遇見 Windows Vista:新功能概觀
作者: 賴榮樞
http://www.goodman-lai.idv.tw
--------------------------------------------------------------------------------
Windows Vista 的確重新翻修了 Windows,從視覺外觀的操作介面到驅動程式架構,全都重新修改過(但是依然可相容 Windows 2000 和 XP 的驅動程式),而且也加強了系統的安全防禦能力,以及更易於使用的桌面部署功能,當然也包括很多實用的功能與應用程式。本文將從六個版本切入 Windows Vista 的新功能,並且針對安全、部署、應用程式相容性等議題多加著墨。
剖析 Windows Vista 六種版本
針對市場需求及目的,微軟將 Windows Vista 分成兩類、六種版本;雖然目前的 Windows XP 也是兩類、六種版本,但 Vista 與 Windows XP 的版本分類思維有所不同。
Windows XP 產品的兩種類型分別是 Home 和 Professional,Starter(針對新興市場的版本,未在台灣上市)、Home、Media Center 屬於 Home,而 Professional、Tablet PC、x64(有在台灣上市但沒有正體中文版)屬於 Professional(此外還有兩種特殊版本:用於工業電腦或即時系統的 Windows XP Embedded,以及不含 Windows Media Player 且僅供歐洲地區出貨的 Windows XP)。
Windows Vista 的兩種類型與 Windows XP 類似,是家用消費市場和商用環境,而 Windows Vista Business 和 Windows Vista Enterprise 屬於商用環境,Windows Vista Home Basic、Windows Vista Home Premium、Windows Vista Ultimate 和 Windows Vista Starter 等四個版本屬於家用消費市場。
Windows Vista 也展現了微軟支援 x64 的決心,因為除了 Windows Vista Starter,其他五種 Windows Vista 版本都會有 32 位元和 x64 版本。這些版本的說明如下。
Windows Vista Starter
這是針對新興市場推出的版本。這個版本企圖以較低價格打進市場,但相對的所提供的功能也比較少,例如只能同時執行三個程式(或視窗)、不支援登入密碼或快速使用者切換、只支援 Windows Vista Basic 使用者介面、不支援微軟新的家用網路功能、不提供 DVD Maker 程式等等,此外,Windows Vista Starter 也只會提供 32 位元版本,而沒有 x64 版本。
Windows Vista Home Basic
如同其名,這是 Windows Vista 的家用基本版,這個版本大致上相當於 Windows XP 家用版,適合網頁瀏覽、電子郵件收發、即時通訊、播放音樂或影片、或者是文件編修等用途。
這個版本包含的功能,也都能在其他版本找到,例如 Windows 防火牆、Windows 安全資訊中心、無線網路、Movie Maker、Windows Media Player、Messenger,以及 Windows Vista 新增的 Welcome Center、Search Explorer、Sidebar、家長控制(Parental Controls)、防止垃圾郵件/病毒/間諜軟體、相片瀏覽等功能。如同 Windows Vista Starter 的是,這個版本只支援 Windows Vista Basic 使用者介面。
Windows Vista Home Premium
Windows Vista Home Premium 除了包含 Windows Vista Home Basic 所具備的功能,最大的特色就是加強了數位娛樂的功能,也就是包含了原本 Windows Media Center 版本的功能,例如播放影片、音樂、電影,或者觀賞、錄製電視節目(包括高解析電視節目),而且也能以有線或無線網路連接 xbox 360,讓 xbox 360 能夠播放來自 Windows Vista Home Premium 的影音內容。
