虽然Windows XP在相当长的时间里是微软的首选桌面操作系统,这个记录至今无法超越,但它同时也给软件巨头带来了非常痛苦的经历。Windows XP充满了安全漏洞,极易受到黑客和病毒的感染而陷于瘫痪。当微软开发Windows Vista的时候,其首要目标就是解决所有这些长期困扰Windows XP的安全问题。
虽然Windows Vista的安全性远远高于Windows XP,即便是运行在一个开箱即用(out of the box)的配置上也是如此,但是为了能使Vista发挥最大的功效,你也需要知道如何使用它的一些新的安全功能。下面,我们就介绍几个有关Vista安全性的技巧,可以帮助你打造一个真正安全的Vista平台。
1. 使用网络访问保护NAP(Network Access Protection)保持网络环境的清洁
网络访问保护NAP其实是内置在Windows Server 2008中的一个功能。它允许你创建一个网络健康策略,该策略定义了Windows Vista工作站如果要被视为是健康的应该满足哪些条件。比如,你可以要求Windows Vista工作站必须打开Windows防火墙,或者说它们必须安装某个安全补丁程序。当某个用户试图登录到你的网络时,NAP就会检查该用户的机器,看看它是否符合你已经设定的健康标准。如果它不满足健康策略的话,那么你就可以现场执行修复工作然后允许它接入网络,或者直接拒绝该用户接入网络。NAP健康策略设定起来特别复杂,但我认为它可能是Windows Vista和Windows Server 2008所提供的最好的安全功能。
2. 打开恶意网站筛选器(Phishing Filter)
确保你所有电脑的恶意网站筛选器(Phishing Filter)都是打开的。恶意网站筛选器的职责就是帮助用户区分合法网站和欺诈性网站,欺诈性网站往往都“乔装”成一个受欢迎的网站。不幸地是,恶意网站筛选器的网站数据库不是非常全面,但它包括足够多的合法网站和欺诈性网站,这使得它对于保护电脑的安全性非常有用。一定要对你的用户进行培训,让他们学会如何使用恶意网站筛选器。
3。保持你的Vista安装最新的补丁
虽然Windows Vista测试版已经推出了很长时间了,不过随着时间的推移,其它的错误和安全漏洞也会被陆续发现,这是不可避免的。一旦某个安全漏洞被公开,很快,无数的黑客就会利用该漏洞攻击你的系统。这就是为什么你要时刻更新你的Vista补丁程序,确保它们都是最新的。否则,稍不留神,你就会被黑客抓住把柄,带来惨重的损失。不要错误地以为因为Windows Vista是出于安全性设计的因而就不需要经常打补丁。
4. 知道如何检查更新历史记录
知道如何查询你的Vista系统已经安装了哪些补丁是非常重要的。具体方法是,打开控制面板(Control Panel),点击程序和功能(Programs and Features)链接。然后,点击查看安装更新VIEw Installed Updates ()链接,你就能看到你的机器已经安装了哪些补丁程序。
5. 使用的Windows Server 2008域控制器(Domain Controller)
多年以来,组政策(Group Policies)一直Windows操作系统平台最主要的安全机制。因此,Windows Vista中包含几百个Windows XP不存在的组策略设置,这也是意料之中的事。你永远都可以选择在本地计算机的级别上应用这些组策略设置,但如果你希望能在动态目录(Active Directory)的级别上管理这些Vista专有的组策略设置,那么你需要在你的网络上使用一个Windows Server 2008域控制器。
6. 利用网络剖面(Network Profiles)
在Windows Vista发布之前,Windows操作系统将所有的网络连接一视同仁。不过,Vista却改变了这种传统的做法,你可以使用网络和共享中心(Network and Sharing Center)指定一个网络为公共网络(Public Network),私有网络(Private Network)还是域网络(Domain Network)。当用户的计算机使用网络登陆到一个域时,该网络就会自动被指定为域网络。
选择一个合适的网络剖面(Network Profiles)其实是非常重要的,因为Windows平台根据你所连接到的网络类型安装各种安全功能。例如,如果你连接到一个公共网络的话,Vista中会禁用你的网络映射(Network Mapping)功能。此外ia,Windows防火墙还包含网络特定剖面设置。
7. 与Windows XP中的防火墙不同,Vista的防火墙有一个专门的管理控制台
我始终我觉得对Vista的了解还不够,其中一件事情就是,从表面上看,Vista的Windows防火墙看起来与XP中的Windows防火墙几乎完全一样。而事实是,如果你使用控制面板配置Windows防火墙的话,你能选择的配置选项非常有限。不过,微软为Vista专门提供了一个管理控制台,可你让你更详细地配置Vista的Windows防火墙。
8. 使用64位的Vista版本
迄今为止,64位的Vista版本要比32位版本安全性要高很多。64位版本包含了一个新的安全功能,也就是所谓的地址空间布局随机性发生器(Address Space Layout Randomizer),它能够在系统文件加载时随机产生一个开始位置。这意味着,不同与32位的Vista系统,64位Vista的系统文件很少能被加载到同一内存位置。这种文件随机加载机制成功地阻挡了很多被经常用来攻击Windows XP系统的恶意程序和病毒。
64位Vista包含的另一个特有的安全功能是数据执行预防(Data Execution Prevention)。这一功能将可执行代码限制在系统内存中的某个区域运行,有效地组织了程序的跨界运行。 32位版本的Vista中也包含数据执行预防功能,只不过功能要简单得多,它是通过软件是想的。而64位Vista的数据执行预防功能则是执行在硬件级别上。
9. 在没有弄明白逻辑关系之前,不要使用加密
每星期都有数百人给我发送电子邮件,询问我他们遇到的各种技术问题。到目前为止,我被问到的频率最多的问题是当数据加密密钥丢失时,如何恢复加密数据。不幸地是,如果你不小心弄丢了加密密钥,目前还没有很简单有效的数据恢复方法。在许多情况下,数据恢复是不可能的。面对这样一个事实,我给你的建议是:在没有弄清楚数据加密过程的工作原理以及如何保护你的数据免受损失之前,你最好不要使用EFS加密BitLocker加密技术。
10. 不要低估了Windows守护者(Windows Defender)的功能
Windows守护者(Windows Defender)是微软自己的反间应用软件,它被预装在Windows Vista中。长久以来,微软给大家的印象就是,Windows操作系统自带的应用软件通常功能都非常有限。系统管理员也都通常认为Windows自带的应用软件在关键时候往往不能胜任,所以他们通常都是选择使用第三方应用程序。
尽管如此,Windows Defender却是一个例外的,它相当地完美。虽然并非十全十美,但根据我自己的使用经验,我认为Windows Defender能很好地胜任自己的工作,能够使你的机器免受几乎所有的最严重的间谍软件的感染。
