當人們都在討論Windows 7全新操作系統所帶來的優雅界面:全新的工具條,完善的側邊欄,全新界面的Windows Explorer的同時。除了外觀的改善,系統底層也有了不小的變化,包括經過革新的安全功能。就讓我們逐個盤點Windows 7中增加或改進的十大安全功能。
1、Action Center
在Vista中,我們可以通過控制面板中的安全中心,對系統的安全特性進行設置。而在Windows 7中已經沒有了安全中心的影子。這是因為安全中心已經融入到了全新的Action Center之中了。Action Center中除了包括原先的安全設置,還包含了其它管理任務所需的選項,如Backup, Troubleshooting And Diagnostics以及 Windows Update等功能。圖A 是Action Center界面。
圖 A: Action Center 吸收了原先 Security Center的部分
2、UAC的改變
用戶帳戶控制 (UAC)是 Vista引入的概念,其設計目的是為了幫助用戶更好的保護系統安全,防止惡意軟件的入侵。它將所有帳戶,包括管理員帳戶以標准帳戶權限運行。如果用戶進行的某些操作需要管理員特權,則需要先請求獲得許可。這種機制導致了大量的用戶抱怨,並且很多用戶選擇將UAC關閉,而這又導致了他們的系統暴露在更大的安全風險下。
在 Windows 7中,UAC還是存在的,只不過用戶有了更多的選擇。在Action Center中,用戶可以針對UAC進行四種配置:
◆當用戶在安裝軟件或修改Windows系統設置時總是提醒用戶(與Vista系統相同)。
◆當用戶在安裝軟件時提醒用戶,在修改Windows設置時不提醒用戶(當前默認設置)。
◆在用戶安裝軟件時提醒用戶,但是關閉UAC安全桌面,即提示用戶時桌面其它區域不會失效。
◆從來不提醒用戶(不推薦這種方式)
如圖B所示,我們可以通過滑動條的方式進行相應選擇。
圖 B: 通過滑塊來確定UAC在何時以及如何提醒用戶
3、改進的BitLocker
在Vista 中我很少用BitLocker。因為第一,這種技術只能加密操作系統分區。這對於筆記本來說很好,但是對於我的台式機來說沒有什麼用處,因為台式機所處的位置非常安全。Service Pack 1 增加了加密其它磁盤的功能,效果也不錯,但是只能用於硬盤。而我所需的是加密移動硬盤或者U盤的功能,因為這種存儲介質具有移動性,更容易丟失。
在Windows 7中我們看到了喜人的改進。 BitLocker已經可以對移動磁盤進行加密了,並且操作起來很簡單。我們只需要在控制面板中打開BitLocker ,選擇我們需要加密的磁盤,然後點擊Turn On BitLocker即可。可移動存儲設備會顯示在BitLocker To Go 分類中,如圖C所示。
圖 C: 我們可以用BitLocker 加密USB存儲設備
需要注意一點,和Vista一樣,BitLocker並不包含在家用版的Windows 7操作系統中。
4、DirectAccess
Windows 7帶給我們的一個全新功能是DirectAccess,它可以讓遠程用戶不借助VPN就可以通過互聯網安全的接入公司的內網。管理員可以通過應用組策略設置以及其它方式管理遠程電腦,甚至可以在遠程電腦接入互聯網時自動對其進行更新,而不管這台電腦是否已經接入了企業內網。
DirectAccess 還支持多種認證機制的智能卡以及IPsec和IPv6用於加密傳輸。
5、Biometric安全特性
毫無疑問,最安全的身份鑒定方法是采用生物學方法,或者說采用指紋,視網膜掃描,DNA以及其它獨特的物理特征進行驗證。雖然Windows 目前還沒有計劃內置DNA樣本檢測功能,但是它確實加入了指紋讀取功能。Windows 支持用戶通過指紋識別的方式登陸系統,而且當前很多預裝 Vista 的筆記本電腦都帶有指紋掃描器,不過在Vista中,指紋識別功能都是通過第三方程序實現的。而在Windows 7中已經內置的指紋識別功能。
控制面板中的 Biometric Devices程序(如圖D所示)可以讓用戶配置指紋傳感器(這也是目前唯一支持的生物學身份驗證設備)。
圖D: 現在 Windows也內置了指紋識別功能
6、AppLocker
在XP 和Vista中都帶有軟件限制策略,這是一個很不錯的安全措施。管理員可以使用組策略防止用戶運行某些可能引發安全風險的特定程序。不過在這兩個系統中,軟件限制策略的使用頻率很低,因為使用起來並不簡單。
Windows 7 將這種概念得以改良,發展出了名為AppLocker的功能。 AppLocker 也被植入在 Windows Server 2008 R2中。它使用簡單,並且給予管理員更靈活的控制能力。管理員可以結合整個域的組策略使用AppLocker ,也可以在單機上結合本地安全策略使用這一功能。如圖E所示,AppLocker位於Application Control Policies 節點下一層。
圖E: AppLocker 的功能和軟件限制策略相同,但是更易使用
Win7 同時還支持傳統的軟件限制策略,因為AppLocker並不是集成在所有版本的Windows 7中的。
7、Windows Filtering Platform (WFP)
Windows Filtering Platform (WFP)是在Vista中引入的API集。在Windows 7中,開發人員可以通過這套API集將Windows防火牆嵌入他們所開發的軟件中。 這種情況使得第三方程序可以在恰當的時候關閉Windows 防火牆的某些設置。
8、PowerShell v2
Windows 7 集成了PowerShell v2,這個命令行界面可以讓管理員通過命令行的形式管理多種設置,包括組策略安全設置。管理員還可以將多個命令行結合起來組成腳本。對於同一任務來說,使用命令行的方式要比圖形界面更節省步驟。
Windows 7 還集成了 PowerShell Integrated Scripting Environment (ISE) (圖F),這是 PowerShell的圖形界面版本。
圖 F: Windows 7 集成了PowerShell v.2 和 PowerShell ISE
9、DNSSec
Windows 7支持DNSSec (域名系統安全),它將安全性擴展到了 DNS平台。有了DNSSec,一個DNS區域就可以使用數字簽名技術,並通過這種技術鑒定所收到的數據的可信度。
DNS 客戶端並不在自身實施DNS 授權,而是等待服務器返回授權結果。
10、Internet Explorer 8
Windows 7 所帶的浏覽器是IE8,其所提供的安全性包括:
◆SmartScreen Filter– 代替/擴展了IE7中的網絡釣魚過濾器。
◆The XSS Filter— 防御跨界腳本攻擊 。
◆域名高亮 — 對 URL 的重點部分進行強調,從而讓用戶更清楚自己所訪問的站點是否正確。
◆更好的針對 ActiveX 的安全控制。
◆數據執行保護 (DEP)默認為開啟狀態。
