資訊 - Vista Beta2細節和截圖搶先

[psac]

Vista Beta2細節和抓圖搶先

微軟在今天向測試者發佈Windows Vista Beta2測試版。現在已經獲得Windows Vista Beta2測試版的細節和抓圖。

Windows Vista Beta2測試版版本號是5384，微軟在Winhec2006大會現場分發的不僅僅有英文版，還有日文版等多語言版本。據稱微軟在Beta2之後將開始發佈Windows Vista RC0（Release Candidate），RC0版本號還是5384，但是在性能和功能上進行微幅提升。微軟之前在4月份曾經向測試者提供版本號5381的Windows Vista測試版，微軟在Winhec2006大會上表示Windows Vista Beta2 5384的穩定性進一步提升。

微軟Windows客戶核心部門高階副總裁在Winhec2006大會上表示，微軟將在Windows Vista RC0之後出貨RC1、RC2，然後在年底向大客戶出貨Windows Vista RTM版本，在明年1月份出貨針對零售客戶和OEM市場的版本。

[psac]

安全專家曝光WindowsVista漏洞 微軟：結論下太早

7月19日國際報導 安全專家的一份報告指出，微軟致力於將Windows Vista打造成為最穩定，最安全作業系統的努力反而會造成這種系統的不穩定，帶來新的安全漏洞。

安全專家已經測試了Vista系統的網路技術。測試人員發現了好幾處安全漏洞，他們認為，Vista的網路技術不是太穩定，至少短期內，Vista的網路穩定性沒有Windows XP好。

報告指出：「微軟在Vista當中運用了很多全新的程式碼，它們完全是嶄新的領域，因而存在缺陷。這些程式碼從長遠來看可能給穩定的網路技術提供說明 ，但短期來看，系統的穩定性將受到影響。」

Vista定於明年1月上市，它是微軟繼2001年發怖XP以後的又一個全新作業系統。在安全效能比5年之前的重要得多得今天，微軟在新的作業系統中大力加強了PC保護功能。安全專家的報告再度引起了人們對微軟能否提高安全性的擔心。

據悉，安全專家已經將這份報告提供給了微軟。

微軟在給CNET新聞網站的一份宣告中說，Vista開發時高度重視安全。微軟表示，初期的Windows Vista當中出現的問題並不能準確的反映網路功能的水準和品質。

微軟說：「Windows Vista仍然處於測試階段，尚未最後出籠，安全專家報告中反映的問題言之過早。我們將繼續工作，確保Vista成為最安全的Windows的系統，我們認為，安全專家的報告缺乏事實依據。」

微軟還指出，Vista將成為首個以客戶端為基礎，並且要通過公司「安全開發週期」（Security Development Lifecycle）測試的作業系統。

安全開發週期測試是微軟用來防止產品發怖之前出現漏洞，測試程式碼的流程。

在這個名為「Windows Vista 網路攻擊表面分析：綜述」的報告中，安全專家的研究人員拿起了放大鏡來檢查Vista 的安全效能。

研究人員說，他們在5270版本的Vista 中發現了幾個安全漏洞，在更早的一些版本中，漏洞的數量更多。但是，所有這些漏洞均在微軟5 月份發怖的5384版本的Vista 中得到了解決。

這個報告指出：「令人鼓舞的是，微軟正在發現，彌補這些缺陷，我們預計，未來還將發現漏洞。一種軟體的網路機制要用很多年時間才能走向成熟。」

在每個測試版本中，微軟都在不斷提高程式碼執行的穩定性。週一，微軟發怖了5472版本的Vista，在這個作業系統中，微軟處理了更多的漏洞。

為了提高這種作業系統的效能與穩定性，讓維護更容易，微軟從底層修改了網路技術，比如，微軟在Vista當中增加了對IPv6傳輸協定的支持。

安全專家Oliver Friedrichs說：「我們並不是說Vista天生的安全性就不好，Vista是明年最重要的一個產品，人們應當知道其中全新的網路技術執行情況。」

Friedrichs指出，Linux推出有5年了，其中的漏洞和穩定性問題還在不斷浮出水面。

安全專家的報告指出，由於Vista支持新的網路技術功能，安裝有這種作業系統的PC可能招致攻擊。

比如，Vista將成為第一個預設支持IPv6傳輸協定的Windows作業系統，為了說明 過渡到新的傳輸協定以及適應點對點（P2P）的功能，微軟在這種作業系統中增加了IPv6通道連接（IPv6 tunneling）機制，而這可能會讓系統暴露，或者讓系統在防火牆內不可見。

安全專家的報告指出：「IPv6及其相應的過渡技術會讓攻擊者以管理員的身份訪問內部私人網路系統。」安全專家建議，企業用戶在獲得Vista以後，應該昇級安全系統，比如防火牆及入侵偵測系統，以防止上述攻擊的發生。

微軟對Vista 中的點對點協同功能鼓吹不少，但安全專家表示，這種功能也會產生安全威脅。為了實現點對點功能，微軟已經增加了諸如PNRP（點對點名稱解析傳輸協定）的支持。

安全專家的報告說：「隨著這些技術的廣泛套用，我們預計IPv6和其它新的點對點傳輸協定將在傳輸惡意程式碼的程序中發揮越來越重要的作用。

雖然這些功能對於微軟實現點對點功能至關重要，但它們同樣也可以被攻擊者用來傳輸惡意內容。「

需要指出的是，安全專家僅僅對微軟新的作業系統的一小部分功能進行了測試，另外，Vista尚處於開發當中，它的變數還很大。

安全專家的研究人員說：「我們預計，到Vista正式版本發怖之前，我們測試的很多結果將失效。」

但Friedrichs強調了網路技術在整個作業系統安全效能中發揮的重要作用，

他說：「網路傳輸是保衛一個作業系統的第一道屏障，它是阻隔攻擊者和作業系統發生聯繫的主要陣地。網路傳輸機制保持健康，發揮其作用非常的重要。」

[psac]

