谣言止于智者攻破Vista的八大谣言

在Vista RC1中，用户帐号控制(UAC)突然大幅地低调了许多。我曾经集中了一个图集展示了这近乎最终版本的安全特性，你们可以自己去看看。如果你安装了RC1版本，你会发现，用户帐号控制仅当你实际要改变一个系统设置，安装一个新程序或是要访问受保护的文件或文件夹时才会发出询问。以Beta2版为例，仅是简单地打开任务管理器就需要经用户帐号控制的询问；而在RC1中，打开任务管理器是很平常的事，询问仅仅在你想要看属于系统的帐户或不是当前登录的其他用户帐户时才会发出。除了在初始设置一台新的计算机时，大多数的用户几乎都没有机会遭遇用户帐号控制。微软希望能通过这样说服大多数的用户让这项特性启用。

然而larger picture又怎样呢？新的安全特性对此有所裨益吗？答案在一定条件下是肯定的。

从安全角度来说，Windows XP最大的薄弱环节就是对受限帐户用户（也就是所谓的标准用户）的支持表现尚显拙劣。标准用户使用任何操作系统是相当安全的操作，因为安全防护的效果通常都与登录用户的权限相关联。标准用户点击了一个具有欺骗性的链接通往恶意的Web页面或者被安装了一些恶意软件都不会改变系统的设置。然而，即使一个可靠的用户，在没有管理权限的情况下使用受限帐户运行Windows XP，都有可能使他们连续抓狂几小时。而Vista通过对文件目录和可写入注册表键的虚拟化从安全架构上改变这些。这是因为许多程序在Widows XP下使用标准用户帐户会无法运行，而在Vista中则不会出现这样的情况。这一切都归功于Vista这创举性的改变。在家庭和商业网络中，这意味着管理员（包括家长）就能设置标准用户帐户并严格限制他们的使用可能对造成的破坏，即使当攻击者欺骗他们安装某个程序的时候。

Internet Explorer 7的新的保护模式作为UAC的一个伙伴，它能将浏览器的插件移入沙盒（sandbox）使它们难以访问到系统的关键位置。管理员可以通过安装恶意软件或改变系统设置能力的限制审慎地设置一个Vsita系统，从而使用户都能自我保护。（根据PB_z的回复，IE的保护模式是将整个浏览器的运行进程放入沙盒，而不仅仅是插件）

然而UAC与新的IE7的安全特性都仅仅只是提出询问，它们无法提供让菜鸟们得以依赖其作出决定的详细的信息。如图所示，用户得以作为决定的基础仅仅是面对那些通常只具有一些文件名或是技术上的官样文章的片段的UAC对话框。把这些当作阻拦善于玩弄手段的欺骗者与攻击者的壁垒，力量不免有些微薄。于是批评家们认为，即使是保留UAC启用的用户也只是简单机械地点击“是”，大多数安全特性的益处都被荒废了。

企业用户们有一个含有附加安全工具的工具箱，包括驱动器加密（BDE），更好的支持Smart Card认证，以及在不锁定用户的情况下锁定系统的方法。

Vista会更安全吗？那是当然的。然而它究竟有多少实质性的不同，我们还需要数月甚至是一年的时间去考量。

谣言：Windows Vista处处装载了新的数字版权加密保护技术（DRM)，这使得相比其之前的Windows，Vista使用起来不免让人感到有诸多阻滞。

实际上：一个保护Windows Vista的核心及签名驱动的新的核码子系统就可以说是新的形式的DRM。那么这样的话它的表现将会如何呢？除非等到能利用这些特性的新的硬件面世，否则我们都无法了解到。

Windows Vista中的大多数DRM代码都是直接对Windows XP中的基础建设和Windows Media Player 10进行升级的。关于如何以及怎样实现这种来自于Zune的DRM加密的音乐和之前通过授予“Plays For Sure”标签来提供权限保护的音乐，甚至包括微软参与制作的大力宣传的MTV Urge服务之间的有效互通。但一般说来，这些代码只是原先Windows Media DRM的一种进化。

然而，一大段主要的代码是全新的。软件保护平台将活性化、授权及防干扰都整合到子系统中。其中一个重要的组成部分就是对代码完整性的核实，微软的Chris Corio对它的第一印象是这样定义的：