Windows Vista
利用 Windows Vista 新增的安全功能保护您的 PC
Justin Harrison
概览:
- 使用 Windows 安全中心
- 配置和管理用户帐户控制设置
- 利用 Windows Defender 扫描间谍软件
几年前,Microsoft 公司主席(兼首席软件架构师)比尔盖茨就要求员工将可靠计算作为公司的最高优先级。随着这一要求的提出,Microsoft 开发软件的方式发生了一系列变化。
Windows Vista™ 是完全按照安全开发生命周期 (Security Development Lifecycle, SDL) 准则开发的操作系统。SDL 是一个以安全为中心的工程流程,它将安全视为软件设计的根本本质;广泛部署的所有 Microsoft 产品都必须遵循这些准则。(有关 SDL 的详细信息,请参阅 Michael Howard 与 Steve Lipner 合著的 The Security Development Lifecycle 一书,Microsoft Press®,2006)。
Windows Vista 还包括新的或已升级的内置安全技术,可对安全威胁进行主动检测和防止。所有这些变化表明 Windows Vista 是迄今为止最为安全的 Windows® 版本。在本文中,我将讨论新增的安全控制面板小程序、Windows 安全中心以及内置的保护功能(包括 Windows Defender、Windows 防火墙和用户帐户控制)。
安全控制面板 (The Security Control Panel)
当您在 Windows Vista 中打开控制面板时,您会注意到它包含十个功能区,大部分与安全相关的小程序分布于“安全”、“程序”以及“网络和 Internet”中。您可以使用“安全”小程序访问 Windows Vista 中为您提供安全保护的大部分新的安全技术,如图 1 所示。
Figure 1 Windows Vista 采用的安全技术
| 功能 | 说明 |
| 安全中心 | 检查更新;检查安全状态;启用自动更新;检查防火墙状态;唤醒时要求密码。 |
| Windows 防火墙 | 启用或关闭 Windows 防火墙;允许某个程序通过 Windows 防火墙。 |
| Windows Update | 启用自动更新;检查更新;查看已安装的更新。 |
| Windows Defender | 扫描间谍软件和其他潜在的恶意软件。 |
| Internet 选项 | 更改安全设置;删除 Cookie;清除历史记录。 |
| 家长控制 | 为任何用户设置家长控制;查看活动报告。 |
| BitLocker Drive Encryption | 启用 BitLocker Drive Encryption。 |
您还可以检查 Windows Updates 是否有更新,启用 BitLocker™ Drive Encryption,删除 Cookie,清除历史记录,以及为您的计算机设置一个密码以便在它唤醒时发送一个输入密码的提示。
此外,“安全”小程序还使得访问安全中心变得更为简单,您可以通过一体化的安全中心来管理和检查您的计算机的安全设置以及内置保护功能的状态。
集中式安全管理
在 Windows XP Service Pack 2 (SP2) 推出安全中心之前,处理所有 Windows 安全设置是件困难的事情。现在,有了安全中心,您在一处即可管理重要的 Windows 安全设置,而且这一功能在 Windows Vista 中更得到了增强。
Windows 安全中心在后台运行,它对四类安全功能进行主动监视,如图 2 所示:防火墙、自动更新、恶意软件(病毒和间谍软件)防护以及其他安全设置(Internet 设置和用户帐户控制设置)。
图 2** 在一处管理安全设置 **(单击该图像获得较大视图)
通过 Windows 安全中心,您可以查看是哪个应用程序充当着您的计算机防火墙,或是作为反间谍软件和防病毒解决方案。您还可以检查防火墙、自动更新和用户帐户控制设置的状态。Windows 安全中心的另一独到之处是除了可以监视内置的 Windows 技术外,它还可以监视第三方应用程序的状态。它可以检查以下内容:
- 是否安装了防火墙,防火墙是否已启用。
- 是否安装了防病毒程序,病毒定义文件是否为最新的,实时扫描是否已启用。
- 是否安装了反间谍软件,间谍软件定义文件是否是最新的,实时扫描是否已启用。
Windows 安全中心使用两种方法来检测第三方防病毒和防火墙应用程序。在手动模式下,Windows 安全中心可搜索注册表项和文件,以便检测软件的状态。它还可以查询供参与供应商使用的 Windows Management Instrumentation (WMI) 提供程序,以获取应用程序功能的状态。这意味着您可以将非 Microsoft 解决方案用作防病毒、反间谍软件或防火墙的解决方案,而同时使用 Windows 安全中心来监视和保护您的计算机。
