Windows7安全性.docVIP

???????? 安全性 Windows 7提供一些新的安全选项，但是，很多用户可能在使用这一新操作系统的时候会发现系统中存在的潜在风险要多于Vista。 　　最引人瞩目的安全性能——应用白名单和所有磁盘与可移动磁盘的加密——都没有被包含在使用范围比较广的专业版和家庭版中。在用户的不满声中，微软在Windows7中缩减了最先在Vista中出现的某些安全性能。 　　UAC或许是Vista中最令人反感的功能：用户必须认可系统对电脑作出的更改，包括应用安装，补丁安装和系统工具的访问，如电脑管理或是网络适配器设置等。 　　由于Vista中，用户不是每天都作为管理员对电脑进行操作，所以这种认可是有必要的。当用户以管理员的身份进行操作时，UAC会将用户资格提高到管理级别以便执行某些特定任务。 　　Windows 7保留了UAC，但是对其进行了一系列修改，目的是使认证的系统更符合用户和管理员的胃口。 　　新的操作系统会通过滚动栏中的设置面板强制实施UAC，滚动栏可以让用户轻松在四种执行模式之间转换。位于严格级别时——与UAC在Vista中的运作方式类似——当系统设置出现更改时，或者安装的应用企图访问文件系统中受限的内容时，系统都会提示用户。 　　当应用程序企图作出更改时，Windows 7的默认级别会通知用户，但是如果是认证用户进行该操作系统不会给予提示。通过访问电脑管理就可以体验到其中的差异。在严格模式中，用户必须认可对面板的查看，而在默认模式中，管理员可以访问并更改文件。 　　第三种模式类似默认模式，但是不需要使用安全界面——该界面是独立界面，且不能被程序修改。第四种模式既不会通知用户也不会请求用户许可。推荐 大家只有在访问UAC范围下已知文件的时候使用这一模式。事实上，新的设置——包括新的默认模式——都是降低了UAC的安全性。 　　对于UAC的一项有趣补充可以在Windows 7旗舰版和企业版中找到。其名称为AppLocker，该功能提供了应用白名单功能——能够为应用指定权限。普通用户和管理员可以创建条件来限制应用运行。 　　用我们熟悉的微软组策略结构可以控制AppLocker。使用组策略编辑器，我们可以查看到已有策略，创建一个新策略，然后确定是否执行该策略或是审核一下新策略是否与安全性相冲突。 　　在AppLocker中有三个涵盖可执行代码的目录(Windows Executables,Windows Installers和Scripts)，每个目录都必须单独设置。我们可以选择执行其中一个分类，然后只需审核其他的就可以了。 　　应用程序可以通过多种方式认可。对于粒度应用的认证，我们可以将策略置于应用的哈希值底部，应用程序的开发商或是文件系统路径。 　　组策略编辑器包含了一组简单的规则生成方法，因此在Windows 7中策略的使用更为容易。我们可以一键创建默认规则，创建基本规则：让每个人都能运行Windows和程序文件目录中的程序，还能让本地管理员运行所有文件。 　　这一使用方案为UAC和低级别的运算赋予了些许趣味性。如果AppLocker意味着权利受限用户只能运行许可文件夹中的程序，而严格级别UAC执行栏用户可以修改文件夹。对于更多的粒度控制，管理员可以自动生成规则。 　　AppLocker中一个潜在的问题在于它要求运行一项特殊的服务从而提供强制实施，即应用识别服务。首先管理员要确保该服务会自动启动，然后 他们必须确保服务的持续运行。通常安全服务供应商会提供额外的监督保护以确保重要的安全服务能防范攻击，但还不清楚Windows是否也采取这些措施。 　　Windows7为旗舰版和企业版都添加了可移动磁盘加密功能——BitLocker To Go，该工具为USB驱动创建了加密和密钥管理，如此便可共享受保护的数据。用户只需输入首次加密时设置的密码就可以了。 　　受到BitLocker To Go保护的驱动也可以从旧的Windows版本访问，因为该工具包含了USB存储棒的阅读程序。当把这一工具插入XP或Vista系统中时，驱动向用户显示了该阅读程序。运行该运行程序，输入密码，就可以读取数据或进行本地复制。 　　Windows 7企业版和旗舰版具备BitLocker全盘加密，BitLocker在Windows 7上更易于使用。Windows 7会自动创建启动分区并将其缩小到100MB大小。这样用户或管理员可以在初始化安装后轻松添加全盘加密。 　　默认情况下，BitLocker要求电脑装有TPM芯片，以便保存密钥。电脑没有TPM的用户可以用USB记忆棒替代，但是组策略要相应作出调整。 　　企业管理员可以在组策略的BitLocker和BitLocker To Go中找到可靠控件。管理员可以控制密码强度，认证的执行类型和强度，并在Active D