然而,由于Vista的安全配置的复杂性,人们对一些Vista安全功能和推荐配置存在很多令人迷惑之处。下面让我们看一下关于Vista安全的十大顶级误解,并给出正确的理解。
1、administrator帐号默认将被禁用?
通常情况下Vista会默认禁用administrator帐号,但是有一个前提:在管理员组里面存在其他活跃的定义好的成员。更准确的说法应该是,如果Vista检测到其他启用的管理员帐号的话,通过禁用真正的administrator帐号,来试图最小化管理员帐号的数量。在新安装Vista的时候,第一个新帐号将被增加到管理员组里,就如同在windows xp和windows 2000中一样,但是后来增加的用户不是。一旦第二个管理员帐号被增加后,Vista将禁用真正的administrator帐号。
需要注意的重要一点是,默认禁用的管理员帐号是没有密码的。你应该对administrator帐号设置一个复杂的密码,即使它是被禁用的。如果你要启用一个被禁用的administrator帐号的话,首先设置密码,然后你就可以启用这个帐号了。
2、Vista只存在四个强制完整性控制级别?
强制完整性控制(MIC)是Vista安全架构中新增加的一种检测机制。Vista中的所有安全性对象和进程都有一个完整性级别,完整性级别(IL)低的进程不能修改级别高的文件或注册表表项。有四个主要的强制完整性控制(MIC)级别:
·低(Low)
·中等(Medium)
·高(High)
·系统(System)
包括管理员组中的非提升权限成员在内的大多数用户,都运行在中等级别。以下是一些其他级别是如何被设定的。
·内核级别的Windows文件以系统完整性级别运行
·用户级别的代码,例如Windows Explorer和任务管理器,以中等完整级别运行
·真正的administrator或系统管理员组中的提升权限的成员以高完整级别运行
·保护模式下的IE浏览器以低完整性级别运行
·如果一个对象或资源没有明确的设定完整性级别,那么它具有中等完整性级别。
建立强制完整性控制的的主要目的是,使一般用户、程序和在IE保护模式下的下载内容难于修改系统文件。因此,即使一个用户可能是系统管理员组的一个成员,或者甚至即使一个恶意软件设法突破了IE的初级安全防御,它们也难于修改Windows的系统文件。
除了上述四个级别外,至少还有两个人们知道比较少的强制完整性级别:非信任级别和保护进程级别。非信赖完整性可能是级别最低的强制完整性级别,被设置给匿名空连接会话。保护进程可能是级别最高的强制完整性级别,只有在系统需要的时候才会被使用。
或许只有你在进行研究或故障排查的时候才能碰到这些强制完整性级别,你可以认为恶意黑客们将试图获得一个保护进程强制完整性级别的权限,来使Windows更轻松的被攻破。
3、用户帐号控制(UAC)减少管理员被需要的次数?
Vista要求用户获得提升的权限和许可来完成系统任务,诸如安装软件、更新内核驱动等等。Vista还有一些新的要求较少管理性帐号的功能,但是用户帐号控制(UAC)不是其中之一。
用户帐号控制(UAC)明确的要求那些希望完成管理性任务的用户具有提升的本地组中成员资格,例如administrators组或backup operators组。用户帐号控制(UAC)的存在并不会减少对管理性用户的需要,当执行诸如电子邮件或网络浏览等非管理性任务的时候,它提供了针对属于提升权限组的用户的额外的保护。