在win7發(fā)布時(shí)，微軟曾表示W(wǎng)in7是Windows操作系統(tǒng)有史以來(lái)開(kāi)發(fā)出的最安全的版本。這沒(méi)有什么大不了的，對(duì)不對(duì)？在過(guò)去的十五年里，微軟對(duì)每個(gè)Windows版本都這么聲稱過(guò)。所有的安全都是相對(duì)的，我們只有做到足夠好的預(yù)防，才能保證我的系統(tǒng)"相對(duì)安全"

如今，桌面操作系統(tǒng)已經(jīng)和互聯(lián)網(wǎng)緊密聯(lián)系在一起。隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)世界也成了黑客的樂(lè)園，形形色色的電腦病毒無(wú)時(shí)無(wú)刻在困擾我們，令人防不勝防。不少人抱怨自己的電腦嬌氣，抱怨殺毒軟件無(wú)能。其實(shí)，要想讓你的電腦把病毒拒之門(mén)外，使電腦更加安全也不是一件特別復(fù)雜的事。

技術(shù)門(mén)診是51CTO社區(qū)品牌欄目，每周邀請(qǐng)一位客座專家，為廣大技術(shù)網(wǎng)友解答疑問(wèn)。從熱門(mén)技術(shù)到前沿知識(shí)，從技術(shù)答疑到職業(yè)規(guī)劃。每期一個(gè)主題，站在最新最熱的技術(shù)前沿為你引航！

本期門(mén)診中，我們邀請(qǐng)了網(wǎng)絡(luò)安全專家梁林與我們一起討論交流基于windows 7的桌面操作系統(tǒng)的安全管理。

專家介紹:

姓　　名：梁林

擅長(zhǎng)領(lǐng)域：網(wǎng)絡(luò)安全

CISSP，CSSLP，MS MVP，5年信息安全從業(yè)經(jīng)驗(yàn)，目前主要從事咨詢和培訓(xùn)工作，方向?yàn)榘踩芾怼⒕W(wǎng)絡(luò)安全和惡意軟件防御，精通Windows底層及各種安全分析工具的使用、熟悉Linux平臺(tái)，精通網(wǎng)絡(luò)安全技術(shù)，有豐富的企業(yè)網(wǎng)絡(luò)滲透測(cè)試及內(nèi)網(wǎng)加固經(jīng)驗(yàn)，精通各種惡意軟件的內(nèi)部體制，有豐富的惡意軟件分析防御和反匯編經(jīng)驗(yàn)，并撰有《自己動(dòng)手搭建惡意軟件樣本行為分析環(huán)境 》一文。（CISSP：信息系統(tǒng)安全認(rèn)證專家；CSSLP： 軟件安全生命周期認(rèn)證專家）

查看本期門(mén)診精彩實(shí)錄：http://doctor.51cto.com/develop-153.html

參與最新技術(shù)門(mén)診：http://doctor.51cto.com/

精選本期網(wǎng)友提問(wèn)與專家解答，以供網(wǎng)友學(xué)習(xí)參考。

Q：梁老師：您好?。?/SPAN>

1、我是windows7旗艦版的普通用戶，我現(xiàn)在使用的是破解版的，用了個(gè)什么OEM破解的方法，這個(gè)對(duì)操作系統(tǒng)安全性有影響嗎？

2、還有，很多軟件需要使用管理員身份運(yùn)行，這是為什么？

3、PowerShell的那個(gè)工具與以前的命令提示符那個(gè)更加會(huì)被黑客利用？為什么再啟動(dòng)命令提示符時(shí)，它提示命令提示符已被停用，如何啟用？謝謝！

