Vista解惑100点 该不该用在服务器上

    尽管Vista的发布一再推迟，但现在它终于出现在我们面前。许多公司已经开始制订升级计划，尤其是那些一向积极率先使用先进工具的公司。但是在行动之前，用户需要考虑以下事项。

    升级到Vista前要考虑的10个事项

    一、硬件是否合乎要求

    众所周知，Vista对硬件的要求非常高。事实上，Vista有两套不同的硬件要求，一是只能够运行基本Vista（Vista Capable）版本的机器，另一个是能够运行高级Vista（Vista Premium Ready）版本的机器。后者要求1GHz处理器、1GB内存和高端视频卡，而前者的要求相对容易实现，成本也比较低。重要的是要记住这一点： 尽管Aero Glass提供的视觉效果非常眩目，但对大多数商业应用而言可能并非必不可少。

    二、你需要哪个或哪些版本的Vista

    Vista的版本情况比较复杂。现在它有五个版本： 家庭普通版（Home Basic）、家庭高级版（Home Premium）、商业版（Business）、企业版（Enterprise）和旗舰版（Ultimate）。用户可能不想在公司网络上使用家庭版，但到底选择商业版、企业版还是旗舰版，还是不太清楚。商业版基本上相当于XP Pro； 企业版包括了额外功能，譬如BitLocker驱动器加密（为公司的笔记本电脑提供了一层额外的安全）、应用程序兼容性工具、基于UNIX的应用程序的子系统（SUA）及高级多语言支持等。旗舰版包括了所有版本（包括媒体中心版）的所有功能，而办公计算机可能用不到它的全部功能。

    三、了解Vista许可证

    微软为Vista添加了企业版，该版本只销售给与微软签有软件保障协议或者微软企业协议的用户。对于规模稍小的公司，Windows随时升级许可证也许值得他们关注，该许可证允许他们从某些版本的Vista升级到更高版本。

    四、应用程序兼容性如何

    说到兼容性，最重要的是应用程序。升级一款新的操作系统时要考虑这个重要因素： 确保必要的应用程序可在新款操作系统下运行。

    Vista内置的兼容性模式可以帮助用户安装及运行为旧版本Windows编写的应用程序。微软开发了应用程序兼容性工具包，可以帮助用户确认哪些应用程序可能需要改进才能使用Vista的用户账户控制（UAC）功能，并且修补这些程序。用户也可以使用虚拟PC/虚拟服务器或者终端服务等技术，作为不兼容的应用程序的变通办法。

    不过，事先对关键任务型应用程序进行测试很重要，要确保它们在Vista环境下能够正常工作。想了解应用程序兼容性方面的资源，请访问该网址： http://technet.microsoft.com/en-us/windowsvista/aa905105.aspx.

    五、评估网络基础设施

    虽然没有要求用户这么做，但升级到Vista可能会促使其网络先升级到IPv6.Vista对这个新的互联网协议提供了更好的支持。在XP/Server 2003中，需要安装独立的协议才能支持IPv6； 而Vista/Longhorn Server中的TCP/IP协议栈支持双IP架构，而且IPv4和IPv6在默认状态下都是启用的。

    迁移至IPv6不仅提高了IP安全性，还可以弃用网络地址转换（NAT）协议，并简化了将视频和音频集成到应用程序里面。

    六、谁需要Vista（谁不需要）

    用户也许不想、也不需要一下子把公司的所有桌面系统都升级到Vista.事实上，在大公司逐步实施操作系统升级方案具有诸多优点，不应该随意进行升级。升级计划的一方面应当包括评估： 哪些用户可从Vista的新功能中获得最大好处，哪些用户最需要Vista的增强安全功能，哪些用户应在升级过程中优先升级。

    而在大部分时间使用文字处理软件或者电子表格软件的文职人员可能在很长一段时间内会继续使用当前的操作系统。

    七、用户准备好了吗

    大部分计算机用户都渴望使用新技术，迫不及待地想率先试用并且掌握最新、最好的技术。但大多数用户跟常人一样，都不愿接受变化，哪怕是好的变化。

    升级到新的操作系统总是需要一个学习过程，无论这个软件用起来多么直观，但Vista的界面出现了一些重大变化，还带来了新的操作方式，这可能会让不太精通技术的用户无所适从。譬如说，对那些新接触Vista的用户来说，每当他们试图完成需要管理员权限的任务时，即便他们是以管理员的身份登录系统，AUC还是会弹出对话框，这可能会让他们感到困惑、苦恼。

    通过适当的教育、培训和政策来帮助用户做好升级前的准备，这很重要。譬如说，可以允许那些喜欢使用经典Windows桌面主题的人将桌面设定成比较熟悉的模式。

    八、支持人员准备好了吗

    需要为升级做好准备的不仅仅是最终用户。支持部门及其他技术支持人员会接到众多问题和请求以求帮助。就算他们训练有素、完全精通新的操作系统，仍要准备好处理比平常多得多的工作量。所以，可以考虑在升级期间及升级之后临时添加支持人员。

