详细了解Windows Vista内核的安全性

新客网 XKER.COM 2008-01-03 来源：新客网搜集整理天堂之魂收藏本文

　　其有利因素在于，其他应用程序在提交事务后才能看到事务中的更改，而在 Windows Vista 和即将问世的 Windows Server（代号名为“Longhorn”）中使用 DTC 的应用程序会通过 SQL Server、Microsoft Message Queue Server (MSMQ) 以及其他数据库协调其事务。因此，使用 KTM 事务的应用程序更新服务永远不会将应用程序留在不一致的状态。这就是 Windows Update 和系统还原使用事务的原因。

　　作为事务支持的核心，KTM 允许事务资源管理器（如 NTFS 和注册表）对应用程序所做的特定更改协调其更新。在 Windows Vista 中，NTFS 使用称为 TxF 的扩展来支持事务。注册表使用称为 TxR 的类似扩展。这些内核模式资源管理器与 KTM 一起协调事务状态，正如用户模式资源管理器使用 DTC 跨多用户模式资源管理器协调事务状态一样。第三方也可以使用 KTM 实施其自己的资源管理器。

　　TxF 和 TxR 都定义了一套新的文件系统和注册表 API（与现有的类似，只不过它们包含事务参数）。如果应用程序想在事务中创建文件，首先要使用 KTM 创建事务，然后将引起的事务处理传递给新文件创建 API。

TxF 和 TxR 都依赖在 Windows Server 2003 R2 中引入的公用日志文件系统或 CLFS (%SystemRoot%\System32\Clfs.sys) 的高速文件系统记录功能。TxR 和 TxF 使用 CLFS 永久性地存储提交事务之前的事务状态更改。这样可以让它们提供事务恢复并确保即使在断电时也可以恢复。除了 CLFS 日志，TxR 还创建了一组相关的日志文件，跟踪 %Systemroot%\System32\Config\Txr 中系统注册表文件的事务更改（如图 1 所示），同时还为每个用户注册表配置单元单独创建几组日志文件。TxF 在名为 \$Extend\$RmMetadata 的卷的隐藏目录中存储每个卷的事务数据。

　　2.增强的崩溃支持

　　当 Windows 遇到不可恢复的内核模式错误时（无论是由于设备驱动程序错误、硬件故障还是操作系统问题），在出现“蓝屏死机”现象和将物理内存的部分或所有内容写入崩溃转储文件（如果配置为执行此操作）后，它会尝试终止系统来防止磁盘数据的损坏。转储文件非常有用，因为当您在系统崩溃后重启时，Microsoft 在线崩溃分析 (OCA) 服务会分析这些文件找出根本原因。如果愿意，您也可以使用面向 Windows 的 Microsoft 调试工具自已进行分析。

　　不过，在以前的 Windows 版本中，只有在会话管理器 (%Systemroot%\System32\Smss.exe) 进程初始化分页文件后才会启用对崩溃转储文件的支持。这意味着在此之前任何严重错误会导致蓝屏，但没有转储文件。由于在 Smss.exe 启动之前，会出现大量的设备驱动程序初始化，所以早期的崩溃永远不会引起崩溃转储，因此使原因诊断极为困难。

　　在所有引导启动设备驱动程序初始化之后，但在系统启动驱动程序加载之前，Windows Vista 通过初始化转储文件支持，可减少无转储文件生成的时间窗口。由于这一更改，如果在引导过程开始时出现崩溃，系统就可以捕捉崩溃转储，让 OCA 帮助您解决问题。此外，Windows Vista 使用 64KB 块将数据存储到转储文件中，而以前的 Windows 版本使用 4KB 块写入文件。这一更改使得大型转储文件的写入速度最多可提高 10 倍。