A：1、 OEM破解的原理是使用程序模擬了品牌廠商機(jī)型的BIOS SLP字串（軟破解），或直接將主板的BIOS刷成帶SLP的品牌BIOS（硬破解），并結(jié)合OEM廠商的序列號(hào)和證書(shū)，使Win 7認(rèn)為系統(tǒng)是OEM廠商提供的，從而激活Win 7。從原理上說(shuō)，這種破解方式并不會(huì)影響Win 7本身的安全功能。但使用盜版系統(tǒng)本身是存在風(fēng)險(xiǎn)的，廠商可能會(huì)檢測(cè)破解并禁用自動(dòng)更新功能；破解程序本身也可能與惡意軟件捆綁。

2、軟件需要管理員身份運(yùn)行，是因?yàn)檐浖枰薷南到y(tǒng)的注冊(cè)表、系統(tǒng)文件夾的權(quán)限。通常的應(yīng)用程序安裝是需要管理員身份的，但對(duì)vista/7支持較好的軟件（運(yùn)行不需要修改系統(tǒng)設(shè)置）則可以安裝后直接在用戶權(quán)限下執(zhí)行。

3、Powershell可以看作是cmd增加了強(qiáng)大腳本功能的升級(jí)版，很難說(shuō)和cmd相比哪個(gè)更易被黑客利用。我在Win 7 PowerShell下是可以用cmd命令啟動(dòng)cmd的，可能你遇到的情況是cmd本身就已經(jīng)被禁用了。

Q：windows7系統(tǒng)自帶的防火墻相對(duì)于XP具體有哪些方面的改進(jìn)？

A：XP 的Windows防火墻，只是一款初級(jí)簡(jiǎn)單的防護(hù)墻，只能保護(hù)入站信息，同時(shí)攔截不是用戶主動(dòng)發(fā)起的入站連接軟件，在XP SP2中才向管理員提供了組策略的配置形式。Vista中Windows防火墻有了較大的提升，它建立在windows過(guò)濾平臺(tái)的基礎(chǔ)上（WFP），并通過(guò)MMC的高級(jí)安全性進(jìn)行細(xì)致配置。在Win 7上，windows防火墻更近一步，增加了對(duì)移動(dòng)計(jì)算機(jī)的多重防火墻策略支持，配置的操作也更為簡(jiǎn)化。簡(jiǎn)而言之，從XP到Win 7，Windows 防火墻經(jīng)歷了從簡(jiǎn)陋到完善的過(guò)程，Microsoft也向用戶開(kāi)放了防火墻的更多底層控制，配置和使用也更為簡(jiǎn)便。

Q：您好！請(qǐng)問(wèn)關(guān)閉用戶帳戶控制是不是更容易中病毒，網(wǎng)上說(shuō)uac是安裝軟件時(shí)會(huì)提示，可是木馬和病毒并不需要安裝，那uac怎么提高安全性的呢？謝謝！

A：用戶帳戶控制UAC的設(shè)計(jì)原理，是要控制用戶或應(yīng)用程序?qū)ο到y(tǒng)文件夾、注冊(cè)表、關(guān)鍵文件的修改，其設(shè)計(jì)理念與這幾年流行的HIPS，基于主機(jī)的入侵?jǐn)r截系統(tǒng)相同。所以關(guān)閉UAC的話，應(yīng)用程序?qū)ο到y(tǒng)文件夾、注冊(cè)表和關(guān)鍵文件的修改將不再受系統(tǒng)和用戶控制，換句話說(shuō)，雖然關(guān)閉UAC后用戶的操作省事了很多，但是感染病毒等惡意軟件、和應(yīng)用程序沖突導(dǎo)致系統(tǒng)崩潰的風(fēng)險(xiǎn)也會(huì)高得多。因此，不建議關(guān)閉UAC，Win 7用戶可以通過(guò)調(diào)整UAC敏感度的設(shè)置，減少UAC對(duì)用戶操作的感染。

木馬和病毒運(yùn)行后需要拷貝自身到系統(tǒng)文件夾，修改注冊(cè)表以執(zhí)行自動(dòng)啟動(dòng)，這點(diǎn)和軟件安裝的過(guò)程是相似的，因此UAC對(duì)需要拷貝自身并修改注冊(cè)表的惡意軟件有相當(dāng)顯著的防御作用，而并非一無(wú)是處。

