驾驭系统做一个Windows XP的"黑客"(10)

　除上述改进以外，遗憾在于Vista没能解决一个大的安全漏洞问题，至少对普通计算机用户而言如此。Windows长期以来就需要一个防火墙，以阻止未被授权的访问——包括输入和输出两个方向，以防止病毒、间谍软件、蠕虫和其他恶意软件将私有数据提交给服务器，或者向其他计算机传播它们自身。与Windows XP的防火墙一样，Vista的防火墙能很好地阻断Blaster蠕虫和其他可能的进攻。当安装一个能接受其他输入连接的应用程序时(比如浏览器或者即时通信消息)，防火墙会请求您允许或阻断连接。但千万别将这样的请求错当是针对输出连接的安全性的。

　　Vista的防火墙能对个人程序是否会产生输出连接进行控制。但这个特性并非仅为普通人而设计。(微软声称只有IT部门才有权使用此设置)。通过深入研究控制面板的管理工具中的本地安全策略设置，我们已经能做到阻断输出通信并建立专门用于个人程序的访问。但这些设置对多数人来说有点儿太含糊不清了。如果Vista的防火墙与XP的一样，你只需安装一个第三方双向防火墙即可，如ZoneLabs的ZoneAlarm，这也是我们向今天的Windows XP用户所推荐的。

    只需一个口令，就能享有更高的特权，这令安全的非管理员账户更方便。

　　Vista 新风格：设置权限

　　您也能通过将访问限制到关键系统设置和硬件级，而降低来自恶意软件的威胁。Linux、Mac OS X、Unix以及其他近似的操作系统也不鼓励为日常计算需求建立这种高特权的账户。这样的话，当一个恶意程序入侵时，它所能引起的损失也会被降到最低。当需要管理员账户特权的任务出现时，只需像管理员一样输入口令，运行此程序即可。

　　Windows提供较低特权的账户也有相当一段时间了，但使用用起来实在太痛苦了。因为此时要执行那些需要较高特权(如安装程序或改变安全设置)的任务，就得先退出然后再重新登录管理员账户。

　　Vista的限制权限账户相对容易接受：标准用户账户(XP称为受限账户)以及在其上运行的任何恶意软件，仍然被禁止接触许多敏感任务。但现在，Windows能弹出一个对话框，允许为任务(见图1)输入管理员口令。但在Beta2版中，当登录到管理员账户时，一个近似的对话框会出现，并请求您确认每个高特权任务。

　　Windows XP的登录安全性和磁盘加密特性，令好事者难有可乘之机，但那些破釜沉舟的窃贼仍能对偷来的笔记本电脑或硬盘内容进行解密，如果他们有足够的时间和合适的工具的话。Vista的Secure Startup特性会将驱动器加密密钥从硬盘移出，挪到固定在主板上的TPM(Trusted Platform Module，可信任平台模块)芯片上、闪存盘中或者干脆将之打印到纸上。

　　您仍然能像在Windows XP中一样对卷和文件夹进行加密，但Vista的Secure Startup会引导您完成对硬盘加密、并将一个48位的密钥存到另一台PC机或闪存盘中，或者将之打印出来(见图2)的整个过程。之后，如果既不能访问TPM芯片(当硬盘与系统分离时无法做到)，又不能使用闪存盘，也不能手工输入48位密钥的话，没人能在PC机上启动Vista。记下那个密钥或将之存到一个文件中——当我试图启动一个刚刚加过密的Vista卷时，我的闪存盘不能提供密钥。微软表示，Secure Startup将只会出现在该操作系统的企业版中，固而将这个特性限于企业Windows用户。