　　应用程序崩溃处理功能在 Windows Vista 中也得以改进。在以前的 Windows 版本中，当应用程序崩溃时，它会执行未处理的异常处理程序。处理程序启动 Microsoft 应用程序错误报告 (AER) 进程 (%Systemroot%\System32\Dwwin.exe)，显示对话框，指明程序崩溃，并询问您是否要向 Microsoft 发送错误报告。不过，如果崩溃时进程主线程的堆栈损坏，未处理的异常处理程序执行时会崩溃，导致内核终止进程、程序窗口立即消失，并且没有错误报告窗口。

　　Windows Vista 将错误处理从崩溃进程的上下文移至新服务，即 Windows 错误报告 (WER)。此服务由服务托管进程中的 DLL (%Systemroot%\System32\Wersvc.dll) 实施。在应用程序崩溃时，它仍然会执行未处理的异常处理程序，但是该处理程序会向 WER 服务发送消息，并且服务会启动 WER 错误报告进程 (%Systemroot%\System32\Werfault.exe) 以显示错误报告对话框。如果堆栈损坏并且未处理的异常处理程序崩溃，处理程序会再次执行并且再次崩溃，最终消耗所有线程的堆栈（使用内存区域），此时内核会介入，并向服务发送崩溃通知消息。

　　3.卷影复制

　　Windows XP 引入了一种称为卷影复制的技术，可生成磁盘卷的时间点快照。备份应用程序可以使用这些快照生成一致的备份映像，但是快照却被从视图中隐藏，并仅保持备份过程所持续的时间。

　　快照实际上并不是卷的完整副本。更确切地讲，它们是较早还原点的卷视图，由与卷扇区副本（在生成快照后已更改）重叠的活动卷数据组成。卷快照提供程序的驱动程序 (%Systemroot\%System32\Drivers\Volsnap.sys) 监视针对卷的操作，备份扇区副本后才允许扇区更改，将与快照相关的文件中的原始数据存储到卷的 System Volume Information 目录中。

　　Windows Server 2003 使用其共享文件夹的影副本对服务器上的管理员和客户端系统上的用户公开快照管理。此功能启用了持续快照，用户可通过 Explorer 属性对话框中的“以前的版本”选项卡访问它，因为其文件夹和文件位于服务器的文件共享部分。

　　Windows Vista“以前的版本”功能为所有客户端系统提供了此支持，即自动创建卷快照（通常每天一次），您可以通过使用共享文件夹影副本所用的相同界面的 Explorer 属性对话框访问快照。这样可让您查看、还原或复制您可能意外修改或删除的文件和目录的旧版本。虽然从技术角度来讲这并不是新技术，但 Windows Vista“以前的版本”实施的卷影复制优化了 Windows Server2003在客户端桌面环境中使用的功能。

　　Windows Vista 还充分利用了卷快照，以统一用户和系统数据保护机制，避免保存冗余的备份数据。当应用程序安装或配置更改造成错误或不合需要的行为时，您可以使用“系统还原”（在 Windows NT® 系列的操作系统 Windows XP 中引入的一项功能）将系统文件和数据还原成创建还原点时其存在的状态。

　　在 Windows XP 中，“系统还原”使用文件系统过滤器驱动程序（可以看到在文件级别的更改的一种驱动程序类型）在系统文件更改时备份其副本。在 Windows Vista 中，“系统还原”使用卷快照。当您在 Windows Vista 中使用“系统还原”用户界面返回到还原点时，您实际上是从与活动卷的还原点关联的快照复制已修改的系统文件的较早版本。

　　4.BitLocker

　　Windows Vista 是迄今为止最安全的 Windows 版本。除了包含 Windows Defender 反间谍软件引擎外，Windows Vista 还引入了大量的安全和纵深防御功能，包括 BitLocker™ 整卷加密功能、内核模式代码的代码签名、受保护的进程、地址空间加载随机化以及对 Windows 服务安全和用户帐户控制的改进。

共4页: 上一页 [1] [2] [3] [4] 下一页

上一篇：精品整理：Vista九则加速技巧下一篇：抓出Vista中IE7不能上网的凶手

【收藏】【评论】【推荐】【投稿】【打印】【关闭】