Q：我想問(wèn)粱老師windows7下的xp模式比咱們現(xiàn)在用的xp系統(tǒng)有哪些本質(zhì)上的區(qū)別，是否可以理解為xp模式是一個(gè)虛擬鏡像系統(tǒng)。

A：XPmode 就是原來(lái)的Hyper-V加一個(gè)XP home版的虛擬機(jī)，為了提升XPmode的效能，Microsoft強(qiáng)制XPmode只支持在Intel VT硬件虛擬技術(shù)的CPU上使用。因此，對(duì)不支持Intel VT技術(shù)的CPU用戶來(lái)說(shuō)，可使用第三方的虛擬化（如Vmware、Virtual box等）軟件來(lái)實(shí)現(xiàn)。

Q：梁林先生,您好!我想咨詢一下,WIN7的家庭共享安全性能怎么樣?還有三個(gè)工作區(qū)的區(qū)別在哪里?如果想WIN 7 與XP共享能否使用家庭共享?磁盤(pán)加密U盤(pán)后在XP系統(tǒng)中能否保持加密狀態(tài)?謝謝！

A：1、 Win 7家庭共享的安全性比Windows的之前版本有所提升，這點(diǎn)反映在Windows防火墻對(duì)3個(gè)區(qū)域的設(shè)置。這三個(gè)區(qū)域的區(qū)別在于：家庭網(wǎng)絡(luò)允許用戶加入HomeGroup，網(wǎng)絡(luò)發(fā)現(xiàn)自動(dòng)開(kāi)啟，網(wǎng)絡(luò)內(nèi)的機(jī)器可以互相看到，并交換各種資源及共享硬件；工作網(wǎng)絡(luò)，網(wǎng)絡(luò)發(fā)現(xiàn)默認(rèn)開(kāi)啟，但無(wú)法創(chuàng)建和加入HomeGroup，可以加入企業(yè)內(nèi)網(wǎng)的Windows域，加入域后防火墻按照域網(wǎng)絡(luò)的模式運(yùn)行；

公共網(wǎng)絡(luò)模式下，網(wǎng)絡(luò)發(fā)現(xiàn)關(guān)閉，網(wǎng)絡(luò)中的其他系統(tǒng)看不到用戶的機(jī)器，用戶也不能創(chuàng)建和加入HomeGroup。

2、如果想Win7和XP共享資源，可以用家庭網(wǎng)絡(luò)，但可能需要對(duì)共享文件的權(quán)限和系統(tǒng)帳戶口令進(jìn)行修改。

3、Win 7下提供了Bitlocker to GO來(lái)完成移動(dòng)儲(chǔ)存設(shè)備的加密功能，加密后的U盤(pán)可以在Vista和XP中讀（注意，不能寫(xiě)），如果你需要讀寫(xiě)功能的話，建議使用開(kāi)源的 TrueCrypt。Bitlocker to GO更大的好處，其實(shí)在于它在企業(yè)環(huán)境下可以統(tǒng)一管理加密密鑰。

Q：梁老師你好，windows7的安全防御怎樣才能做好，我只是定期的更新，安裝了Microsoft Security Essentials殺毒軟件每天升級(jí)，windows7會(huì)不會(huì)還有后門(mén)隱患呢？

A：根據(jù)之前國(guó)外一些第三方網(wǎng)站的測(cè)評(píng)，MSE的效能與現(xiàn)有的其他免費(fèi)殺毒軟件差不多，長(zhǎng)處在流行惡意軟件和Rootkit的檢測(cè)，但MSE在網(wǎng)頁(yè)腳本檢查等方面比較弱。在很少安裝新軟件，平時(shí)也就是日常使用的情況下，你現(xiàn)在的系統(tǒng)已經(jīng)算比較安全了；如果你不放心MSE對(duì)新病毒的檢測(cè)速度，可以考慮試試AVG、小紅傘等第三方的免費(fèi)殺毒軟件。

