全新Vista系统安全新特性全面阐述

感受Vista安全性的巨大飞跃

说到系统的安全特性，我个人认为这应该是Windows Vista的亮点。与之前的Windows XP相比，是一个飞跃。现在，让我们从几个主要方面逐一解释这些新的安全特性。

Windows Vista进入开发时，与之前的系统有很大不同。在这整个开发过程中，微软始终把“安全”放在正确的位置。Windows Vista的开发引入了安全开发生命周期(security development life cycle)，这是一个贯穿系统从设计到发布的机制，它主要包括十一个过程。由于这个东西似乎和我们用户没有太大关系，我就不做过多描述了。

你应该还记得当年邪恶的冲击波，它通过攻击系统中Rpc服务的漏洞来攻击我们的电脑。在以前的系统中，服务基本上都是在计算机中以绝对高的级别运行，没有对服务的约束机制来管理各种服务，所以很容易有一些核心服务被一些恶意程序利用，对我们的计算机造成损害。

这个问题在Windows Vista中已经解决。在Windows Vista中，任何系统关键服务都不能做任何越权的事情，所以如果恶意程序想利用系统关键服务在我们的电脑中做坏事，那是绝对不会得逞的。那么我们知道，除了Windows的系统服务之外，我们需要的一些应用软件也会安装自己的一部分作为服务来保证其可靠运行。

在以前的系统中，这些服务都是在LocalSystem的帐户下运行的。在这样的情况下，我们的系统非常脆弱，没有办法对这些第三方服务进行有效的管理，严重威胁了系统的安全和稳定。然而在Windows Vista中，这种情况被彻底改变了。首先，介绍每个服务的安全标识符(SID)。

它支持每个服务的身份，进而通过现有的Windows访问控制模型(包括使用访问控制列表(ACL)的所有对象和资源管理器)支持访问控制分区。该服务可以显示ACL被应用于专用于该服务的资源，从而阻止其他服务和用户访问这些资源。

防火墙的人性化新功能

现在服务不再像以前那样使用LocalSystem帐户，而是由权限较低的特殊帐户运行，如LoaclService和NetworkService，这样会降低服务的整体权限级别，就像“用户帐户保护”的机制一样。并删除服务中不必要的系统权限。

此外，在Windows Vista中，第三方程序已经被限制在服务中插入令牌，这意味着没有被服务SID访问过的程序将无法将其令牌写入服务，从而完全确保我们电脑中的每一项服务都是干净的，这些服务不会被一些恶意程序用来实际破坏我们的系统。

最后，更令人兴奋的一点是，每个服务都有一个单独的SID，因此可以使用Windows防火墙来限制每个服务。这样做的好处显而易见。比如当一个具有一定安全风险的服务可能被网络上其他我们不授权的东西入侵或者做出我们不希望看到的事情时，你可以在防火墙中完全限制这个服务的网络访问规则，这个我会在Windows Vista TechView中关于防火墙的章节中详细介绍。

通过上面的简单介绍，我们可以看到Windows Vista的服务增强升级可以让我们的系统始终处于最安全的状态，但是我们也要明白，单靠服务增强升级并不足以形成一个安全体系来保护我们的系统，它还需要与Windows Vista中的其他安全模块配合，比如上面提到的Windows防火墙。