Vista安全特性面临迁移挑战

微软Vista增强的安全特性曾经备受赞赏，但是，有独立软件厂商指出，由于核心登录架构的改变，拥有第三方、基于Windows认证系统（如VPN）的企业用户向Vista迁移时将面临困难。

据独立软件厂商最近的一项测试显示，由于核心Windows登录架构的全面改变，拥有第三方、基于Windows认证系统（如VPN）的企业用户在向Vista迁移时将会面临困难。

之前，很多观察家认为，因安全特性的改善而得到追捧的Vista最终将提供一种比目前的Windows更安全、更灵活的认证架构。然而，有独立软件厂商在一些开发项目中发现，为新架构改写代码带来了一些令人头痛的问题，这些问题影响到已经部署了像生物统计等强认证技术、企业单一登录、以及大量与Windows认证架构相集成的应用的客户。

在使用新架构前，用户都有测试阶段，期间用户将拥有跨越两种不同认证环境的关键安全基础设施，一种用于Vista，一种用于Windows以前的版本，直到将系统完全迁移到新架构中。专家指出，他们还必须支持不同的客户端代码和不同的界面，而新界面将带来重新培训问题。此外，使用连接在Windows上内部开发的认证机制的用户必须从头改写代码。

对于独立软件厂商来说，他们必须全面改写和验证为连接Winlogon而编写的代码，Winlogon是管理登录和注销的Windows进程，而这项任务将是痛苦的工作。部分原因是2月份微软发布的Vista Beta版本并不完整，而目前微软发布了一个名为Winlogon Re-Architecture的新架构，这个新架构中包括一种叫做Credential Provider（证书提供者）的构件模块模型，这种模块也是微软第一次写进发行版本中，用来替代GINA架构（图形识别与认证）。GINA以前的模型被Check Point、Cisco、Citrix、Nortel、 Novell、RSA Security和Symantec等厂商用来将他们的认证技术连接在Windows认证架构上。

有独立软件厂商透露：“GINA中的一些东西是Vista Beta版提供的Winlogon模块中所没有的。”其实，很多企业用户将一直等到新操作系统的Service Pack 1推出才开始采用。

这位独立软件厂商说，拥有多种连接到GINA产品的客户将遇到非常困难的支持和迁移问题。“从依赖于GIAN的架构向新Vista认证界面迁移，这将是非常重大的迁移挑战。”

GINA模型是一个动态连接库文件。这个动态连接库文件负责在Windows的屏幕上显示“按Ctrl+Alt+Del键登录并输入用户名和口令。”

Credential Provider模型基于.Net、Component Object Model和Windows Shell Extensions，支持创建插入到Winlogon中的模块。

GINA模型基于Win32，但Windows只能运行它的一个副本。支持使用多个GINA模型需要一种叫做链接（chaining）的复杂方法。开发商可以修改GINA并在登录屏幕上加入他们的界面，或编写自己的GINA来完全更换Windows登录界面。在使用Credential Provider时，开发商不能更换登录用户界面。

微软Windows客户产品经理Austin Wilson说：“若想扩展认证，我们就必须放弃GINA。”他说GINA的替代程序编写起来比较困难，常常在服务包和安全补丁应用于操作系统时带来问题，但这些问题在Credential Provider模型中得到了解决。他说，编写Credential Providers所需要的所有工具目前都在Vista Beta版中提供，不过他承认没有提供对GINA的向后兼容性。

一些分析人士说，鉴于变化是不可避免的，下一步行动取决于独立软件厂商和用户。对于用户来说，问题是：将宝押在Vista和其全新架构上的同时，还应该部署GINA架构吗？