#p#

Q：梁老師您好：請(qǐng)問(wèn)一下，局域網(wǎng)內(nèi)IP欺騙主要是由于什么東西引發(fā)的，IP欺騙用到的IP基本上是當(dāng)時(shí)沒(méi)有用到的機(jī)子，或都根本沒(méi)有用過(guò)的IP地址，有的機(jī)子上裝了防火墻、殺毒軟件最新版看起來(lái)為什么還是源IP欺騙的主機(jī)IP呢，在windows環(huán)境下如何能減少這種問(wèn)題？

A：你說(shuō)的IP欺騙是因?yàn)榫钟蚓W(wǎng)內(nèi)存在ARP病毒（這類病毒的主要目標(biāo)是針對(duì)其他系統(tǒng)盜號(hào)和種植惡意軟件），解決的辦法還是用最新的殺毒軟件徹底清理局域網(wǎng)內(nèi)的每一臺(tái)機(jī)器，如果網(wǎng)絡(luò)環(huán)境變化不大，很少有新增系統(tǒng)，可以直接在路由器交換機(jī)上配置靜態(tài)ARP，就能夠?qū)RP欺騙攻擊免疫了。

Q：梁老師：您好！我想請(qǐng)教您一下，XP的很多軟件在Win 7中用不了，那么是不是很多XP的病毒在WIN7中也運(yùn)行不了呢？謝謝！

A：哈，這個(gè)問(wèn)題問(wèn)得好。從Windows Vista開(kāi)始，Microsoft在系統(tǒng)中加入了UAC，對(duì)應(yīng)用程序修改系統(tǒng)設(shè)置的行為進(jìn)行了限制，UAC在Windows Vista SP2和Win 7中有了進(jìn)一步的發(fā)展。這也是為何不少XP程序在Win Vista和7中存在兼容性問(wèn)題（無(wú)法修改注冊(cè)表或系統(tǒng)文件夾）。你說(shuō)的XP病毒在Win 7中運(yùn)行不了也不是絕對(duì)的，準(zhǔn)確的說(shuō)，是大多數(shù)XP病毒能夠在Win 7上運(yùn)行，但不能感染W(wǎng)in 7系統(tǒng)（因?yàn)閁AC的存在，病毒不能將自身拷貝到系統(tǒng)文件夾，同時(shí)修改注冊(cè)表啟動(dòng)項(xiàng)），但目前最新的一些惡意軟件，已可以以用戶模式執(zhí)行，執(zhí)行后竊取用戶的文件或進(jìn)行其他工具，直到用戶下一次重啟使其失效為止。建議Win 7用戶最好還是安裝一個(gè)支持Win 7的殺毒軟件。

Q：你好，梁老師。我個(gè)人還是感覺(jué)xp好，用這也習(xí)慣了。嘗試著用過(guò)windows Vista 和windows7 ，感覺(jué)系統(tǒng)反應(yīng)總是很慢，安裝軟件等操作很麻煩，不好用。 windows7的安全性比xp好在哪呢？

A：作為一個(gè)10年前的系統(tǒng)，XP比Win Vista和7運(yùn)行的系統(tǒng)資源肯定要少得多，所以在較老的機(jī)器上，自然是XP的速度有明顯的優(yōu)勢(shì)。至于安裝軟件麻煩，或者像上面的朋友問(wèn)到的兼容性問(wèn)題，也是因?yàn)閃in 7對(duì)用戶權(quán)限進(jìn)行過(guò)增強(qiáng)（UAC）帶來(lái)的問(wèn)題。畢竟安全和便捷之間是很難兩者兼得的。在Linux及Unix類系統(tǒng)上也會(huì)相同的問(wèn)題，只有Root（在 win上是管理員）才能安裝軟件，一般用戶是沒(méi)法自己修改系統(tǒng)設(shè)置的，當(dāng)然*nix用作桌面的場(chǎng)景在大范圍來(lái)看畢竟是少數(shù)，即使有也是對(duì)*nix較熟悉的用戶在用，所以安裝軟件麻煩這個(gè)問(wèn)題在*nix領(lǐng)域并不突出。

