Windows Vista 安全性和数据保护改进

　　•引入了每个服务的安全标识符 (SID)。它启用了每个服务的标识，该标识随后又通过现有 Windows 访问控制模型(包括使用访问控制列表(ACL) 的所有对象和资源管理器)启用访问控制分区。现在，服务可将显式 ACL 应用于该服务专用的资源，从而可防止其他服务和用户访问该资源。

　　•将服务从 LocalSystem 移至权限较低的帐户(如 LocalService 或 NetworkService)。这会降低服务的总体权限级别，这类似于“用户帐户保护”所带来的益处。

　　•基于每个服务除去不必要的 Windows 权限，例如进行调试的能力。

　　•将限制写入的令牌应用于服务进程。当由服务写入的对象集已绑定且可对其进行配置时，可使用此概念。向未明确授予服务 SID 访问的资源中进行的写入尝试将失败。

　　•为服务分配网络防火墙策略，这样可防止服务程序常规绑定以外的网络访问。防火墙策略直接与每个服务的安全标识符 (SID) 链接在一起。

　　优点

　　“Windows 服务增强”基于深层防御的安全原则为服务提供了一个附加保护层。“Windows 服务增强”不能防止易受攻击的服务免遭破坏;而其他 Windows Vista组件和深层防御策略(例如，Windows 防火墙)和好的补丁管理进程则有助于解决此问题。而“Windows 服务增强”则对攻击者在其能够识别和利用易受攻击服务的不可靠事件中所能进行的破坏程度做出了限制。

　　“Windows 服务增强”还支持第三方服务编写者的使用，这样，应用程序编写者就可以为其代码获得此相同的安全益处。

　　为什么重要

　　安全性受损的成本可能非常大。保密数据可能会遭到破坏、用户可能会丢失数据且可能会降低工作效率。IT 部门可能需要花几周的时间来修补严重安全性问题所造成的破坏。“Windows 服务增强”可防止受损服务更改重要的配置设置或感染网络中的其他计算机，从而可大大减少该受损服务所造成的破坏。使用“Windows 服务增强”后，可潜在地将本来是重大安全漏洞的问题限制为程度较轻的损害。

　　InternetExplorer增强功能

　　功能说明

　　Windows Vista 将构建于“用户帐户保护”初始版本之上，以将 Internet Explorer 限制为只有浏览 Web 的足够权限，但在默认情况下，没有修改用户文件或设置的足够权限。此仅限 Windows Vista 的功能(被称为“受保护”模式)将存在于 Beta 2 中。因此，即使某个恶意站点攻击 Internet Explorer 中的潜在漏洞，该站点的代码也没有足够的权限安装软件、将文件复制到用户的“启动”文件夹中或攻击浏览器主页或搜索访问接口的设置。