Windows Vista5479 真實執行截圖賞析
微軟剛發佈了Vista5472還不到一周，一些國外網站已經洩露出了一些Vista5479的最新執行截圖。這次洩露的截圖包括了更多的Glass效果,和執行Office的實際效果圖。
























從以上截圖中我們欣賞到了多幅Vista的Glass效果，這些精美的Vista特效無一不在挑戰著我們的好奇心和獵殺著我們的眼球。不過我們是否注意到在這些美麗的皮膚背後真正起到骨架作用的還是作業系統的相容性和穩定性，只有當Vista的相容性和穩定效能進一步提高時，我們才能真正的對它敞開懷抱。

[psac]

Windows Vista中的新 Windows 防火牆
　與當前 Windows XP Service Pack 2 (SP2) 和 Windows Server 2003 Service Pack 1 (SP1) 中包含的 Windows 防火牆一樣，新的 Windows 防火牆也是一個關於狀態主機的防火牆，它可以根據自己的組態和當前執行的應用程式來允許或阻止網路流量，從而保護網路免遭惡意用戶和程序的入侵。

　　新 Windows 防火牆的增強功能

　　與當前 Windows XP Service Pack 2 (SP2) 和 Windows Server 2003 Service Pack 1 (SP1) 中包含的 Windows 防火牆相比，Windows Vista 和 Windows Server "Longhorn" 中的新 Windows 防火牆具有以下增強功能:

　　•支持傳入和傳出流量
　　•用於圖形用戶介面 (GUI) 組態的新 Microsoft 管理控制台 (MMC) 管理單元
　　•整合防火牆過濾和 Internet 傳輸協定安全 (IPsec) 保護設定
　　•可以組態 Active Directory 目錄服務帳戶和組、源和目標 IP 位址、IP 傳輸協定號、源和目標傳輸控制傳輸協定 (TCP) 和用戶資料報傳輸協定 (UDP) 連接阜、全部或多個 TCP 或 UDP 連接阜以及特定檔案類型接頭的例外，可以根據檔案類型和程式碼來組態 Internet 控制消息傳輸協定 (ICMP) 和 ICMP for IPv6 (ICMPv6) 流量的例外，並且可以組態服務的例外
　　支持傳入和傳出流量

　　新的 Windows 防火牆支持傳入流量的防護/防火牆保護，它能夠丟棄所有未經請求的傳入流量，即那些不是回應某個電腦請求而傳送的流量(請求的流量)，或那些未被指定為準入流量的未經請求的流量(排除/禁止的流量)。 這是電腦上執行的最關鍵檔案類型的防護，因為它有助於防止網路病毒和蠕蟲通過未經請求的流量來傳播的方式來感染電腦。

　　新的 Windows 防火牆支持傳入流量和傳出流量的防護。 例如，網路管理員可以組態新 Windows 防火牆的一組例外，從而阻止傳送到特定連接阜(例如已知的病毒軟體使用的連接阜)的所有流量或是傳送到特定位址的包含敏感內容或不希望內容的所有流量。

　　新 Windows 防火牆的預設值行為是:

　　•阻止所有傳入流量，除非是經過請求的流量或是匹配某個已組態例外的流量。
　　•允許所有傳出流量，除非匹配某個已組態的例外。
　　用於 GUI 組態的新 MMC 管理單元

　　對於現用的 Windows 防火牆，用於組態的 GUI 由控制台中的 Windows 防火牆和群組原則編輯器管理單元中的一系列群組原則設定組成。

　　您可以使用控制台中的「Windows 防火牆」項來組態新的 Windows 防火牆，前者包含一組與當前 Windows 防火牆相同的組態選項。 您可以組態新 Windows 防火牆的基本設定，但是不能組態增強功能。

　　因為具有多個進階組態選項，並且具有相同的本機和 Active Directory 群組原則組態，新的 Windows 防火牆也可以使用一個名為「帶有進階安全性的 Windows 防火牆」的 MMC 管理單元來組態。 在 Beta 版本的 Windows Vista 和 Windows Server "Longhorn" 中，您必須將「帶有進階安全性的 Windows 防火牆」管理單元增加到 MMC 控制台中。 當前「系統管理工具」資料夾中沒有預定義的用於「帶有進階安全性的 Windows 防火牆」管理單元的控制台。

　　使用新的「帶有進階安全性的 Windows 防火牆」管理單元，網路管理員可以在遠端電腦上組態新 Windows 防火牆的設定，這是現用的 Windows 防火牆在不使用遠端桌面連接的情況下無法實現的。

　　若要採用指令行方式來組態新 Windows 防火牆的進階設定，您可以在 netsh advfirewall 上下文中使用指令。 執行 Windows XP SP2 或 Windows Server 2003 SP1 的電腦中不存在這種上下文。

　　若要採用群組原則的方式來組態新的 Windows 防火牆，請在「群組原則編輯器」中轉到「電腦設定」/「Windows 設定」/「安全性設定」/「帶有進階安全性的 Windows 防火牆」。新的 Windows 防火牆將會套用「電腦設定」\「管理範本」\「網路」\「網路連接」\「Windows 防火牆」中組態的當前 Windows 防火牆的群組原則設定。 執行 Windows XP SP2 或 Windows Server 「Longhorn」 的電腦將會忽略新 Windows 防火牆的群組原則設定。

　　注意在 Beta 版本的 Windows Vista 和 Windows Server "Longhorn" 中，您無法檢視使用控制台的「Windows 防火牆」項中的「帶有進階安全性的 Windows 防火牆」管理單元新增的例外。

