提升安全等级WinVista的安全特性研究

BitLocker尝试提供一种与最终用户无缝接近的体验。理想中，解密的密钥储存在主板中的芯片上，能够在启动时解密硬件驱动。管理员能够对BitLocker进行配置，要求一个用户进入的验证码，作为一个嵌入式的密钥，一旦驱动被自动载入，它能够防止数据窃取者通过从其它引导驱动进行的离线攻击而不是一个在线的暴力式的攻击。

打算使用BitLocker的企业需要从开始使用Vista就要有所准备：系统的硬件驱动需要以这样一种方式进行划分，引导管理和引导镜像都需要储存在独立于操作系统、应用程序和数据文件之外的分区中。虽然通过现有的安装项目有可能再分配一个分区，但这个过程并不是直接易懂的。同时，管理员需要确保计算机的BIOS做好了Vista的准备，同时，还需要有一个主板上的TPM（受信平台管理）芯片，或能够支持在预引导的情况下能访问USB记忆棒。

然而，在目前Vista发展的早期阶段，对于硬件制造商所提供的必要的支持水平仍然还是不可或缺。例如，虽然Vista的TPM驱动是不带商标的，我们还是不能更新获得这个驱动，以正确地安装到我们的联想ThinkPad T60上。我们需要对BIOS进行全新校订的升级，接着人工地定位与安装这个驱动。根据微软的工程师所说，T60的TPM芯片不能描述出设备的身份，让Vista得以识别，所以驱动才无法被自动安装。

TPM芯片终于可用后，我们就能通过BitLocker的设置压缩开始加密过程，它会要求我们在开始系统检查之前储存加密密钥，以确保BitLocker能够开始工作。这个压缩会复引导机器，测试这个密钥是否会被破解，接着就会开始对整个分区进行加密。

我们发现，实际上磁盘加密过程是很慢的，一个30GB的分区需要花费一个多小时的时间。此外，由于加密密钥需要在一台接一台的机器上被创建，因此它就会花费大量的时间和管理员的精力来通过BitLocker启用许多的笔记本电脑。

根据文件说明，管理员必须在开始进行一项BIOS升级时先关闭BitLocker以将分区解密。对BIOS所作的简单更改可以在暂时禁用BitLocker的情况下完成，虽然我们发现一些更改——例如改变分区引导的顺序，则不需要这个步骤。我们也确实注意到，当Vista安装光盘仍在光驱中，我们就开始启动我们测试的计算机时，我们不得不手动地输入恢复性的密钥来启动系统，即使我们选择不要通过光驱进行实际引导。

通过快速地改变一个组策略设置，我们也能够利用BitLocker而不需要TPM芯片，只需要在启动时将一个USB闪存盘插入计算机来提供解密密钥。BIOS在启动的过程中必须要能够访问到这个密钥才能够工作——一些我们无法在ThinkPad T60上实现的事却能够通过有着AMD Athlon 64 3500 的处理器和一块Abit主板的定制的计算机来做到。

反间谍软件和防火墙

Vista中还包括了Windows Defender的反间谍软件程序。在之前的测试中，我们发现Windows Defender用于侦测、移除和阻止间谍软件，还是可胜任的解决方案，但一些残留还是会继续留在Vista中。

Windows Defender也许能够作为选用了其它公司的标准反病毒/反间谍软件之后的第二条防线。因为它缺乏集中化的策略控制，身份监控以及反馈能力，企业在许多的调校管理中，必须有其它合适的方案来提供必须的文件说明和控制手段。

通过活动目录组策略，我们仅能够控制Windows Defender的一些动作：我们可以禁用或启用程序，启用一些登录规则，以及配置SpyNet的反馈特征。我们无法预定扫描，更改重要的升级检查间隔时间，或是指明一些集中化反馈的形式。我们能够启用的应用仅是使用了Vista的计算机而不是合法的Windows版本，这样就使得Windows Defender的安装就像一个孤立的应用程序一样。

随时准备着提供企业级别的管理和反馈能力的是微软的ForeFront Client Security套件。于2007年第二季度上市的ForeFront，其具备了反间谍软件的Windows Defender同样的能力，并有着OneCare同样的反病毒引擎。目前ForeFront的测试版已开放下载。

Vista是第一个能够提供整合了的双向防火墙的操作系统，我们对此总体还是感觉满意的。而Windows XP中的防火墙仅能够阻挡输入的网络流量，Vista的防火墙却可以监控和阻止输出的内容，这样就能够防止为授权的内容从已安装的应用程序中流出。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有