Windows Vista几乎是头顶微软有史以来最具革命性的升级系统的光环出现在众人面前,其被微软自诩为具备更好的安全性,耳目一新的用户界面,图形化系统以及复制保护等崭新属性的操作系统。本文就将向大家展示Windows Vista的“芳容”,并将其和Windows XP,Suse Linux以及Mac OSX作一番比较。软的目标是很明确的—使Windows Vista,也就是之前代码阶段名为“Longhorn”的操作系统成为最优秀的系统,从而弥补长久以来Windows系统安全性差的恶名。为了完成这次突破性的升级,程序员们一致在潜心研发关键特性,最终的发布将会在2006年的下半年。从用户界面,安全设置到驱动模式都将被修改,其中最重要的也是争论最热烈的革新会包括,Avalon图形系统,IE7以及相对不太引人注意的属性—Metro文档格式和PVP-OPM(Protected Video Path-Output Protection Management,受保护的视频路径-输出保护管理)复制保护机制。
Windows Vista设计中的一个重要思路为全方位的完整安全管理体系,这就意味着这种安全保护不仅仅是用户级的,这里的“安全”还包括对数字版权管理(DRM),内置了对音乐和电影的复制保护机制。微软的老板始终对这些还保持三缄其口,因为一旦这些计划在Windows Vista中实现,用户要更新的不只是个操作系统,而是一套完整的硬件设备。大部分属性是以Longhorn的build 5048为基础,这个Vista的build beta版本主要是针对硬件开发、测试人员。在8月初从MSDN网站上可以找到提供给beta测试人员的Windows Vista Beta1版本。我们打算研究一下这个版本看看和之前的pre-beta版本相比有哪些改进。
Vista vs XP, Linus, OSX
Vista中的一些崭新功能属性的确是令人惊讶的。不过其中部分只是简单地改进了Windows XP中长期让人颇有微词的那些问题。在下文中你可以找到Windows Vista,Windows XP,Suse Linux 9.3和Mac OSX Tiger的比较表格,从中找到Vista中的一些独特属性。
Windows Vista技术细节
Vista就是要挽回Windows是不太可靠的操作系统的坏名声。安装之后,你会发现一旦开机,马上就会运行安全设置,并且会阻止任何系统外的工具的访问和任何硬件驱动的删除。在安全设置启动过程中其实暗藏着一个机制—利用安全的Bios和集成的密码系统芯片(Trusted Platform Module-TPM,可信赖的平台模块)的结合来保证系统的安全启动。真正的革新在于系统的安全启动只与TPM共同起作用,这个TPM遵从最近版本1.2(
www.trustedcomputinggroup.org)。
当芯片“罢工”
安装了Vista的系统开机后,首先启动的是TPM,它是主板上密码算法芯片中内置的固件。PC一旦加电,TPM芯片就会立即检查Bios和相关硬件,利用哈希算法为平台配置注册表(PCR)中的各个硬件组件计算安全缓存容量。TPM还会检测系统Rom,硬件驱动的主引导记录(MBR)以及分区表,将它们的哈希值存储在TPM的注册表中。这些值将会和上次启动记录的值进行比较,如果结果产生矛盾,TPM就不允许对系统分区进行访问;如果比较后通过,TPM将允许启动过程继续进行。接下来,主引导记录(MBR)会控制启动进程,其指定活动分区,加载首个扇区到系统内存中,之后由启动扇区控制。
更严苛的安全性,比如安全启动加密整个系统分区(如图1),完整磁盘卷加密(FVE)选项提供了比Windows XP Professional集成的加密文件系统(EFS)更多的功能,EFS只对文档和文件夹进行加密而不是整个分区。现在系统存在的一个很大的问题就是文件包含敏感的系统数据,比如分页文件,注册表以及隐藏文件,这些都是未被加密的,很容易被黑客获取。
安全启动模式将启动进程分为层层递进的若干阶段,最大的革新就是过去操作系统中没有的安全保护。
