[轉帖]Windows Vista功能解析 (圖)

本文內容已被 [ 路小川 ] 在 2007-02-01 12:06:40 編輯過。如有問題,請報告版主或論壇管理刪除.





Windows Vista幾乎是頭頂微軟有史以來最具革命性的升級係統的光環出現在眾人麵前,其被微軟自詡為具備更好的安全性,耳目一新的用戶界麵,圖形化係統以及複製保護等嶄新屬性的操作係統。

  Windows Vista幾乎是頭頂微軟有史以來最具革命性的升級係統的光環出現在眾人麵前,其被微軟自詡為具備更好的安全性,耳目一新的用戶界麵,圖形化係統以及複製保護等嶄新屬性的操作係統。本文就將向大家展示Windows Vista的“芳容”,並將其和Windows XP,Suse Linux以及Mac OSX作一番比較。

  軟的目標是很明確的—使Windows Vista,也就是之前代碼階段名為“Longhorn”的操作係統成為最優秀的係統,從而彌補長久以來Windows係統安全性差的惡名。為了完成這次突破性的升級,程序員們一致在潛心研發關鍵特性,最終的發布將會在2006年的下半年。從用戶界麵,安全設置到驅動模式都將被修改,其中最重要的也是爭論最熱烈的革新會包括,Avalon圖形係統,IE7以及相對不太引人注意的屬性—Metro文檔格式和PVP-OPM(Protected Video Path-Output Protection Management,受保護的視頻路徑-輸出保護管理)複製保護機製。

  Windows Vista設計中的一個重要思路為全方位的完整安全管理體係,這就意味著這種安全保護不僅僅是用戶級的,這裏的“安全”還包括對數字版權管理(DRM),內置了對音樂和電影的複製保護機製。微軟的老板始終對這些還保持三緘其口,因為一旦這些計劃在Windows Vista中實現,用戶要更新的不隻是個操作係統,而是一套完整的硬件設備。  大部分屬性是以Longhorn的build 5048為基礎,這個Vista的build beta版本主要是針對硬件開發、測試人員。在8月初從MSDN網站上可以找到提供給beta測試人員的Windows Vista Beta1版本。我們打算研究一下這個版本看看和之前的pre-beta版本相比有哪些改進。

  很明顯,由於“Longhorn”是個預覽版,其並沒有進入beta測試階段,其中的一些功能隻是部分實現,有些甚至基本完全忽略,但是,我們卻能看到很多為其跟進版本做出的有趣的準備。因為beta版本的操作係統和build版本之間往往會存在巨大的差異,所以不能保證這個版本中的功能屬性會在最終的發售產品中出現。但是,隻要你用心體驗這些較早的版本,同樣會對微軟的思路有所認識。

  Vista vs XP, Linus, OSX

  Vista中的一些嶄新功能屬性的確是令人驚訝的。不過其中部分隻是簡單地改進了Windows XP中長期讓人頗有微詞的那些問題。在下文中你可以找到Windows Vista,Windows XP,Suse Linux 9.3和Mac OSX Tiger的比較表格,從中找到Vista中的一些獨特屬性。

  Windows Vista技術細節

  Vista就是要挽回Windows是不太可靠的操作係統的壞名聲。安裝之後,你會發現一旦開機,馬上就會運行安全設置,並且會阻止任何係統外的工具的訪問和任何硬件驅動的刪除。在安全設置啟動過程中其實暗藏著一個機製—利用安全的Bios和集成的密碼係統芯片(Trusted Platform Module-TPM,可信賴的平台模塊)的結合來保證係統的安全啟動。真正的革新在於係統的安全啟動隻與TPM共同起作用,這個TPM遵從最近版本1.2(www.trustedcomputinggroup.org)。

  當芯片“罷工”

  安裝了Vista的係統開機後,首先啟動的是TPM,它是主板上密碼算法芯片中內置的固件。PC一旦加電,TPM芯片就會立即檢查Bios和相關硬件,利用哈希算法為平台配置注冊表(PCR)中的各個硬件組件計算安全緩存容量。TPM還會檢測係統Rom,硬件驅動的主引導記錄(MBR)以及分區表,將它們的哈希值存儲在TPM的注冊表中。這些值將會和上次啟動記錄的值進行比較,如果結果產生矛盾,TPM就不允許對係統分區進行訪問;如果比較後通過,TPM將允許啟動過程繼續進行。接下來,主引導記錄(MBR)會控製啟動進程,其指定活動分區,加載首個惹?較低襯詿嬤校??笥善舳?惹?刂啤?lt;br />
  更嚴苛的安全性,比如安全啟動加密整個係統分區(如圖1),完整磁盤卷加密(FVE)選項提供了比Windows XP Professional集成的加密文件係統(EFS)更多的功能,EFS隻對文檔和文件夾進行加密而不是整個分區。現在係統存在的一個很大的問題就是文件包含敏感的係統數據,比如分頁文件,注冊表以及隱藏文件,這些都是未被加密的,很容易被黑客獲取。

 



  

  安全啟動模式將啟動進程分為層層遞進的若幹階段,最大的革新就是過去操作係統中沒有的安全保護。

  而FVE的優勢在於對整個係統分區進行加密。最好的解決方案為FVE和EFS的結合,這樣會利用EFS對數據分區上的重要文件夾進行加密,而相關的密鑰存儲在被FVE保護的係統區上。如果TPM啟動係統時沒有問題,那麽繼續會對係統分區解密。

  微軟兌現了其要實現Windows安全中心的承諾。安全啟動不是必選項,用戶可以輕易將其關閉,當然你至少要有本地管理員的權限才行。這就意味著你不能在公司背著係統管理員對安全啟動做過多的操作。

  嶄新的硬件阻止啟動

  安全啟動的底線是將TPM和硬件潛在的阻止係統啟動相結合,比如,你添加了一個新的顯卡或Raid控製器時阻止係統啟動。在升級以後,為了不讓係統鎖定這類型的合法用戶,微軟已經提供了恢複的方法:“failsafe”關鍵字的列表將會在安全啟動開始的時候被分別生成,如果出現問題,列表就會被用來對有改變的硬件驅動程序解鎖。

  針對老應用程序的技巧

  LUA應用操作管理(AIM)有點像程序管理,其允許沒有寫權限的普通用戶能在一個被保護的係統區域中仍然能得到虛擬的視圖。

  比如,如果一個隻有低安全權限的用戶運行一個應用程序去改寫C:\Program Files中的文件夾,AIM就會為這個應用程序提供一個這個文件夾的虛擬拷貝文件夾,而當這個應用程序關閉時,這個虛擬文件夾將會被刪除。這種進程被理解為在寫時拷貝,即一個應用程序看起來可以寫數據,但實際上在安裝了Windows Vista的係統中的程序和服務是不會被改變的。因此,比如當病毒或木馬程序要攻擊C:\ProgramFiles\InternetExplorer\iexplore.exe這個文件時,係統將會保存一個完整的未被改寫的文件副本。盡管如此,AIM算得上是唯一能激勵程序員開發能在LUA規則限製下的良好運行的方式了。

請您先登陸,再發跟帖!