多年來，許多IT評論家都在抨擊微軟產(chǎn)品。而且微軟推出的Windows Vista為他們提供了新的貶斥對象。這款產(chǎn)品的可用性和安全性能讓許多用戶都很惱火。因為這個原因，許多企業(yè)仍舊使用XP，而不是其后繼者Windows Vista。

然而，隨著最近Windows 7的發(fā)布，大多數(shù)企業(yè)計劃升級的時間也越來越迫近了。Windows 2000和XP Service Pack 2的官方支持早已結(jié)束，XP Service Pack 3也將于2014年6月結(jié)束。Windows 7自我感覺良好的安全性能是否真的會使企業(yè)更加安全呢？在這篇簡短的Windows 7預(yù)實施安全指南里，我們將回答這個問題。

即便是微軟最鐵桿的批評家也同意Windows 7的安全性能遠遠超過Windows XP和Vista，這是一個巨大的進步。然而，DirectAccess、AppLocker、BitLocker和BitLocker to Go等安全性能要求更加昂貴的系統(tǒng)來運行，如Windows 7企業(yè)版和Windows 7旗艦版。升級到這些版本的成本要比升級到pro版本的成本高10%左右，幾乎是家庭高級版的兩倍。另外，需要Windows商務(wù)性能的企業(yè)要為那些電腦辦理軟件保障特許證（微軟的軟件維護項目），這個許可證每年要花30到50美元。這樣看來，與第三方供應(yīng)商所提供的產(chǎn)品的安全性能相比，Windows7值得去花費那些額外的費用嗎？

有了DirectAccess，Windows7個人電腦不用裝配虛擬專用網(wǎng)絡(luò)（VPN）客戶端。隨時在線的VPN客戶端支持多重身份驗證，允許管理員升級組策略設(shè)置、分發(fā)軟件和反病毒程序的更新（只要有客戶端與網(wǎng)絡(luò)連接）。系統(tǒng)和服務(wù)的高度集成化不僅能改善端點的整體安全性能，還能很大程度上減少控制臺要求用戶與VPN鏈接的次數(shù)。不過，DirectAccess需要在Windows Server 2008 R2 上運行，如果你支持的客戶不是Windows7系統(tǒng)的話，你還需要有另外的VPN。

AppLocker可以更容易限制用戶安裝的應(yīng)用程序數(shù)量，但用戶還可以選擇其他的更為成熟的產(chǎn)品，例如Bit9的Parity Suite和CoreTrace的Bouncer。許多產(chǎn)品提供預(yù)先生成的帶有自動升級功能的應(yīng)用程序白名單和黑名單，生成企業(yè)的應(yīng)用程序和使用方法報告，為多個版本的Windows系統(tǒng)提供保護，這些服務(wù)都是AppLocker所不能提供的。

BitLocker為電腦的硬盤驅(qū)動提供密碼保護，預(yù)防信息的失竊和丟失；BitLocker To Go為可移動儲存裝置（如USB硬盤）提供密碼保護，但不包括光驅(qū)。盡管BitLocker可以通過毀掉密碼來保護數(shù)據(jù)，但卻不能滿足一些審計員的需求，他們需要在硬盤被處理時，看到安全覆蓋的痕跡。對BitLocker To Go將裝置上的所有東西加密的批評似乎站不住腳，BitLocker To Go還不是成熟的數(shù)據(jù)泄露保護產(chǎn)品。對大多數(shù)系統(tǒng)管理員來說，他們能夠在企業(yè)范圍內(nèi)為USB上的數(shù)據(jù)提供保護是很好的事情?，F(xiàn)代PC機的強大功能，意味著加密過程不會比昂貴的DLP（數(shù)字化處理器）產(chǎn)品緩慢，后者只能對敏感數(shù)據(jù)進行加密。然而，BitLocker To Go也有一個與DirectAccess類似的問題，如果不是所有的客戶都使用Windows7系統(tǒng)的話，用戶還需要另外的加密方法。使用BitLocker To Go加密過的裝置雖然可以在安裝了Windows XP和Windows Vista的PC機上使用，但此時，裝置里的數(shù)據(jù)是只讀數(shù)據(jù)。

在跨平臺使用方面，像TrueCrypt這樣的產(chǎn)品可以提供非常大的靈活性。TrueCrypt是免費的，可是它不與Windows服務(wù)器政策兼容，也不具有較高的聯(lián)網(wǎng)能力。利用 BitLocker，管理者可以建立Windows組策略來實現(xiàn)可移動存儲裝置上BitLocke的使用，并且對服務(wù)器和PC機上的硬盤進行加密。PGP的全磁盤加密是功能完整的替換加密方法，不過這種加密方法比升級到Windows7的成本還高。

微軟的Windows系統(tǒng)是仁者見仁、智者見智的。許多批評家指責(zé)微軟的安全性能不支持最佳組合，用處單一，只能被小范圍企業(yè)內(nèi)的小范圍人群所使用。如果用戶想要自己安全基礎(chǔ)設(shè)施的每部分都能達到最佳組合，相信沒有一家供應(yīng)商會支持這種做法的。如果用戶有預(yù)算，這樣的最佳組合打算無可厚非。然而，不同的安全控制方法和被迫停止使用的裝置會帶來很多額外的費用，例如附加的員工培訓(xùn)費用和管理費用。統(tǒng)一威脅管理（UTM）產(chǎn)品的受歡迎程度越來越高，這說明了在許多有實際經(jīng)驗的管理員看來，那種最佳組合的方案既不現(xiàn)實也不經(jīng)濟。

將Windows7的安全性能發(fā)揮到最佳有以下好處：可以使操作系統(tǒng)和組策略的兼容性更強，同時能帶來熟悉的用戶界面和指令。這樣一來，系統(tǒng)的安全配置會變得很簡單，遠遠強于在系統(tǒng)中再加上第三方供應(yīng)商的安全產(chǎn)品。這樣的配置減輕了用戶對多供應(yīng)商關(guān)系，多產(chǎn)品混用知識的需求，減少了升級的次數(shù)。Windows7還稱不上完美，但已經(jīng)很不錯了：將一款不錯的安全產(chǎn)品合理地、正確地配置遠好于去追求一款根本不存在的最佳產(chǎn)品

【編輯推薦】

1. 企業(yè)須知的Windows 7五大安全功能
2. 深入討論如何保護Windows 7安全