現(xiàn)在，到了Windows 7，微軟降低了UAC的控制功能(但沒(méi)有因此放松對(duì)安全性的重視)并增加了安全功能，在很多方面更加有利于最終用戶和系統(tǒng)安全管理員。下面，就讓我們來(lái)一探究竟。　

應(yīng)用程序控制策略

在Windows 7中新引入的一種安全功能是AppLocker，它可以在對(duì)企業(yè)中應(yīng)用的安裝和使用進(jìn)行控制，以保證安全。請(qǐng)記住，只有旗艦版和企業(yè)版本的Windows 7中才包含了AppLocker，目的是為了和Windows　Server　2008　R2進(jìn)行緊密的協(xié)同工作。

AppLocker容許你通過(guò)文件的數(shù)字簽名這樣的屬性創(chuàng)建規(guī)則。這些規(guī)則可以用來(lái)控制用戶訪問(wèn)和任何類型可執(zhí)行文件的使用。當(dāng)然，作為一個(gè)靈活的工具，你可以利用AppLocker建立例外規(guī)則。你可以將規(guī)則應(yīng)用的整個(gè)安全團(tuán)隊(duì)，或者更精確地為單獨(dú)用戶建立規(guī)則。為了更進(jìn)一步了解 AppLocker的作用，你可以查看微軟TechNet網(wǎng)站上的演示。　

BitLocker和BitLocker　To　Go

BitLocker是在Windows　Vista中引入的，現(xiàn)在在Windows 7中也可以使用，作為安全功能，它可以防止對(duì)桌面系統(tǒng)未經(jīng)授權(quán)的訪問(wèn)以及丟失/被盜筆記本計(jì)算機(jī)中的數(shù)據(jù)泄露。眾所周知，BitLocker的加密文件系統(tǒng)(EFS)在功能上達(dá)到新的水平，可以在硬盤(pán)上使用硬件級(jí)加密，它不僅可以保護(hù)實(shí)際的數(shù)據(jù)文件，甚至系統(tǒng)文件也可以被納入，其中也包括了臨時(shí)文件、交換文件以及休眠文件之類的數(shù)據(jù)塊。

在Windows 7中，BitLocker的功能得到進(jìn)一步擴(kuò)展，通過(guò)新的BitLocker　To　Go，它現(xiàn)在可以支持移動(dòng)存儲(chǔ)(USB閃存驅(qū)動(dòng)器)的保護(hù)了。這也就意味著，非常容易丟失的USB閃存驅(qū)動(dòng)器現(xiàn)在也不會(huì)出現(xiàn)數(shù)據(jù)泄露的風(fēng)險(xiǎn)了。

請(qǐng)記住，只有旗艦版和企業(yè)版本的Windows 7中才包含了BitLocker和BitLocker　To　Go。如果希望了解BitLocker和BitLocker　To　Go的更多信息的話，你可以查看微軟TechNet網(wǎng)站上的演示?！?/p>

用戶帳戶控制功能

眾所周知，在Vista中，用戶帳戶控制功能并不是很受歡迎;但對(duì)于Vista來(lái)說(shuō)，它仍然是一個(gè)重要的安全工具，“你確定的提示符可以防范由于疏忽導(dǎo)致惡意軟件的運(yùn)行，權(quán)限控制可以用來(lái)防止存在潛在風(fēng)險(xiǎn)的進(jìn)程。在Windows 7中，UAC已得到了改進(jìn)，使用起來(lái)也方便了一些。

舉例來(lái)說(shuō)，現(xiàn)在一些類型的任務(wù)可以由標(biāo)準(zhǔn)用戶批準(zhǔn)，而不需要系統(tǒng)管理員的介入，這樣可以減少提示的次數(shù)，為最終用戶提供方便，減輕系統(tǒng)管理員的負(fù)擔(dān)。并且，聽(tīng)從了來(lái)自管理員的呼聲，一位專業(yè)的系統(tǒng)管理員可以在控制面板對(duì)UAC的等級(jí)進(jìn)行調(diào)整甚至選擇關(guān)閉。此外，新的本地安全策略可以用于UAC對(duì)本地系統(tǒng)管理員和標(biāo)準(zhǔn)用戶的提示?！?/p>

