提到系統的安全特性，我個人認為這應該是Windows Vista最大的亮點了。它相比之前Windows xp來說可謂是一個飛躍。現在我們就從幾個主要的方面一一闡述這些安全方面的新特性。

　　在Windows Vista進入開發的時候就已經與以前的系統有很大的不同了，在這一整個的開發過程微軟始終是把“安全”放在最高的位置上來進行的，Windows Vista的開發引入了Security Development Lifecycl(安全開發生命周期)這是一個從系統的設計一直到發布都始終貫穿其中的機制，它主要包括十一個流程。由于這個東西似乎和我們用戶的關系不是很大因此就不做過多的敘述了。

　　服務的強化升級，大家應該還記得當年惡貫滿盈的沖擊波吧，它就是通過攻擊系統 RPC服務的漏洞來攻擊我們計算機的。在以前的系統中服務在計算機中基本上都是處在絕對高位的地方來運作的，并且呢也沒有針對服務的限制機構來對各種各樣的服務進行管理，因此呢就很容易出現某個核心服務被一些惡意的程序利用進而對我們的計算機造成破壞。這個問題在Windows Vista中得到了解決，在Windows Vista中任何的系統關鍵服務都是不能做任何越權操作的，這樣如果有惡意程序想要利用一個系統的關鍵服務在我們的計算機中干壞事的話，它是絕對不可能得逞的。那么我們知道除了Windows的系統服務以外，一些我們需要用到的應用軟件也是會把自身的一部分安裝為一個服務來保證其可靠的運作。在以前的系統中，這些服務都是以LocalSystem這個賬戶運行的，在這樣的情況下我們系統是非常脆弱的，并且沒有辦法對這些第三方的服務進行有效的管理，嚴重的威脅到了系統的安全以及穩定性。而在Windows Vista中則完全改變了這樣的格局，首先引入了每個服務的安全標識符 (SID)。它啟用了每個服務的標識，該標識隨后又通過現有 Windows 訪問控制模型(包括使用訪問控制列表 (ACL) 的所有對象和資源管理器)啟用訪問控制分區。服務就可以顯示 ACL 應用于該服務專用的資源，從而可防止其他服務和用戶訪問這些資源。

　　然后現在服務不在回像以前一樣使用LocalSystem賬戶來運行，而是由專門的權限較低的LoaclService、NetworkService等這些賬戶來運行，這會降低服務的總體權限級別，就類似于“用戶帳戶保護”的機制。并且去除了服務中不必要的系統權限。另外在Windows Vista中第三方的程序要插入一個令牌到服務中已經被限制了，也就說沒有得到服務SID訪問的程序要想將它的令牌寫入服務中的話將會以失敗告終，這樣就可以徹底的保證在我們電腦中的每一個服務都是干凈的，這些服務不會再被一些惡意的程序所利用進而來對我們的系統實施破壞。最后更令人激動人心的一點就是基于每個服務都具有單獨且唯一的SID，這樣便可以利用Windows防火墻對每一個服務進行規則限制，這樣做的好處是顯而易見的，比方說一個存在一定安全風險的服務可能存在被網絡上其他的一些我們沒有授權的東西利用來侵入或者做一些我們不希望看到的事情的時候，你完全可以在防火墻中將這個服務的網絡訪問規則做一個限制，這一點我會在Windows Vista TechView關于防火墻的章節中做出詳細的敘述。

　　通過上面的簡要介紹我們可以看到，Windows Vista的服務強化升級可是使我們的系統時刻處在最安全的狀態，但是大家也要明白，只靠服務強化升級是不足以構成保護我們系統的安全體系的，它也需要和Windows Vista中的其他安全模塊協同運作，比如上面提到的Windows 防火墻。好了，這個今天就先說道這里畢竟著一章是概覽~我會在Windows Vista TechView關于系統服務的章節中做詳細敘述，敬請期待~。

