虽然由于软件和硬件兼容性的阻碍,但是64位Windows XP专业版将会在今后很长一个时间内延迟Vista的推广,因此微软公司正在默默地为64位Vista版本增添很多仅在64位Vista上特有的功能,它们包括64位的Windows Vista家庭基本版、Vista家庭高级版、Vista商业版、Vista企业版和Vista终极版。在这些独有的特性中,大多数都是与安全相关的:因为这些关键改进都只在64位的Vista上才有,因此可以说64位版本的Windows Vista 是微软公司推出的最安全的 Windows 版本。下面我将为大家简单展示一些在64位Vista上独有的安全特性。
底层调用保护
微软公司一直没有将64位Vista中包含的底层调用保护特性进行大张旗鼓的宣传。被称作地址空间配置随机化(Address Space Layout Randomization,ASLR)的功能,旨在保护系统免受恶意代码利用缓冲区溢出发起攻击。每当计算机启动时,该功能会将关键的系统文件加载到不同的内存地址,提高恶意代码的运行难度。微软公司相信ASLR将能够根除对Windows系统文件进行缓冲区溢出攻击的威胁。在此之前每次Windows操作系统启动时,总是将系统文件加载到内存的某个相同区域,这样就使黑客有了可乘之机将非法代码覆盖到相同的区域,以获得执行和调用的权利。在64位Vista中,系统文件将随机的加载到256个地址中的任何一个。ASLR将这些系统文件分散开来,使它们被存储在不可预期的内存地址。根据我得到的消息,这个改动对性能的影响几乎可以忽略不计,但是所获得安全改进却是巨大的。微软公司相信在64位Vista上,99%的缓冲区溢出攻击将会失败。虽然该技术并非完美,从理论上而言,黑客仍然有可能开发试图访问所有256个内存地址的恶意软件。因此,在与黑客的斗争中我们都将拭目以待。
数据执行保护(DEP)
在Windows 2003 SP1和Windows XP SP2中,增加了一个被称为“数据执行保护”(Data Execution Prevention,DEP)的功能,依次点击“系统”属性*“高级”*“性能”,可以找到“数据执行保护(DEP)”的选项。可以选择只为“关键的Windows程序和服务器启用数据执行保护”还是“除所选项之外,为所有的程序和服务启用数据执行保护”。在64位Vista版本中也支持数据执行保护,它与如今处理器内置的NX(No eXecute)功能结合,能阻止病毒在内存中运行,保护电脑中的文件免受蠕虫、病毒的传染破坏。存在两种类型的DEP:在32位Vista中基于软件的DEP;以及在64位平台上基于硬件的DEP。基于硬件的DEP功能更加强大,因为芯片组从底层就能够监视已安装的程序,帮助确定它们是否正在安全地使用系统内存。为监视您的程序,硬件实施DEP将跟踪已指定为“不可执行”的内存区域。如果已将内存指定为“不可执行”,但是某个程序试图通过内存执行代码,Windows将关闭该程序以防止恶意代码。
PatchGuard
一个新的被称为PatchGuard的64位技术能够防止任何非授权软件试图“修改”Vista内核,类似一个Windows Vista的内核保护系统。微软公司将PatchGuard描述为Windows Vista的安全操作层。能够有效防止内核模式驱动改动或替换Windows内核的任何内容,第三方软件将无法再给Windows Vista内核添加任何“补丁”。
数字签名驱动程序(Digitally Signed Drivers)
在运行64位Vista的系统上,将只允许安装拥有数字签名的驱动程序(在目前的Windows平台上安装未经授权的驱动程序是基本不受限制的)。使用经过数据签名的驱动程序不仅能够保证系统的运行稳定,并且微软公司能够更加紧密地与驱动程序供应商合作,提高驱动程序的质量和可靠性。使用经过数字签名的驱动程序将能够保证更加可靠的驱动程序,进而使计算机的运行更加稳定——因为目前很大部分的系统崩溃和蓝屏都是由驱动程序质量不佳造成的。
建议
要选择迁移到64位Vista平台,对大多数用户而言都需要很大决心,因为他们必须克服各种软件和硬件不兼容的烦恼。但是,64位Vista平台所拥有卓越的安全性又为那些非常重视信息安全的政府和企业选择部署它极大的增强了信心。微软对于信息安全的态度一贯是严肃而认真的,不仅包括上述64位Vista平台拥有的安全特性,还包括32位Vista的安全性——包括用户帐户控制(UAC)、Windows Defender、Windows防火墙、Windows Service Hardening、加密文件系统(EFS)和Bitlocker。因此如果能够承担购置新硬件的成本负担,那么64位Vista版本将为你带来最为安全的客户端环境,最终赢得更多用户的肯定。
全文共2498字节
