資訊 - 關於Vista硬碟加密

[psac]

使用 Windows Vista 增強安全性方案精選
　安全的作業系統平台是可信計算的基本要求，而 Microsoft Windows Vista 通過構建安全基礎結構滿足了這一要求，該結構可提供易用、穩定及可管理的使用體驗。Microsoft 利用最佳工程實踐和最新工具說明 確保 Windows Vista 作業系統在家庭、企業、移動及漫遊環境中的安全性。

　　為說明 用戶確立對安全和隱私的信心，Windows Vista 還為用戶提供了有關安全和隱私選項的訊息。Windows Vista 還整合了應用程式安全性以說明 提供端到端安全方案，而且為應用程式發怖商提供了強大的成本節約價值，使安全基礎結構及使用體驗得以增強。有關 Windows Vista 安全性的詳細資料，請參閱 Microsoft TechNet Web 站點上的 Windows Vista 安全功能。

　　安全性新功能

　　Windows Vista 引入了新的重要安全改進，在保護您隱私的同時為個人和公司的資料提供更大的保護，使其免受惡意用戶及惡意程序導致的洩漏和損壞等破壞。

　　Microsoft 使用最佳工程方案和最新工具，說明 確保 Windows Vista 作業系統的設計安全。Windows Vista 構建於 Microsoft Windows XP Service Pack 2 (SP2) 和 Microsoft Windows Server 2003 Service Pack 1 (SP1) 基礎之上，減少了易受攻擊的範圍，而且說明 企業安全地對網路進行管理和隔離。

　　Windows Vista 不需要最終用戶擁有對其電腦的管理權限，從而使客戶對桌面的佈署更加容易，而以企業為中心的全新 Windows Vista 安全啟動技術可為丟失掉或失竊並關於 Windows 的電腦上的資料提供保護。

　　本節介紹 Windows Vista 中精選的新增和更新安全功能。

　　新增或改進安全功能的益處

功能領域 益處
防火牆 增強Windows 防火牆以積極防止惡意程序傳播並使個人資料免遭破壞。
Windows 服務增強 通過限制攻擊者或軟體在破壞 Windows 服務後可執行的操作，提供針對惡意軟體攻擊的新增復原功能。
可信瀏覽 使對 Web 的瀏覽更為安全、可靠。
安全啟動和執行 確保 Windows Vista 的完整性得到保護，免受在線和離線攻擊。
網路存取保護客戶端 在允許電腦進入公司網路前，允許對其隔離和掃瞄健康狀態。此功能要求支持 Windows Vista Server 中的功能。
安全更新改進 通過使用客戶端代理使安全狀態具有可視性，並減少了安全修正檔需要的重新啟動次數。
Windows 安全中心 用戶可快速瞭解電腦的安全狀態，並在電腦處於不安全狀態時得到警報。
用戶帳戶保護 Windows Vista 不要求最終用戶擁有電腦的管理權限，用最低權限的用戶訪問佈署電腦也變得更加容易。
驗證 提供了可伸縮和增強的驗證基礎結構、傳輸協定及登入提供程序。
使用權 支持豐富的原則陳述式和求值，以支持可增強性和代理能力。
憑據管理 提供經改進和可管理的身份管理、令牌規定及生命週期管理服務。
加密服務 為必須保護資料的應用程式提供增強加密和簽名操作。


　　新增或改進安全功能的影響

　　以下是一個端到端用戶方案，說明了 Windows Vista 進行檢測和說明 保護免受潛在安全威脅的方式:

　　•啟動 Windows Vista 電腦前，通過安全啟動保護系統免受攻擊。此功能使用關於硬體的「受信平台模組」確保意圖破壞 Windows Vista 安裝程序的惡意用戶無法在其他作業系統下啟動電腦。
　　•系統執行後，網路存取保護 (NAP) 會在電腦連入網路時對其進行掃瞄，以確保電腦有最新的修正檔和最新的病毒簽名。NAP 還可用於掃瞄網路管理員決定要檢查的許多其他功能。此功能要求 Windows Vista Server 中的 NAP 基礎結構。
　　•如果電腦不符合公司的系統執行狀況原則，在符合該原則前不會被獲准接入網路。
　　•用戶使用標準用戶憑據(而非以管理員身份)登入電腦和網路，從而最小化了病毒或惡意程序的潛在影響，而且可以順利地自訂電腦設定和執行原有應用程式。
　　•將修正檔佈署到電腦時，與 Windows XP 相比，重新啟動管理器會減少需要的重新啟動次數。
　　•用戶瀏覽 Web 時，Internet Explorer 的增強及原有功能有助於提供針對惡意軟體等有害軟體的復原功能，而且可控制用戶的個人識別資料。
評估貴組織內軟體限制原則和用戶帳戶保護的重要方案

　　本節介紹基本評估方案，在這些方案中域管理員可控制用戶可在 Windows Vista 客戶端上安裝和執行哪些應用程式。

　　在這些方案中，管理員想要控制域用戶可安裝和執行的應用程式。通過使用軟體限制原則，管理員可控制用戶以一般權限等級可安裝的應用程式。

　　Application Information Service (AIS) 是 Microsoft Windows Vista 中的新服務，可實現「用戶帳戶保護」(UAP)。通過要求用戶在受保護的用戶模式下執行和將對使用權工作訪問限制為管理員級，UAP 有助於減少惡意軟體、root kit、malware 及病毒的影響。它還允許組織更接近託管桌面，以阻止用戶安裝未使用權應用程式或對系統設定進行無意更改。

