Windows 7为系统安全管理员带来了什么

    ZDNet安全频道原创翻译 转载请注明作者以及出处

在本文中，笔者将对Windows 7中会对系统安全管理员带来影响的各项功能进行深入剖析，它们包括了UAC的变化，新的应用程序控制策略和BitLocker　To　Go。

—————————————————————————————————————————

　　众所周知，从Windows　XP　SP2开始，微软就十分关注操作系统的安全性。尽管在性能和兼容性方面，Windows　Vista的恶评如潮，但在安全方面却很少受到批评。实际上，对Vista的主要错误认识之一就是对安全重点关注导致非常严格的用户帐户控制(UAC)功能影响了整个系统。

　　现在，到了Windows 7，微软降低了UAC的控制功能(但没有因此放松对安全性的重视)并增加了安全功能，在很多方面更加有利于最终用户和系统安全管理员。下面，就让我们来一探究竟。

　　应用程序控制策略

　　在Windows 7中新引入的一种安全功能是AppLocker，它可以在对企业中应用的安装和使用进行控制，以保证安全。请记住，只有旗舰版和企业版本的Windows 7中才包含了AppLocker，目的是为了和Windows　Server　2008　R2进行紧密的协同工作。

　　AppLocker容许你通过文件的数字签名这样的属性创建规则。这些规则可以用来控制用户访问和任何类型可执行文件的使用。当然，作为一个灵活的工具，你可以利用AppLocker建立例外规则。你可以将规则应用的整个安全团队，或者更精确地为单独用户建立规则。为了更进一步了解AppLocker的作用，你可以查看微软TechNet网站上的演示。

　　BitLocker和BitLocker　To　Go

　　BitLocker是在Windows　Vista中引入的，现在在Windows 7中也可以使用，作为安全功能，它可以防止对桌面系统未经授权的访问以及丢失/被盗笔记本计算机中的数据泄露。众所周知，BitLocker的加密文件系统(EFS)在功能上达到新的水平，可以在硬盘上使用硬件级加密，它不仅可以保护实际的数据文件，甚至系统文件也可以被纳入，其中也包括了临时文件、交换文件以及休眠文件之类的数据块。

　　在Windows 7中，BitLocker的功能得到进一步扩展，通过新的BitLocker　To　Go，它现在可以支持移动存储(USB闪存驱动器)的保护了。这也就意味着，非常容易丢失的USB闪存驱动器现在也不会出现数据泄露的风险了。

　　请记住，只有旗舰版和企业版本的Windows 7中才包含了BitLocker和BitLocker　To　Go。如果希望了解BitLocker和BitLocker　To　Go的更多信息的话，你可以查看微软TechNet网站上的演示。

　　用户帐户控制功能

　　众所周知，在Vista中，用户帐户控制功能并不是很受欢迎;但对于Vista来说，它仍然是一个重要的安全工具，“你确定”的提示符可以防范由于疏忽导致恶意软件的运行，权限控制可以用来防止存在潜在风险的进程。在Windows 7中，UAC已得到了改进，使用起来也方便了一些。

　　举例来说，现在一些类型的任务可以由标准用户批准，而不需要系统管理员的介入，这样可以减少提示的次数，为最终用户提供方便，减轻系统管理员的负担。并且，听从了来自管理员的呼声，一位专业的系统管理员可以在控制面板对UAC的等级进行调整甚至选择关闭。此外，新的本地安全策略可以用于UAC对本地系统管理员和标准用户的提示。

　　ActiveX控件安装服务

　　众所周知，ActiveX控件是Internet　Explorer、Office和Windows媒体播放器使用的自注册COM，可以为用户提供更具交互性的体验。由于ActiveX控件通常分布在.cab文件中，标准帐户的用户没有权限来安装它们。但是，在Windows 7，新的ActiveX控件安装服务在默认状态下启用的，这样可以帮助系统管理员更轻松地通过使用组策略来部署配置可信站点区域确定的网站，可以在不干预的情况下安装ActiveX控件。这减少了不必要的电话支持以及重新包装和分发所需的ActiveX控件等操作耗费的更多时间。

　　直接访问功能

　　Windows 7新的直接访问功能与Windows　Server　2008　R2的紧密结合，可以让没有VPN的企业网络对最终用户变得更方便。只要使用直接访问功能，就可以自动在移动系统和公司网络之间建立一个安全的双向连接，移动工作人员可以在不依靠VPN的情况，通过互联网安全地连接到企业网络的任何位置。在直接访问功能的帮助下，IT专业人士不需要再担心提供和维持VPN配置带来额外的开支了。

　　多重作用防火墙策略

　　众所周知，Vista中的Windows防火墙策略是基于网络连接的类型(公共、家庭和工作/域)，并且同时只能支持一种连接类型。不幸的是，这样的限制，在需要不同的防火墙策略时可能引起各种问题，举例来说，当移动用户访问公网，然后启动VPN连接到公司网络这种情况下。

　　为了适应这类情形，Windows 7防火墙提供了新功能，允许多个防火墙策略在同一时间启用，以便正在使用无论是什么类型的连接，适当的防火墙策略都将生效，从而确保移动/远程用户的安全，并可以访问相应的网络。从另一方面来看，新的多重作用防火墙策略可以让安全专业人员只需要维持一套适用于移动/远程系统和物理连接的系统即可。

　　还有更多的是...

　　尽管我已经被Windows 7安全方面的新功能所打动，但在已有安全功能方面也有很多的改进。举例来说，加密文件系统(EFS)架构已经进行了调整，加入椭圆曲线密码学(ECC)模式，这让它达到了国家安全局规定的B级安全要求。

　　在新的ECC支持下，Kerberos认证模式也可以支持更强大的智能卡登录密码。NTLM身份验证协议现在在默认状态下就可以支持最低128位的安全加密策略，不过你也可以降低其等级。关于Windows 7现有安全功能的新改进，你可以查阅Microsoft　TechNet站点上的文章《客户端安全最新变化》。