[psac]

使用 Windows Vista 增強安全性方案精選
　安全的作業系統平台是可信計算的基本要求，而 Microsoft Windows Vista 通過構建安全基礎結構滿足了這一要求，該結構可提供易用、穩定及可管理的使用體驗。Microsoft 利用最佳工程實踐和最新工具說明 確保 Windows Vista 作業系統在家庭、企業、移動及漫遊環境中的安全性。

　　為說明 用戶確立對安全和隱私的信心，Windows Vista 還為用戶提供了有關安全和隱私選項的訊息。Windows Vista 還整合了應用程式安全性以說明 提供端到端安全方案，而且為應用程式發怖商提供了強大的成本節約價值，使安全基礎結構及使用體驗得以增強。有關 Windows Vista 安全性的詳細資料，請參閱 Microsoft TechNet Web 站點上的 Windows Vista 安全功能。

　　安全性新功能

　　Windows Vista 引入了新的重要安全改進，在保護您隱私的同時為個人和公司的資料提供更大的保護，使其免受惡意用戶及惡意程序導致的洩漏和損壞等破壞。

　　Microsoft 使用最佳工程方案和最新工具，說明 確保 Windows Vista 作業系統的設計安全。Windows Vista 構建於 Microsoft Windows XP Service Pack 2 (SP2) 和 Microsoft Windows Server 2003 Service Pack 1 (SP1) 基礎之上，減少了易受攻擊的範圍，而且說明 企業安全地對網路進行管理和隔離。

　　Windows Vista 不需要最終用戶擁有對其電腦的管理權限，從而使客戶對桌面的佈署更加容易，而以企業為中心的全新 Windows Vista 安全啟動技術可為丟失掉或失竊並關於 Windows 的電腦上的資料提供保護。

　　本節介紹 Windows Vista 中精選的新增和更新安全功能。

　　新增或改進安全功能的益處

功能領域 益處
防火牆 增強Windows 防火牆以積極防止惡意程序傳播並使個人資料免遭破壞。
Windows 服務增強 通過限制攻擊者或軟體在破壞 Windows 服務後可執行的操作，提供針對惡意軟體攻擊的新增復原功能。
可信瀏覽 使對 Web 的瀏覽更為安全、可靠。
安全啟動和執行 確保 Windows Vista 的完整性得到保護，免受在線和離線攻擊。
網路存取保護客戶端 在允許電腦進入公司網路前，允許對其隔離和掃瞄健康狀態。此功能要求支持 Windows Vista Server 中的功能。
安全更新改進 通過使用客戶端代理使安全狀態具有可視性，並減少了安全修正檔需要的重新啟動次數。
Windows 安全中心 用戶可快速瞭解電腦的安全狀態，並在電腦處於不安全狀態時得到警報。
用戶帳戶保護 Windows Vista 不要求最終用戶擁有電腦的管理權限，用最低權限的用戶訪問佈署電腦也變得更加容易。
驗證 提供了可伸縮和增強的驗證基礎結構、傳輸協定及登入提供程序。
使用權 支持豐富的原則陳述式和求值，以支持可增強性和代理能力。
憑據管理 提供經改進和可管理的身份管理、令牌規定及生命週期管理服務。
加密服務 為必須保護資料的應用程式提供增強加密和簽名操作。


　　新增或改進安全功能的影響

　　以下是一個端到端用戶方案，說明了 Windows Vista 進行檢測和說明 保護免受潛在安全威脅的方式:

　　•啟動 Windows Vista 電腦前，通過安全啟動保護系統免受攻擊。此功能使用關於硬體的「受信平台模組」確保意圖破壞 Windows Vista 安裝程序的惡意用戶無法在其他作業系統下啟動電腦。
　　•系統執行後，網路存取保護 (NAP) 會在電腦連入網路時對其進行掃瞄，以確保電腦有最新的修正檔和最新的病毒簽名。NAP 還可用於掃瞄網路管理員決定要檢查的許多其他功能。此功能要求 Windows Vista Server 中的 NAP 基礎結構。
　　•如果電腦不符合公司的系統執行狀況原則，在符合該原則前不會被獲准接入網路。
　　•用戶使用標準用戶憑據(而非以管理員身份)登入電腦和網路，從而最小化了病毒或惡意程序的潛在影響，而且可以順利地自訂電腦設定和執行原有應用程式。
　　•將修正檔佈署到電腦時，與 Windows XP 相比，重新啟動管理器會減少需要的重新啟動次數。
　　•用戶瀏覽 Web 時，Internet Explorer 的增強及原有功能有助於提供針對惡意軟體等有害軟體的復原功能，而且可控制用戶的個人識別資料。
評估貴組織內軟體限制原則和用戶帳戶保護的重要方案

　　本節介紹基本評估方案，在這些方案中域管理員可控制用戶可在 Windows Vista 客戶端上安裝和執行哪些應用程式。

　　在這些方案中，管理員想要控制域用戶可安裝和執行的應用程式。通過使用軟體限制原則，管理員可控制用戶以一般權限等級可安裝的應用程式。

　　Application Information Service (AIS) 是 Microsoft Windows Vista 中的新服務，可實現「用戶帳戶保護」(UAP)。通過要求用戶在受保護的用戶模式下執行和將對使用權工作訪問限制為管理員級，UAP 有助於減少惡意軟體、root kit、malware 及病毒的影響。它還允許組織更接近託管桌面，以阻止用戶安裝未使用權應用程式或對系統設定進行無意更改。

　　下列是控制用戶可在 Windows Vista 客戶端電腦上安裝或執行哪些應用程式的前提條件:

　　•新增域。
　　•新增一個域管理員，例如 admin1。
　　•新增一個域用戶，例如 user1。
　　•通過群組原則向允許安裝應用程式的域提供軟體限制原則。
　　•安裝 Microsoft Windows Vista。
　　•將客戶端加入該域。
　　•驗證此域管理員是否是 Local Administrators 組的成員。
　　執行測試方案

　　要測試軟體限制原則和 AIS 交互，請讓某個域用戶登入到 Windows Vista 客戶端電腦並啟用 UAP，然後嘗試安裝、執行和卸載域原則定義的允許和不允許的應用程式。

　　方案 1:讓域用戶嘗試安裝允許的應用程式。

　　用戶應該不需向 admin1 要求憑據即可安裝該應用程式。

　　安裝允許的應用程式

　　1.以 admin1 身份登入並將應用程式發怖到 Active Directory。
　　2.以 user1 登入。
　　3.使用「增加或刪除程式」安裝該應用程式。
　　4.驗證該應用程式已安裝並可用。
　　方案 2:嘗試安裝域管理員未通過原則明確允許安裝的應用程式。

　　用戶應該無法安裝該應用程式。

　　嘗試安裝不允許的應用程式

　　1.不為該應用程式套用原則設定。
　　2.以 user1 登入。
　　3.嘗試安裝該應用程式。
　　4.驗證安裝並未發生。
　　方案 3:嘗試執行域管理員已允許用戶執行的應用程式。

　　用戶應該可以執行該應用程式。

　　執行允許的應用程式

　　1.安裝應用程式並將其標記為允許。
　　2.以 user1 登入。
　　3.嘗試執行該應用程式。