Sidebar與Gadgets，作為微軟在Windows Vista中新納入的組件，能夠提供相當(dāng)豐富的功能，為用戶(hù)的日常操作與使用帶來(lái)很大的便利，比如說(shuō)，在Sidebar中，我們使用CPU與內(nèi)存占用監(jiān)視器查看系統(tǒng)狀態(tài)，使用RSS閱讀器來(lái)訂閱聚合新聞等等。同時(shí)，在Windows Vista中安裝新的Gadget非常簡(jiǎn)單，用戶(hù)只需將其下載然后點(diǎn)幾下鼠標(biāo)即可完成，這讓即使對(duì)系統(tǒng)操作并不熟悉的用戶(hù)也能輕松安裝，大大降低了入手難度。 

　　不過(guò)，帶來(lái)的一個(gè)問(wèn)題便是，這樣安全么?微軟提供了一系列的 APIs (Application Protocol Interface : 應(yīng)用程序編程接口) 與 WMI (Window Management Instrumentation : Windows 管理規(guī)范)來(lái)讓開(kāi)發(fā)商或用戶(hù)創(chuàng)建新的Gadgets，這也使得為Windows Vista開(kāi)發(fā)新的Gadgets相當(dāng)簡(jiǎn)單，那么，能否有效地保證其不被濫用?畢竟這些API與WMI能夠進(jìn)行許多系統(tǒng)級(jí)的操作。或者，如果流氓軟件制作者在某個(gè)Gadget中嵌入惡意代碼又將如何?
　　老實(shí)說(shuō)，這種疑問(wèn)并不是杞人憂(yōu)天。
　　根據(jù)微軟的說(shuō)法，Windows Vista通過(guò)如下的機(jī)制保證Gadgets的安裝與使用中的安全性:UAC:確保Gadgets運(yùn)行在標(biāo)準(zhǔn)用戶(hù)權(quán)限下?
　　Windows Vista通過(guò)UAC保證Gadgets運(yùn)行于標(biāo)準(zhǔn)用戶(hù)權(quán)限下，即使操作用戶(hù)屬于管理員組。同時(shí)，為了確保其不會(huì)獲得管理員權(quán)限，將不會(huì)讓Gadgets顯示常見(jiàn)的UAC確認(rèn)窗口，這樣，至少在理論上來(lái)說(shuō)，Gadgets將無(wú)權(quán)修改受保護(hù)的內(nèi)容如系統(tǒng)文件與設(shè)置。
　　不過(guò)，Gadgets提供了加載系統(tǒng)中其他程序的接口，允許其調(diào)用、啟動(dòng)其他程序，而此時(shí)，則是可以彈出正常的UAC提升權(quán)限窗口的，如果用戶(hù)已經(jīng)被頻繁彈出的UAC窗口搞得麻木，便極有可能下意識(shí)地點(diǎn)擊允許賦予其權(quán)限。也許這是未來(lái)流氓軟件的突破口?數(shù)字簽名:信任的Gadgets?
　　微軟建議開(kāi)發(fā)者使用CAB文件格式來(lái)打包Gadgets，這樣，便可以在文件包中嵌入數(shù)字簽名，以保證下載的Gadgets未被修改。
　　當(dāng)然，用戶(hù)可能會(huì)對(duì)有數(shù)字簽名的Gadgets更信任。但是，對(duì)那些以ZIP方式打包的Gadgets呢?對(duì)那些不通過(guò)標(biāo)準(zhǔn)安裝方式安裝的的Gadgets——如這個(gè)改變Vista屏幕分辯率的Gadget——呢?如果其提供的功能比較誘人，用戶(hù)也許會(huì)冒著風(fēng)險(xiǎn)安裝的。對(duì)這類(lèi)情況，恐怕微軟很難以“股市有風(fēng)險(xiǎn)，入市請(qǐng)謹(jǐn)慎”之類(lèi)的說(shuō)法應(yīng)對(duì)吧?
　　Windows Defender:檢測(cè)Gadgets中的惡意代碼?
　　在Windows Vista中，用戶(hù)可以通過(guò)啟用Windows Defender來(lái)保證系統(tǒng)安全，這樣，當(dāng)下載一個(gè)新的Gadgets時(shí)，Windows Defender將首先檢查下載包中是否存在惡意代碼，以求達(dá)到理論上“防火于未燃”的效果。
　　不過(guò)，我們都知道，防病毒軟件往往滯后于病毒的開(kāi)發(fā)，那么，Windows Defender如何能做到在新的惡意攻擊策略初現(xiàn)時(shí)便能有效地預(yù)防?IE 7 的保護(hù)模式:有效么?
　　微軟為Windows Vista中集成的Internet Explorer 7提供一種增強(qiáng)的安全特性:保護(hù)模式(Protected Mode)，在保護(hù)模式下，即使由于某種原因訪問(wèn)某個(gè)存在惡意代碼的網(wǎng)站，系統(tǒng)也會(huì)得到有效的保護(hù)，這樣，也能防止惡意網(wǎng)站通過(guò)Gadgets侵犯系統(tǒng)安全的情況。
　　不過(guò)，這僅僅針對(duì)惡意代碼存在于對(duì)方網(wǎng)站的情況，而對(duì)惡意軟件制作者而言，要繞開(kāi)這一點(diǎn)并不復(fù)雜，只要找出將惡意代碼下載并存放于本地電腦上的途徑即可。Gadgets的安全風(fēng)險(xiǎn)不容小視
　　老實(shí)說(shuō)，微軟以上的這些保證并不能消除我們對(duì)Sidebars與Gadgets可能帶來(lái)的安全風(fēng)險(xiǎn)的疑惑，相反，甚至更強(qiáng)了。而如果您回顧一下當(dāng)年微軟在發(fā)布Windows XP包括“更安全的”Services Pack 2時(shí)所做的保證，也許更能說(shuō)明問(wèn)題。
　　事實(shí)上，微軟對(duì)Windows Vista能否抵御Gadgets可能存在的安全漏洞也并沒(méi)有如上所言那么大的信心。比如說(shuō)，對(duì)企業(yè)用戶(hù)，畢竟保證系統(tǒng)安全是最重要的，微軟便建議管理員通過(guò)組策略來(lái)限