    九、公司数据安全吗

    如果一切顺利的话，操作系统升级对用户的所有宝贵数据不会有影响。可是万一某个环节出现了意外，怎么办？最基本的、也是最常忽视的一个因素就是，用户的所有数据是否都得到了妥当备份？这不仅仅意味着需要备份软件及差不多每周都要更换的一大堆磁带，还意味着进行测试性恢复，确保一旦用户需要这些备份数据，它们可以正常使用。

    十、实际费用会是多少

    考虑了所有其他因素后，用户就可以开始考虑升级费用了。不要忘了最终费用要比许可费多得多，还应该包括这方面的费用： 任何必要的硬件升级、应用程序改动、网络基础设施的更改、要聘请顾问来帮助升级、用户培训、对支持人员和IT管理人员的培训，以及处理所有这些准备工作的管理费用，包括应用程序兼容性测试和备份测试等费用。

    一旦完成了切合实际的费用评估后，就可以确定升级是否值得。

    有些公司在为Vista积极做准备，但另一些则打算继续使用目前的操作系统。

   升级到Windows Vista的10个理由

    无论你的选择是什么，事先了解一下得失总会有所帮助。以下分别是升级到Windows Vista以及不升级到的十个理由。

    一、安全性

    Vista的一个主要设计重点就是，建立尽可能安全的环境。Windows的许多基本方面（如以管理员身份来运行）都进行了变动，旨在有助于建立这种安全环境。此外，Internet Explorer 7还有许多新功能，以便用户在上网时有助于提供保护。

    二、增强网络功能

    微软为Vista改写了TCP/IP网络堆栈，以提供更好的性能。另外，Vista大大改变了用户与PC上及网络上的网络设备进行联系的方式。现在，用户可以利用新的内置工具，帮助诊断网络问题。这可以减少支持部门接到的电话，在一些情况下，还可以加快支持速度。支持部门可以利用诊断工具提供的信息来帮助诊断及排除故障。

    三、Aero Glass用户界面

    对采用图形用户界面（GUI）设计的Windows而言，Windows Vista中的Aero Glass界面是一大飞跃。支持Aero Glass的Vista版本比之前任何Windows桌面都要来得漂亮。除了外观漂亮外，GUI的整个布局也发生了变化，使得查找起来更容易、使用起来更直观。

    四、集成的侧栏和搜索功能

    大多数人已经在Windows XP上安装了第三方搜索程序、RSS阅读器、侧栏或者小工具栏。而这些功能现在已经被集成到Vista里面，在Aero Glass界面上看起来非常棒。文档搜索起来也非常容易，因为Windows的集成搜索功能支持许多较新搜索程序的索引特性。

    五、Windows可靠性和性能监视器

    IT专业人士已经很熟悉性能监视器，而现在普通大众也可以领略这个实用程序的强大功能。用户很容易设置新的Windows可靠性和性能监视器，从而获得新PC的基准性能参数。性能开始下降时，这个工具可以帮助诊断问题的根源。

    六、新增500个GPO对象

    许多公司依靠活动目录及组策略的功能在台式机上执行标准。Vista提供了500多个新的组策略对象（GPO），从而进一步增强了这方面的功能。

    七、BitLocker驱动器加密

    在过去的几年我们发现，笔记本电脑成了最大的安全漏洞之一。Windows Vista中新的BitLocker技术有助于缓解这个风险： 它可以对数据进行加密，谁要是没有启动密钥（可以由用户输入或者保存在U盘上），都无法使用计算机。

    八、持续支持

    作为微软的最新操作系统，Vista的支持期会超过现有的任何一款Windows操作系统。除了微软的支持外，还会来自整个网络的支持，因为在可预见的将来，人们会使用Windows Vista相当长一段时间。

    九、ReadyBoost（U盘作为内存）

    微软有一种新的方法可以帮用户不用购买太多昂贵的新硬件，就可以提升操作系统的性能。现在用户插入可移动内存（U盘、微型闪存卡和SD卡等），然后分配全部或者部分空间用于使用ReadyBoost.这部分内存就可用作系统内存和硬盘之间的预取部分。测试结果显示，这可以大大提升许多系统的速度。

    十、DirectX 10

    DirectX 10只有面向Windows Vista的版本。DirectX有助于许多图形和视频功能，包括视频会议等商业应用。如果用户要玩最新、最酷的游戏，那么升级到Windows Vista是自然选择，因为这是其如愿以偿的惟一办法。DirectX 10还声称可以解决以前版本的“小小的批处理问题”。微软声称这可能会导致DirectX 10游戏在Vista上运行的性能比在Windows XP上使用DirectX 9运行要快6倍。

不升级的十个理由

    一、硬件要求苛刻

    Vista对硬件的要求是微软迄今为止推出的各款操作系统当中最苛刻的。又因为Aero Glass界面需要能支持DirectX 9的GPU，许多比较旧的台式机和笔记本电脑即使满足了其他要求，也无法使用Aero Glass.