Microsoft將UAC引入Win，也算是在桌面應(yīng)用中增加高級(jí)安全性的有益改進(jìn)，就我自己的使用感覺(jué)而言，Vista和7增加UAC，以及防溢出（DEP、ASLR）之后，因?yàn)槁┒?、惡意軟件帶?lái)的問(wèn)題少了很多，處理系統(tǒng)崩潰的次數(shù)也少了很多，這個(gè)優(yōu)點(diǎn)不是用幾個(gè)所謂多強(qiáng)的安全軟件能帶來(lái)的，畢竟機(jī)制的改進(jìn)才是安全問(wèn)題的根本解決辦法。

Q：梁老師：您好！我請(qǐng)教您一個(gè)問(wèn)題，我家是ADSL 2M接入的，然后通過(guò)路由器分配給A,B,C,D。4臺(tái)電腦。按理說(shuō)應(yīng)該每臺(tái)速度能達(dá)到50-60K可是為什么A的速度能達(dá)到120-130K，而其他三臺(tái)則分別為20 20 30K。如果想要4臺(tái)電腦平均分配網(wǎng)速，也就是都達(dá)到50-60K該怎么操作？

A：建議你換一個(gè)支持帶寬管理的路由器。

Q：請(qǐng)問(wèn)梁老師，win7系統(tǒng)的UAC和VISTA系統(tǒng)的UAC相比，有和區(qū)別？

A：Win 7和Vista 的UAC功能上的區(qū)別不大，但在用戶體驗(yàn)上，Win 7的UAC增加了對(duì)應(yīng)用程序控制的靈活性，同時(shí)降低了對(duì)用戶操作的干擾程度。Win 7用戶可以自行在控制面板，調(diào)整提示用戶的頻率。

Q：Windows 7 的兼容性好嗎？如何解決程序兼容性問(wèn)題？

A：Win 7的兼容性比Windows Vista提升了很多，運(yùn)行大多數(shù)的老版本軟件是沒(méi)有問(wèn)題的（盡管效能可能比xp有5%左右的下降），但Win 7的安全機(jī)制與XP有很大不同，為了系統(tǒng)穩(wěn)定和安全考慮，建議你還是選擇相同軟件的較新版本。在Win 7下可以通過(guò)設(shè)置軟件的兼容性（在程序上右鍵點(diǎn)擊，選屬性->兼容性->以兼容模式運(yùn)行）來(lái)解決軟件的兼容性問(wèn)題?；蛘呤褂肵Pmode（只在Win 7旗艦版支持）或其他的第三方虛擬機(jī)軟件（如Virtual Box、VMware等），安裝一個(gè)XP來(lái)執(zhí)行不兼容的軟件，與在實(shí)體系統(tǒng)上相比，用虛擬機(jī)效能也不會(huì)有太大影響。

Q：一個(gè)機(jī)房有60臺(tái)機(jī)器,做完XP系統(tǒng)后(系統(tǒng)進(jìn)行了手工優(yōu)化),使用華超2004版還原卡保護(hù),使用正常.在用F8打開(kāi)還原卡后,安裝任何一個(gè)軟件后再保護(hù)起來(lái),過(guò)半個(gè)小時(shí)有一部分計(jì)算機(jī)就會(huì)出現(xiàn)六聲報(bào)警音后自動(dòng)重啟。不知是什么原因，請(qǐng)高手幫忙，謝謝！