這個版本除了加強搜尋功能,可用來搜尋電腦裡的數位影音或相片、文件,也整合了 Windows Tablet PC 技術,讓使用者能以數位筆取代鍵盤或滑鼠,利用手寫的筆跡作為輸入的資料。此外,這個版本也加強了行動運算的能力,內含離線資料夾、資料同步管理、Wi-Fi 自動設定。
這個版本如同具備手寫筆跡辨識功能的 Windows Media Center,同時兼具娛樂、行動、連線的能力,因此除了適合裝在筆記型電腦,也很適合玩家使用。這個版本支援 Windows Aero 使用者介面。
Windows Vista Business
Windows Vista 有兩個針對商用環境設計的版本,Windows Vista Business 是其中一個。這個版本除了考量了企業 IT 資訊環境的需求,加強了諸多網路管理功能、遠端桌面,也內建了 Web 伺服器、檔案加密保護功能。這個版本也能支援 Windows Aero 使用者介面,提供更精緻的 3D 視覺效果,以提高使用者更好的電腦操作方式。這個版本相當於原本的 Windows XP Professional,並且增加了 Windows Vista 新的搜尋功能,以及新的文件分類、組織功能。此外,這個版本也整合了 Windows Tablet PC 技術,讓使用者能以數位筆取代鍵盤或滑鼠,利用手寫的筆跡作為輸入的資料。
Windows Vista Enterprise
針對企業所設計的 Windows Vista Enterprise,包含了 Windows Vista Business 的功能,而且只以大量授權的方式提供給企業。這個版本比 Windows Vista Business 多了 Virtual PC Express、多國語系介面、磁碟加密保護(稱為 Windows BitLocker Drive Encryption,可防止電腦遭竊而使得機密資料落入他人之手)、UNIX 程式子系統(可執行 UNIX 程式)等額外的功能。
Windows Vista Ultimate
這個版本包含了 Windows Vista Home Premium 和 Windows Vista Business 的功能,不僅同時兼具數位影音娛樂和商用行動運算功能,也是同時具備桌上型電腦與行動運算能力的 Windows Vista 版本。
不同版本的功能差異
大多數的功能都能在不同的 Windows Vista 版本找到,例如 32 位元系統所支援最大的主記憶體數量都是 4 GB;但有些功能卻只在某些才有,例如 Home Basic 和 Home Premium 支援的分級控制家長監護功能,Business 和 Enterprise 版本並不提供,以下將簡述這類不同版本的功能差異。
64 位元系統所支援最大的主記憶體數量:Home Basic 支援到 8 GB、Home Premium 支援到 16 GB,Business、Enterprise、Ultimate 則支援 128 GB 以上。
以下是只有 Enterprise 和 Ultimate 版本支援的功能:
Windows BitLocker Drive Encryption
同時安裝多重使用者介面語言
UNIX 程式子系統
Virtual PC Express
以下是只有 Home Premium 和 Ultimate 版本支援的功能:
佈景主題頭影片放映
Windows Media Center
Media Center Extender
Movie Maker HD
Windows DVD Maker
此外,以下是兩種家用版不支援、但其他三種版本支援的功能:
支援 SMP 雙處理器運作
Windows ShadowCopy
系統映像備份與還原
加密保護檔案系統
管理網路的桌上型電腦部署工具
以群組為基礎的網路服務品質
Windows Rights Management Service 用戶端
Control over installation of device drivers
Network Access Protection Client Agent
Pluggable logon authentication architecture
智慧卡管理
Windows 傳真及掃瞄
無線網路佈建
Windows 網域功能
群組原則
離線檔案及資料夾
用戶端快取
漫遊使用者設定檔
資料夾重新導向
群組原則集中電源管理
IIS
新的安全功能
