確實，Vista里塞滿了新的安全特性——包括嵌入的防火墻，整合的反間諜軟件功能，BitLocker驅(qū)動加密以及UAC(用戶帳戶控制)——而這些特性最終將使用戶們大為獲益。對于企業(yè)用戶來說，他們需要的是跨平臺的功能，集中化的處理能力和絕對可靠的信賴程度，這些新的特性似乎只是一些修飾性的裝飾。無論對于企業(yè)還是個人，下面我們來深入研究一下Vista的安全特性。

　　BitLocker硬盤加密技術(shù)

　　eWEEK實驗室也對BitLocker對企業(yè)的潛在作用十分感興趣，由于它能加密所有系統(tǒng)驅(qū)動的內(nèi)容——操作系統(tǒng)和數(shù)據(jù)文件皆可。

　　BitLocker嘗試提供一種與最終用戶無縫接近的體驗。理想中，解密的密鑰儲存在主板中的芯片上，能夠在啟動時解密硬件驅(qū)動。管理員能夠?qū)itLocker進行配置，要求一個用戶進入的驗證碼，作為一個嵌入式的密鑰，一旦驅(qū)動被自動載入，它能夠防止數(shù)據(jù)竊取者通過從其它引導驅(qū)動進行的離線攻擊而不是一個在線的暴力式的攻擊。

　　打算使用BitLocker的企業(yè)需要從開始使用Vista就要有所準備：系統(tǒng)的硬件驅(qū)動需要以這樣一種方式進行劃分，引導管理和引導鏡像都需要儲存在獨立于操作系統(tǒng)、應用程序和數(shù)據(jù)文件之外的分區(qū)中。雖然通過現(xiàn)有的安裝項目有可能再分配一個分區(qū)，但這個過程并不是直接易懂的。同時，管理員需要確保計算機的BIOS做好了Vista的準備，同時，還需要有一個主板上的TPM(受信平臺管理)芯片，或能夠支持在預引導的情況下能訪問USB記憶棒。

　　然而，在目前Vista發(fā)展的早期階段，對于硬件制造商所提供的必要的支持水平仍然還是不可或缺。例如，雖然Vista的TPM驅(qū)動是不帶商標的，我們還是不能更新獲得這個驅(qū)動，以正確地安裝到我們的聯(lián)想ThinkPad T60上。我們需要對BIOS進行全新校訂的升級，接著人工地定位與安裝這個驅(qū)動。根據(jù)微軟的工程師所說，T60的TPM芯片不能描述出設(shè)備的身份，讓Vista得以識別，所以驅(qū)動才無法被自動安裝。

　　TPM芯片終于可用后，我們就能通過BitLocker的設(shè)置壓縮開始加密過程，它會要求我們在開始系統(tǒng)檢查之前儲存加密密鑰，以確保BitLocker能夠開始工作。這個壓縮會復引導機器，測試這個密鑰是否會被破解，接著就會開始對整個分區(qū)進行加密。

　　我們發(fā)現(xiàn)，實際上磁盤加密過程是很慢的，一個30GB的分區(qū)需要花費一個多小時的時間。此外，由于加密密鑰需要在一臺接一臺的機器上被創(chuàng)建，因此它就會花費大量的時間和管理員的精力來通過BitLocker啟用許多的筆記本電腦。

　　根據(jù)文件說明，管理員必須在開始進行一項BIOS升級時先關(guān)閉BitLocker以將分區(qū)解密。對BIOS所作的簡單更改可以在暫時禁用BitLocker的情況下完成，雖然我們發(fā)現(xiàn)一些更改——例如改變分區(qū)引導的順序，則不需要這個步驟。我們也確實注意到，當Vista安裝光盤仍在光驅(qū)中，我們就開始啟動我們測試的計算機時，我們不得不手動地輸入恢復性的密鑰來啟動系統(tǒng)，即使我們選擇不要通過光驅(qū)進行實際引導。

　　通過快速地改變一個組策略設(shè)置，我們也能夠利用BitLocker而不需要TPM芯片，只需要在啟動時將一個USB閃存盤插入計算機來提供解密密鑰。BIOS在啟動的過程中必須要能夠訪問到這個密鑰才能夠工作——一些我們無法在ThinkPad T60上實現(xiàn)的事卻能夠通過有著AMD Athlon 64 3500+的處理器和一塊Abit主板的定制的計算機來做到。