　　Internet Explorer 7 保護模式

　　說道安全就不能不說一下目前網頁瀏覽所存在的安全隱患了，隨著互聯網的飛速發展，越來越多的Web應用已經走入了我們的生活，同時各種各樣的Web也是我們獲取信息的最重要途徑，但是林子大了什么鳥都有這句話似乎總是應驗在所有的事物上面。如今的互聯網處處充滿了陷阱與美麗的謊言。網頁惡意代碼，Web上面許多不懷好意的控件，欺詐我們財產的釣魚網站，等等這些已經對我們的電腦構成了嚴重的威脅，甚至是一場災難。每年因為網頁惡意代碼導致系統癱瘓，因為很多不請自來的控件在占用我們緊俏的系統資源做一些上帝都不知道的事情，因為被釣魚網站欺騙而只是我們信用卡中的數字呈指數級下降的案例已經不計其數。可能對于精通電腦的人來說可以更多減少這些威脅但是對于更多的普通用戶應該怎么面對這樣一個嚴峻的考驗呢?就是在這樣的時候Internet Explorer 7的保護模式被設計了出來，它能給我們怎樣的保護?我們接下來就大概的看一下吧。

　　IE7的保護模式是構建于Windows Vista的UAC也就用戶賬戶控制這個模塊上面的，在以前的IE以及系統中IE瀏覽網站時使用有的權限就是我們登陸系統時用的帳戶的所有權限，而大多數的用戶在使用Windows XP的時候都喜歡用具有Admin權限的管理員身份帳戶來使用系統，這個時候IE自然也就擁有了Admini的所有權限，因此呢網頁上那些惡意的代碼或者控件才有了可趁之機，拿著管理員的權限在我們的系統中為所欲為。那么在Windows Vista中這個情況將得到改變，IE在默認的情況下系統只會給他瀏覽網頁所必需的一些權限而不會給他管理員的權限，這些管理員權限對于網頁瀏覽器來說是多余的。

　　所以說在默認的情況下呢IE是不能修改用戶的文件或者對系統進行配置的，這樣即使我們訪問到一個含有惡意代碼或控件的網頁時這些代碼也會因為沒有足夠的權限而胎死腹中變得一無是處。然后便是釣魚網站，這些網站一般會偽裝成某個銀行或者某個網絡服務商的網頁，然后以種種借口欺騙用戶在這個頁面上面輸入自己的賬戶，從而達到竊取用戶財產的目的。因為受到這些釣魚網站欺騙造成財產損失的事情如今已是屢見不鮮，我認識的朋友中就有好幾個遭此不幸。解決一問題已經迫在眉睫，所以在IE7中就引入了專門針對這些網站的應對機制。第一、網頁仿冒的篩選，啟用這個功能以后，我們如果放到一些仿冒的釣魚網站的時候IE首先就會停止加載這個頁面，同時給出明確的警告，當然如果你確定你訪問的這個頁面是安全的那么就可以點擊繼續訪問。

　　看到這里可能很多人會問IE7是怎么知道某個站點是假冒的呢?其實這還要歸功于微軟龐大的資源，這些站點的關鍵字以及特征是被存放在微軟專門的一個服務器上面的，訪問網頁的時候IE7會先到這個服務器上查找，如果找到匹配的記錄那么IE7便會給出警告。這個服務器中的數據一般是幾分鐘就更新一次，其數據的主要來源是微軟放到網絡中的蜘蛛抓取還有用戶的舉報提交。前者就不用過多的解釋了，對于后者就是說我們如果發現某個站點可能是仿冒的用來欺騙我們的時候便可使用IE7的仿冒網頁提交功能將信息提交給微軟，微軟會對用戶提交的信息做進一步的核實，確定之后這個站點就會被立即添加進服務器中。這樣一來那些假冒的網頁就無處藏身了，但是很多人又有了很多的疑問。這樣每次打開一個網頁IE7就要連接到微軟的服務器作檢查一定會讓網頁訪問變得很慢吧;這個數據篩選的服務器是微軟的那么微軟肯定會把競爭對手的網頁也添加進取咯?等等，對于這些問題我自己也很關心~但是我在經過一段時間的使用后發現呢這個篩選基本上不會拖慢網頁開啟的速度，雖然的確有一些延遲但是用戶在使用的時候肯定是不容易察覺這一秒鐘以內的延遲的。

