纵览Windows 7的安全功能

　　微软的又一力作Windows7不久将与用户正式见面，其安全性也颇为用户关注，本文重点探讨Windows7的安全功能，并将从纯粹的安全角度来讨论Windows7系统是否安全可靠。
　　“功能完整”的Windows7公开测试版已于1月9日发布，舆论界到处都充斥着关于界面变化方面的评论，那么究竟微软公司的这个新系统有什么与众不同之处呢?在操作系统和网络安全方面又有何改进呢?在本文中，我们将探讨Windows7的安全功能，并将从纯粹的安全角度来讨论Windows7系统是否具有实用性。我们将重点探讨安全管理界面、用户帐户控制(UAC)以及BitLocker等方面的改进，并看看新功能AppLocker和新的生物识别框架(BiometricFramework)。
　　Vista系统在安全方面存在的问题
　　针对用户对于Windows系统安全方面的投诉，微软公司在构建WindowsVista系统时就开始将重点转移到安全功能方面。我们都知道，Vista的安全性能确实要比之前的操作系统要先进，BitLocker磁盘加密、家长控制(parentalcontrols)、内置防恶意软件程序(WindowsDefender)、改进的windows防火墙、数据执行保护(DEP，DataPreventionExecution)、保护模式IE浏览器、服务强化、数字版权管理功能、CryptoAPI以及网络访问保护(NAP)客户端功能、加密文件系统(EFS，EncryptingFileSystem)等方面都有明显改进，Vista系统中还有很多软件限制策略以及其他安全增强功能。SP1中还添加了更多安全相关的改进，包括BitLocker的多因素验证、重新设计的随机数字生成器(RNG)以及远程桌面协议文件等。
　　然而，用户感触最深(也是最憎恨)的安全功能就是用户帐户控制(UAC)。所有的用户帐户(包括管理帐户)在默认情况下都是以标准用户模式运行的，而如果执行更高特权还要求提高模式。这种UAC还附有安全桌面功能以防止恶意软件在弹出管理员权限提示时访问桌面，这些提示功能让用户很是恼火，也是大家对于Vista的不满的主要原因之一。
　　Windows7团队面临的挑战就是如何让操作系统像Vista一样安全(或者比Vista更安全)，而同时更加透明地将安全功能呈现在用户面前。
　　关于Security Center和Action Center
　　WindowsXPSP2系统中的安全中心(通过控制面板进行操作)旨在为管理安全相关的设置提供集中式的管理中心，并且这也延续到Vista系统中。然而，在Windows7中，会有更加集中式的管理，安全中心将不复存在，取而代之的是ActionCenter(行动中心)。在ActionCenter中，你会发现警报器发出的信息不单单是安全方面的警报，同时也将涉及WindowsUpdate、Diagnostics、NAP、Backup和Restore，以及故障问题，如图1所示。 　　图1：Action Center集中管理很多管理任务，不单单是安全方面
　　更加灵活的UAC设置
　　在Vista中，你可以通过组策略(GroupPolicy)来禁用UAC功能，但是这并不可取，因为容易使系统受到攻击，或者你也可以将UAC设置为不弹出提示信息。但家庭版的Vista并不包含组策略编辑器，因此用户必须通过编辑注册表来禁止提示信息。然而，在Windows7中，用户能够更加方便的控制UAC的功能。
　　注意：
　　IT管理员们可以放心的是，没有管理权限的用户是无法更改UAC设置的。
　　在Action Center的左窗格中，可以看到有一个标记为AccountControlSettings(用户控制设置)的选项，以下四个选项可以来选择UAC的提示行为(通过调整滑动条)：
　　·Always Notify(总是通知)：当你安装软件或者更新系统时都会出现UAC提示信息
　　·Notify Only When Programs Try toMakeChanges(只有当程序发生改变时通知)：只有当程序要求提升权限时才会有提示信息，不过用户对Windows设置的更改不会通知(这是默认的)
　　·Notify Only When Programs Try to Make Changes (Do Not DimtheDesktop)(只有当程序发生改变时通知(不要调暗桌面))：与默认情况相同，只是提示信息时，SecureDesktop会被禁用
　　·从不通知：当用户更改Windows设置或者安装软件时都不会提示(不推荐) 　　图2：滑动条可以让用户更加精确地控制Windows 7中的UAC提示
　　BitLocker增强功能
　　Vista企业版和终极版中的BitLocker能够允许用户加密整个卷，使用的是AES，或者利用某些计算机上的TrustedPlatformModule(TPM，可信赖平台模块)芯片以及USB密钥来加密。这些方式可以防止未授权启动操作系统或者访问加密卷上的数据(例如，通过安装一个不同的操作系统，让未授权的用户启动它)，这对于可能丢失或者盗窃的便携系统尤为有用。
　　最初只能用来加密安装操作系统的卷，SP1则新增了加密多个固定磁盘的功能，不过用户不能用它来加密可移动磁盘。在Windows7中，功能增强版BitLocker可以支持便携式硬盘和闪存设备的加密，该功能也被称为“BitLockertoGo”，这是很多公司一直期待的功能，因为将敏感数据保存在USB密钥上已经成为流行。
　　注意：
　　你同样可以执行政策，要求可移动驱动在用户向其写入数据前进行BitLocker保护。
　　BitLocker是通过控制面板程序管理的，如图3所示： 　　图3：在windonws 7中，用户可以使用BitLocker对可移动磁盘和固定磁盘进行加密
　　你可以选择使用密码来解密磁盘或者使用智能卡和PIN，如图4所示。 　　图4：当你使用BitLocker加密磁盘时，你可以使用密码或者智能卡来解密
　　你也可以设置一个恢复键，以确保在忘记密码的时候解密磁盘。恢复键可以保存到文件或者打印出来存储在安全的地方。加密可能需要一段时间，取决于磁盘的大小，加密2GB的USB密钥需要花大约9分钟，可以通过进度表来获取时间信息，如图5所示： 图5：进度条在加密过程中可以显示加密进度

