作者：Fish编译 来源：enet

作者观点:下一版本的Windows客户端提供了一些不错的功能，但没有实践就没有发言权，我们还是必须等到明年它发布后，人们纷纷运行，才可以对它做出更客观正确的评价。

　　数年以来，尤其是Windows XP Service Pack 2发布后，微软一直在紧锣密鼓地加强Windows和Internet浏览器的安全性。有时，微软所做出的努力是很难看到的，但我认为他们确实取得了进展。不过，现在要推出的全新的Windows版本中，微软倒真有机会做点工作，从根本上对安全方面大开刀。

　　像Service Pack 2一样，这些变化会打破现有应用系统的平静，需要独立软件开发商(ISV，Independent Software Vendor)和设备驱动开发者做出相应的改变。我想说，事物规律本来就是这样，就像SP2出现时一样，独立软件开发商会花费非常非常多的时间更新他们的软件。如果当Vista明年下半年面市时某个产品不能工作了，那么几乎可以断言，应该受到责备的是独立软件开发商。

　　别的操作系统或第三方产品都提供许多这些“新的”特性，但是把这些特性做成Windows中的标准并不那么容易。我愿意对比较重要的几个特性做些工作。

　　长期以来，无论在网络上还是在本地主机上，协同IT都因其在有限许可的情况下管理Windows用户而出名(如果不出名，说明它不能胜任这份工作)。对于普通家庭用户来讲，建立这样的账号并不难，但通常情况下，协同IT用于需要更大特权的应用程序，而这些特权只提供给Windows XP的很少一部分用户。

　　在Windows Vista中，首先，对于这个问题的态度有所改变。拥有特权的对象不再是“很少一部分”用户，但现在“很少”的是账号。得到一个有管理者权限的账号很不容易，不过通常情况下，也不是非有这样一个账号不可。如果你要做一些需要管理者权限的操作，比如方改变防火墙设置，系统可以提供给你一个获得有足够权限的账号的机会，比如说，给你管理员账号。这样，平时，你可以用普通账号操作系统，而在需要的时候又可以拥有管理员权限。这就叫“用户账号保护(User Account Protection)”，beta 1版本中，必须手动实现此项功能。

　　当然了，这个方法直接来自Mac OS X，Mac鼓吹说这正是解决问题的最佳办法，但实际上对于这种方法能够怎样保护你这个问题，还是有一定的局限性。许多安装在Windows上的间谍软件或广告软件并不是由于用户的粗心造成的，他们是故意这样做的。你想要那条酷酷的工具条，你也知道自己在安装一个软件，所以，你当然会给它管理者权限或者满足它需要的其它什么条件。安装合法的软件，你需要做的也是这些工作。另一方面，应该提供针对隐蔽强迫下载(silent drive-by downloads)的保护，否则，傻乎乎的用户就又一次地被利用了。

　　用户帐户保护的另外一个特征是，当写了保护文件系统和注册表的程序后，这些写好的代码实际上放在一个独立的区域，由单个用户维护，称作虚拟存储。这和在终端服务器(Terminal Server)上的情况一样。实际上，我非常想知道为什么虚拟存储存放在C盘的C:Virtual Store目录下，而不是像在终端服务器上那样存放在每个用户自己的Documents and Settings文件夹里。