　　對于第二問題我也專門問了一位Windows 安全開發小組的主管，對方給我的答復是否定的，就是說微軟絕對不會把競爭對手的站點添加到這個服務器中，而且如果今后有必要的話將會有第三方監管機構介入近來，所以大家還是可以相信微軟的。那么說完這個大頭以后呢在來看一個細節部分，就是地址欄的顏色狀態反映和動態安全狀態欄。就是說呢比如我們在訪問一個采用SSL(安全套鏈字層)加密的站點時，地址欄會變成黃色的，提醒用戶現在的這個站點是被加密的，同時在地址欄右側會出現一個安全狀態欄，用戶可以通過這個狀態欄知道該站點目前的證書是否有效。

　　那么IE7方面今天就先說道這里，我會在Windows TechView關于IE7的章節中做更詳細的介紹。敬請期待哦!

　　Windows Defender 防間諜軟件

　　木馬!如今已經取代了病毒的老大地位，成為了用戶最擔心的東西。我的XX帳戶被盜啦~這句話現在隨處可見。而木馬能做的事情卻并非只是盜取一個XX帳戶那么簡單，它能竊取計算機中的資料;在企業網絡中如果某一臺計算機中了木馬，那么他很可能通過這臺計算機來入侵整個企業網絡，竊取商業機密;準黑客們也會通過對別的計算機安插木馬來做跳板實施他墮落的某個計劃。由此來看木馬無疑又是一個嚴重威脅到我們計算機安全的東西。另外還有一種稱作Malware的東西，這些東西總是后臺運行在計算機當中，嚴重的降低了系統性能，使系統變得遲鈍，并且令我們的系統千瘡百孔。現在有很多的反病毒廠商都推出了專門針對木馬和這些間諜軟件的工具或者附加模塊。

　　Windows Vista中也已經加入了這個新的成員，Windows Defender。它的工作就是發現并清除我們計算機中的這些壞家伙。并且Windows Defender是免費的，它包含在Windows Vista的安裝光盤中，所以不需要用戶另外花錢購買，這一點我覺得很好，又少了一筆開銷，呵呵。具體的今天就不談了，我會在Windows Vista TechView關于Windows Defender的章節中做詳細的介紹。敬請期待哦。

　　ipSec/Firewall Integration

　　在Windows Vista中另一個重大的改變就是防火墻這個部分，我們知道在Windows XP中呢已經加入了Windows 防火墻這個組件，但是相信真正用的人不多，大部分用戶包括我肯定是購買第三方的防火墻來用，比如我就用的是McAfee的墻，具體的原因恐怕就是Windows XP中的防火墻簡陋得可怕，有時候甚至懷疑它是否能真正發揮作用。并且你根本不要想對它做深入的設置，這一點就是我不用它的理由了。

　　現在Windows Vista中的防火墻終于是飛黃騰達了，它有了非常完美的控制臺，這個控制臺是基于GP的也就是組策略，因此不僅是對于單獨的電腦配置明確簡單，對于一個管理多臺計算機的管理員來說也更容易管理。今天就先賣個關子~我會在Windows Vista TechView關于組策略的章節中詳細的介紹它~要期待哦。 還有呢就是Windows Vista中的防火墻已經可以實現通信的雙向控制了，也就是說你不僅可以控制連入電腦的訪問，也可以控制流出的數據，這在很多第三方的防火墻中都是可以實現的，它的好處也是很顯而易見的。還有最大的亮點便是IPSec的整合了，IPSec(IP安全策略)是所有的ITPRo一直以來很喜歡的一個東西，有一些人甚至利用IPSec就可以達到使用防火墻的目的，因此就這一點與IPSec的整合上來看Windows Vista中的防火墻在某種層面上就足以超越其他第三方的軟件防火墻了，并且對于第三方的軟件防火墻來說最致命的就是它是完全免費的，包含在Windows Vista的安裝光盤中，系統裝好了就有，又少了一筆開銷哦~呵呵，今天關于防火墻的話題還是要到這里就停一下了，我會在Windows Vista TecnView關于防火墻與IPSec的章節中詳細介紹，敬請期待哦。