    二、有个学习过程

    Vista有别于以前的几款Windows操作系统。虽然不少工具相同或者相似，但还是有许多地方要学习。

    三、对Win XP的支持没有中断

    微软支持Vista的时间会超过对XP的支持，但XP仍有两年可以得到微软的主流支持。

    四、应用程序兼容性

    许多流行的应用程序无法在Vista下运行。iTunes和Nero等应用程序在Vista下运行时存在问题。 实际上，与抓取或者刻录媒体有关的几乎每个程序都与Vista存在兼容问题。

    五、数字版权管理（DRM）问题

    虽然PC在作为客厅的娱乐设备方面取得了长足发展，但你在播放下一代（HD-DVD和蓝光）内容时，Vista的DRM带来了极大麻烦。播放这种内容时，分量输出和S/PDIF输出功能被禁用，这实际上大大削弱了Vista作为娱乐系统的用途。

    六、笔记本电脑的耗电问题

    Windows Vista需要更强的电源才能运行——需要的PC硬件越多，笔记本电脑的电池使用寿命就越短。即使单单运行Aero Glass界面，电池使用时间也会因额外的GPU处理而缩短得很快。

    七、不是特别创新

    其实用户可以免费下载许多高级的搜寻应用程序。Google免费提供了一个很好的工具条，内置RSS阅读器； 雅虎的窗口组件可以把桌面变成虚拟工作空间，各种数据和工具随手可得； Apple的OS X无疑是现代桌面环境的领导者，而Vista的Aero Glass也无法与OS X的流畅性相提并论。

    八、成本

    Vista价格不菲，如果你需要Vista，预计得为其中一款主要版本支付400美元。

    九、需要新的视频卡来支持DirectX 10

    DirectX 10只针对Vista，游戏玩家们不但要掏钱购买新的操作系统，还要购买支持DirectX 10的新视频卡。目前只有nVIDIA的8800芯片组与DirectX 10兼容，最低档的（GTS）零售价也要399美元。

    十、游戏性能较差

    Aero Glass 是Vista的核心部分之一，但它给视频卡带来了负担，从而会影响游戏性能。微软的几份报告告诉开发人员，当前的游戏在Vista上运行起来比在XP上慢10%到15%.而专门为Vista设计的游戏会不会出现性能受影响这个问题，仍须拭目以待。

    实际上，微软投入了大量精力来提高IE 7的安全性。

   对IE 7的安全性应了解的10件事

    IE 7最终版本发布后不久，媒体就大肆报道了它存在安全漏洞的事件，但结果发现其实是Outlook Express的漏洞，而不是IE的漏洞。实际上，微软投入了大量精力来提高IE 7的安全性。以下是新款IE 7的一些安全特性和功能。

    一、默认状态下可防范具有潜在危险的Active X控件

    默认状态下，经过检查后被确认为不安全的Active X控件再也不能自动运行。相反，它们被Active X选择加入（opt-in）功能自动禁用。

    二、可以控制每个区域的Active X选择加入功能

    用户可以对每个区域逐一禁用Active X选择加入功能。默认状态下，选择加入功能在“互联网”和“受限网站”区域上是启用的； 而在“内联网”和“可信网站”区域上是禁用的。

    三、Active X控件的锁定

    开发人员现在可以限制控件只在某个网站上运行（网站锁定），或者只在指定安全区域内运行（区域锁定），从而提高Active X控件的安全性。

    四、防范网络钓鱼

    IE 7引入了网络钓鱼过滤器（Phishing Filter），这有助于保护用户避免上当受骗、输入个人信息或者口令，从而防止身份窃贼收集及利用这些信息。网络钓鱼过滤器可以自动将用户访问的网站与已知网络钓鱼站点列表进行对照； 如果该网站已被确认为网络钓鱼站点，它会发出警告。如果用户不想对网站自动检查，也可以选择性地检查可疑的特定网站。

    五、跨域安全

    新IE 7的一种安全机制可以预防名为跨域脚本（cross-domain scripting）的一种攻击手法，该机制可以迫使脚本在原来的安全环境下运行，即使它们被转到不同的安全域也是如此。

    六、锁定安全区域

    IE 7里面的安全区域锁得比以往更严密，使用了更高级别的默认安全设置，禁用非域计算机上的内联网区域。

    七、更安全的SSL/TLS通知和数字证书信息

    IE 7用户可以更轻松地确定某网站是不是得到SSL/TLS的保护，并获取发给该网站的数字证书方面的信息。若网站具有高可靠度认证，地址栏就会变成绿色。

    八、隐私保护功能

    IE 7新增了三种注册键，名为“功能控制键”，可防止HTML获取用户的个人信息。另外，只要点一下鼠标，就很容易清除你在网页上输入的信息，以及浏览器缓存（临时Internet文件）、历史纪录、cookie及其他个人信息。

    九、地址栏

    IE7中的所有浏览器窗口都包括地址栏，所以恶意网站更难通过隐藏网站的URL来欺瞒身份了。

    十、国际字符警示

    IE7支持国际字符，但为了防止利用不同语言的字符存在相似的欺骗手法，每当用户使用国际字符集，如果出现了另一种语言的字符，IE7浏览器就会警示你。

    运行微软的这款最新旗舰操作系统的最低要求比以前任何操作系统都要高得多。

  安装Windows Vista前要注意的10个事项

    如果用户打算利用Windows Vista提供的所有优点，那么肯定需要高端硬件。运行微软的这款最新旗舰操作系统的最低要求比以前任何操作系统都要高得多。

    以下是准备在现有计算机上运行Windows Vista前要注意的十件事。虽然这款操作系统要求比较高，但许多硬件要求还是很容易满足。运行Windows Vista的最大障碍是图形卡方面的要求，但如果用户不准备使用新的Aero Glass图形，这个要求就不大严格。