微軟非常瞭解「安全」的重要,也一直致力加強軟體的安全。尤其在 Windows Vista,微軟更是傾全力提升其安全性,並新增許多安全功能。這些新的安全功能包括了新的加密保護 API(Crypto NextGen,CNG)、限制系統服務的存取權限、版權管理服務(Rights Management Services,RMS),以及能夠抵禦間諜軟體的 Windows Defender。除此之外,還有使用者帳戶控制、資料虛擬化,以及兩種資料加密保護的方式。
使用者帳戶控制
使用者帳戶控制(User Account Control,UAC)應該引起相當討論的 Windows Vista 新功能,這項功能主要的目的,是希望藉由降低使用者的權限,已增加電腦環境的安全,而若使用過程遇到需要較高權限的操作或程式,系統再詢問使用者是否要提高權限,若不願提高權限,就無法完成該項操作或程式,而且提高權限也僅止於該項操作或程式,而非整個系統。
讓我以實例說明。當使用者登入系統時,UAC 就會開始運作。假設有一位 Administrators 群組的成員登入 Windows Vista 系統,登入時,系統的 Local Security Authority 服務會注意到這位使用者屬於 Administrators 群組,並且將濾過的存取權證給予這位使用者,濾過的存取權證看起來就像 User 群組的存取權證,也稱為標準使用者存取權證,並且也是預設的存取權證。
這種預設的標準使用者存取權證能用來啟動桌面、explorer.exe,而且任何 explorer.exe 的子行程,都能繼承到標準使用者存取權證。如果是 User 群組成員登入系統,所取得也是標準使用者存取權證。如果使用者遇到需要較高權限才能完成的操作或程式,Windows Vista 系統就會提示、詢問使用者;如果使用者是 Administrators 群組的成員,系統會以交談窗詢問使用者是否同意讓該項操作或程式取得較高的權限;如果使用者是 User 群組的成員,系統會以交談窗要求使用者輸入具管理者權限的使用者帳戶及密碼才能繼續操作。
在過去,許多使用 Windows 的商用環境經常不得不讓一般使用者擁有管理者權限,而若啟用使用者帳戶控制這項功能,就能讓 Windows Vista 電腦包括管理者在內的所有使用者,預設都以標準使用者存取權證執行系統操作和程式,以免不明程式擁有過高的權限而影響系統安全。
資料重導
若以標準使用者權限執行,許多需將資料寫到像 %ProgramFiles% 資料夾或 HKEY_LOCAL_MACHINE\Software 機碼的應用程式,都會發生錯誤,因為這類物件的存取控制清單(access control list)並不允許標準使用者帳戶將資料寫入。因此 Windows Vista 再以資料重導的方式解決無法寫入的問題;資料重導也稱為資料虛擬化。
資料重導是檔案系統和登入資料庫的驅動程式,若有程式要將資料寫入上述物件,資料重導會將寫入的資料重導到使用者資料夾,讓標準使用者帳戶不需要改變系統設定,就能繼續執行那些需要寫入特定系統保護區域的應用程式。
加密保護檔案系統
加密保護檔案系統(Encrypting File System,EFS)雖然不是 Windows Vista 的新功能,但是 Windows Vista 重新設計這項可以加密保護磁碟和檔案的功能。新的改良包括能夠完全支援儲存在智慧卡裡的私密金鑰,如果使用者是以智慧卡登入 Windows Vista,EFS 就能以這把私密金鑰來加密保護檔案,而系統管理者甚至可以將網域的復原金鑰存放在智慧卡。若以智慧卡的私密金鑰讓 EFS 加密保護檔案,只要再以相同的智慧卡登入 Windows Vista(本機登入或遠端桌面皆可),就能直接存取加密保護的檔案。EFS 也與公開金鑰基礎建設(Public Key Infrastructure,PKI)更為緊密整合,並且支援PKI金鑰復原、資料復原。這個版本的EFS甚至能加密保護 Windows 分頁檔,而且也提供了若幹工具,例如能讓管理者調整 EFS 設定的群組原則工具。
BitLocker
除了 EFS,Windows Vista 也新增了稱為 BitLocker 資料加密保護功能。BitLocker 需要與支援「可信賴平台模組」(Trusted Platform Module,TPM)1.2 的晶片(與相容的 BIOS)搭配。可信賴平台模組將會實作成內建於電腦主機板的微晶片,除了可以更安全的方式儲存金鑰、密碼和數位憑證等資料,有效防止外部軟體侵入竊取這些重要的機密資料,也可以配合軟體,發揮保護硬碟資料的功效。此外,BitLocker 會對 Windows Vista 系統內所有的磁碟區(volume)進行加密保護處理,防止攻擊者以侵入 Windows 系統的方式存取電腦裡的資料;如果電腦遭竊,BitLocker 就能防止硬碟裡的資料外洩。BitLocker 並不會影響合法使用者操作電腦內的檔案,並且易於 IT 人員部署與管理。