　　Network access Protection 網絡訪問保護

　　既然扯到了防火墻與IPSec，也就不得不引入NAP的話題了，在Windows Vista中內建了NAP的客戶端，NAP是一種全新的內部網絡針對從外往訪問接入的保護體系，在Windows Vista中只有它的客戶端，而服務端則是包含在Windows Longhorn Server(Code Name)中的，所以NAP是需要網絡中的Windows Longhorn Server(Code Name)來配置管理來運行。NAP的工作主要是保護內部網絡，它主要應用在企業網絡環境中。比方說你下班或者出差的時候需要訪問公司網絡調用當中的一些資源時，你向公司網絡發起訪問請求，這個時候首先會由NAP來對你的計算機做安全檢查，這些檢查包括你的電腦中是否有病毒、是否存在木馬、是否打了安全更新補丁、或者是別的安全規則是否已經滿足，驗證完這些以后確定你的電腦是安全的才會給你訪問內部網絡的令牌，如果達不到安全要求則會將你防在隔離區域，然后非常詳細的列出是什么地方沒有達到要求，并且給出最快的解決方法，等到符合要求以后才會給你發放訪問令牌。而這些安全規則是可以由公司IT管理員來針對企業的要求作出自由詳細的設定。當然對于普通在家使用電腦的用戶來說這個功能可能沒有多大的關系，所以只要了解一下下就好，如果想要了解NAP的朋友可以稍微等待幾天我會在不久發布Windows Vista TechView關于NAP的章節做詳細敘述，因為現階段NAP的所有功能還沒有完全開發出來，其關鍵部位還在Windows Server那邊做開發，所以這個章節可能需要等待一段時間我才會發布，這取決于我所掌握的資料詳盡程度。敬請關注。

　　User Account Control用戶帳戶控制

　　UAC可是Windows Vista在安全方面的重頭戲，盡管目前的版本還存在較大的爭議，但是它給我系統安全所帶來的作用依然不可小視，相信在最終發布時UAC將會以最符合用戶使用習慣的面貌來保護我們的計算機。

　　前面說到IE的時候我就已經說過現在很多人在使用計算機的時候都喜歡用具有Admin權限的管理員身份帳戶登陸使用系統，這肯定是所有的安全專家都反對的行為，因為它給我們的系統帶來了巨大的安全隱患，但是在Windows XP中如果用普通的User帳戶來使用的話將會面臨很多麻煩，比如安裝某個應用程序就可能無法安裝，必須要我們注銷以后再用Admin登陸安裝或者使用Run As命令來實現，這對于普通用戶來說肯定是無法忍受的。所以寧愿冒著安全風險使用Admin來使用系統，正所謂魚和熊掌不可兼得一樣，安全和易用性也是不可兼得的，你要使系統很安全，那么易用性方面肯定就相對較差，如果你想要一個很容易使用的系統那么這個系統肯定存在很多的安全隱患。所以在Windows Vista中就引入了UAC這個機制，在這個機制下使用普通的User帳戶登陸系統時如果要安裝某個程序或者某個操作需要用到Admin權限的話系統將會自動識別出來并且彈出一個對話框告訴用戶這個操作需要用到管理員權限，并且會標示出這個操作的發起源，用戶可以根據發起源的信息來判斷這個操作是否是自己所要做的，是的話就可以鍵入管理員的密碼來執行這個操作。如果發現某個操作是來自一個未知的程序的話拒絕掉就好~這樣還可以達到阻止一些會悄悄在后臺自動安裝的莫名其妙的程序。而對于很多專業的計算機用戶來說可能更像避免這些麻煩，所以還是會使用管理員莊戶來登陸使用系統，不過在這個時候UAC還是還是會發揮作用哦~所以即使你使用的是管理員帳戶來登陸的系統，在運行程序的時候系統依然只會分配給這些程序很有限的權限，只要使這些程序能正常運作就可以了，當某個程序或者操作會對系統的設置做更改的時候還是會彈出一個確認對話框告訴用戶是否授權這項操作，只不過這個時候不再需要用鍵入管理員的密碼，還有當某個程序或者操作請求的權限過大的時候還會出現傳說中的黑屏，也就是系統會暫停當前所有的進程，彈出一個對話框警告用戶是否授權這項操作。我想這一點就是目前UAC被人指責得最多的地方了，所以很多用戶在一裝完Windows Vista的時候第一件事情就是關閉UAC。對于這一點我真是很替微軟難過，UAC的確是非常好的東西，我也非常不建議大家關閉它，而且如果你受不了那些提示對話框的話完全可以在不關閉UAC的情況下讓那些對話框不再煩我們，我們只需要做一些小小的設置。至于怎么樣來實現我又要賣關子了~~哈哈不要打我哦~畢竟這一章只是概覽啊，我會在Windows Vista TechView關于UAC的章節中做更詳細的介紹，并且現在已經確定下來UAC這一章將會是第三章，也就是說這個部分會很快和大家見面~~敬請期待哦。

