Vista新增安全工具介绍
确实,Vista里塞满了新的安全特性——包括嵌入的防火墙,整合的反间谍软件功能,BitLocker驱动加密以及UAC(用户帐户控制)——而这些特性最终将使用户们大为获益。对于企业用户来说,他们需要的是跨平台的功能,集中化的处理能力和绝对可靠的信赖程度,这些新的特性似乎只是一些修饰性的装饰。无论对于企业还是个人,下面我们来深入研究一下Vista的安全特性。
BitLocker硬盘加密技术
eWEEK实验室也对BitLocker对企业的潜在作用十分感兴趣,由于它能加密所有系统驱动的内容——操作系统和数据文件皆可。
BitLocker尝试提供一种与最终用户无缝接近的体验。理想中,解密的密钥储存在主板中的芯片上,能够在启动时解密硬件驱动。管理员能够对BitLocker进行配置,要求一个用户进入的验证码,作为一个嵌入式的密钥,一旦驱动被自动载入,它能够防止数据窃取者通过从其它引导驱动进行的离线攻击而不是一个在线的暴力式的攻击。
打算使用BitLocker的企业需要从开始使用Vista就要有所准备:系统的硬件驱动需要以这样一种方式进行划分,引导管理和引导镜像都需要储存在独立于操作系统、应用程序和数据文件之外的分区中。虽然通过现有的安装项目有可能再分配一个分区,但这个过程并不是直接易懂的。同时,管理员需要确保计算机的BIOS做好了Vista的准备,同时,还需要有一个主板上的TPM(受信平台管理)芯片,或能够支持在预引导的情况下能访问USB记忆棒。
然而,在目前Vista发展的早期阶段,对于硬件制造商所提供的必要的支持水平仍然还是不可或缺。例如,虽然Vista的TPM驱动是不带商标的,我们还是不能更新获得这个驱动,以正确地安装到我们的联想ThinkPad T60上。我们需要对BIOS进行全新校订的升级,接着人工地定位与安装这个驱动。根据微软的工程师所说,T60的TPM芯片不能描述出设备的身份,让Vista得以识别,所以驱动才无法被自动安装。
TPM芯片终于可用后,我们就能通过BitLocker的设置压缩开始加密过程,它会要求我们在开始系统检查之前储存加密密钥,以确保BitLocker能够开始工作。这个压缩会复引导机器,测试这个密钥是否会被破解,接着就会开始对整个分区进行加密。
我们发现,实际上磁盘加密过程是很慢的,一个30GB的分区需要花费一个多小时的时间。此外,由于加密密钥需要在一台接一台的机器上被创建,因此它就会花费大量的时间和管理员的精力来通过BitLocker启用许多的笔记本电脑。
根据文件说明,管理员必须在开始进行一项BIOS升级时先关闭BitLocker以将分区解密。对BIOS所作的简单更改可以在暂时禁用BitLocker的情况下完成,虽然我们发现一些更改——例如改变分区引导的顺序,则不需要这个步骤。我们也确实注意到,当Vista安装光盘仍在光驱中,我们就开始启动我们测试的计算机时,我们不得不手动地输入恢复性的密钥来启动系统,即使我们选择不要通过光驱进行实际引导。
通过快速地改变一个组策略设置,我们也能够利用BitLocker而不需要TPM芯片,只需要在启动时将一个USB闪存盘插入计算机来提供解密密钥。BIOS在启动的过程中必须要能够访问到这个密钥才能够工作——一些我们无法在ThinkPad T60上实现的事却能够通过有着AMD Athlon 64 3500+的处理器和一块Abit主板的定制的计算机来做到。
反间谍软件和防火墙
Vista中还包括了Windows Defender的反间谍软件程序。在之前的测试中,我们发现Windows Defender用于侦测、移除和阻止间谍软件,还是可胜任的解决方案,但一些残留还是会继续留在Vista中。
Windows Defender也许能够作为选用了其它公司的标准反病毒/反间谍软件之后的第二条防线。因为它缺乏集中化的策略控制,身份监控以及反馈能力,企业在许多的调校管理中,必须有其它合适的方案来提供必须的文件说明和控制手段。
通过活动目录组策略,我们仅能够控制Windows Defender的一些动作:我们可以禁用或启用程序,启用一些登录规则,以及配置SpyNet的反馈特征。我们无法预定扫描,更改重要的升级检查间隔时间,或是指明一些集中化反馈的形式。我们能够启用的应用仅是使用了Vista的计算机而不是合法的Windows版本,这样就使得Windows Defender的安装就像一个孤立的应用程序一样。
随时准备着提供企业级别的管理和反馈能力的是微软的ForeFront Client Security套件。于2007年第二季度上市的ForeFront,其具备了反间谍软件的Windows Defender同样的能力,并有着OneCare同样的反病毒引擎。目前ForeFront的测试版已开放下载。
Vista是第一个能够提供整合了的双向防火墙的操作系统,我们对此总体还是感觉满意的。而Windows XP中的防火墙仅能够阻挡输入的网络流量,Vista的防火墙却可以监控和阻止输出的内容,这样就能够防止为授权的内容从已安装的应用程序中流出。
现在你能够对向内和向外的连接都进行保护
基本的Windows防火墙设置的配置面板看上去与XP中的防火墙配置面板相似,虽然有一个用来阻止所有输入的设置的新的按钮替换了过去用来禁止策略异常的功能。
细看下去,策略异常的页面看起来非常像XP的重复的部分,但ICMC协议(Internet Control Message Protocol)的减免规则却明显的不见了。这些减免策略,伴随着用于输出内容的策略控制,现在都存在于一个新的基于MMC(微软管理控制台)的配置下,名叫改进安全性的Windows防火墙。
尽管我们认为整个整合了的防火墙工具还是具有很高的功能性,但对于那些在可预见的未来中还必须继续支持合法Windows操作系统的大企业来说,我们仍怀疑它是否有足够的吸引力。为了能够使管理简单化,一个已经为他们基于XP的工作平台用第三方的防火墙标准化了的阻止,将会十分不情愿再特别地去部署和管理Vista的Windows防火墙。相反,他们很可能避开这个第三方的Vista防火墙,无论它什么时候是可用的。
用户帐户控制
Vista的UAC是微软第一次尝试开发让用户以限制的本地权限来运行的操作系统,而不是通过管理员身份的证明。
核心的管理员能够指定两种UAC模式:用户能够被禁止享有管理员所有的功能的权限,例如安装软件以及改变系统设置,或是他们能够在一个安全的界面中,无论管理员的行为什么时候发生,他们都能收到警示。
运行后一种模式,UAC会产生许多的警示信息,足以使用户对那些信息内容感到麻木,只是机械地点击“Yes”,“Yes”,“Yes”。IT经理们将其看作是类似XP或Windows 2000这样的系统下LUA(最低用户权限)的情况,因此他们很可能不会让他们的用户蒙受这样的遭遇,而会以第一种模式所描述的方式运行UAC。
微软对UAC所作的构想上的飞跃我们还是感到欣喜的,它意识到用户应该不会时时刻刻都以管理员的权限在运行系统。但UAC所能提供的这些标准,是IT部门很早前就应该会弃用的,也确实希望不去使用的。