　　反間諜軟件和防火墻

　　Vista中還包括了Windows Defender的反間諜軟件程序。在之前的測試中，我們發(fā)現(xiàn)Windows Defender用于偵測、移除和阻止間諜軟件，還是可勝任的解決方案，但一些殘留還是會繼續(xù)留在Vista中。

　　Windows Defender也許能夠作為選用了其它公司的標準反病毒/反間諜軟件之后的第二條防線。因為它缺乏集中化的策略控制，身份監(jiān)控以及反饋能力，企業(yè)在許多的調(diào)校管理中，必須有其它合適的方案來提供必須的文件說明和控制手段。

　　通過活動目錄組策略，我們僅能夠控制Windows Defender的一些動作：我們可以禁用或啟用程序，啟用一些登錄規(guī)則，以及配置SpyNet的反饋特征。我們無法預定掃描，更改重要的升級檢查間隔時間，或是指明一些集中化反饋的形式。我們能夠啟用的應用僅是使用了Vista的計算機而不是合法的Windows版本，這樣就使得Windows Defender的安裝就像一個孤立的應用程序一樣。

　　隨時準備著提供企業(yè)級別的管理和反饋能力的是微軟的ForeFront Client Security套件。于2007年第二季度上市的ForeFront，其具備了反間諜軟件的Windows Defender同樣的能力，并有著OneCare同樣的反病毒引擎。目前ForeFront的測試版已開放下載。

　　Vista是第一個能夠提供整合了的雙向防火墻的操作系統(tǒng)，我們對此總體還是感覺滿意的。而Windows XP中的防火墻僅能夠阻擋輸入的網(wǎng)絡流量，Vista的防火墻卻可以監(jiān)控和阻止輸出的內(nèi)容，這樣就能夠防止為授權(quán)的內(nèi)容從已安裝的應用程序中流出。

　　現(xiàn)在你能夠?qū)ο騼?nèi)和向外的連接都進行保護

　　基本的Windows防火墻設(shè)置的配置面板看上去與XP中的防火墻配置面板相似，雖然有一個用來阻止所有輸入的設(shè)置的新的按鈕替換了過去用來禁止策略異常的功能。

　　細看下去，策略異常的頁面看起來非常像XP的重復的部分，但ICMC協(xié)議(Internet Control Message Protocol)的減免規(guī)則卻明顯的不見了。這些減免策略，伴隨著用于輸出內(nèi)容的策略控制，現(xiàn)在都存在于一個新的基于MMC(微軟管理控制臺)的配置下，名叫改進安全性的Windows防火墻。

　　盡管我們認為整個整合了的防火墻工具還是具有很高的功能性，但對于那些在可預見的未來中還必須繼續(xù)支持合法Windows操作系統(tǒng)的大企業(yè)來說，我們?nèi)詰岩伤欠裼凶銐虻奈Α榱四軌蚴构芾砗唵位粋€已經(jīng)為他們基于XP的工作平臺用第三方的防火墻標準化了的阻止，將會十分不情愿再特別地去部署和管理Vista的Windows防火墻。相反，他們很可能避開這個第三方的Vista防火墻，無論它什么時候是可用的。

　　用戶帳戶控制

　　Vista的UAC是微軟第一次嘗試開發(fā)讓用戶以限制的本地權(quán)限來運行的操作系統(tǒng)，而不是通過管理員身份的證明。

　　核心的管理員能夠指定兩種UAC模式：用戶能夠被禁止享有管理員所有的功能的權(quán)限，例如安裝軟件以及改變系統(tǒng)設(shè)置，或是他們能夠在一個安全的界面中，無論管理員的行為什么時候發(fā)生，他們都能收到警示。

　　運行后一種模式，UAC會產(chǎn)生許多的警示信息，足以使用戶對那些信息內(nèi)容感到麻木，只是機械地點擊“Yes”，“Yes”，“Yes”。IT經(jīng)理們將其看作是類似XP或Windows 2000這樣的系統(tǒng)下LUA(最低用戶權(quán)限)的情況，因此他們很可能不會讓他們的用戶蒙受這樣的遭遇，而會以第一種模式所描述的方式運行UAC。

　　微軟對UAC所作的構(gòu)想上的飛躍我們還是感到欣喜的，它意識到用戶應該不會時時刻刻都以管理員的權(quán)限在運行系統(tǒng)。但UAC所能提供的這些標準，是IT部門很早前就應該會棄用的，也確實希望不去使用的。