　　Bitlocker Drive Encryption/ EFS Smartcard key storage/ RMS client

　　再來說說這個新的Bitlocker，這個組組件主要是在本地用軟硬結合的方式來保護我們硬盤上的數據的。現在電腦的丟失已經是很常見的事情了吧，有時候連放在辦公室的電腦有有可能會被偷走就更不要說筆記本電腦和平板電腦了。而如果你的電腦中存放著很敏感的資料，例如你工作單位的一些機密、你的銀行賬戶等等這些如果被不懷好意的人拿到的話后果可能是致命的，不知道大家有沒有參加前兩天關于這個Bitlocker的Webcast，里面就提到幾個案例，因為存放著敏感資料的筆記本被盜以后導致一個公司的商業機密泄露到了它的競爭對手手中而面臨倒閉，也有個人資料泄露以后導致隱私被公開或者受到要挾。而Windows XP的賬戶密碼是非常脆弱的，懂一點專業技術的人都能在幾分鐘之內破解掉它，拿到計算機里面的數據，這種攻擊方法稱之為離線式攻擊，也就是攻擊者直接接觸你的電腦來實施入侵行為，所以如何保護我們硬盤中的數據特別是對筆記本電腦這類更容易丟失的電腦來說顯得尤為重要。Bitlocker也就是在這樣一種局面下誕生了，它采用了硬件和軟件相結合的方法來保護我們硬盤中的數據。啟用了Bitlocker 以后呢會生成兩個密鑰一個存放于引導分區中，另外一個存放在主板上的一個名叫TPM的芯片里，在計算機加電的時候首先是TPM最先加載，他會和引導區中的密鑰進行對比驗證，通過了以后才會加載BOIS完成計算機啟動過程，而如果這當中任何一個不匹配的話，比如有對這個TPM芯片作了手腳，或者是把硬盤拆下來放到別的機器中。Windows Vista將會拒絕掉密鑰的釋放，系統將無法啟動。這個加密機制我可以毫不夸張地告訴大家，在各位的有生之年是它絕對是安全可靠的，不會被破解掉。當然，對于一些可能存在的事情，比如主板壞啦，或者需要把磁盤移動到一臺新的計算機中的時候，Bitlocker也提供了恢復功能，就是在加密的時候Bitlocker會給出一個48位的恢復密鑰，要求用戶在做加密的時候一定要妥善的保管這個密鑰，否則當遇到上面提到的這些情況時你將永遠無法取回那塊硬盤中的資料了。