而FVE的优势在于对整个系统分区进行加密。最好的解决方案为FVE和EFS的结合,这样会利用EFS对数据分区上的重要文件夹进行加密,而相关的密钥存储在被FVE保护的系统区上。如果TPM启动系统时没有问题,那么继续会对系统分区解密。微软兑现了其要实现Windows安全中心的承诺。安全启动不是必选项,用户可以轻易将其关闭,当然你至少要有本地管理员的权限才行。这就意味着你不能在公司背着系统管理员对安全启动做过多的操作。
崭新的硬件阻止启动
安全启动的底线是将TPM和硬件潜在的阻止系统启动相结合,比如,你添加了一个新的显卡或Raid控制器时阻止系统启动。在升级以后,为了不让系统锁定这类型的合法用户,微软已经提供了恢复的方法:“failsafe”关键字的列表将会在安全启动开始的时候被分别生成,如果出现问题,列表就会被用来对有改变的硬件驱动程序解锁。
针对老应用程序的技巧
LUA应用操作管理(AIM)有点像程序管理,其允许没有写权限的普通用户能在一个被保护的系统区域中仍然能得到虚拟的视图。
比如,如果一个只有低安全权限的用户运行一个应用程序去改写C:\Program Files中的文件夹,AIM就会为这个应用程序提供一个这个文件夹的虚拟拷贝文件夹,而当这个应用程序关闭时,这个虚拟文件夹将会被删除。这种进程被理解为在写时拷贝,即一个应用程序看起来可以写数据,但实际上在安装了Windows Vista的系统中的程序和服务是不会被改变的。因此,比如当病毒或木马程序要攻击C:\ProgramFiles\InternetExplorer\iexplore.exe这个文件时,系统将会保存一个完整的未被改写的文件副本。尽管如此,AIM算得上是唯一能激励程序员开发能在LUA规则限制下的良好运行的方式了。
对系统管理员的保护
有些进程的操作,比如安装驱动程序或进行备份,仍然需要管理员身份登陆才能完成。针对这类情况,LUA体系架构则提供了一种被保护的管理员(PA)状态。这种“超级用户”状态允许你拥有管理员的特权登陆,因而就带有保护系统配置不被篡改的保护。PA允许应用程序运行在一种被保护的管理员安全模式下,这种模式的安全限制和LUA是很相似的。以PA方式登陆,你的Web浏览器和邮件客户端都是和在LUA状态下一样安全。只有那些特定的程序是被信任的可以带有真正的管理员权限。例如,你可以设定给一个拷贝程序以更高的权限。虽然PA提供的安全保护并不是特别完备,这种思路也不是很新颖,但是,它的安全水平还是大大高于Windows XP中无任何限制的管理员帐户的。
数字要塞
为了迎合电影工业和版权持有者的需求,微软一直在新版本的操作系统中致力于研发一种被称为媒体保护路径(PMP-Protected Media Path)的新的拷贝保护系统。采用众多 特殊机制以及独特的保护环境,安装了Vista的PC可以说是保护付费内容的最好堡垒。每个项目被植入了相应保护级别的数据并且都要通过媒体协同工作网关(MIG-Media Interoperability Gateway)执行后才会被确认出是否被允许播放。
对普通用户的保护
安全启动,FVE以及LUA在安全性方面确实有了很大的提升,Vista同样提供了一些专门保护用户内容的功能属性。包括拷贝保护属性,防止对那些付费内容的“盗版”行为,比如通过HDTV,HD-DVD,Blu-ray的盗取等。好莱坞已经采取了诸多方法来阻止电影在PC平台上随意拷贝,复制。针对视频DVD的复制保护机制在几年前就被不停地倡议着,但结果是很多电影大腕们为之徒劳付出了大量钞票。很明显,他们不想让已经在电影上发生的盗版危机在即将到来的DVD时代重演,也就是说,版权拥有者不想让HDTV通过数字卫星发布的内容轻易就被PC重新编辑和非法传播。
这就意味着,开发一切可能的方式来保护内容在任一层次上免受攻击是很有意义的。一个很基本的需求是保护非法软件在付费节目播放的时候通过Ram对其拷贝。为了阻止付费内容从显卡等硬件上被盗取,这类内容应该只在那些受到拷贝保护的设备上可用。这种机制已经存在:其被称为HDCP(宽带数字内容保护),但是这个机制只在数字HDMI或DVI平台上才有效。 带有DVI连接的TFT显示器,如果不支持HDCP的设备有可能完全不能显示付费内容,或者可以显示但是质量有所降低。很有可能只能看到类似于VGA输出的较低分辨率的视频。电视节目的界面应该只允许传输付费节目,比如类似于Macrovision的系统和CGMS-A(拷贝生成管理系统)。这种输出限制不仅约束视频文件,也用于音频播放界面,其不支持拷贝保护,包括S/PDIF(注:Sony/Philips数字交互格式),当付费节目内容管理要求关闭时必须具有关闭功能。为了防止通过PCI总线对付费内容的盗用,对低端总线的攻击也要阻止。一些内容提供商明确提出禁止未经加密的内容通过PCI总线传送到显卡,这已经成为微软要解决的一个问题。