　　整合防火牆和 IPsec 設定

　　IPsec 是一組 Internet 標準，用於為 IP 流量提供加密保護。 在 Windows XP 和 Windows Server 2003 中，Windows 防火牆和 IPsec 是分別組態的。 由於在 Windows 中關於主機的防火牆和 IPsec 都能夠阻止或允許傳入流量，因此新增的防火牆例外和 IPsec 規則有可能會產生重疊或對立的情況。 新的 Windows 防火牆使用相同的 GUI 和指令行指令整合了這兩種網路服務的組態。 整合防火牆和 IPsec 設定的另外一項好處是 IPsec 設定的組態變得非常簡單。

[psac]

【2006-06-20 14:58】【】【TechNet】
　　可以組態 Active Directory 帳戶和組的例外

　　對於指定了傳入流量或傳出流量必須使用 IPsec 進行保護的例外，您可以指定有權啟始化受保護通訊的電腦帳戶和組或用戶帳戶和組的列表。 例如，您可以指定傳送到特定伺服器的帶有敏感資料的流量必須受到保護，並且這些流量只能來自特定用戶或電腦。

　　可以組態源和目標 IP 位址的例外

　　使用現用的 Windows 防火牆，您可以指定傳入流量的排除範圍。 範圍定義了排除的流量來自的網路段，實際上就是傳入流量的源 IP 位址(包括 IPv4 和 IPv6)。 使用新的 Windows 防火牆，您可以組態傳入流量和傳出流量的源和目標 IP 位址，從而使您能夠更加精確地定義允許的流量或阻止的流量的檔案類型。 例如，如果不允許使用特定 IP 位址的某台電腦給一組伺服器傳送流量，您可以新增一個阻止出站例外，把本機分配的位址指定為源位址，把伺服器位址指定為目標位址。

　　對於目標位址，您還可以使用新的 Windows 防火牆指定下列預定義位址:

　　•預設值網路閘道、WINS 伺服器、DHCP 伺服器和 DNS 伺服器

　　這些預定義位址會被動態映射到主機當前定義的預設值網路閘道、WINS 伺服器、DHCP 伺服器和 DNS 伺服器。

　　•本機子網

　　這些預定義位址會被動態映射到根據您的 IPv4 位址和子網路遮罩或是您的 IPv6 本機子網前綴定義的位址組。

　　可以組態 IP 傳輸協定號的例外

　　新的 Windows 防火牆允許您按名稱選項傳輸協定，或是手動按鍵輸入所需流量的「IPv4 傳輸協定」字段或「IPv6 下一個標頭」字段的值。 新的 Windows 防火牆允許您按名稱選項傳輸協定，或是手動按鍵輸入所需流量的「IPv4 傳輸協定」字段或「IPv6 下一個標頭」字段的值。

　　可以組態源和目標 TCP 和 UDP 連接阜的例外

　　使用現用的 Windows 防火牆，您可以指定傳入流量的目標 TCP 或 UDP 連接阜。 使用新的 Windows 防火牆，您可以組態傳入流量和傳出流量的源和目標 TCP 或 UDP 連接阜，從而使您能夠更加精確地定義允許的流量或阻止的 TCP 或 UDP 流量的檔案類型。 例如，如果您希望阻止使用一組已知 TCP 連接阜的惡意流量或不希望的流量，您可以新增阻止出站和入站例外，指定流量的 TCP 源連接阜和目標連接阜。

　　可以組態全部或多個連接阜的例外

　　在使用現用的 Windows 防火牆組態關於連接阜的例外時，您只能指定一個 TCP 或 UDP 連接阜。 但是使用新的 Windows 防火牆，您可以指定全部 TCP 或 UDP 連接阜(對於所有 TCP 流量或所有 UDP 流量)或多個連接阜(使用逗號分隔)。 要組態新 Windows 防火牆使用某個連接阜範圍，您必須指定範圍中的所有連接阜。 例如，如果您希望組態連接阜範圍 1090-1095 的例外，您必須組態下列連接阜: 1090,1091,1092,1093,1094,1095.

　　可以組態特定檔案類型接頭的例外

　　使用現用的 Windows 防火牆，所有啟用的例外將套用於所有啟用了防護的接頭。 而使用新的 Windows 防火牆，您可以指定例外套用於所有接頭或是套用於特定檔案類型的接頭，這包括 LAN 接頭、遠端訪問接頭或無線接頭。 例如，如果某個應用程式只能通過遠端訪問連接訪問，而您不希望啟動 LAN 和無線連接的例外，那麼您可以組態僅套用於遠端訪問連接的例外。

　　可以根據檔案類型和程式碼來組態 ICMP 和 ICMPv6 流量的例外

　　使用現用的 Windows 防火牆，您可以啟用一組固定的 ICMP(用於 IPv4)和 ICMPv6 消息的例外。 而使用新的 Windows 防火牆，系統提供了一組常用的預定義排除的 ICMP 和 ICMPv6 消息，同時您可以通過指定 ICMP 或 ICMPv6 消息檔案類型和程式碼字段值來增加新的 ICMP 或 ICMPv6 消息。 例如，如果要為「ICMPv6 資料包太大」消息新增一個例外，則您可以手動為 ICMPv6 檔案類型 2 和程式碼 0 新增一個例外。

　　可以組態服務的例外

　　使用現用的 Windows 防火牆，您必須通過指定服務程式文件名路徑的方式來組態服務的例外。 使用新的 Windows 防火牆，您可以指定例外僅僅套用於服務或是特定服務(指定它的服務名，或者您可以按鍵輸入服務的短名稱)的任何工作。 例如，如果您想要組態僅套用於「電腦瀏覽器」服務的例外，您可以在電腦上執行的服務列表中選項「電腦瀏覽器」服務。


