举个例子来说，IE浏览器就是相当难处理的一个情况，因为用户当然希望IE可以得到来自数据执行保护（DEP）所提供的保护功能。但是，到目前为止，如果启用了数据执行保护功能，在好几个知名的第三方IE插件上还存在兼容性的问题，因此默认方式下我们不能对IE浏览器启用数据执行保护功能。不过，这儿也有两个好消息。首先，动态产生代码是有可能与数据执行保护（DEP）相兼容的，所需要做的仅仅是编写几行代码而已。我们希望第三方软件公司可以及时更新他们的插件以支持数据执行保护（DEP）。第二个好消息是来自Adobe公司，它的Acrobat和Flash Player插件此前是不支持数据执行保护（DEP）的，现在它已经更新了它的软件与数据执行保护兼容，现在你已经可以从Adobe官方网站下载这些更新。

    因此，尽管现在IE浏览器默认是不启用数据执行保护的，你却可以手动打开这个功能以获得更好的安全保护。随着第三方厂商对自身插件的更新，相信更多的应用程序可以支持数据执行保护（DEP）。

图4

    如上所述，微软已经对Vista系统进行了一定设置，以平衡易用性和安全性的关系。对于家庭用户和网络管理员来说，也可以通过启用一些默认关闭的安全功能，从而获得更好的安全性，这是以前的Windows操作系统中所不具备的功能。Jim从好、更好和最好三个方面，为家庭用户和企业用户提一些参考建议。

    对于家庭用户来说：

    好的策略：创建第一个帐号为父母控制帐号，并启用一个强壮的密码。该帐号属于本地管理员组，启用管理员同意模式。后来创建的帐号，尤其是为孩子创建的帐号，应该是普通帐号。如果一个普通帐号（例如孩子的帐号）需要执行一个管理任务，则由管理员（例如母亲或父亲）输入相应的授权信息来完成这个任务。使用Vista父母控制功能可以保护和限制孩子使用的任何帐号。

    更好的策略：除了“好的策略”中提到的几步外，如果管理员工作在管理同意模式的时候，如果要完成一个管理任务，启用输入密码验证功能。这使得别人很难欺骗系统，同时也使得有机会访问你的机器的人，如果不知道密码很难完成一个管理任务。默认情况下，Windows Vista如果有一段时间没有任何操作，会自动锁定系统，只有重新输入密码才能进入系统，你可以根据自己的情况将这个时间范围改的更短一些。同时Jim也建议你对IE浏览器启用数据执行保护（DEP），大多数情况下，如果你安装了来自Aodbe公司的更新，一般不会碰到太多问题。而且，即使碰到问题，你也可以随时轻松的关闭该功能。

    最好的策略：如果你极度关注安全性，那么在以上两步的基础上，你可以启用C-A-D功能来同意完成管理任务。通过这个步骤可以提供对系统的更强安全保护。

    对于企业部署来说：

    好的策略：最基本的步骤是要求那些需要管理权限的用户运行在管理同意模式，这是默认情况。这为普通用户提供了一个好的适应过程。但是我建议不要停留在这种模式下，企业应该选用后两种方式。

    更好的策略：要求所有的用户是普通用户。许多客户将会随着时间逐渐把它们的最终用户转化为普通用户。当必须需要权限提升的时候，在管理员输入验证信息来完成一个管理任务之前启用C-A-D功能。即使在管理同意模式，也要求用户输入密码验证。和家庭用户的情况一样，同样建议对IE浏览器启用数据执行保护（DEP），在启用之前先考虑升级Adobe公司的更新，以确保不出现兼容性问题。

    最好的策略：除了上一步中的要求外，可以多利用组策略管理来获得更好的安全控制。对于必须在本地进行的修改任务，管理员可以通过远程桌面等方式登录到另一个会话中进行。

    任何系统安全性的真正测试实际上与它如何部署有着非常大的关系，以及其架构和其中的代码质量等。如何部署系统就涉及到安全性和易用性的问题。好比如果你因为太麻烦而不在夜里锁上你的大门，那么锁实际上没有起到任何更多的安全作用。微软的目标是默认部署最通用可行的安全配置。对于某些更倾向于安全性的用户来说，Vista也提供了非常灵活简单的设置步骤。比较复杂的问题是Vista被应用的范围非常广泛，某些人只从感觉上就认为Vista很脆弱是不正确的。在他们认为Vista安全性差之前，应该首先了解到，Vista的设计是一个考虑了一些其他因素最后结果，例如可用性或程序兼容性等问题，而不是微软的疏忽。