　　再說TPM芯片，這個東西是比較新的一種硬件芯片，在比較新的主板中已經有了，我也在市場上看了一下，發現已經有部分的主板和筆記本電腦都包含了這個芯片，但是包含著個芯片的臺式機主板還是比較少，但是在不久這種芯片將會得到普及。那么Bitlocker在沒有TPM芯片的電腦中就不能使用了嗎? 其實還是可以使用的，只需要一個USB Key就可以了，其實就是一個U盤，相信基本上都有這個東西吧~很方便的東西也很便宜。Vista完全可以用U盤來代替TPM芯片存放密鑰。所以說Bitlocker的使用還是比較靈活的，并且在使用的時候不會對系統性能產生影響。

　　但是Bitlocker只能加密系統分區也就是Windows Vista所在的分區，那么其他分區的數據難道就得不到保護了嗎??我們說其他分區的數據也是可以保護的，至于方法就是利用在Windows XP中就已經存在EFS，這個是一種基于用戶賬戶的文件保護機制，也就是說它使用用戶的計算機帳戶對該用戶的數據進行加密，在Windows XP的使用過EFS的用戶一定知道，EFS的加密是非常有效的，并且在使用的時候完全沒有任何的影響，用戶完全感覺不到它的存在，然而當換一個用戶登錄操作系統想要訪問另一個賬戶的被加密的文檔時候肯定是不可能的，但是之所以這套加密機制在Windows XP中有如形同虛設的原因就是前面提到的，Windows XP的帳戶密碼可以在幾分鐘之內被破解掉，因此EFS也就失去作用了，但是在Windows Vista中有Bitlocker來保護我們的系統分區，也就是等于保護了用戶賬戶，攻擊者在拿不到這些賬戶的時候是也就根本不可能拿到那些在其他分區中被EFS所保護的任何數據了。因此有了這套機制的保護，我們的硬盤就是被FBI拿到，他們拿硬盤中的數據也是沒有任何辦法的。

　　在上面標題中我還寫了一個RMS client這是干什么的呢?這個RMS呢主要就是針對企業的一個文檔權限控制機制，他可以保護從電腦中發布出去的文件的安全，為什么這么說呢，是因為RMS可以非常有效的控制一個文件的使用權限，比如我發了一個Word文檔到網絡中，那么RMS在這個時候就可以發揮作用了，我完全可以設置這個Word文檔可以被什么人打開閱讀、可以被什么人修改、什么人不能看也不能修改、什么人可以看幾次、什么人可以在什么時間看等等非常詳細的權限設置。這對于一個企業網絡來說是非常必要的。那么關于這部分的內容還是就到這里暫停了哦~我會在Windows Vista TechView關于Bitlocker的章節中詳細的敘述，要期待哦~

　　最后還有一個東西，大家只需要了解就行。就是全新的加密架構。

　　Windows Vista用新的加密基礎結構代替了現有的CAPI 1.0 API。新的加密結構可以允許客戶增加、替換系統中的加密算法，比如你甚至可以把SSL加密算法替換掉。可以在系統中加入自己開發的加密算法。這樣就解決一直來困擾很多國家政府機構以及一些企業的憂慮，他們擔心使用美國的操作系統會對自己國家的安全構成威脅，因為所使用的加密算法是美國人開發出來的，而現在呢各個國家完全可以自行開發自己的加密算法加入到系統中來，并且刪掉原來的那些算法，這樣就完全解決了各國政府等對使用美國操作系統的安全顧慮。

　　到這里本章的內容就已經基本上寫完了，感謝大家抽出寶貴的時間來閱讀，從文中可以看到這個Windows Vista TechView系列文本可能會有非常多的章節，至于最終會有多還不是很確定，畢竟需要詳細描寫的東西太多了，Windows Vista的改變完全可以稱之為一場翻天覆地的革命，并且目前這個系統還沒有發布，今后根據市場、技術或者其他原因在最終發布上市的Windows Vista中可能有些地方會和現在有所不同，因此這個TechView最后會出現多少章節我自己也無法控制。最后還是希望大家能從中獲益，同時也非常感謝大家的閱讀。