WindowsVista遭受的十大安全误解真相

Windows Vista明显提高了对黑客和恶意入侵者的保护。毫无疑问，它是迄今为止最安全的微软操作系统。通过用户帐户控制(UAC)、BitLocker驱动器加密、文件/注册表虚拟化、强制完整性控制(MIC)和IE浏览器保护模式等功能，您可以在系统级别或更精细的级别加强Vista的安全性。

然而，由于Vista安全配置的复杂性，人们对Vista的一些安全功能和推荐配置感到困惑。让我们来看看关于Vista安全的十大误区，并给出正确的理解。

1.默认情况下将禁用管理员帐户？

通常情况下，Vista会默认禁用administrator帐户，但有一个前提:administrator组中有其他活动的已定义成员。更准确地说，如果Vista检测到其他已启用的管理员帐户，它将通过禁用真正的管理员帐户来尽量减少管理员帐户的数量。新安装Vista时，第一个新帐户会被添加到administrators组中，就像在windows xp和windows 2000中一样，但后面添加的用户不会。一旦添加了第二个管理员帐户，Vista将禁用真正的管理员帐户。

请务必注意，默认情况下禁用的管理员帐户没有密码。您应该为管理员帐户设置复杂的密码，即使它已被禁用。如果您想要启用已禁用的管理员帐户，请先设置密码，然后您可以启用该帐户。

2.Vista中只有四个强制完整性控制级别？

完整性控制(MIC)是Vista安全体系结构中的一种新的检测机制。Vista中的所有安全对象和进程都有一个完整性级别，低完整性级别(IL)的进程不能修改高完整性级别的文件或注册表项。强制性完整性控制(MIC)有四个主要级别:

低(低)

中等(中等)

高(高)

系统(系统)

大多数用户，包括administrators组中没有特权的成员，都在中等级别运行。以下是一些其他级别的设置方式。

内核级的Windows文件在系统完整性级别运行。

用户级代码(如Windows资源管理器和任务管理器)以中等完整级别运行。

真正的管理员或具有提升权限的系统管理员组的成员在高完整性级别运行。

保护模式下的IE浏览器运行在低完整性级别。

如果对象或资源没有显式设置的完整性级别，则它具有中等完整性级别。

建立强制完整性控制的主要目的是使一般用户、程序和IE保护模式下下载的内容难以修改系统文件。因此，即使用户可能是系统管理员组的成员，或者即使恶意软件设法突破了IE的主要安全防御，他们也很难修改Windows系统文件。

除了以上四个级别，至少还有两个人知道相对较少的强制完整性级别:不可信级别和受保护进程级别。不可信完整性可能是最低级别的强制完整性，设置为匿名空连接会话。保护过程可能是级别的强制完整性级别，只有在系统需要时才会使用。

可能你只有在做研究或者故障排除的时候才会遇到这些强制的完整性级别。你可以认为，恶意黑客会试图获得一个保护进程强制完整性级别的权限，这样Windows就很容易被攻破。

3.用户帐户控制(UAC)减少了需要管理员的次数？

Vista用户需要获得提升的权限才能完成系统任务，例如安装软件、更新内核驱动程序等。Vista也有一些新功能，需要更少的管理帐户，但用户帐户控制(UAC)不是其中之一。

用户控制(UAC)明确要求希望完成管理任务的用户提升本地组(如管理员组或备份操作员组)的成员资格。帐户控制(UAC)的存在并没有减少对管理用户的需求。在执行非管理任务(如电子邮件或网页浏览)时，它为属于提升权限组的用户提供了额外的保护。

当特权用户(但不是真正的管理员)登录时，用户帐户控制(UAC)设置两个访问安全令牌，也称为“分割令牌”。在用户通过用户帐户控制(UAC)提升访问权限之前，标准系统管理员组的成员安全令牌不可用。否则，Vista会对用户的安全令牌采取以下措施:

Vista删除了通常设置给管理员组成员的9个提升权限。

用户的强制完整性级别从高级降级为中级。

指定仅拒绝安全标识符(仅拒绝SID)

将出现用户帐户控制(UAC)同意提示窗口。

应用文件和注册虚拟化

当用户升级他们的会话时，这些额外的限制将被删除。但是，Vista需要管理员帐户来完成许多常见的系统任务。用户帐户控制可以通过在不明确需要时删除提升的权限来保护系统和用户。这样，管理帐户在浏览网页或打开恶意电子邮件时就不必担心其提升的安全权限被使用。

在其他方面，Vista确实减少了必要的管理员数量。首先，Vista不再需要管理员权限来完成许多常见的系统任务，例如查看或修改时区、配置无线网络、修改电源管理设置、创建和配置虚拟专用网络(VPN)连接以及安装关键的Windows更新。

其次，Vista允许管理员定义非管理员帐户可以安装的驱动程序、设备和ActiveX控件。例如，你可以要求你的用户安装打印机、网卡、USB设备和VPN软件。

第三，对于基本的网络重新配置任务，您可以将非管理员用户添加到网络配置操作组。该组中的用户可以释放IP地址、清除空DNS缓存以及完成其他常见的网络任务。还有许多其他方法可以减少您需要管理员权限的次数。UAC不在其中。