限制用户权限
其实Windows XP并没有充分利用用户权限作为安全机制。最容易和最简单的安全保护就是每次都使用管理员权限登陆系统,但是XP却将本地用户设为默认登陆方式。在Vista中,微软实现了一个最低特权的用户帐号“Leastprivileged User Account (LUA)”,这个帐户只有很有限的权限来应对日常的工作,开发人员保证受限制的权限不会产生问题。新版本的Visual Studio 2005会为开发LUA程序提供一些新的工具,更多的细节则在9月份举行的微软专业开发人员大会上公布。
禁止电影拷贝
受保护的视频路径-输出保护管理(PVP-OPM-Protected Vidoe Path-Output Protection)是指将Vista中数字限制放入到电影盗版中的一个属性。输出内容需要符合加密要求和显示器输出标准。一系列的认证检测将被执行:显卡的驱动程序会检测该卡是否已经被认证许可播放相关内容。
操作系统会对驱动程序进行认证检测,之后多媒体内容自身会检查操作系统是否具有足够的合适的安全保护功能。当全部认证过程都成功完成后,Vista才会允许播出电影(如图3)。如果认证链过程中的任一环节出现问题,PVP-OPM就会停止播放或降低输出质量。
在Vista系统中针对音频文件和PVP-OPM类似的机制被称为被保护的用户模式音频(Puma-Protected User Mode Audio)。在Windows XP下,音频引擎的运行具有优先权的内核。在Vista下这种状态将不复存在,新的音频引擎将被转移在用户模式下工作,更加强劲并具有更大的可扩展性。
为了避免任何由于处理性能的提高而带来的令人生厌的瑕疵,调换任意一个独立被保护的组件是不允许的。比如,由于处理能力的大幅提升,将会出现的实时加密算法;又或者一个模块受到黑客攻击等。那么,输出保护架构将会使这个模块的访问允许失效,例如之前认为是可靠的显卡驱动程序。因此,其和PKI执行类似的方式,受到攻击的模块将在整个列表上终止。当然,Vista同样是可以播放付费节目的,但是PC一定要连接到Internet以获得不断更新的黑名单才行。
为了保护在PC上通过电视传播途径得到的内容的版权,微软已经在Vista系统中改变了电视卡驱动程序的接口。受保护的广播驱动架构(PBDA-Protected Broadcast Driver Architecture )会控制受保护的从电视卡硬件到操作系统的广播流。而且,Vista会为包括租来的电影在内的内容自动提供版权保护或使用指导功能。我们现在所看到的是PC上对大量内容的保护。毋容置疑,Vista提供的这些功能属性对内容提供商来说是非常优秀的,但是也许同时会成为最终用户眼中最具争议的地方:你真的准备要去买一台新PC仅仅是因为要安装Vista吗?
Vista的崭新界面
Vista中的大部分新的属性都隐藏在操作系统的底层。但是,用户能看到的用户界面上的众多新功能同样带来很多益处(如图6)。
据微软表示,计划中的很多新属性和用户界面中的变化会在Beta 2版本中出现,尽管如此,在Beta 1中我们仍然能对新功能属性略见端倪。要说明的是,对于任何beta版本发布中的细节都应以最终版本为准。从安装后打开桌面的第一步看,似乎和过去的系统差异不大,但实际上可以说是完全不同的。如果你的显卡足够强劲,你就会看到远不止风格变化的很多有意思的效果:窗口和对话框呈现出半透明的玻璃质感效果,通过柔和模糊处理可以看到窗口和对话框下的内容。
这些生动活泼的效果也许让你想起Mac OSX系统。你还能看到按钮及窗口边缘逐渐变亮的效果,另外,文件夹的颜色也是根据不同内容而编码设置的:系统文件夹为蓝色;媒体文件夹为红色;用户文件夹为绿色等。