Windows 安全中心可通过组策略进行控制。默认情况下,在域环境中它是被禁用的。要启用 Windows 安全中心,请访问“计算机配置\管理模版\Windows 组件\安全中心”节点。要启用的策略的名称为“启用安全中心(仅域 PC)”。
此外,Windows 安全中心还可监视用户帐户控制设置和 Internet 安全设置的状态。用户帐户控制允许您以标准用户来使用计算机,而不是管理员用户,这样会更安全。作为标准用户,您所进行的任何更改都不会影响到整个系统,并且您安装的任何软件的破坏范围也都有限。
在 Windows Vista 中,如果您以不属于域的计算机的标准用户身份运行计算机,并且软件要执行的操作会影响整个系统,则操作系统会提示您输入管理员密码。如果以管理员身份运行计算机,Windows Vista 会提示输入执行系统级操作的权限,以便在操作发生前您可以认识到这一操作(和同意该操作)。
在域环境中,用户帐户控制由组策略进行管理。如果您的计算机不在域中,则由本地安全策略进行处理。策略设置位于“本地安全策略”编辑器或“组策略”编辑器的 Computer Configuration\System Settings\Local Policies\Security Options 中。您可以在“控制面板”中“系统和维护”|“管理工具”下找到“本地安全策略”编辑器。
如图 3 所示,Windows 安全中心可监视许多 Internet 安全选项。
Figure 3 Internet 安全设置
| Windows 安全中心监视以下 Internet 设置: |
| 下载已签名的 ActiveX 控件 |
| 下载未签名的 ActiveX 控件 |
| 初始化脚本和未标记为脚本安全的 ActiveX 控件 |
| 安装桌面项目 |
| 加载应用程序和不安全文件 |
| 在 IFRAME 中加载程序和文件 |
| 软件频道权限 |
如果将某个选项更改为不安全的状态,则“Internet 属性”对话框会指出“您的安全设置会使您的计算机处于危险之中”,并且 Microsoft Internet Explorer® 将显示一个信息栏指出“当前安全设置会使您的计算机处于危险之中。单击此处以更改您的安全设置...”。Windows 安全中心还会提醒您“没有使用建议的安全设置”。如果您打开“Internet 安全设置”,不安全的设置将会以红色突出显示(参见图 4)。
图 4** 突出显示不安全设置 **(单击该图像获得较大视图)
Windows 安全中心可以将不安全的安全设置还原到安全状态。您只需单击“还原我的 Internet”(Restore my Internet) 安全设置即可还原,如图 5 所示。
图 5** 消除危险设置 **(单击该图像获得较大视图)
Windows Defender
Rootkit、木马、间谍软件和其他恶意软件都是很严重的安全问题。它们会使您的信息面临风险,降低计算机的性能,甚至造成系统崩溃。Microsoft 在 2004 年收购了 Giant Software 公司,并推出反间谍软件技术以保护客户。Windows Vista 中内置的 Windows Defender 即为这项新技术的具体应用(您也可以为所使用的 Windows XP 下载 Windows Defender)。
在安装了 Windows Vista 后,无需立即更改 Windows Defender 的任何设置。因为 Windows Defender 已默认配置为以最低限度的人为干预即可提供最大程度的安全,因此,您可以专注于使用自己的计算机,而不用考虑如何设置保护计算机。Windows Defender 一旦启动即可提供实时保护,每晚 2 点左右它会自动检查并下载更新的间谍软件定义,并自动清除具有高度威胁性的所有风险。您也可以调整设置,方法是:在 Windows Defender 中,选择“工具”|“常规设置”。
实时保护意味着 Windows Defender 会始终注意监视您的计算机上的可疑行为。它使用 9 个安全代理(如图 6 中所列)来监视系统的各个部分,以便发现具有间谍软件特征的应用程序行为。Windows Defender 各安全代理共同作用以监视间谍软件的几乎所有常见入口点。
Figure 6 Windows Defender 安全代理
| 代理 | 监视 |
| Internet Explorer 配置 | 浏览器安全设置。 |
| Internet Explorer 下载 | 与 Internet Explorer 一起使用的应用程序,例如 ActiveX 控件和软件安装应用程序。 |
| Internet Explorer 加载项(浏览器帮助对象) | 在启动 Internet Explorer 时自动运行的应用程序。 |
| 自动启动 | Windows 启动时将启动的应用程序,包括通过注册表和 Windows 启动文件夹启动的应用程序。 |
| 系统配置 | Windows 中与安全相关的设置。 |
| 服务和驱动程序 | 与 Windows 和应用程序进行交互的服务和驱动程序。 |