使用「帶有進階安全性的 Windows 防火牆」管理單元
　　要組態新 Windows 防火牆的進階設定，您必須通過執行以下操作將新的「帶有進階安全性的 Windows 防火牆」管理單元增加到 MMC 控制台中:
　　1.從 Windows Vista 或 Windows Server "Longhorn" 桌面上，按下開始，按鍵輸入 mmc，然後按 ENTER 鍵。
　　2.在 MMC 控制台視窗中，按下文件，然後按下增加/移除管理單元。
　　3.在可用管理單元列表中，按下帶有進階安全性的 Windows 防火牆，然後按下增加。
　　4.當系統提示選項要管理的電腦時，按下本地機電腦，按下完成，然後按下確定。
　　下圖顯示了「帶有進階安全性的 Windows 防火牆」管理單元的一個示例視圖。



　　要修改新 Windows 防火牆的狀態或是指定控制新 Windows 防火牆行為的其他設定、登入設定以及每個組態文件的 IPsec 設定，請右鍵按下樹中的帶有進階安全性的 Windows 防火牆，然後按下內容。下圖顯示了一個示例。

　　「帶有進階安全性的 Windows 防火牆」樹具有以下節點:
　　•入站例外 儲存於一組用於傳入流量的已組態的例外。
　　•出站例外 儲存於一組用於傳出流量的已組態的例外。
　　•電腦連接安全性 儲存於一組用於受保護流量的規則。
　　•監視 顯示有關當前防火牆例外、連接安全性規則和安全相關項的訊息。 在「群組原則編輯器」管理單元中檢視「帶有進階安全性的 Windows 防火牆」管理單元時不會顯示「監視」節點。
共5頁。 9 7 1 2 3 4 5 8 :

[psac]

當您選項樹中的「帶有進階安全性的 Windows 防火牆」節點時，將會顯示以下面板:
　　•概述 顯示域和標準組態文件的新 Windows 防火牆的當前狀態，包括哪個組態文件處於活動狀態。
　　•入門 提供有關新 Windows 防火牆函數的基本訊息，同時提供指向樹中節點的連接。
　　•連接和資源 提供指向新 Windows 防火牆的常用程序和主題的其他訊息的連接。
　　「操作」面板顯示當前樹中或詳細資料面板中所選節點的上下文表單指令。
　　新 Windows 防火牆組態由以下幾部分組成:
　　•入站例外
　　•出站例外
　　•電腦連接安全性規則
　　組態入站例外
　　要新增新的入站例外，請右鍵按下樹中的入站例外，然後按下新增例外。 您也可以按下樹中的入站例外，然後按下「操作」面板中的新增例外。
　　「新增入站例外」嚮導將會啟動。下圖顯示了一個示例。



　　從「新增入站例外」嚮導的「例外檔案類型」頁面中，您可以選項下列內容:
　　•程序 根據程式名稱稱指定傳入流量的例外。 您必須同時指定操作(允許、阻止或保護)、例外套用到的組態文件(標準、域或兩者)，以及例外的名稱。
　　•連接阜 根據 TCP 或 UDP 連接阜指定傳入流量的例外。 您必須同時指定操作(允許、阻止或保護)、例外套用到的組態文件(標準、域或兩者)，以及例外的名稱。
　　•預定義 根據某個預定義的服務指定例外，這包括「遠端協助」、「文件和列印機共享」、「遠端桌面」、「通用即插即用」(UPnP) 框架和 ICMP 請求回顯(第 4 版)。 您必須同時指定例外的名稱。
　　•自訂 新增一個不指定程序、連接阜或預定義服務的例外。 當您希望手動組態例外行為時(可能根據某些無法通過「新增入站例外」嚮導頁面而組態的進階設定)，可以選項此選項。 您必須指定例外的名稱。
　　完成「新增入站例外」嚮導後，詳細資料面板中會顯示一個使用您指定的名稱的新入站例外。 要組態例外的進階內容，請右鍵按下入站例外的名稱，然後按下內容。 您也可以按下此名稱，然後在「操作」面板中按下內容。
　　組態出站例外
　　要新增新的出站例外，請右鍵按下樹中的出站例外，然後按下新增例外。 您也可以按下樹中的出站例外，然後按下「操作」面板中的新增例外。
　　「新增出站例外」嚮導將會啟動。下圖顯示了一個示例。




Windows Vista中的新 Windows 防火牆
【2006-06-20 14:58】【】【TechNet】
　　從「新增出站例外」嚮導的「例外檔案類型」頁面中，您可以選項下列內容:
　　•程序
　　•連接阜
　　•預定義
　　•自訂
　　這些例外檔案類型與入站例外的例外檔案類型相同，只是它們用於傳出流量。
　　完成「新增出站例外」嚮導後，詳細資料面板中會顯示一個使用您指定的名稱的新出站例外。 要組態例外的進階內容，請右鍵按下出站例外的名稱，然後按下內容。 您也可以按下此名稱，然後在「操作」面板中按下內容。
　　從入站例外或出站例外的內容對話視窗中，您可以組態下列選擇項上的設定:
　　•一般 例外的名稱，例外套用到的程序，以及例外的操作(允許、阻止或保護)。
　　•使用權 如果例外的操作是保護，則電腦或用戶帳戶或組就有權建立受保護連接。
　　•傳輸協定和連接阜 例外的 IP 傳輸協定、源和目標 TCP 或 UDP 連接阜，以及 ICMP 或 ICMPv6 設定。
　　•範圍 例外的源和目標位址。
　　•進階 例外套用到的組態文件、接頭檔案類型和服務。
　　組態電腦連接安全性規則
　　要新增新的「電腦連接安全性」規則，請右鍵按下樹中的電腦連接安全性，然後按下新增規則。 您也可以按下樹中的電腦連接安全性，然後在「操作」面板中按下新增規則。
　　「新增身份驗證規則」嚮導將會啟動。下圖顯示了一個示例。