    一、分析机器的升级能力

    首先，你应下载及运行Windows升级顾问实用程序。该软件会检查你的计算机，并简要说明计算机能够运行哪些版本的Windows Vista.注意： 升级顾问只表明计算机能否运行Windows Vista，无法表明它实现不了哪些要求。

    二、检查CPU

    Windows Vista对CPU的要求不是非常高。被认为是Vista Capable的计算机要有运行速度至少为800MHz的CPU.Premium Ready的计算机则要求处理器的速度至少是1GHz.近些年销售的大多数计算机都能轻松满足这一要求。

    三、确保有足够内存

    对Vista而言，内存是另一个相当容易满足的硬件要求。被认为是Vista Capable的计算机至少要有512MB的内存。Premium Ready机器至少要有1GB的系统内存。现在的大多数计算机满足这种要求。

    四、评估图形适配器

    那些对新的三维Aero Glass图形功能翘首以待的用户需要确保： 自己的图形适配器能够支持DirectX 9.另外建议机器与WDDM（这是用于编写驱动程序的Windows显示驱动程序模型）兼容。被认为是Premium Ready的图形适配器至少要有128MB的视频内存； 被认为是Vista Capable的适配卡只需要64MB的视频内存。除非用户打算使用Aero Glass图形，否则如果现有的视频适配器是Vista Capable，就没有必要升级。

    五、确认有足够硬盘空间

    要注意Windows Vista对硬盘空间的最低要求。要安装Windows Vista，硬盘至少要40GB大，还要有至少15GB的剩余空间。

    六、确保有DVD驱动器

    Windows Vista通过DVD来发布，所以要安装这款新操作系统，计算机得有DVD驱动器。

    七、选择版本

    与以前几个版本的Windows相比，确定安装哪个版本的Windows Vista可能要复杂一点。Windows Vista有以下五个版本：

    ■ Windows Vista家庭普通版： 该版本Vista提供基本的操作系统功能。如果用户不需要Aero Glass等高级功能，可以选择这个版本。

    ■ Windows Vista家庭高级版： 该版本是Windows XP家庭版和Windows XP专业版的某种混合体。它的功能比Windows Vista家庭普通版多得多，大多数普通及高级家庭用户会安装该版本。

    ■ Windows Vista商业版： 该版本相当于Windows XP专业版。它提供标准的商业功能，会成为公司桌面上的必备系统。

    ■ Windows Vista企业版： Vista企业版提供了诸多高级功能，譬如针对笔记本电脑的BitLocker驱动器加密、应用程序兼容性工具和多语言支持。

    ■ Windows Vista旗舰版： Vista旗舰版把家庭版和商业版的优点融入到了这个功能丰富的操作系统中。该版本还包括Windows媒体中心。

    八、检查应用程序兼容性

    为了让Windows Vista安装过程尽可能顺利，应当在安装前确保现有的应用程序能够在Vista下运行。用户可以下载及运行应用程序兼容性工具包，来帮助确定哪些应用程序在Windows Vista下可能无法运行。

    九、不要忽视数据备份

    在升级操作系统前，对数据进行备份是极为重要的步骤之一。除了备份数据外，在开始安装前，最好确认是否拥有安装现有软件所需的各种盘片以及相应的许可信息。

    十、笔记本电脑的烦恼

    笔记本电脑同样必须满足与台式机同样的硬件规格。不过笔记本电脑存在的一个问题是，要是图形卡不兼容，基本上就无法升级系统。

    微软对Vista中的Windows防火墙作了重大改变，从而增强了安全性，让高级用户更容易配置及定制。

  有关Windows Vista防火墙的10个事项

    微软对Vista中的Windows防火墙做了重大改变，从而增强了安全性，让高级用户更容易配置及定制，同时保留了新手用户所需的简洁性。

    一、采用两种界面来满足不同需求

    Vista防火墙有两种独立的图形配置界面： 一是基本的配置界面，可以通过“安全中心”和“控制面板”来访问； 二是高级配置界面，用户在创建自定义的MMC后，可作为插件来访问。这可以防止新手用户无意中的改变而导致连接中断，又为高级用户对防火墙设置进行更细化地定制以及控制出站和入站流量提供了一种方法。用户还可以在netsh advfirewall上下文中使用命令，从命令行对Vista防火墙进行配置； 也可以编写脚本，针对一组计算机自动对防火墙进行配置； 还可以通过组策略来控制Vista防火墙的设置。

    二、基本配置选项

    利用基本配置界面，用户可以启动或者关闭防火墙，或者设置防火墙完全阻挡所有程序； 还可以允许有例外情况存在（可以指定不阻挡哪些程序、服务或者端口），并且指定每种例外情况的范围（是否适用于来自所有计算机的流量，包括互联网上的计算机、局域网/子网上的计算机，或者是你指定了IP地址或者子网的计算机）； 还可以指定希望防火墙保护哪些连接，并且配置安全日志和ICMP设置。