A：這個(gè)問(wèn)題應(yīng)該是還原卡驅(qū)動(dòng)和xp沖突的問(wèn)題，建議聯(lián)系廠商解決

Q：最近windows 7 黑屏是什么原因，我用的的破解版的在網(wǎng)上下的是正版的呀，是不是安全低？謝謝！

A：請(qǐng)更詳細(xì)的描述問(wèn)題的起因和表現(xiàn)，謝謝

Q：梁老師您好！Windows7系統(tǒng)平臺(tái)跟以前我們比較熟悉xp在注冊(cè)表、組策略以及各種應(yīng)用服務(wù)上有哪些不同？謝謝！

A：win 7和xp的注冊(cè)表在結(jié)構(gòu)上大同小異，都用于保存系統(tǒng)和應(yīng)用軟件信息及設(shè)置，大多數(shù)項(xiàng)的設(shè)置和功能也基本相同。組策略也是如此，只是win7的組策略可設(shè)置的項(xiàng)更多，管理也更細(xì)致。應(yīng)用服務(wù)的情況有所不同，與xp相比，win7在應(yīng)用服務(wù)權(quán)限、功能上較大的變化，增加了不少與安全、網(wǎng)絡(luò)連接及管理有關(guān)的服務(wù)。

Q：梁老師：您好，我用的機(jī)器是Thinkpad T61，機(jī)器本身自帶的是vista商用版操作系統(tǒng)，但是我習(xí)慣了使用XP，所以沒(méi)有裝預(yù)裝的系統(tǒng)，但是W7發(fā)布后我想試試W7，畢竟微軟明年就不在提供 XP的支持了，我想用同學(xué)的一個(gè)W7華碩OEM版，不知道我的機(jī)器能不能裝他的W7系統(tǒng)。會(huì)不會(huì)不支持一些服務(wù)。

A：OEM版的Win 7和零售版本的對(duì)應(yīng)版本在功能上并無(wú)區(qū)別，它們不同在于OEM可以直接通過(guò)機(jī)器BIOS SLP字串+OEM序列號(hào)+OEM證書(shū)直接激活，零售版則需要使用正版序列號(hào)激活。華碩的OEM版Win 7在TP上能夠安裝并試用，但不能激活。

Q：好像我現(xiàn)在接觸的windows 7系統(tǒng)只是普通版、旗艦版等等，而且用戶的權(quán)限沒(méi)有達(dá)到Administrator，這樣好像很不方便哦！

A：Win Vista和7的用戶權(quán)限默認(rèn)不是administrator，不是vista和7的缺陷，恰恰是microsoft對(duì)windows桌面安全的一個(gè)重要改進(jìn)，你可參考上面對(duì)UAC的解答。

Q：現(xiàn)在我接觸的一些品牌筆記本電腦中都自帶有一個(gè)正版的vista系統(tǒng)，但客戶都想要求升級(jí)為windows 7系統(tǒng)，你覺(jué)得用vista好還是windows 7好呢？

A：win 7是vista的升級(jí)版本，主要改進(jìn)了用戶體驗(yàn)和性能，同時(shí)新增了一些針對(duì)安全和移動(dòng)d 功能。就我個(gè)人的使用感受而言，Win7的用戶體驗(yàn)比vista好很多，但在企業(yè)網(wǎng)絡(luò)環(huán)境下，win vista和7各有長(zhǎng)處，在win 2k8 R2尚未大規(guī)模普及的情況下，Win 2k8+vista的應(yīng)用要比Win 7單獨(dú)使用更方便管理，這點(diǎn)也可從MS自己的軟件保障SA里面都尚未上架Win 7看出一點(diǎn)端倪。

【編輯推薦】

1. [第139期] 如何建立高效的企業(yè)VPN網(wǎng)絡(luò)
2. [第138期] DBA大討論：數(shù)據(jù)庫(kù)應(yīng)用與故障排除
3. [第137期] 玩轉(zhuǎn)08活動(dòng)目錄，助力您的企業(yè)管理