| Windows 加载项 | 集成在 Windows 中的软件实用程序。 |
| 应用程序执行 | 启动时的应用程序及其执行情况。 |
| 应用程序注册 (API hook) | 操作系统中的文件和工具,应用程序可借其插入自身以运行。 |
威胁响应
当 Windows Defender 发现潜在的恶意软件或检测到可疑行为时会向您发出警告。当出现无关紧要(威胁程度低)的更改时,Windows Defender 会在系统任务栏中显示惊叹号图标来提醒您。对于更为严重的威胁(中度威胁或高度威胁),Windows Defender 会根据威胁的程度显示一个黄色或红色对话框,如图 7 所示。对于这类威胁需要立即做出响应。
图 7** 红色窗口表示具有高度威胁 **(单击该图像获得较大视图)
Windows Defender 执行的所有操作在带有“Windows Defender”源的系统事件日志中都有日志记录。日志记录中的操作包括定义的更新以及对间谍软件的扫描和删除操作。
Windows Defender 的威胁警告非常智能,您可以通过它们继续响应操作。威胁警告对话框中可列出多个威胁,您可以选择响应所有威胁(“全部删除”)。此外,您还可以配置威胁警告,以便根据未分类威胁和允许运行的已知软件做出不同的响应。要配置威胁警告,请打开 Windows Defender,依次单击“工具”|“选项”。向下滚动到“实时保护选项”,然后选择是否让 Windows Defender 通知您尚未分类为一定风险的软件,以及有关允许运行的软件对您的计算机所进行的更改。
请注意,如果 Windows Defender 对您创建的应用程序或您使用的应用程序没有进行正确的分类,您可以在 microsoft.com/athome/security/spyware/software/isv/cdform.aspx 中将供应商的争议进行归档。如果应用程序被误认为间谍软件,您可以通过 microsoft.com/athome/security/spyware/software/isv/fpform.aspx 报告这一误报。
按需保护
Windows Defender 非常注意监视潜在的恶意软件,但是,您也可以在必要时启动间谍软件扫描功能。Windows Defender 提供了三种类型的扫描:
- “快速扫描”(Quick Scan) 快速检查计算机上最可能被间谍软件感染的位置。
- “完全扫描”(Full Scan) 扫描硬盘中的所有文件、运行的应用程序、注册表和其他位置。
- “自定义扫描”(Custom Scan) 允许您扫描特定文件或文件夹;它启动后会自动运行 Quick Scan。
要启动一个扫描,请先启动 Windows Defender,单击“扫描”按钮旁边的向下箭头;然后选择要启动的扫描类型,如图 8 所示。
图 8** 选择扫描类型 **(单击该图像获得较大视图)
当 Windows Defender 在扫描中检测到威胁时,它会显示对该威胁的描述以及您可以采取的解决办法。默认情况下,它将显示可采取的最佳措施。如果发现多个威胁,您可以选择相应的响应,然后通过单击“应用操作”(Apply Actions) 一次应用全部响应,或通过单击“全部删除”删除全部威胁。您可以选择的操作如下:
- 删除—从您的系统中彻底删除威胁。
- 忽略—忽略威胁。下次进行扫描时,Windows Defender 将会再次检测到该威胁。
- 隔离—暂时禁用威胁。您可以使用该选项来测试如果删除该威胁是否会给您的系统带来不利影响。您可以随时从 Windows Defender 内部对其进行还原。
- 始终允许—停止检测威胁,并将其添加到许用的项目列表中。您也可以从许用的项目列表中删除项目,方法是:在 Windows Defender 中,依次单击“工具”|“选项”。
网络入侵预防
Windows Vista 中的 Windows 防火墙是双向的状态防火墙,包含自 Windows XP 版本以来的许多先进技术。在 Windows Vista 中,Windows 防火墙将过滤传入和传出的流量。此外,还可针对以下项目配置规则:
- Active Directory 帐户和组
- IP 协议数量
- 接口的特定类型
- 服务
- 按类型和代码的 ICMP 和 ICMPv6
- 来源和目标的 IP 地址
- 所有 TCP 或 UDP 端口,或特定端口
在 Windows Vista 中,您还可以允许特定程序访问网络,或通过“例外列表”拒绝流量。要访问“例外列表”,请依次单击“开始”|“控制面板”|“安全”,然后单击“允许应用程序通过 Windows 防火墙”。
默认情况下,Windows 防火墙将拦截所有传入流量(除非它是被请求的或是符合某个规则),并允许所有传出流量通过防火墙(除非它符合某个规则)。
Windows Vista 附带了一个新的称作“Windows 防火墙和高级安全设置”的 Microsoft 管理控制台 (MMC) 管理单元(参见图 9),管理员可使用它在远程计算机上配置 Windows 防火墙设置。要访问这一新的管理单元,请依次单击“系统和维护”以及“控制面板”中的“管理工具”,然后单击“采用高级安全设置的 Windows 防火墙”(Windows Firewall with Advanced Security)。