    三、默认设置下的安全

    Vista中的Windows防火墙在默认状态下采用安全配置，同时仍支持最佳易用性。默认状态下，大多数入站流量被阻挡，出站连接被允许。Vista防火墙可与Vista的Windows服务加固这项新功能协同工作，所以如果防火墙检测到被Windows服务加固网络规则禁止的行为，它就会阻挡该行为。防火墙还完全支持纯IPv6的网络环境。

    四、ICMP消息阻挡

    默认状态下，入站ICMP回应请求可以通过防火墙，而其他所有ICMP信息被阻挡在外。这是因为，Ping工具定期用来发送回应请求消息，用于故障诊断。不过，黑客也可以发送回应请求消息来锁定目标主机。用户可以通过基本配置界面上的“高级”选项卡，阻挡回应请求消息。

    五、多个防火墙配置文件

    附带高级安全MMC插件的Vista防火墙可以让用户在计算机上创建多个防火墙配置文件，那样就可以针对不同环境使用不同的防火墙配置。这对便携式计算机来说特别有用。譬如说，当用户连接到公共无线热点时，可能需要比连接到家庭网络时更安全的配置。用户最多可以创建三个防火墙配置文件： 一个用于连接到Windows域、一个用于连接到专用网络，另一个用于连接到公共网络。

    六、IPSec功能

    通过高级配置界面，用户可以定制IPSec设置，指定用于加密和完整性的安全方法、确定密钥的生命周期按时间计算还是按会话计算，并且选择所需的Diffie-Hellman密钥交换算法。默认状态下，IPSec连接的数据加密功能是禁用的，但可以启用它，并且选择哪些算法用于数据加密和完整性。

    七、安全规则

    通过向导程序，用户可以逐步创建安全规则，从而控制单台计算机或者一组计算机之间如何及何时建立安全连接； 也可以根据域成员或者安全状况等标准来限制连接，但允许指定的计算机可以不符合连接验证要求； 还可以创建规则，要求两台特定的计算机（服务器到服务器）连接时需要验证，或者使用隧道规则对网关之间的连接进行验证。

    八、自定义的验证规则

    在创建自定义的验证规则时，要指定单台计算机或者一组计算机（通过IP地址或者地址范围）成为连接端点。用户可以请求或者要求对入站连接、出站连接或者两者进行验证。

    九、入站和出站规则

    用户可以创建入站和出站规则，从而阻挡或者允许特定程序或者端口进行连接； 可以使用预先设置的规则，也可以创建自定义规则，“新建规则向导”可以帮用户逐步完成创建规则的步骤； 用户可以将规则应用于一组程序、端口或者服务，也可以将规则应用于所有程序或者某个特定程序； 可以阻挡某个软件进行所有连接、允许所有连接，或者只允许安全连接，并要求使用加密来保护通过该连接发送的数据的安全性； 可以为入站和出站流量配置源IP地址及目的地IP地址，同样还可以为源TCP和UDP端口及目的地TCP和UPD端口配置规则。

    十、基于活动目录的规则

    用户可以创建规则来阻挡或者允许基于活动目录用户、计算机或者组账户的连接，只要连接通过带有Kerberos v5（包含活动目录账户信息）的IPSec来保护安全。用户还可以使用具有高级安全功能的Windows防火墙，执行网络访问保护（NAP）策略。

    Windows Meeting Space（WMS）是Windows Vista内置的一个新程序，它便于最多10个协作者共享桌面、文件和演示文档，并通过网络传送个人消息给对方。

  WMS 的10个重要特性

    一、WMS仅适用于Vista

    Windows Meeting Space取代了微软NetMeeting，它只提供给Windows Vista操作系统的用户，因为它建立在Vista的对等网络技术上，并使用Vista的功能如WS-Discovery.

    二、WMS易于设置及使用

    首次打开该程序后，它会自动执行使用WMS所需的任务，譬如配置防火墙允许Meeting Space通信、启用People Near Me和文件复制功能。如果没有检测到网络，它甚至会创建一个特定的无线网络，用于WMS通信。

    三、WMS包含内置的安全机制

    用户可以选择只接收来自可信联系人（即提供数字证书以证明身份的那些人）的邀请，要求参与者先输入口令，然后才可以加入会议。所有Meeting Space通信都经过加密，那样只有授权者才可以看到共享的桌面、应用程序和文件。

    四、可以将会议隐藏起来

    Windows Meeting Space可以将会议隐藏起来，邻近的Vista用户就无法在可用会议列表中看到它，必须经过明确邀请才能加入。

    五、WMS提供加入会议的多个选项

    有三种方式可以加入会议： 通过WMS界面上显示的可用会议列表； 通过电子邮件发送的邀请； 通过共享或者传输的邀请文件。

    六、可以在会议期间提供演示文档

    为了在会议期间演示文档，可以连接到网络投影仪，或者在桌面上显示演示文档，然后跟其他与会者共享桌面或者演示文档应用程序。

    七、可以将会议资料分发给与会者

    为了共享会议资料，只要选择想要分发的文件，它们就会拷贝到每个与会者的计算机上。任何参与者都可以编辑会议资料，变更内容会发送到其他参与者的拷贝上，而不会改变原始文件。