　　组策略-AppLocker
　　Windows7中还有另外一个“Locker”：AppLocker，这是一个新的组策略功能，它允许管理员对用户可以安装和使用的应用程序版本进行控制，这样就可以有效阻止用户安装和运行较老版本的应用程序(可能有安全漏洞)。
　　早期版本的Windows使用的是软件限制策略(SoftwareRestrictionPolicies)来控制用户可以使用的应用程序，而AppLocker主要通过三种类型的规则来改进配置问题：Path、FileHash以及Publisher规则。PublisherRules取代了SRP中的CertificateRules，为用户提供更多的灵活性和选择性，不过这些也很难规避。
　　Biometric Framework生物识别框架
　　在Vista中，如果你想要使用指纹登录，必须使用指纹传感器供应商提供的软件。而Windows7所提供的新的安全功能BiometricFramework可以提供本地支持指纹识别装置，也更加便于开发者将生物安全技术纳入其软件。用户可以在新的控制面板中找到BiometricDevices选项，该功能用户管理指纹，如图6所示。 图6：你可以通过控制面板管理生物识别设备

　　生物识别设备可以设置为允许用户登录到Windows或者使用生物识别技术的网域，每个用户都可以设定不同的手指。
　　注意：
　　目前为止，指纹传感器是Windows生物识别框架支持的唯一生物识别设备。
　　Windows BiometricService(WBS)是管理指纹识别器的框架部分，并作为客户端程序与生物识别设备间的I/O代理，这使应用程序不能直接访问生物数据，从而保护用户信息。
　　结语
　　在Windows7中，我们看到了微软公司在安全方面作出的努力，他们从用户体验的角度改善了先前版本操作系统的一些安全功能。对于大多数企业用户和网络管理员而言，Windows7的强大的安全功能确实值得尝试。