　　從「新增身份驗證規則」嚮導的規則檔案類型頁面中，您可以選項以下內容:
　　•隔離 根據一般 Active Directory 基礎結構中的成員關係，或是因為電腦具有一個更新和現用的執行狀況，指定電腦與其他電腦隔離。 您必須指定您希望在什麼時候進行身份驗證(例如，對於傳入流量或傳出流量，以及您希望要求或是僅僅請求保護)、受保護流量的身份驗證方法，以及規則的名稱。 根據電腦的執行狀況使用 Windows Vista 和 Windows Server Longhorn 中新的「網路存取保護」平台來隔離電腦。有關詳細資料，請參見 網路存取保護網站.
　　•身份驗證例外 使用 IP 位址的方式指定不必驗證身份或是保護流量的電腦。
　　•伺服器到伺服器 指定特定電腦之間的流量保護，通常是伺服器。 您必須使用 IP 位址的方式指定要交換流量的終結點，當您希望進行身份驗證時，還要指定受保護流量的身份驗證方法，以及規則的名稱。
　　•隧道 指定通過隧道方式保護流量，通常在 Internet 中的兩台安全網路閘道電腦之間傳送資料包時使用。 您必須使用 IP 位址的方式指定隧道終結點，同時指定身份驗證方法和規則的名稱。
　　•自訂 新增一個不指定保護行為的規則。 當您希望手動組態規則時(可能根據某些無法通過「新增身份驗證規則」嚮導頁面而組態的進階設定)，可以選項此選項。 您必須指定規則的名稱。
　　完成「新增身份驗證規則」嚮導後，「電腦連接安全性」節點的詳細資料面板中會顯示一個使用您指定的名稱的新規則。 要組態規則的進階內容，請右鍵按下規則的名稱，然後按下內容。 您也可以在詳細資料面板中按下規則名稱，然後在「操作」面板中按下內容。
　　從規則的內容對話視窗中，您可以組態下列選擇項上的設定:
　　•一般 規則的名稱和描述。
　　•電腦 要保護流量的電腦組(使用 IP 位址指定)。
　　•身份驗證 您希望在什麼時候對流量保護進行身份驗證時(例如，對於傳入流量或傳出流量，以及您希望要求或是僅僅請求保護)以及受保護流量的身份驗證方法。
　　•進階 規則套用到的組態文件和接頭檔案類型，以及 IPsec 隧道行為。

[psac]

以映射為基礎：Vista將採用全新安裝方式

昨天,微軟澳大利亞Windows客戶端專家John Pritchard接受apcstart.com的採訪, 為大家詳細講解了Vista嶄新的"映射為基礎"的安裝和制作備份方式.Windows Vista愛好者請關注此文。

　　安裝過Vista Beta 2的網友已經發現,雖然新作業系統的安裝碟容量高達2.5G左右,但Vista的安裝時間並沒有長的過於嚇人。這要歸功於全新的"映射"為基礎的安裝方式。

　　Vista的"image based install"意味著在安裝文件DVD中包含的是一個預安裝好的Vista系統的映射文件--install.wim。新的WIM文件是一種類似ghost文件的磁牒映射文件,不同之處在於WIM文件是關於文件的,而不會像關於磁牒的GHO文件那樣,在恢復時必須抹除原磁牒的全部內容。Vista系統進一步抽像了硬體抽像層(HAL),這是能做到同樣的映射可以在不同平台電腦上佈署的主要原因--但不能在32位與64位系統間轉移映射。

　　用戶可以自己用包含在Windows Automated Installation Kit中的ImageX程序去建立或者解開自己的系統映射--就像用ghost做的那樣。這個映射不是不可改變的,而是可以像ghost文件一樣用一個特殊的文件瀏覽器檢視或修改映射中的文件,並可以用微軟提供的工具往映射中的系統增加驅動程式和系統修正檔等。用戶還可以選項使用高度壓縮選項來進一步減少映射文件的體積(安裝DVD中使用的是標準壓縮)。

　　在以映射為基礎的安裝方式下,保留現有系統設定的昇級安裝將依靠更強大的"文件和組態轉移嚮導"來實現,恢復的程序將是全自動的。不僅如此,用戶還可以用一個比以往更強大的unattend.xml文件來訂製幾乎全部的系統設備,並指定在系統安裝完畢後自動執行的一系列動作--就像國內流行的整合版XP那樣。

　　新的Windows Automated Installation Kit中不但會包含ImageX,還會包含一個產生unattend.xml的GUI嚮導程序和180兆大的WinPE 2.0,後者將是一個指令行的簡單作業系統,就像XP的故障恢復控制台,但更強大。但不幸的是,Windows Automated Installation Kit是否會隨安裝碟免費提供,"還在決策中"

　　總之,訪談提供的訊息是令人振奮的,安裝方式的改動,解決了長期困擾很多電腦愛好者瘋狂重裝時遇到的夢魘,讓我們一起祝願美麗的Vista早日上市吧!

[psac]

以鏡像為基礎：Vista將採用全新安裝方式

昨天,微軟澳大利亞Windows客戶端專家John Pritchard接受apcstart.com的採訪, 為大家詳細講解了Vista嶄新的"鏡像為基礎"的安裝和備份方式.Windows Vista愛好者請關注此文。

　　安裝過Vista Beta 2的網友已經發現,雖然新操作系統的安裝盤容量高達2.5G左右,但Vista的安裝時間並沒有長的過於嚇人。這要歸功於全新的"鏡像"為基礎的安裝方式。

　　Vista的"image based install"意味著在安裝文件DVD中包含的是一個預安裝好的Vista系統的鏡像文件--install.wim。新的WIM文件是一種類似ghost文件的磁碟鏡像文件,不同之處在於WIM文件是基於文件的,而不會像基於磁碟的GHO文件那樣,在恢復時必須抹除原磁碟的全部內容。Vista系統進一步抽像了硬體抽像層(HAL),這是能做到同樣的鏡像可以在不同平台電腦上部署的主要原因--但不能在32位與64位系統間轉移鏡像。