ActiveX控件安裝服務(wù)

眾所周知，ActiveX控件是Internet　Explorer、Office和Windows媒體播放器使用的自注冊(cè)COM，可以為用戶提供更具交互性的體驗(yàn)。由于ActiveX控件通常分布在.cab文件中，標(biāo)準(zhǔn)帳戶的用戶沒(méi)有權(quán)限來(lái)安裝它們。但是，在 Windows 7，新的ActiveX控件安裝服務(wù)在默認(rèn)狀態(tài)下啟用的，這樣可以幫助系統(tǒng)管理員更輕松地通過(guò)使用組策略來(lái)部署配置可信站點(diǎn)區(qū)域確定的網(wǎng)站，可以在不干預(yù)的情況下安裝ActiveX控件。這減少了不必要的電話支持以及重新包裝和分發(fā)所需的ActiveX控件等操作耗費(fèi)的更多時(shí)間?！?/p>

直接訪問(wèn)功能

Windows 7新的直接訪問(wèn)功能與Windows　Server　2008　R2的緊密結(jié)合，可以讓沒(méi)有VPN的企業(yè)網(wǎng)絡(luò)對(duì)最終用戶變得更方便。只要使用直接訪問(wèn)功能，就可以自動(dòng)在移動(dòng)系統(tǒng)和公司網(wǎng)絡(luò)之間建立一個(gè)安全的雙向連接，移動(dòng)工作人員可以在不依靠VPN的情況，通過(guò)互聯(lián)網(wǎng)安全地連接到企業(yè)網(wǎng)絡(luò)的任何位置。在直接訪問(wèn)功能的幫助下，IT專業(yè)人士不需要再擔(dān)心提供和維持VPN配置帶來(lái)額外的開(kāi)支了。

多重作用防火墻策略

眾所周知，Vista中的Windows防火墻策略是基于網(wǎng)絡(luò)連接的類型(公共、家庭和工作/域)，并且同時(shí)只能支持一種連接類型。不幸的是，這樣的限制，在需要不同的防火墻策略時(shí)可能引起各種問(wèn)題，舉例來(lái)說(shuō)，當(dāng)移動(dòng)用戶訪問(wèn)公網(wǎng)，然后啟動(dòng)VPN連接到公司網(wǎng)絡(luò)這種情況下。

為了適應(yīng)這類情形，Windows 7防火墻提供了新功能，允許多個(gè)防火墻策略在同一時(shí)間啟用，以便正在使用無(wú)論是什么類型的連接，適當(dāng)?shù)姆阑饓Σ呗远紝⑸?，從而確保移動(dòng)/遠(yuǎn)程用戶的安全，并可以訪問(wèn)相應(yīng)的網(wǎng)絡(luò)。從另一方面來(lái)看，新的多重作用防火墻策略可以讓安全專業(yè)人員只需要維持一套適用于移動(dòng)/遠(yuǎn)程系統(tǒng)和物理連接的系統(tǒng)即可。

還有更多的是...

盡管我已經(jīng)被Windows 7安全方面的新功能所打動(dòng)，但在已有安全功能方面也有很多的改進(jìn)。舉例來(lái)說(shuō)，加密文件系統(tǒng)(EFS)架構(gòu)已經(jīng)進(jìn)行了調(diào)整，加入橢圓曲線密碼學(xué)(ECC)模式，這讓它達(dá)到了國(guó)家安全局規(guī)定的B級(jí)安全要求。

在新的ECC支持下，Kerberos認(rèn)證模式也可以支持更強(qiáng)大的智能卡登錄密碼。NTLM身份驗(yàn)證協(xié)議現(xiàn)在在默認(rèn)狀態(tài)下就可以支持最低128位的安全加密策略，不過(guò)你也可以降低其等級(jí)。