    八、WMS需要IPv6

    默认状态下，IPv6被Windows Vista安装及启用。不过，对于在本地子网（People Near Me）上的会议，不需要正式的IPv6基础设施安装到位。

    九、可以共享桌面或应用程序

    如果与别人共享桌面，其他与会者就能看到你桌面上的所有项目，这类似“远程帮助”，但他们无法控制你的桌面，除非明确将控制权授予对方。

    十、管理员有多种方法可以控制WMS的使用

    管理员可以使用组策略来限制或者控制WMS的使用。选项包括： 完全禁用WMS、禁用共享资料、执行口令长度和复杂性方面的要求。

    用户账户控制（UAC）是Windows Vista的核心安全功能，也是Vista最常被人误解的众多安全功能当中的一种。

  UAC的10个变化

    一、UAC消除了以管理员身份登录带来的风险

    这是个常见问题： 拥有管理员账户的用户往往使用这种账户登录，即使他们也有普通用户账户。虽然使用管理员账户登录比较方便，但同时也带来了风险。而使用UAC，可以消除以管理员身份登录带来的部分风险，因为Vista使用普通用户权限来执行大部分任务，即便某人以管理员身份登录也是如此。

    二、登录过程发生了变化

    虽然登录过程对用户来说似乎一样——都需要输入账户名和口令，但是Vista的登录过程实际上发生了变化。现在如果使用管理员账户登录，不但会获得该账户的访问令牌，还会获得普通用户的访问令牌。这个普通令牌可用于启动Explorer.exe，Explorer.exe的所有子进程都使用该令牌的权限运行，除非通过响应UAC提示对话框，提升了权限。

    三、比较容易区别哪些任务需要管理员权限

    对话框里必须拥有管理员权限的选项都有一个盾形图标，该图标表明如果选择该选项，需要响应UAC提示对话框。

    四、管理员批准模式是默认值

    默认状态下，Vista使用普通用户权限运行，即使以管理员身份登录也是如此。如果某项任务需要管理员特权，对话框就会要求获得许可，才能继续操作。这可以阻止恶意软件在用户不知情的情况下提升权限。

    五、可以提高UAC的安全性

    可以通过编辑组策略（本地安全策略或者域策略）来改变UAC的行为。可以用这种方法来提高安全性： 要求用户输入管理员证书信息来提升权限，而不是只点击“继续”按钮。默认状态下，以普通用户账户登录的用户如果试图执行需要提升权限的任务，对话框会提示要求输入管理员证书信息。在域环境下，默认值是禁用权限提升。

    六、进一步提高安全性

    默认状态下，如果响应了UAC提示对话框，签名和未签名的可执行文件都可以使用提升权限来运行。不过在高度安全环境下，可通过编辑组策略，以便Vista只为签名有效的可执行文件提升权限，从而改变这种行为。

    七、可降低安全性，从而提高便利性

    虽然不推荐这么做，但要是绝对肯定所处环境没有恶意软件，那么可以编辑组策略，让那些以管理员身份登录的用户可以使用提升权限来执行任务，不必要求响应UAC提示对话框。这可以消除有时烦人的对话框； 而且对管理员（譬如需要安装许多软件）来说，更加便利了。

    八、可以关闭UAC或者安全桌面

    UAC提示要求获得许可才能提升权限时，桌面被锁定，这样它只接受来自Windows进程的消息。这时，其他软件无法与桌面进行联系，桌面也会变成灰色。通过编辑组策略，可以禁用安全桌面。禁用后，提示对话框仍会弹出来，但会在交互桌面上显示出来。也可以完全关闭UAC（不过不推荐这么做）。用户只需要禁用“所有管理员在管理员批准模式下运行”策略即可。

    九、遗留程序需要做上标记

    Vista出现前编写的不支持UAC的程序需要经过特别配置，才能在Vista下工作。如果程序需要执行具有管理员权限的任务，应当将它们标上请求的执行级别，提示用户要求得到批准。可使用应用程序兼容性工具包来完成这一步，这个工具可从微软网站免费下载。

    十、UAC并不取代其他安全措施

    UAC提供了额外保护。譬如说，它让恶意软件更难以对系统造成破坏。不过，UAC并不取代反病毒或者反间谍软件程序，仍应当使用性能良好、合理配置的防火墙。为了确保效果，必须采取多层安全策略，UAC只是妥善的客户机安全方案的一个部分。

    服务加固功能是Windows Vista及下一代Windows服务器（目前名为Longhorn Server）的许多新的安全机制中的一种。它增加了黑客利用服务漏洞进行大肆破坏的难度。

  关于服务加固的10个事项

    一、SCM管理服务

    Windows服务是由服务控制管理器（SCM）管理的一些程序，SCM包含已安装服务的数据库，负责管理每项服务的状态。

    二、高权限意味着高风险

    在以前的Windows操作系统中，大多数服务在“本地系统”账户下运行，该账户拥有高级别的权限。这意味着，万一服务受到危及，攻击者就可能造成重大破坏，因为他们几乎可以访问一切。

    三、以尽可能低的权限运行服务

    在Vista和Longhorn中，用来在“本地系统”账户下运行的许多服务如今在“网络服务”或“本地服务”账户下运行，这两个账户的权限级别比较低。服务不需要的任何权限都被取消，这有助于缩小攻击面。

