在Windows 7系統中,相信用戶感觸最深的安全功能就是用戶帳戶控制(UAC)了。所有的用戶帳戶(包括管理帳戶)在默認情況下都是以標准用戶模式運行的,而如果執行更高特權還要求提高模式,也就是我們往往得等待系統跳出管理員權限提示界面,多點擊一次確定才能進行原本早在幾秒前就該開始的進程。這項功能實際上沒有考慮到用戶體驗,因此算是Windows 7的一大敗筆。
當然,不容置疑的是,Windows 7的安全性能確實要比之前的操作系統要先進,磁盤加密(BitLocker)、家長控制(parental controls)、內置防惡意軟件程序(Windows Defender)、改進的windows防火牆、數據執行保護(DEP,Data Prevention Execution)、保護模式IE浏覽器、服務強化、數字版權管理功能、Crypto API以及網絡訪問保護(NAP)客戶端功能、加密文件系統(EFS,Encrypting File System )等方面都有明顯改進,Vista系統中還有很多軟件限制策略以及其他安全增強功能。SP1中還添加了更多安全相關的改進,包括BitLocker的多因素驗證、重新設計的隨機數字生成器(RNG)以及遠程桌面協議文件等。
現在呢,Win7 團隊面臨的挑戰就是如何讓操作系統像Windows 7一樣安全(或者比Vista更安全),而同時更加透明地並且更加方便的將安全功能呈現在用戶面前。下面我們就來談談Win7在安全方便的特色。
1.關於Security Center
Windows XP SP2系統中的安全中心(通過控制面板進行操作)旨在為管理安全相關的設置提供集中式的管理中心,並且這也延續到Vista系統中。然而,在Windows 7 中,會有更加集中式的管理,安全中心將不復存在,取而代之的是Action Center(行動中心)。在Action Center中,你會發現警報器發出的信息不單單是安全方面的警報,同時也將涉及Windows Update、Diagnostics、NAP、Backup和Restore,以及故障問題。
2.Action Center中更加靈活的UAC設置
要Windows 7中,你可以通過組策略(Group Policy)來禁用UAC功能,但是這並不可取,因為容易使系統受到攻擊,或者你也可以將UAC設置為不彈出提示信息。但家庭版的Windows 7並不包含組策略編輯器,因此用戶必須通過編輯注冊表來禁止提示信息。然而,在Win7中,用戶能夠更加方便的控制UAC的功能。IT管理員們可以放心的是,沒有管理權限的用戶是無法更改UAC設置的。在Action Center的左窗格中,可以看到有一個標記為Account Control Settings(用戶控制設置)的選項,以下四個選項可以來選擇UAC的提示行為(通過調整滑動條):
·Always Notify(總是通知):當你安裝軟件或者更新系統時都會出現UAC提示信息
·Notify Only When Programs Try to Make Changes(只有當程序發生改變時通知):只有當程序要求提升權限時才會有提示信息,不過用戶對Windows設置的更改不會通知(這是默認的)
·Notify Only When Programs Try to Make Changes (Do Not Dim the Desktop)(只有當程序發生改變時通知(不要調暗桌面)):與默認情況相同,只是提示信息時,Secure Desktop會被禁用
·從不通知:當用戶更改Windows設置或者安裝軟件時都不會提示(不推薦)
3.BitLocker磁盤加密增強功能
Vista企業版和終極版中的BitLocker能夠允許用戶加密整個卷,使用的是AES,或者利用某些計算機上的Trusted Platform Module (TPM,可信賴平台模塊)芯片以及USB密鑰來加密。這些方式可以防止未授權啟動操作系統或者訪問加密卷上的數據(例如,通過安裝一個不同的操作系統,讓未授權的用戶啟動它),這對於可能丟失或者盜竊的便攜系統尤為有用。
最初只能用來加密安裝操作系統的卷,SP1則新增了加密多個固定磁盤的功能,不過用戶不能用它來加密可移動磁盤。在Win7中,功能增強版BitLocker可以支持便攜式硬盤和閃存設備的加密,該功能也被稱為“BitLocker to Go”,這是很多公司一直期待的功能,因為將敏感數據保存在USB密鑰上已經成為流行。
你也可以設置一個恢復鍵,以確保在忘記密碼的時候解密磁盤。恢復鍵可以保存到文件或者打印出來存儲在安全的地方。加密可能需要一段時間,取決於磁盤的大小,加密2GB的USB密鑰需要花大約9分鐘,可以通過進度表來獲取時間信息,組策略-AppLocker。
Win7中還有另外一個“Locker”:AppLocker,這是一個新的組策略功能,它允許管理員對用戶可以安裝和使用的應用程序版本進行控制,這樣就可以有效阻止用戶安裝和運行較老版本的應用程序(可能有安全漏洞)。
4.Biometric Framework生物識別框架
在Vista中,如果你想要使用指紋登錄,必須使用指紋傳感器供應商提供的軟件。而Win7所提供的新的安全功能Biometric Framework可以提供本地支持指紋識別裝置,也更加便於開發者將生物安全技術納入其軟件。用戶可以在新的控制面板中找到Biometric Devices選項,該功能用戶管理指紋。生物識別設備可以設置為允許用戶登錄到Windows或者使用生物識別技術的網域,每個用戶都可以設定不同的手指。
注意:目前為止,指紋傳感器是Windows生物識別框架支持的唯一生物識別設備。
Windows Biometric Service (WBS)是管理指紋識別器的框架部分,並作為客戶端程序與生物識別設備間的I/O代理,這使應用程序不能直接訪問生物數據,從而保護用戶信息。