在Windows Longhorn Server(Code Name)中的，所以NAP是需要網(wǎng)絡(luò)中的Windows Longhorn Server(Code Name)來配置管理來運(yùn)行。NAP的工作主要是保護(hù)內(nèi)部網(wǎng)絡(luò)，它主要應(yīng)用在企業(yè)網(wǎng)絡(luò)環(huán)境中。比方說你下班或者出差的時(shí)候需要訪問公司網(wǎng)絡(luò)調(diào)用當(dāng)中的一些資源時(shí)，你向公司網(wǎng)絡(luò)發(fā)起訪問請求，這個(gè)時(shí)候首先會由NAP來對你的計(jì)算機(jī)做安全檢查，這些檢查包括你的電腦中是否有病毒、是否存在木馬、是否打了安全更新補(bǔ)丁、或者是別的安全規(guī)則是否已經(jīng)滿足，驗(yàn)證完這些以后確定你的電腦是安全的才會給你訪問內(nèi)部網(wǎng)絡(luò)的令牌，如果達(dá)不到安全要求則會將你防在隔離區(qū)域，然后非常詳細(xì)的列出是什么地方?jīng)]有達(dá)到要求，并且給出最快的解決方法，等到符合要求以后才會給你發(fā)放訪問令牌。而這些安全規(guī)則是可以由公司IT管理員來針對企業(yè)的要求作出自由詳細(xì)的設(shè)定。當(dāng)然對于普通在家使用電腦的用戶來說這個(gè)功能可能沒有多大的關(guān)系，所以只要了解一下下就好，如果想要了解NAP的朋友可以稍微等待幾天我會在不久發(fā)布Windows Vista TechView關(guān)于NAP的章節(jié)做詳細(xì)敘述，因?yàn)楝F(xiàn)階段NAP的所有功能還沒有完全開發(fā)出來，其關(guān)鍵部位還在Windows Server那邊做開發(fā)，所以這個(gè)章節(jié)可能需要等待一段時(shí)間我才會發(fā)布，這取決于我所掌握的資料詳盡程度。敬請關(guān)注。

User Account Control用戶帳戶控制

UAC可是Windows Vista在安全方面的重頭戲，盡管目前的版本還存在較大的爭議，但是它給我系統(tǒng)安全所帶來的作用依然不可小視，相信在最終發(fā)布時(shí)UAC將會以最符合用戶使用習(xí)慣的面貌來保護(hù)我們的計(jì)算機(jī)。

前面說到IE的時(shí)候我就已經(jīng)說過現(xiàn)在很多人在使用計(jì)算機(jī)的時(shí)候都喜歡用具有Admin權(quán)限的管理員身份帳戶登陸使用系統(tǒng)，這肯定是所有的安全專家都反對的行為，因?yàn)樗o我們的系統(tǒng)帶來了巨大的安全隱患，但是在Windows XP中如果用普通的User帳戶來使用的話將會面臨很多麻煩，比如安裝某個(gè)應(yīng)用程序就可能無法安裝，必須要我們注銷以后再用Admin登陸安裝或者使用Run As命令來實(shí)現(xiàn)，這對于普通用戶來說肯定是無法忍受的。所以寧愿冒著安全風(fēng)險(xiǎn)使用Admin來使用系統(tǒng)，正所謂魚和熊掌不可兼得一樣，安全和易用性也是不可兼得的，你要使系統(tǒng)很安全，那么易用性方面肯定就相對較差，如果你想要一個(gè)很容易使用的系統(tǒng)那么這個(gè)系統(tǒng)肯定存在很多的安全隱患。所以在Windows Vista中就引入了UAC這個(gè)機(jī)制，在這個(gè)機(jī)制下使用普通的User帳戶登陸系統(tǒng)時(shí)如果要安裝某個(gè)程序或者某個(gè)操作需要用到Admin權(quán)限的話系統(tǒng)將會自動識別出來并且彈出一個(gè)對話框告訴用戶這個(gè)操作需要用到管理員權(quán)限，并且會標(biāo)示出這個(gè)操作的發(fā)起源，用戶可以根據(jù)發(fā)起源的信息來判斷這個(gè)操作是否是自己所要做的，是的話就可以鍵入管理員的密碼來執(zhí)行這個(gè)操作。如果發(fā)現(xiàn)某個(gè)操作是來自一個(gè)未知的程序的話拒絕掉就好~這樣還可以達(dá)到阻止一些會悄悄在后臺自動安裝的莫名其妙的程序。而對于很多專業(yè)的計(jì)算機(jī)用戶來說可能更像避免這些麻煩，所以還是會使用管理員莊戶來登陸使用系統(tǒng)，不過在這個(gè)時(shí)候UAC還是還是會發(fā)揮作用哦~所以即使你使用的是管理員帳戶來登陸的系統(tǒng)，在運(yùn)行程序的時(shí)候系統(tǒng)依然只會分配給這些程序很有限的權(quán)限，只要使這些程序能正常運(yùn)作就可以了，當(dāng)某個(gè)程序或者操作會對系統(tǒng)的設(shè)置做更改的時(shí)候還是會彈出一個(gè)確認(rèn)對話框告訴用戶是否授權(quán)這項(xiàng)操作，只不過這個(gè)時(shí)候不再需要用鍵入管理員的密碼，還有當(dāng)某個(gè)程序或者操作請求的權(quán)限過大的時(shí)候還會出現(xiàn)傳說中的黑屏，也就是系統(tǒng)會暫停當(dāng)前所有的進(jìn)程，彈出一個(gè)對話框警告用戶是否授權(quán)這項(xiàng)操作。我想這一點(diǎn)就是目前UAC被人指責(zé)得最多的地方了，所以很多用戶在一裝完Windows Vista的時(shí)候第一件事情就是關(guān)閉UAC。對于這一點(diǎn)我真是很替微軟難過，UAC的確是非常好的東西，我也非常不建議大家關(guān)閉它，而且如果你受不了那些提示對話框的話完全可以在不關(guān)閉UAC的情況下讓那些對話框不再煩我們，我們只需要做一些小小的設(shè)置。至于怎么樣來實(shí)現(xiàn)我又要賣關(guān)子了~~哈哈不要打我哦~畢竟這一章只是概覽啊，我會在Windows Vista TechView關(guān)于UAC的章節(jié)中做更詳細(xì)的介紹，并且現(xiàn)在已經(jīng)確定下來UAC這一章將會是第三章，也就是說這個(gè)部分會很快和大家見面~~敬請期待哦。