　　下列是控制用戶可在 Windows Vista 客戶端電腦上安裝或執行哪些應用程式的前提條件:

　　•新增域。
　　•新增一個域管理員，例如 admin1。
　　•新增一個域用戶，例如 user1。
　　•通過群組原則向允許安裝應用程式的域提供軟體限制原則。
　　•安裝 Microsoft Windows Vista。
　　•將客戶端加入該域。
　　•驗證此域管理員是否是 Local Administrators 組的成員。
　　執行測試方案

　　要測試軟體限制原則和 AIS 交互，請讓某個域用戶登入到 Windows Vista 客戶端電腦並啟用 UAP，然後嘗試安裝、執行和卸載域原則定義的允許和不允許的應用程式。

　　方案 1:讓域用戶嘗試安裝允許的應用程式。

　　用戶應該不需向 admin1 要求憑據即可安裝該應用程式。

　　安裝允許的應用程式

　　1.以 admin1 身份登入並將應用程式發怖到 Active Directory。
　　2.以 user1 登入。
　　3.使用「增加或刪除程式」安裝該應用程式。
　　4.驗證該應用程式已安裝並可用。
　　方案 2:嘗試安裝域管理員未通過原則明確允許安裝的應用程式。

　　用戶應該無法安裝該應用程式。

　　嘗試安裝不允許的應用程式

　　1.不為該應用程式套用原則設定。
　　2.以 user1 登入。
　　3.嘗試安裝該應用程式。
　　4.驗證安裝並未發生。
　　方案 3:嘗試執行域管理員已允許用戶執行的應用程式。

　　用戶應該可以執行該應用程式。

　　執行允許的應用程式

　　1.安裝應用程式並將其標記為允許。
　　2.以 user1 登入。
　　3.嘗試執行該應用程式。

[psac]

案 4:嘗試執行域管理員尚未允許用戶執行的應用程式。

　　用戶應該無法執行該應用程式。

　　嘗試執行不允許的應用程式

　　1.以 user1 登入。
　　2.安裝一個應用程式。
　　3.將該應用程式標記為不允許。
　　4.嘗試執行該應用程式。
　　方案 5:嘗試卸載域管理員允許用戶卸載的應用程式。

　　注意此測試驗證 Application Information Service 的交互，以及域原則對象是否允許用戶無需使用管理憑據即可移除應用程式。在此例中，將套用域原則設定以允許用戶安裝、更新和卸載應用程式。

　　用戶應該可以移除該應用程式。

　　卸載允許的應用程式

　　1.以 user1 登入。
　　2.安裝某個允許的應用程式。
　　3.卸載該應用程式。
　　4.驗證該應用程式未殘留任何內容。
　　方案 6:嘗試卸載域管理員尚未允許用戶卸載的應用程式。

　　注意在此例中，應用程式已安裝，但域原則設定不允許用戶安裝、更新或移除應用程式。

　　用戶應該無法卸載該應用程式。

　　嘗試卸載不允許的應用程式

　　1.以 user1 登入。
　　2.安裝一個應用程式。
　　3.將該應用程式標記為不允許。
　　4.嘗試卸載該應用程式。
　　注意本站點所述功能可能有所更改。由於市場、技術或其他原因，最終產品中可能不含某些功能。

檢視原文：http://www.microsoft.com/china/techn...in/mngsec.mspx

[psac]

量力而行 謹慎安裝64位Windows Vista
量力而行 謹慎安裝64位Windows Vista【2006-06-15 09:12】【】【驅動之家】　　雖然微軟提供了32位和64位兩個版本Windows Vista Beta 2下載以供用戶選項，但是在經過多次多台電腦安裝測試後，我們不推薦普通用戶安裝64位Windows Vista Beta 2系統--即便你擁有一顆64位的「心」。

WinSystem子站熱點
Windows Vista Windows Server 2003 Windows Server 2000 Windows XP
系統故障診斷 終端用戶 網路管理 安全防範
Windows儲存於 活動目錄 認證和職業 硬體知識

　　首先明確:只有64位處理器系統才有可能安裝、執行Windows Vista Beta 2 x64。

　　但是，在安裝Windows Vista Beta 2 x64之前，你需要考慮5點

　　1.絕大多數硬體沒有64位驅動:在64位Windows Vista系統下，DVD燒錄機以及音瀕驅動尚未開發推出，絕大多數網路卡也沒有相應驅動支持

　　2.Vista x64中，任何沒有獲得明確使用權的驅動都無法進入系統內核--根本無法載入。這是x64版Vista的一個獨特之處，也許是為了維持穩定性，你無法在64位Vista下忽略「無認證驅動」。

　　3.Vista x64系統目前不向下相容絕大多數的x86(32位)驅動:雖然不少32位程序能夠順利執行，x86驅動卻被拒之門外

　　4.Vista x64 不支持16位軟體

　　5.64位程序數量稀少:目前尚未有多少x64程序發怖，因此你不會從64位系統中獲得「應有」的效能提升

　　除非你是64位偏執狂或測試人員，否則完全沒有必要選項64位Vista--起碼目前32位Vista更能滿足你的需要。