    四、用“隔离”技术保护服务

    隔离技术包括Session 0隔离，这可以阻止用户的应用程序在Session 0中运行，这可以保护服务远离其他程序的操作。

    五、为每项服务分配安全识别符

    为每项服务分配SID让服务可以彼此隔离开来，并使操作系统能够应用Windows访问控制模型，从而限制服务对资源的访问，这与限制用户和用户组账户的访问采用的方式一样。

    六、访问控制列表可用于服务

    ACL是一组访问控制条目（ACE）。网络上的每项资源都有一个安全描述符，包含分配给它的ACL.定义谁可以访问该资源的许可权保存在ACL里面。

    七、将网络防火墙策略用于服务

    该策略与服务的SID相关联，因而用户可以控制如何允许服务访问网络、防止它以不应该的方式使用网络。

    八、可以限制特定服务，那样它们就无法编辑注册表、写入系统文件及进行其他操作

    如果某服务需要执行上述操作才能正常使用，那么可以限制它，以便它只能写入到注册表或者文件系统的特定区域。也可以防止服务改动配置设置、执行有可能被攻击者利用的其他操作。

    九、每项服务事先被分配了服务加固配置文件

    该配置文件定义了服务可以执行哪些操作。基于该配置文件，SCM只为服务分配必要的权限。这一切都以透明方式进行，不需要任何配置或者管理开销。

    十、服务加固不能阻止攻击者危及服务安全

    Windows防火墙及其他保护层倒是旨在防止这种攻击。服务加固的目的是，万一服务果真受到危及，就尽量减小破坏程度。它通过Vista的多层安全策略来提高内层保护。

    微软的网络访问保护（NAP）允许用户监控试图连接到网络的所有计算机（而不仅仅是远程访问客户机）的安全状况，并且确保它们符合安全策略。

部署NAP之前要知道的10件事

    NAP功能内置在Windows Longhorn Server和Windows Vista客户操作系统中，它增强了Windows Server 2003中“网络访问隔离控制”特性的功能。

    一、NAP只是一项补充功能

    NAP并不取代其他网络安全机制，它根本无法阻止未授权用户访问网络，而是帮助保护网络，远离通过未打补丁、配置不当或者未加保护的计算机连接到网络的授权用户带来的攻击和恶意软件。

    二、NAP有两种部署模式： 监控模式和隔离模式

    如果配置监控模式，即使发现授权用户的计算机不符合策略，他们照样可以访问网络，但不符合策略的状况会被记入日志，那样管理员就可以指导用户如何让计算机符合策略。在隔离模式下，不符合策略的计算机只能有限访问网络，他们可以在该网络上找到符合策略的资源。

    三、可以为连接到网络的计算机选择符合策略的标准

    符合策略的标准包括： 要求服务包和安全补丁、反病毒软件、反间谍软件保护、防火墙和Windows自动更新。这些标准在NAP服务器上的系统安全验证器（SHV）里面进行配置。

    四、NAP服务器必须运行Windows Longhorn Server

    NAP服务器是一个网络策略服务器（NPS）。Longhorn中的NPS取代了Windows Server 2003中的互联网验证服务（IAS），提供了验证和授权功能。NAP服务包括： NAP管理服务器和NAP执行服务器。系统安全验证器（SHV）在NAP服务器上运行。

    五、NAP要求客户机安装NAP客户软件

    NAP客户软件内置在Windows Vista中； Windows Longhorn Server发布后，面向Windows XP的NAP客户软件应当也会推出。系统安全代理（SHA）运行在客户机上。如果网络上有计算机在运行不支持NAP的操作系统，可以允许有例外情况存在，它们可以不符合安全要求，那样这些计算机仍可以访问网络。如果不允许有例外情况存在，那么不支持NAP的计算机就只能有限访问网络。

    六、SHV根据客户机的安全状况来创建安全声明（SoH）

    NAP软件将SoH提交给SHV，SHV则与策略服务器进行通信，确定SoH里面提供的安全状况是否符合安全策略的要求。如果符合，则允许该计算机全面访问网络。如果不符合（在隔离模式下），该计算机只能有限访问网络。

    七、可以使用安全证书证明符合策略

    这种情况下，需要运行互联网信息服务（IIS）和证书服务的Longhorn服务器，充当证书管理机构、颁发安全证书。该服务器名为安全注册管理机构（HRA）。NAP客户机发送SoH给HRA，然后由HRA发送给NPS服务器。NPS服务器与策略服务器通信后，确认该SoH是否有效。如果有效，HRA为客户机颁发安全证书，该证书可用来建立基于IPSec的连接。

    八、有四种NAP执行方法

    IPSec执行依赖HRA和X.509证书。802.1x执行依赖EAPHost NAP执行客户机，用于通过802.1x接入点（可以是无线接入点或者以太网交换机）进行连接的客户机。访问被限制的配置文件放在不符合策略的客户机上，使用数据包过滤器或者VLAN识别符把它们限制在限制网络上。VPN执行则依赖VPN服务器，当计算机试图通过VPN、连接网络时，就执行安全策略。而DHCP执行依赖DHCP服务器，当计算机租用或者更新IP地址时，执行安全策略。可以在某个网络上使用一种、几种或者所有执行方法。

    九、如果不符合策略，通过四种执行方法的一种连接到网络的计算机，其访问会受到限制

    DHCP执行是最容易实现的，也是最全面的方法，因为大多数计算机需要租用IP地址（被分配了静态地址的计算机除外），但IPSec执行是最安全的执行方法。计算机的访问受限制后，它仍可以访问DNS和DHCP服务器以及补救服务器。不过，可以在限制网络上放置辅助DNS服务器或者转发服务器，而不是主DNS服务器。

    十、NAP有别于Windows Server 2003中的网络访问隔离控制（NAQC）

    NAP可以应用于网络上所有系统，而不仅仅是远程访问客户机。有了NAP，还可以监控及控制来访笔记本电脑，甚至台式机的安全状况。部署起来也比较容易，因为它不像NAQC那样需要创建定制脚本及使用命令行进行手工配置。此外，第三方软件厂商可以使用NAP API来开发符合NAP的安全状况验证和网络访问限制组件。NAP和NAQC可同时使用，但一般NAP充当NAQC的替代者。

    Windows Vista随带一个内置的反间谍软件程序，名为Windows Defender，它是Vista的加固安全机制的一个必要部分。

  充分利用Defender的10项必备知识

    一、Windows Defender只是多层安全战略的一部分

    Defender旨在检测及清除或者隔离擅自安装在计算机上的已知及可疑的间谍软件程序。它不能阻止针对计算机的所有攻击。Defender应当结合其他安全机制使用。

    二、默认状态下，Defender在Vista上是启用的

    可以开启及关闭Defender，并通过“Windows Defender控制面板”小应用程序来配置其属性和行为。还可以通过Vista中的“安全中心”来访问它。界面很简单，只要点击一下按键就可以立即扫描查找间谍软件，还能够根据每天或者所选的某一天安排自动扫描时间。

    三、Defender可以执行三种扫描

    “快速扫描”查找间谍软件最常出现的位置。这可以节省时间、查出大多数间谍软件。“全面扫描”检查计算机上的每个驱动器和文件夹。这是最彻底的选项，但需要相当长的时间，具体取决于硬盘容量及文件数量。“自定义扫描”可以选择想要扫描的特定驱动器或者文件夹。如果Defender在“自定义扫描”期间检测到了间谍软件，随后会执行“快速扫描”，以便清除或者隔离它。

    四、可以指定希望Defender怎样执行扫描

    可以选择Defender要不要扫描被存档的文件和文件夹。可以选择使用启发式方法，根据模式和行为来识别可能是间谍软件的软件，还可以使用识别已知间谍软件的定义文件。此外，可以选择要不要在清除检测到的间谍软件之前创建恢复点，那样要是其中一个合法程序所必要的某个文件不小心被清除，就很容易解决这问题。还可以指定执行扫描过程中Defender可以完全跳过哪些文件和文件夹。

    五、如果某个可疑的间谍软件程序企图在计算机上安装或者运行，实时保护功能会立即报警

    实时保护功能在默认状态下是启用的，但可以选择要不要使用它，还可以选择应当开启哪些安全代理来监控系统的各个方面。

    六、管理员可以控制Defender在用户机器上如何运行

    管理员可以允许所有用户使用Defender来扫描计算机、选择检测到可疑间谍软件后Defender应采取什么步骤，以及分析Defender的活动。他们还可以限制只有拥有管理员权限才可以使用Defender.默认状态下，每个人都可以使用Windows Defender.

    七、可以通过“历史”页面查看Defender执行的活动

    在“历史”页面上，可以看到程序和活动列表，包括检测到项目的描述、如何处理每个项目的建议，以及与程序相关的文件位置和注册表键等资源。可以看到报警级别、在某一天采取的步骤，以及项目的当前状态。还可以通过“允许的项目”链接查看允许运行的项目列表。可以通过“隔离的项目”链接，查看阻止了哪些项目运行，清除或者恢复这些项目。

    八、Defender可根据四个报警级别对潜在的间谍软件威胁进行分类

    “严重”意味着该恶意程序会破坏计算机。“高”意味着该程序可能会收集用户的个人信息或者更改设置。被列为“严重”或者“高”级别的软件应当立即予以清除。“中等”意味着该程序可能会收集个人信息，但也有可能是可靠程序的一部分。“低”级别意味着该软件可能收集信息或者更改设置，不过是根据用户认可的许可协议安装的。用户应当分析被标为“中等”和“低”级别的程序，确定是要阻止还是清除。

    九、应当让Defender定期查找新定义

    为了确保效果，反间谍软件程序要使用最新的定义文件，因为经常会出现新的间谍软件威胁。最佳办法就是在执行计划扫描之前让Defender通过Windows Update自动查找新定义。用户还可以手动查找新定义。

    十、微软依靠Defender用户的SpyNet社区，帮助扩建间谍软件数据库

    用户用不着加入SpyNet即可使用Defender，但如果加入该社区，Defender会把它检测到的可疑间谍软件及采取的步骤方面的信息发送给微软。通过“工具”→“设置”选项，就很容易加入SpyNet社区。