Bitlocker Drive Encryption/ EFS Smartcard key storage/ RMS client

再來說說這個(gè)新的Bitlocker，這個(gè)組組件主要是在本地用軟硬結(jié)合的方式來保護(hù)我們硬盤上的數(shù)據(jù)的。現(xiàn)在電腦的丟失已經(jīng)是很常見的事情了吧，有時(shí)候連放在辦公室的電腦有有可能會被偷走就更不要說筆記本電腦和平板電腦了。而如果你的電腦中存放著很敏感的資料，例如你工作單位的一些機(jī)密、你的銀行賬戶等等這些如果被不懷好意的人拿到的話后果可能是致命的，不知道大家有沒有參加前兩天關(guān)于這個(gè)Bitlocker的Webcast，里面就提到幾個(gè)案例，因?yàn)榇娣胖舾匈Y料的筆記本被盜以后導(dǎo)致一個(gè)公司的商業(yè)機(jī)密泄露到了它的競爭對手手中而面臨倒閉，也有個(gè)人資料泄露以后導(dǎo)致隱私被公開或者受到要挾。而Windows XP的賬戶密碼是非常脆弱的，懂一點(diǎn)專業(yè)技術(shù)的人都能在幾分鐘之內(nèi)破解掉它，拿到計(jì)算機(jī)里面的數(shù)據(jù)，這種攻擊方法稱之為離線式攻擊，也就是攻擊者直接接觸你的電腦來實(shí)施入侵行為，所以如何保護(hù)我們硬盤中的數(shù)據(jù)特別是對筆記本電腦這類更容易丟失的電腦來說顯得尤為重要。Bitlocker也就是在這樣一種局面下誕生了，它采用了硬件和軟件相結(jié)合的方法來保護(hù)我們硬盤中的數(shù)據(jù)。啟用了Bitlocker 以后呢會生成兩個(gè)密鑰一個(gè)存放于引導(dǎo)分區(qū)中，另外一個(gè)存放在主板上的一個(gè)名叫TPM的芯片里，在計(jì)算機(jī)加電的時(shí)候首先是TPM最先加載，他會和引導(dǎo)區(qū)中的密鑰進(jìn)行對比驗(yàn)證，通過了以后才會加載BOIS完成計(jì)算機(jī)啟動過程，而如果這當(dāng)中任何一個(gè)不匹配的話，比如有對這個(gè)TPM芯片作了手腳，或者是把硬盤拆下來放到別的機(jī)器中。Windows Vista將會拒絕掉密鑰的釋放，系統(tǒng)將無法啟動。這個(gè)加密機(jī)制我可以毫不夸張地告訴大家，在各位的有生之年是它絕對是安全可靠的，不會被破解掉。當(dāng)然，對于一些可能存在的事情，比如主板壞啦，或者需要把磁盤移動到一臺新的計(jì)算機(jī)中的時(shí)候，Bitlocker也提供了恢復(fù)功能，就是在加密的時(shí)候Bitlocker會給出一個(gè)48位的恢復(fù)密鑰，要求用戶在做加密的時(shí)候一定要妥善的保管這個(gè)密鑰，否則當(dāng)遇到上面提到的這些情況時(shí)你將永遠(yuǎn)無法取回那塊硬盤中的資料了。

再說TPM芯片，這個(gè)東西是比較新的一種硬件芯片，在比較新的主板中已經(jīng)有了，我也在市場上看了一下，發(fā)現(xiàn)已經(jīng)有部分的主板和筆記本電腦都包含了這個(gè)芯片，但是包含著個(gè)芯片的臺式機(jī)主板還是比較少，但是在不久這種芯片將會得到普及。那么Bitlocker在沒有TPM芯片的電腦中就不能使用了嗎? 其實(shí)還是可以使用的，只需要一個(gè)USB Key就可以了，其實(shí)就是一個(gè)U盤，相信基本上都有這個(gè)東西吧~很方便的東西也很便宜。Vista完全可以用U盤來代替TPM芯片存放密鑰。所以說Bitlocker的使用還是比較靈活的，并且在使用的時(shí)候不會對系統(tǒng)性能產(chǎn)生影響。

