ldquo;功能完整”的Windows 7公开测试版已于1月9日发布，舆论界到处都充斥着关于界面变化方面的评论，那么究竟微软公司的这个新系统有什么与众不同之处呢?在操作系统和网络安全方面又有何改进呢?在本文中，我们将探讨Windows 7的安全功能，并将从纯粹的安全角度来讨论Windows 7系统是否具有实用性。我们将重点探讨安全管理界面、用户帐户控制(UAC)以及BitLocker等方面的改进，并看看新功能AppLocker和新的生物识别框架(Biometric Framework)。

　　Vista系统在安全方面存在的问题

　　针对用户对于Windows系统安全方面的投诉，微软公司在构建Windows Vista系统时就开始将重点转移到安全功能方面。我们都知道，Vista的安全性能确实要比之前的操作系统要先进，BitLocker磁盘加密、家长控制 (parental controls)、内置防恶意软件程序(Windows Defender)、改进的windows防火墙、数据执行保护(DEP，Data Prevention Execution)、保护模式IE浏览器、服务强化、数字版权管理功能、Crypto API以及网络访问保护(NAP)客户端功能、加密文件系统(EFS，Encrypting File System )等方面都有明显改进，Vista系统中还有很多软件限制策略以及其他安全增强功能。SP1中还添加了更多安全相关的改进，包括BitLocker的多因素验证、重新设计的随机数字生成器(RNG)以及远程桌面协议文件等。

　　然而，用户感触最深(也是最憎恨)的安全功能就是用户帐户控制(UAC)。所有的用户帐户(包括管理帐户)在默认情况下都是以标准用户模式运行的，而如果执行更高特权还要求提高模式。这种UAC还附有安全桌面功能以防止恶意软件在弹出管理员权限提示时访问桌面，这些提示功能让用户很是恼火，也是大家对于Vista的不满的主要原因之一。

　　Windows 7团队面临的挑战就是如何让操作系统像Vista一样安全(或者比Vista更安全)，而同时更加透明地将安全功能呈现在用户面前。

　　关于Security Center和Action Center

　　Windows XP SP2系统中的安全中心(通过控制面板进行操作)旨在为管理安全相关的设置提供集中式的管理中心，并且这也延续到Vista系统中。然而，在 Windows 7中，会有更加集中式的管理，安全中心将不复存在，取而代之的是Action Center(行动中心)。在Action Center中，你会发现警报器发出的信息不单单是安全方面的警报，同时也将涉及Windows Update、Diagnostics、NAP、Backup和Restore，以及故障问题，如图1所示。

图1：Action Center集中管理很多管理任务，不单单是安全方面

　　更加灵活的UAC设置

　　在Vista中，你可以通过组策略(Group Policy)来禁用UAC功能，但是这并不可取，因为容易使系统受到攻击，或者你也可以将UAC设置为不弹出提示信息。但家庭版的Vista并不包含组策略编辑器，因此用户必须通过编辑注册表来禁止提示信息。然而，在Windows 7中，用户能够更加方便的控制UAC的功能。

　　注意：

　　IT管理员们可以放心的是，没有管理权限的用户是无法更改UAC设置的。

　　在Action Center的左窗格中，可以看到有一个标记为Account Control Settings(用户控制设置)的选项，以下四个选项可以来选择UAC的提示行为(通过调整滑动条)：

　　·Always Notify(总是通知)：当你安装软件或者更新系统时都会出现UAC提示信息

　　·Notify Only When Programs Try to Make Changes(只有当程序发生改变时通知)：只有当程序要求提升权限时才会有提示信息，不过用户对Windows设置的更改不会通知(这是默认的)

　　·Notify Only When Programs Try to Make Changes (Do Not Dim the Desktop)(只有当程序发生改变时通知(不要调暗桌面))：与默认情况相同，只是提示信息时，Secure Desktop会被禁用

　　·从不通知：当用户更改Windows设置或者安装软件时都不会提示(不推荐)

图2：滑动条可以让用户更加精确地控制Windows 7中的UAC提示

strong>组策略-AppLocker

　　Windows 7中还有另外一个“Locker”：AppLocker，这是一个新的组策略功能，它允许管理员对用户可以安装和使用的应用程序版本进行控制，这样就可以有效阻止用户安装和运行较老版本的应用程序(可能有安全漏洞)。

　　早期版本的Windows使用的是软件限制策略(Software Restriction Policies)来控制用户可以使用的应用程序，而AppLocker主要通过三种类型的规则来改进配置问题：Path、File Hash以及Publisher规则。Publisher Rules取代了SRP中的Certificate Rules，为用户提供更多的灵活性和选择性，不过这些也很难规避。

　　Biometric Framework生物识别框架

　　在Vista中，如果你想要使用指纹登录，必须使用指纹传感器供应商提供的软件。而Windows 7所提供的新的安全功能Biometric Framework可以提供本地支持指纹识别装置，也更加便于开发者将生物安全技术纳入其软件。用户可以在新的控制面板中找到Biometric Devices选项，该功能用户管理指纹，如图6所示。

图6：你可以通过控制面板管理生物识别设备

　　生物识别设备可以设置为允许用户登录到Windows或者使用生物识别技术的网域，每个用户都可以设定不同的手指。

　　注意：

　　目前为止，指纹传感器是Windows生物识别框架支持的唯一生物识别设备。

　　Windows Biometric Service (WBS)是管理指纹识别器的框架部分，并作为客户端程序与生物识别设备间的I/O代理，这使应用程序不能直接访问生物数据，从而保护用户信息。

　　结语

　　在Windows 7中，我们看到了微软公司在安全方面作出的努力，他们从用户体验的角度改善了先前版本操作系统的一些安全功能。对于大多数企业用户和网络管理员而言，Windows 7的强大的安全功能确实值得尝试。

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理，安装维护: