眾所周知，從Windows　XP　SP2開始，微軟就十分關注操作系統(tǒng)的安全性。盡管在性能和兼容性方面，Windows　Vista的惡評如潮，但在安全方面卻很少受到批評。實際上，對Vista的主要錯誤認識之一就是對安全重點關注導致非常嚴格的用戶帳戶控制（UAC）功能影響了整個系統(tǒng)。

現(xiàn)在，到了Windows 7，微軟降低了UAC的控制功能（但沒有因此放松對安全性的重視）并增加了安全功能，在很多方面更加有利于最終用戶和系統(tǒng)安全管理員。下面，就讓我們來一探究竟。

應用程序控制策略

在Windows 7中新引入的一種安全功能是AppLocker，它可以在對企業(yè)中應用的安裝和使用進行控制，以保證安全。請記住，只有旗艦版和企業(yè)版本的Windows 7中才包含了AppLocker，目的是為了和Windows　Server　2008　R2進行緊密的協(xié)同工作。

AppLocker容許你通過文件的數(shù)字簽名這樣的屬性創(chuàng)建規(guī)則。這些規(guī)則可以用來控制用戶訪問和任何類型可執(zhí)行文件的使用。當然，作為一個靈活的工具，你可以利用AppLocker建立例外規(guī)則。你可以將規(guī)則應用的整個安全團隊，或者更精確地為單獨用戶建立規(guī)則。為了更進一步了解AppLocker的作用，你可以查看微軟TechNet網(wǎng)站上的演示。

BitLocker和BitLocker　To　Go

BitLocker是在Windows　Vista中引入的，現(xiàn)在在Windows 7中也可以使用，作為安全功能，它可以防止對桌面系統(tǒng)未經(jīng)授權的訪問以及丟失/被盜筆記本計算機中的數(shù)據(jù)泄露。眾所周知，BitLocker的加密文件系統(tǒng)（EFS）在功能上達到新的水平，可以在硬盤上使用硬件級加密，它不僅可以保護實際的數(shù)據(jù)文件，甚至系統(tǒng)文件也可以被納入，其中也包括了臨時文件、交換文件以及休眠文件之類的數(shù)據(jù)塊。

在Windows 7中，BitLocker的功能得到進一步擴展，通過新的BitLocker　To　Go，它現(xiàn)在可以支持移動存儲（USB閃存驅動器）的保護了。這也就意味著，非常容易丟失的USB閃存驅動器現(xiàn)在也不會出現(xiàn)數(shù)據(jù)泄露的風險了。

請記住，只有旗艦版和企業(yè)版本的Windows 7中才包含了BitLocker和BitLocker　To　Go。如果希望了解BitLocker和BitLocker　To　Go的更多信息的話，你可以查看微軟TechNet網(wǎng)站上的演示。

用戶帳戶控制功能

眾所周知，在Vista中，用戶帳戶控制功能并不是很受歡迎；但對于Vista來說，它仍然是一個重要的安全工具，“你確定”的提示符可以防范由于疏忽導致惡意軟件的運行，權限控制可以用來防止存在潛在風險的進程。在Windows 7中，UAC已得到了改進，使用起來也方便了一些。

舉例來說，現(xiàn)在一些類型的任務可以由標準用戶批準，而不需要系統(tǒng)管理員的介入，這樣可以減少提示的次數(shù)，為最終用戶提供方便，減輕系統(tǒng)管理員的負擔。并且，聽從了來自管理員的呼聲，一位專業(yè)的系統(tǒng)管理員可以在控制面板對UAC的等級進行調(diào)整甚至選擇關閉。此外，新的本地安全策略可以用于UAC對本地系統(tǒng)管理員和標準用戶的提示。

ActiveX控件安裝服務

眾所周知，ActiveX控件是Internet　Explorer、Office和Windows媒體播放器使用的自注冊COM，可以為用戶提供更具交互性的體驗。由于ActiveX控件通常分布在。cab文件中，標準帳戶的用戶沒有權限來安裝它們。但是，在Windows 7，新的ActiveX控件安裝服務在默認狀態(tài)下啟用的，這樣可以幫助系統(tǒng)管理員更輕松地通過使用組策略來部署配置可信站點區(qū)域確定的網(wǎng)站，可以在不干預的情況下安裝ActiveX控件。這減少了不必要的電話支持以及重新包裝和分發(fā)所需的ActiveX控件等操作耗費的更多時間。

直接訪問功能

Windows 7新的直接訪問功能與Windows　Server　2008　R2的緊密結合，可以讓沒有VPN的企業(yè)網(wǎng)絡對最終用戶變得更方便。只要使用直接訪問功能，就可以自動在移動系統(tǒng)和公司網(wǎng)絡之間建立一個安全的雙向連接，移動工作人員可以在不依靠VPN的情況，通過互聯(lián)網(wǎng)安全地連接到企業(yè)網(wǎng)絡的任何位置。在直接訪問功能的幫助下，IT專業(yè)人士不需要再擔心提供和維持VPN配置帶來額外的開支了。

多重作用防火墻策略

眾所周知，Vista中的Windows防火墻策略是基于網(wǎng)絡連接的類型（公共、家庭和工作/域），并且同時只能支持一種連接類型。不幸的是，這樣的限制，在需要不同的防火墻策略時可能引起各種問題，舉例來說，當移動用戶訪問公網(wǎng)，然后啟動VPN連接到公司網(wǎng)絡這種情況下。

為了適應這類情形，Windows 7防火墻提供了新功能，允許多個防火墻策略在同一時間啟用，以便正在使用無論是什么類型的連接，適當?shù)姆阑饓Σ呗远紝⑸?，從而確保移動/遠程用戶的安全，并可以訪問相應的網(wǎng)絡。從另一方面來看，新的多重作用防火墻策略可以讓安全專業(yè)人員只需要維持一套適用于移動/遠程系統(tǒng)和物理連接的系統(tǒng)即可。

還有更多的是…

盡管我已經(jīng)被Windows 7安全方面的新功能所打動，但在已有安全功能方面也有很多的改進。舉例來說，加密文件系統(tǒng)（EFS）架構已經(jīng)進行了調(diào)整，加入橢圓曲線密碼學（ECC）模式，這讓它達到了國家安全局規(guī)定的B級安全要求。

在新的ECC支持下，Kerberos認證模式也可以支持更強大的智能卡登錄密碼。NTLM身份驗證協(xié)議現(xiàn)在在默認狀態(tài)下就可以支持最低128位的安全加密策略，不過你也可以降低其等級。關于Windows 7現(xiàn)有安全功能的新改進，你可以查閱Microsoft　TechNet站點上的文章《客戶端安全最新變化》。

【編輯推薦】

1. 微軟證實黑客已破解Windows7無限使用
2. 確保系統(tǒng)安全Windows 7十大禁忌服務
3. 權威機構稱Win7默認安全性不如Vista