但是Bitlocker只能加密系統(tǒng)分區(qū)也就是Windows Vista所在的分區(qū)，那么其他分區(qū)的數(shù)據(jù)難道就得不到保護(hù)了嗎??我們說其他分區(qū)的數(shù)據(jù)也是可以保護(hù)的，至于方法就是利用在Windows XP中就已經(jīng)存在EFS，這個(gè)是一種基于用戶賬戶的文件保護(hù)機(jī)制，也就是說它使用用戶的計(jì)算機(jī)帳戶對該用戶的數(shù)據(jù)進(jìn)行加密，在Windows XP的使用過EFS的用戶一定知道，EFS的加密是非常有效的，并且在使用的時(shí)候完全沒有任何的影響，用戶完全感覺不到它的存在，然而當(dāng)換一個(gè)用戶登錄操作系統(tǒng)想要訪問另一個(gè)賬戶的被加密的文檔時(shí)候肯定是不可能的，但是之所以這套加密機(jī)制在Windows XP中有如形同虛設(shè)的原因就是前面提到的，Windows XP的帳戶密碼可以在幾分鐘之內(nèi)被破解掉，因此EFS也就失去作用了，但是在Windows Vista中有Bitlocker來保護(hù)我們的系統(tǒng)分區(qū)，也就是等于保護(hù)了用戶賬戶，攻擊者在拿不到這些賬戶的時(shí)候是也就根本不可能拿到那些在其他分區(qū)中被EFS所保護(hù)的任何數(shù)據(jù)了。因此有了這套機(jī)制的保護(hù)，我們的硬盤就是被FBI拿到，他們拿硬盤中的數(shù)據(jù)也是沒有任何辦法的。

在上面標(biāo)題中我還寫了一個(gè)RMS client這是干什么的呢?這個(gè)RMS呢主要就是針對企業(yè)的一個(gè)文檔權(quán)限控制機(jī)制，他可以保護(hù)從電腦中發(fā)布出去的文件的安全，為什么這么說呢，是因?yàn)镽MS可以非常有效的控制一個(gè)文件的使用權(quán)限，比如我發(fā)了一個(gè)Word文檔到網(wǎng)絡(luò)中，那么RMS在這個(gè)時(shí)候就可以發(fā)揮作用了，我完全可以設(shè)置這個(gè)Word文檔可以被什么人打開閱讀、可以被什么人修改、什么人不能看也不能修改、什么人可以看幾次、什么人可以在什么時(shí)間看等等非常詳細(xì)的權(quán)限設(shè)置。這對于一個(gè)企業(yè)網(wǎng)絡(luò)來說是非常必要的。那么關(guān)于這部分的內(nèi)容還是就到這里暫停了哦~我會在Windows Vista TechView關(guān)于Bitlocker的章節(jié)中詳細(xì)的敘述，要期待哦~

最后還有一個(gè)東西，大家只需要了解就行。就是全新的加密架構(gòu)。

Windows Vista用新的加密基礎(chǔ)結(jié)構(gòu)代替了現(xiàn)有的CAPI 1.0 API。新的加密結(jié)構(gòu)可以允許客戶增加、替換系統(tǒng)中的加密算法，比如你甚至可以把SSL加密算法替換掉。可以在系統(tǒng)中加入自己開發(fā)的加密算法。這樣就解決一直來困擾很多國家政府機(jī)構(gòu)以及一些企業(yè)的憂慮，他們擔(dān)心使用美國的操作系統(tǒng)會對自己國家的安全構(gòu)成威脅，因?yàn)樗褂玫募用芩惴ㄊ敲绹碎_發(fā)出來的，而現(xiàn)在呢各個(gè)國家完全可以自行開發(fā)自己的加密算法加入到系統(tǒng)中來，并且刪掉原來的那些算法，這樣就完全解決了各國政府等對使用美國操作系統(tǒng)的安全顧慮。

到這里本章的內(nèi)容就已經(jīng)基本上寫完了，感謝大家抽出寶貴的時(shí)間來閱讀，從文中可以看到這個(gè)Windows Vista TechView系列文本可能會有非常多的章節(jié)，至于最終會有多還不是很確定，畢竟需要詳細(xì)描寫的東西太多了，Windows Vista的改變完全可以稱之為一場翻天覆地的革命，并且目前這個(gè)系統(tǒng)還沒有發(fā)布，今后根據(jù)市場、技術(shù)或者其他原因在最終發(fā)布上市的Windows Vista中可能有些地方會和現(xiàn)在有所不同，因此這個(gè)TechView最后會出現(xiàn)多少章節(jié)我自己也無法控制。最后還是希望大家能從中獲益，同時(shí)也非常感謝大家的閱讀。