图 9** 创建保护您的计算机抵御网络威胁的高级规则 **(单击该图像获得较大视图)
要添加规则,您可以使用“组策略”编辑器管理单元访问以下部分:Computer Configuration\Windows Settings\Security Settings\Windows Firewall with Advanced Security。您甚至可以从命令行使用 netsh advfirewall 命令配置新的“高级安全设置”。
每当您连接到新网络时,Windows Vista 都会针对该网络创建一个配置文件。当以后再次连接到该网络时,Windows Vista 就会使用该配置文件中已保存的设置。当您连接到新的网络时,操作系统会首先询问该网络是公共网络还是专用网络。这将确定 Windows 防火墙加载哪个配置文件以用于配置设置和规则。如果要编辑配置文件,请在“采用高级安全设置的 Windows 防火墙”管理单元中单击“Windows 防火墙属性”(Windows Firewall Properties),然后单击“专用配置文件”或“公共配置文件”选项卡,如图 10 所示。
根据需要,您还可以在连接到网络后从“网络和共享中心”(Network and Sharing Center) 更改与网络相关的配置文件。要进行此操作,请转到“控制面板”|“网络和 Internet”|“网络和共享中心”。要更改网络配置文件,请单击您连接到的网络名称旁边的“自定义”按钮。
图 10** 基于网络类型进行自定义保护 **(单击该图像获得较大视图)
总结
自从几年前提出了可靠计算设计原则以来,Windows Vista 是第一款全面的操作系统版本。Windows Vista 在安全开发生命周期准则的思想指导下进行开发,并内置了多种安全保护功能,例如 Windows Defender、Windows 防火墙和用户帐户控制,它所具有的无与伦比的保护功能,不仅为独立系统,同时也为域环境中的计算机提供了安全保护。Windows 安全中心、Windows 防火墙和用户帐户控制都提供了组策略配置,使您可以在域环境中对它们进行更有效地部署,同时还可以在个人计算机上对它们进行非常广泛的本地配置。
SpyNet 社区
安全威胁不断变化,有时,甚至每日更新都不足以抵御您的计算机可能会遇到的各种安全威胁。较之提供间谍软件定义更新,Microsoft 还提供了其他安全防范措施,它利用 SpyNet 社区这样一个在线小组,为用户提供有关间谍软件的共享信息。
Spynet 社区是一个自愿的全球性 Windows Defender 用户社区,它向 Microsoft 报告有关间谍软件的发现信息。参与该社区的用户在确定哪些应用程序最终会被分类为间谍软件方面起着重要作用,他们还帮助尽快发现新的威胁,以便所有 Windows Defender 用户都可得到更好的保护。
加入 SpyNet 社区是选择性的。您必须明确决定您是否加入。您可以选择不成为其成员,在这种情况下,有关您可能感染的间谍软件的信息是不会发送给 SpyNet。如果在您的计算机上发现了未分类的潜在的恶意软件,您将不会得到通知。未分类的潜在的恶意软件可能最终会在日常间谍软件定义更新中进行分类。
如果选择加入该社区,可供选择的成员级别有两种:
高级成员。 参加者将有关未分类软件和所采取的操作的信息发送给 Microsoft。对于当前未分类的可能不安全的软件,高级成员可得到警告。一些个人信息也可能被同时发送,但是 Microsoft 是不会使用它来与您联系。
高级成员将收到清除统计信息,其中会说明其他高级成员是如何响应同一威胁的。该信息有助于您确定当前未分类的潜在恶意软件是否具有威胁。例如,如果一个新的应用程序通过 Internet 进行分发,Windows Defender 检测到它比较可疑,那么一些高级用户可能向 SpyNet 报告并加以删除。SpyNet 将会通知您有多少高级成员对此进行了报告并加以删除,这样,您就可以利用此信息来更好地决定自己要采取的操作。
基本成员。 这类成员将有关可疑软件的基本信息发送给 Microsoft。个人信息也可能会同时发送,但 Microsoft 是不会用它来与您联系。基本成员不会得到有关未分类软件的警告。
要加入 Spynet 社区,请打开 Windows Defender,选择“工具”,然后单击“Microsoft SpyNet”。
Justin HarrisonJustin Harrison (justin@harrison.org) 是 Windows 安全、数字媒体技术和数字文档方面的专家。他曾经任职于 GE Energy 和 Microsoft 的数字文档团队和游戏娱乐团队。
© 2008 Microsoft Corporation 与 CMP Media, LLC.保留所有权利;不得对全文或部分内容进行复制.