為了防止攻擊者在不進入 Windows 的情況下(例如將硬碟換裝到別部電腦),利用復原工具或駭客工具侵入磁碟取得檔案,BitLocker 將以確保系統開機完整性的方式,使用者都必須經過完整而正確的開機程式,並且搭配存放在可信賴平台模組晶片中的金鑰、密碼、數位憑證,才能存取硬碟裡的檔案;如果開機的過程不完整、不正確,或者硬碟內受保護的檔案遭到更改,都將無法啟動 Windows Vista,也就無法使用硬碟裡的檔案。
也因為 BitLocker 會對 Windows Vista 系統內所有的磁碟區進行加密保護處理(對稱加密保護金鑰是存放在可信賴平台模組晶片裡),因此磁碟區裡的所有檔案都會被加密保護,包括使用者的資料檔案、使用者所安裝的應用程式檔案、Windows Vista 的系統檔案,甚至 Windows Vista 系統的休眠檔案、分頁檔案、暫存檔案、當機所產生的記憶體傾印檔案也都會被保護。
此外,BitLocker 還具備了資料快速銷毀功能,只要刪除可信賴平台模組晶片裡的金鑰,就會無法存取安全開機加密保護磁碟區裡的檔案。這項功能可以用來快速刪除資料,也等於是以寧為玉碎不為瓦全的方式,防止資料落入敵方陣營手中(反之,使用者也必須小心謹慎儲存金鑰)。
如果是不含可信賴平台模組晶片的 Windows Vista 電腦,還是能具備 BitLocker 的功能,而這種情況是將金鑰存放在 USB 隨身碟,因此存放金鑰的隨身碟必須在開機前就插入電腦,而且電腦還是必須具備支援這項功能的 BIOS,才能在開機時讀取隨身碟裡的金鑰。
雖然微軟的 NTFS 檔案系統原本就提供了資料加密保護的功能,而 BitLocker 也提供了資料加密保護功能,但是 BitLocker 並非是要取代 NTFS 檔案系統的加密保護功能,這兩項加密保護功能反而會相輔相成:NTFS 檔案系統的加密保護功能是針對特定檔案或資料夾提供加密保護保護,而 BitLocker 是對 Windows Vista 的磁碟區進行加密保護保護。
新的部署功能
作業系統的部署是微軟不斷為 Windows 改善的功能之一,從遠端安裝服務(Remote Installation Services,RIS)、商業桌面部署(Business Desktop Deployment)、到 Windows 自動化安裝套件(Automated Installation Kit,Windows AIK),每一項技術都是會了減輕 IT 人員部署 Windows 桌面的負擔。
IT 人員可利用 Windows AIK 產生 XML 格式的自動安裝檔案,讓所有的部署程式只需要一種自動安裝檔案格式(這能簡化目前 unattend.txt、Winboom.ini、Sysprep.inf 等多種自動安裝檔案),然後再利用 Ximage 根據所產生的自動安裝檔,建立 Windows Vista 映像檔(Windows Image,WIM);系統映像管理者(System Image Manager,SIM)則是管理這種映像檔的工具。
Windows Vista 採用的 WIM 檔案架構映像格式,允許將多種映像存於單一檔案內,因此只需要單一映像檔就可滿足各種硬體設定的安裝,包括桌上型電腦、筆記型電腦、平板電腦。這種格式也具備壓縮功能,可以大幅降低 WIM 檔案的容量。IT 人員也能將 MUI(多語言使用者介面)加入映像檔,以部署不同語系的 Windows Vista,或者是部署具備 MUI 功能的 Windows Vista,而使用者也能在電腦所安裝的語言之間切換不同的語系。
Windows Vista 也具備非破壞型映像處理的能力,提供簡易的就地移轉,可確保安裝 Windows Vista 時,使用者資料和狀態、設定等資訊仍可儲存於硬碟。
應用程式相容性
如果新的系統無法與舊有的應用程式相容,代表舊有的應用程式投資都將泡湯,這會嚴重影響使用者生即到新系統的意願。為了讓使用者順利升級、移轉到 Windows Vista 系統,應用程式相容性是 Windows Vista 開發過程中,備受各方矚目的重點。