　　用戶可以自己用包含在Windows Automated Installation Kit中的ImageX程式去建立或者解開自己的系統鏡像--就像用ghost做的那樣。這個鏡像不是不可改變的,而是可以像ghost文件一樣用一個特殊的文件瀏覽器檢視或修改鏡像中的文件,並可以用微軟提供的工具往鏡像中的系統新增驅動程式和系統修正檔等。用戶還可以選擇使用高度壓縮選項來進一步減少鏡像文件的體積(安裝DVD中使用的是標準壓縮)。

　　在以鏡像為基礎的安裝方式下,保留現有系統設置的升級安裝將依靠更強大的"文件和配置轉移嚮導"來實現,恢復的過程將是全自動的。不僅如此,用戶還可以用一個比以往更強大的unattend.xml文件來訂製幾乎全部的系統部件,並指定在系統安裝完畢後自動執行的一系列動作--就像國內流行的整合版XP那樣。

　　新的Windows Automated Installation Kit中不但會包含ImageX,還會包含一個產生unattend.xml的GUI嚮導程式和180兆大的WinPE 2.0,後者將是一個命令行的簡單操作系統,就像XP的故障恢復控制台,但更強大。但不幸的是,Windows Automated Installation Kit是否會隨安裝盤免費提供,"還在決策中"

　　總之,訪談提供的訊息是令人振奮的,安裝方式的改動,解決了長期困擾很多電腦愛好者瘋狂重裝時遇到的夢魘,讓我們一起祝願美麗的Vista早日上市吧!

[psac]

Windows Vista演示「胡言亂語」

在本周Redmond的演講上，微軟工作人員針對Vista的語音識別系統進行了演示。讓與會者大跌眼鏡的是，此次Demo堪稱100％失敗，Vista的語音識別系統完全不買工作人員的帳，出現嚴重識別錯誤。

　　微軟工作人員以極為標準的美語試圖讓Vista正確識別「Dear Mom」這個短語的發音，然而，微軟開發五年，投入數十億美元的Vista將工作人員的努力識別為「Dear aunt，let's set so double the killer delete select all」－－其實我們也不知道Vista在說什麼。　　

　　華爾街分析師表示，微軟此次公開Demo演示讓投資者、公眾對Vista的信心再次「受挫」。　　

　　Vista說：「Let』s set so double the killer delete select all.」

[psac]

Windows Vista內置防刪除系統

微軟剛剛披露，Windows Vista操作系統將內置防刪除系統，該系統建立在Windows 2003的VSS（"volume shadow copy"）技術基礎之上。　　

　　該系統名為「Previous Versions」，允許最終用戶查找/恢復文件的較老版本或被刪除的文件版本。　　

　　這項特性將在Vista中預定啟動，在實際使用中用處極大－－你再也不必擔心在進行文檔編輯時不小心覆蓋重要文檔內容，或誤刪除重要文件－－但是對於敏感資料保密用戶來說則需要多加注意，利用專用軟件刪除敏感文件。　　

　　在以前的防刪除系統中，一旦文件原分區被覆蓋，恢復難度就不是系統元件可以處理的，但是在Vista新防刪除系統中，正常操作下，文件修改、刪除後存儲分區被覆蓋的幾率幾乎為零。

[psac]

在XP上安裝Vista終端服務客戶端

在WinXP上安裝Vista RDP客戶端是一種痛苦，這篇文章將告訴你成功安裝的每一步。　　

　　如果我們當中有一些朋友使用Vista操作系統，使用它的遠端桌面客戶端mstsc.exe，並且使用一個寬頻顯示器，就會發現相比標準Windows XP Pro版的mstsc.exe RDP客戶端， Vista的有一個明顯的優勢！寬屏！是的，非常正確！和正常的微軟Windows XP mstsc 程式不同，Vista版本的這個程式考慮到電腦螢幕的充分使用，特別是你再使用一個寬屏顯示器，比如DELL的或其他這樣的一些設備。　

　　但是應該如何安裝呢？如果你只是簡單的用Vista版本的mstsc.exe文件替換XP中的這個文件的時候，它只會在使用的時候出現錯誤而終止。　　

　　下面我教你如何安裝（X86系統）：　　

　　將Vista中的這四個文件拷貝出來

　　mstsc.exe

　　mstscax.dll

　　mstsc.exe.mui

　　mstscax.dll.mui

　　重命名你XP操作系統windows\system32目錄下的這兩個文件：mstsc.exe和mstscax.dll。

　　拷貝並貼上去新的Vista版本的mstsc.exe和mstscax.dll文件到你的system32目錄。

　　在你的system32目錄下，新增一個新的目錄：「en-US」（不含引號）。

　　拷貝和貼上去mstsc.exe.mui和mstscax.dll.mui文件到這個en-US資料夾中。

　　像往常一樣執行mstsc.exe，你已經正常使用了，下面你就盡情享受Vista 遠端桌面客戶端給你的帶來的全新體驗吧！

[psac]

深度體驗:Win Vista最酷的五大功能

　　我在對Vista的一些新功能進行了一番快速瀏覽，在這段時間內，我發現了五個令人印象深刻的功能:

　　1. Longhorn服務器核心

　　我在一個用戶動手實驗室裡瞭解這個功能，並且花費了一點時間去適應它。我作為管理員登入並且服務器展示出來一個不同尋常的界面，在螢幕上唯一的東西就是藍色的背景桌面和兩個命令視窗——沒有任務欄、開始表菜單，也沒有公告欄和桌面圖示。除了兩個命令視窗之外什麼都沒有。

