Windows Vista明顯提高了對黑客和惡意入侵者的防范，毫無疑問，它是迄今為止最為安全的微軟操作系統(tǒng)。通過諸如用戶帳號控制(UAC)、BitLocker驅(qū)動器加密、文件/注冊表虛擬化、強制完整性控制(MIC)和IE瀏覽器保護模式等功能，你可以在系統(tǒng)級別或更精細級別來加固Vista的安全性。
    然而，由于Vista的安全配置的復(fù)雜性，人們對一些Vista安全功能和推薦配置存在很多令人迷惑之處。下面讓我們看一下關(guān)于Vista安全的十大誤解，并給出正確的理解。
    1、administrator帳號默認將被禁用?
    通常情況下Vista會默認禁用administrator帳號，但是有一個前提：在管理員組里面存在其他活躍的定義好的成員。更準確的說法應(yīng)該是，如果Vista檢測到其他啟用的管理員帳號的話，通過禁用真正的administrator帳號，來試圖最小化管理員帳號的數(shù)量。在新安裝Vista的時候，第一個新帳號將被增加到管理員組里，就如同在windows xp和windows 2000中一樣，但是后來增加的用戶不是。一旦第二個管理員帳號被增加后，Vista將禁用真正的administrator帳號。
    需要注意的重要一點是，默認禁用的管理員帳號是沒有密碼的。你應(yīng)該對administrator帳號設(shè)置一個復(fù)雜的密碼，即使它是被禁用的。如果你要啟用一個被禁用的administrator帳號的話，首先設(shè)置密碼，然后你就可以啟用這個帳號了。
    2、Vista只存在四個強制完整性控制級別?
    強制完整性控制(MIC)是Vista安全架構(gòu)中新增加的一種檢測機制。Vista中的所有安全性對象和進程都有一個完整性級別，完整性級別(IL)低的進程不能修改級別高的文件或注冊表表項。有四個主要的強制完整性控制(MIC)級別：
    ·低(Low)
    ·中等(Medium)
    ·高(High)
    ·系統(tǒng)(System)
    包括管理員組中的非提升權(quán)限成員在內(nèi)的大多數(shù)用戶，都運行在中等級別。以下是一些其他級別是如何被設(shè)定的。
    ·內(nèi)核級別的Windows文件以系統(tǒng)完整性級別運行
    ·用戶級別的代碼，例如Windows Explorer和任務(wù)管理器，以中等完整級別運行
    ·真正的administrator或系統(tǒng)管理員組中的提升權(quán)限的成員以高完整級別運行
    ·保護模式下的IE瀏覽器以低完整性級別運行
    ·如果一個對象或資源沒有明確的設(shè)定完整性級別，那么它具有中等完整性級別。
    建立強制完整性控制的的主要目的是，使一般用戶、程序和在IE保護模式下的下載內(nèi)容難于修改系統(tǒng)文件。因此，即使一個用戶可能是系統(tǒng)管理員組的一個成員，或者甚至即使一個惡意軟件設(shè)法突破了IE的初級安全防御，它們也難于修改Windows的系統(tǒng)文件。
    除了上述四個級別外，至少還有兩個人們知道比較少的強制完整性級別：非信任級別和保護進程級別。非信賴完整性可能是級別最低的強制完整性級別，被設(shè)置給匿名空連接會話。保護進程可能是級別的強制完整性級別，只有在系統(tǒng)需要的時候才會被使用。
    或許只有你在進行研究或故障排查的時候才能碰到這些強制完整性級別，你可以認為惡意黑客們將試圖獲得一個保護進程強制完整性級別的權(quán)限，來使Windows更輕松的被攻破。
    3、用戶帳號控制(UAC)減少管理員被需要的次數(shù)?
    Vista要求用戶獲得提升的權(quán)限和許可來完成系統(tǒng)任務(wù)，諸如安裝軟件、更新內(nèi)核驅(qū)動等等。Vista還有一些新的要求較少管理性帳號的功能，但是用戶帳號控制(UAC)不是其中之一。
    用戶帳號控制(UAC)明確的要求那些希望完成管理性任務(wù)的用戶具有提升的本地組中成員資格，例如administrators組或backup operators組。用戶帳號控制(UAC)的存在并不會減少對管理性用戶的需要，當執(zhí)行諸如電子郵件或網(wǎng)絡(luò)瀏覽等非管理性任務(wù)的時候，它提供了針對屬于提升權(quán)限組的用戶的額外的保護。
    當一個提升權(quán)限的用戶(但不是真正的administrator)登錄后，用戶帳號控制(UAC)設(shè)定兩個訪問安全令牌，也被叫做一個“分離令牌split-token”。直到用戶通過用戶帳號控制(UAC)提升了訪問權(quán)限后，標準系統(tǒng)管理員組的成員安全令牌才可用。否則，Vista針對用戶的安全令牌采取如下措施：
    ·Vista移除通常設(shè)置給管理員組成員的9個提升的權(quán)限
    ·用戶的強制完整等級從高等降級為中級
    ·指定禁用安全標示符(deny-only security identifier,deny-only SID)
    ·出現(xiàn)用戶帳號控制(UAC)同意提示窗口
    ·應(yīng)用文件和注冊虛擬化
    當用戶提升它們的session時，那些額外的限制將被移除。但是，Vista要求一個管理員帳號來完成許多普通的系統(tǒng)任務(wù)。通過在不明確被需要的時候移除提升的權(quán)限和許可，用戶帳號控制可以同時保護系統(tǒng)和用戶。這樣，管理帳號不用在瀏覽網(wǎng)頁或打開惡意電子郵件的時候擔心其被提升的安全權(quán)限被使用。
    在其他方面，Vista的確降低了必需的管理員的數(shù)量。首先，Vista已經(jīng)移除了完成許多普通系統(tǒng)任務(wù)對管理員權(quán)限的需要，諸如查看或修改時區(qū)，配置無線網(wǎng)絡(luò)，修改電源管理設(shè)置，創(chuàng)建和配置一個虛擬專用網(wǎng)絡(luò)(VPN)連接和安裝關(guān)鍵的Windows更新。
    其次，Vista讓管理員可以定義非管理員帳號可以安裝的驅(qū)動、設(shè)備和ActiveX控制。因此，舉個例子來說，你可以讓你的用戶安裝打印機、網(wǎng)卡、USB設(shè)備和VPN軟件。
    第三，對于基本的網(wǎng)絡(luò)重新配置任務(wù)，你可以增加非管理員用戶到網(wǎng)絡(luò)配置操作組中。在這個組中的用戶可以釋放IP地址，清空DNS緩存和完成其他普通網(wǎng)絡(luò)任務(wù)。還有很多其他的方式來降低你需要管理員權(quán)限的次數(shù)。UAC不是其中之一。