Windows Vista 將會透過 Program Compatibility Assistant 自動進行基本的相容性變更,適用於 Windows Vista 的 Application Compatibility Toolkit 5.0 將協助 IT 人員瞭解應用程式清單、找出需要提高相容性的應用程式、建立並部署這些應用程式的修復專案;若應用程式的相容性問題一時無法排除,可以利用 Virtual PC、Virtual PC Express、Virtual Server 和 Terminal Server 等環境協助應用程式移轉,或者持續在舊版虛擬環境執行應用程式。
已知的相容性問題
目前 Windows Vista 因為新功能而產生了若干的相容性問題,IT 人員應該瞭解這些狀況,並且熟悉解決的方法。為了提供更好的安全及穩定性,Windows Vista 對部分系統檔案和登入位置採取了保護措施,因此直接參照到這些位置的大多數應用程式,會在工作階段自動重新導向到暫存位置;而程式若想存取受保護的資料,則需修改程式。
應用程式需要考慮使用者帳戶控制(UAC)的相容性問題,例如必須以管理者權限執行、但又無法因應 UAC 而取得較高權限的程式。此外,為了提高 Windows Vista 的安全性,現在也改以較低的權限來執行 IE 7.0,因此網頁程式可能需要修改才能符合權限較低的執行環境(關於 IE 7.0,可參閱遇見 Internet Explorer 7:功能總覽 )。而 Windows Vista 採用新的防火牆和防毒 API,原本使用這類功能的 Windows 應用程式必須依照新的 API 適度修改。
此外,x64 版本的 Windows Vista 與 32 位元 Windows 應用程式有若干相容性問題,需要程式移植到 x64 平台才能解決;此外,x64 版本的 Windows Vista 與 16 位元 Windows 應用程式以及 32 位元 Windows 驅動程式都不相容。
虛擬環境
對於無法修改、但還是必須執行的應用程式,也可以利用虛擬環境繼續以舊版的 Windows 執行;用戶端的 Windows 虛擬環境包括了 Virtual PC 以及 Virtual PC Express。
使用者可以利用 Virtual PC 同時在 Windows Vista 電腦執行數個各種版本的 Windows 作業系統,然後在舊版 Windows 環境執行應用程式,直到與 Windows Vista 相容的新版應用程式推出。
此外,Enterprise 和 Ultimate 的 Windows Vista 版本也內建 Virtual PC Express 的功能,使用者不需要額外安裝 Virtual PC,就能擁有虛擬環境。Virtual PC 與 Virtual PC Express 的主要差異在於,Virtual PC 不會限制電腦所擁有的虛擬環境數量,但 Virtual PC Express 的虛擬環境只限一個;而 Virtual PC Express 只限軟體保證的用戶使用,因為這類的用戶有權執行兩份作業系統,不用為虛擬環境所需要的 Windows 取得額外的授權,但是 Virtual PC 各個虛擬環境的 Windows,都需要獨立的軟體授權。
Terminal Server 也能將應用程式或 Windows 桌面提供網路上其他的用戶端;Windows Vista 可利用遠端桌面連線使用 Terminal Server 所提供的資源。Virtual Server 則能提供伺服端的虛擬環境功能,讓用戶端藉由網路使用伺服端所提供的資源。
Windows Vista 也以 UNIX 程式子系統提供了 POSIX 相容環境,這個子系統相當於 Windows Services for UNIX 3.5 或 Windows 2000/NT 4.0 的 POSIX 子系統,能提供用戶端 UNIX 程式執行環境。Windows Vista 提供的 UNIX 程式子系統新增了 64 位元的支援,並且支援 SVR-5 和 BSD 環境;Enterprise 和 Ultimate 版本支援這項子系統。
結語
作為引領使用者邁入第三個十年的 Windows,Windows Vista 同時兼顧了商業環境和家用娛樂的需求,並且以使用角色重新劃分了六個版本,各個版本包含了不同的功能,甚至連使用者操作介面都不盡相同。在初期階段,IT 人員除了希望瞭解 Windows Vista 的新功能,也很關心 Windows Vista 的相容性,包括與原本應用程式、商業軟體以及硬體裝置的相容性;關於這個部分,微軟除了提供相關文件、也提供了相關測試工具,都能讓 IT 人員儘速瞭解 Windows Vista。當然,筆者也會利用這個專欄,陸續刊出 Windows Vista 的相關心得與各位共享。