　　之後一個介紹者說他們設置兩個命令視窗在這兒有原因的——在一些情況下你偶然關閉了其中的一個，你還能有另外一個用來工作。這個比較適合滿足那些有遠端服務器或者域控制器並且需要經常管理它們的人使用，往往他們向微軟抱怨需要一些有最小用戶界面的產品。我檢視了一下*.msc文件來找snap-ins但是並沒有找到。在這個實驗室裡有一些例子來啟始我進行安裝DNS、動態主機配置協議(DHCP)和其它服務器相關的使用適當合適隱藏命令的服務。事實上，MCT實驗室助手必須聯繫微軟工程師去找出哪些命令確切地被使用。我確實注意到能使用DCpromo來安裝域控制器，但是必須使用無人應答文件，因為這兒沒有UI。同樣需要說明的是，這些服務器能夠從一個完全功能的Longhorn服務器，通過snap-ins和其它如我們在之前的Windows版本中哪些工具來管理。

　　這的確是一個有趣的觀念——我們將看到很多管理員從中獲得好處。

　　2. Vista組策略

　　在Windows 2003中，微軟說明大概有1800個基於註冊的配置，加上更多在安全、IE和其它範圍。他們期待Vista增加大概700個可以進行的配置，我猜想Longhorn服務器將增加更多的。所以，可能大概2500個。很難想像Windows NT 4.0僅僅有大概79個。在組策略中有非常酷的一些功能，這將幫助管理員完成相應的任務。

　　微軟宣佈組策略管理控制台(GPMC)工具將作為自帶的工具整合在Vista和Longhorn服務器的操作系統內。推薦者向我們說明很多管理員仍然視GPMC為「非常易於使用」的工具，但是一些因為它是一個需要額外下載的工具，所以有時候並不願使用它。我的工作是和用戶一起解決組策略問題，我向他們強調如果他們不安裝GPMC，我將不幫助他們——GPMC將使工作變得簡單。

　　任何不得不編寫用戶ADM文件的管理員將很高興知道舊的ADM語法將被新的ADMX取代的消息，ADMX是一種基於XML格式、用來創建用戶ADM文件的語法。ADMX文件與ADM文件相比要明顯地減小4兆以上。Vista將配置ADMX文件，這也是老的ADM文件的擴展。ADM和AMDX文件將共存，並且ADMX文件能夠以中央存儲的形式被集中控制在一個單獨的客戶端或者服務器中的一個新的目錄中。
　　3. 只讀域控制器(RODC)


　　第一眼看上去，好像微軟重新發明了備份域控制器(BDC)。只讀域控制器(RODC)的想法很接近服務器核心，即在遠端站點創建一個受限制的域控制器以簡化管理和恢復失敗的事件。

　　只讀域控制器(RODC)有一個變得更小的NTDS.DIT文件，這樣可以幫助你正確在那些網速連接很慢的遠端站點安裝域控制器。用戶可以通過快取記憶體證書登入。安全密鑰可以從一個完全功能的Longhorn域控制器中拷貝出來，並且存儲到只讀域控制器(RODC)中，類似通用組成員快取記憶體在Windows Server 2003上工作的方式。

　　只讀域控制器(RODC)在分支部門部署方面將是一個很好的補充。微軟承諾在Longhorn Beta 2發佈時將有相應的完全的白皮書公佈。

　　4. BitLocker全卷加密(BDE)

　　BitLocker全卷加密(BDE)有可能成為一個重量級的安全功能。經常有些爭論是關於部署域控制器或者服務器在遠端位置是否在物理安全方面無能為力。不久前，我讀到一篇文章，這是關於一個高技術竊賊闖入一個銀行，卻並沒有動銀行的錢，而是從全球目錄服務器中偷走了硬碟的事件。當然最近的一些事件也有關於存放可能給所有者造成巨大損失的資料的筆記本電腦丟失或者失竊的例子，這些都使保護這些重要的資料變得更加重要。

　　BitLocker功能可以在一個電腦內鎖定硬碟到系統版面，這個非常類似文件安全的公鑰/密鑰的工作方式——密鑰或者Ping。為了防止硬碟被安裝到另一個系統，以致資料丟失，如果沒有正確的信任證書，即使從另外的硬碟操作系統啟動或者使用黑客軟件來破解Windows文件和系統安全，也無法訪問這些資料。
　　5. 可重啟活動目錄(Restartable Active Directory)

　　這是一個非常酷的概念，可重啟活動目錄(Restartable Active Directory)允許活動目錄重啟而不用服務器重啟。你可以通過一個命令行或者MMC來完成重啟。這樣可以節約你線上操作的時間，比如在進行活動目錄離線磁碟整理時候就不用讓服務器離線並且關閉其它服務和應用程式。

　　這樣對於在遠端站點部署幾個服務器尤其重要。 例如，你如果在一個單一服務器上有Exchange 服務器、全局目錄(Global Catalog)、文件和印表服務和應用程式等，同時這也是一個域控制器(DC)，執行域控制器故障診斷、修復以及離線操作等能夠在服務器和其它應用程式執行的情況下完成，然而你的活動目錄需要離線。這將非常有趣，如果你的可重啟活動目錄(Restartable Active Directory)將防止Exchange受到活動目錄癱瘓的影響——例如，無需影響Exchange就可以重新創建活動目錄。

[psac]

微軟IE7.0瀏覽器需要正版驗證

　Microsoft日前在網頁上詳細描述了IE7自動更新的安裝過程，並明確指出安裝IE7必須要通過正版驗證。

　　"為了讓用戶更加安全和更加方便，在Internet Explorer 7發佈後(計劃2006年Q4發佈)，Microsoft將通過Automatic Updates,Windows Update和Microsoft Update網站以高度優先方式來散發Internet Explorer 7。Internet Explorer 7將支持正版Windows XP SP2，Windows XP 64bit和Windows Sever 2003 SP1。"

　　顯然，Win2K不再IE 7支持之列。

　　在用戶點擊自動更新後，有三種選擇:

　　-Install，安裝過程將開始，需要Windows正版驗證，重啟後完成安裝

　　-Don't Install，IE7將不會安裝，但是管理員仍然可以隨時通過Windows Update,Microsoft Update或者從Microsoft下載中心直接下載IE7安裝

　　-Ask Me Later，IE7暫時不會安裝，但是自動更新將在24小時內通知用戶有重要更新

　　IE7將取代IE6，但是，如果用戶希望回到IE6，那麼可以通過Windows控制台的新增/刪除程式卸載IE7。

[psac]

實戰破解WinVista Beta2的本機密碼

·實戰破解WinVista Beta2的本機密碼（1）
　　人們常常遇到破解本機Windows 2000/XP密碼的問題，可參考的資料卻非常少。這些年來，我在這方面做了些工作，為了更好地理解本文所講述的內容，您可以通過這些鏈接來參考文本資料和視頻資料。

　　文本:

　　http://www.irongeek.com/i.php?page=s.../localsamcrack ;

　　http://www.irongeek.com/i.php?page=s...localsamcrack2

　　視頻:

　　http://www.irongeek.com/i.php?page=v...amdump2auditor

　　http://www.irongeek.com/i.php?page=v...sswordCracking ;

　　體驗Windows Vista Beta 2的時候，我想看看破解本機賬號密碼的那些老工具是否仍舊起作用。看起來，微軟好像改變了Vista中執行的SAM文件和SYSKEY，這樣以前用在NT 4/2000/XP上的破解方法就不再起作用了。很快，我發現大多數現有的工具都不再起作用了，比如說，Ophcrack 2.3、Cain 2.9、SAMInside 2.5.7.0、Pwdunp3等。看到安全級別的提升，我們當然非常高興，但破解本機密碼總是比較有趣的事情，並且有時也是有用的。當我試圖從SAM和SYSKEY文件的復件破解本機密碼時，我遇到了以下錯誤提示:

　　Ophcrack:

　　"Error: no valid hash was found in this file"

　　Cain:

　　"Couldn』t find lsa subkey in the hive file."

　　雖然像Sala』s Password Renew這樣的工具可以通過Bart』s PE boot CD改變Vista的密碼，或者是創建全新的管理員賬號，但有時，你需要知道當前的管理員口令。有以下三個原因需要你知道當前的管理員口令而不是改變成新的口令:

　　1.黑客並不想被系統管理員發現。如果管理員發現原來的口令不能進入系統，那麼他們會懷疑的。

　　2.同樣的口令可能還要用在網路上的其它系統。如果黑客破解一台機器的管理員口令，可能他用同樣的口令就可以訪問局域網上其它的機器了。

　　3.為了訪問用Windows EFS(Encrypted File System)加密的訊息。改變賬號的口令可能會導致這些訊息的丟失，不過我覺得Sala的工具可能可以做這項工作而不會丟失加密密鑰，因為它是用一項Windows服務來改變本機口令的。

[psac]

·實戰破解WinVista Beta2的本機密碼（2）
　　另外需要注意的是，Vista Beta 2預定的LM哈希存儲沒有啟動，所以你所能夠得到的只是NTLM哈希，後者比前者難破解得多。還有Windows Vista新的BitLocker特性，如果這一功能開啟，本文所講述的所有辦法都將無濟於事，這個我們以後再談。

　　起初，我覺得要破解Vista的密碼，希望還真是不大。但經過在網上搜索後，我發現如果有好的工具，還是可以破解本機密碼的。Elcom Soft的員工已經加入了對Vista SAM和SYSTEM的支持，體現在他們的「Proactive Password Auditor 1.61」工具中。很不幸，PPA是一個商業應用程式，不過他們提供一個60天的使用版。既然Elcom已經研究出了怎樣做，我相信，在不久的將來，像Cain和Ophcrack這樣的免費工具也可以做同樣的事。下面我們將介紹用PPA破解本機Windows Vista Beta 2密碼的具體步驟。

　　你需要能夠讀取Windows Vista安裝的驅動。對於NTFS驅動，我用Knoppix (http://www.knoppix.org/)和PE Builder(http://www.nu2.nu/pebuilder/)試過�...�字母吧)。


　　接下來開啟PPA，並按以下步驟執行:

　　1.選中哈希標籤下面標有「Registry files (SAM， SYSTEM)」的單選框，然後點擊dump。

　　2.選擇你將要用到的SYSTEM和SAM文件，然後點擊「Dump」按鈕。

　　3.在Dump階段，PPA自動做一個簡單的暴力攻擊，也許在這一步，你的密碼就已經被破解了。如果還沒有破解，那麼選擇攻擊類型，把哈希類型換成「NTLM attack」，因為沒有LM哈希。我選擇字典攻擊，點擊「Dictionary list…」按鈕。

　　4.確保你想要破解的賬號被選中。

　　5.現在就只需要點擊表菜單上的「Recovery->Start recovery」，然後等著，好的結果馬上就會出現。

　　如果密碼足夠簡單，你應該就可以用破解的密碼進行下一步的工作了。不過需要牢記的是，不能保證可以攻破所有的密碼。如果密碼不在你的字典中，那麼你需要求助於暴力攻擊。

[psac]

不要對Vista的性能抱太大期望（視頻）


上周Microsoft在美國Redmond舉行的一次季末總結大會上，當工程師在演示Windows Vista+Office2007的語音識別輸入功能時，Vista表現卻非常糟糕，當工程師說「Dear Mum」時，螢幕上卻出現了「Dear aunt」，隨後工程師試圖通過語音控制來刪除前面錯誤的字元時，螢幕上卻再次出現了一段不相關的話了，引來的全場的笑聲一片。事後有記者就相關問題採訪了微軟的工程師，其表示「以前的Vista語音識別演示都是在小的會議室進行的，這是第一次在大的禮堂進行Vista+Office2007的語音識別演示，可能是現場的噪音對識別有一定的影響。」
看視頻請到原文地址：http://www.cemsg.com/read.php?id=a_20060806_090425