微軟的新一代操作系統Windows7的銷售業績創造了歷史最佳水平,同比盒裝操作系統的銷售數量增長317%,給微軟帶來了巨大的商業利潤。近日,安全專家羅格·科瑞姆從較為客觀的角度對Windows7的安全功能進行了盤點:
1、UAC(用戶帳戶控制)
眾所周知,UAC是微軟舊版操作系統Vista首創,但是許多Vista用戶都對UAC功能很不適應。因為UAC阻止未經許可操作的能力非常強大,將可疑進程排除在內核之外,只有獲得用戶許可後方能運行。
點評:Win7對UAC功能進行了改進,在保障系統安全性的前提下,盡量減少UAC彈出提示框的次數不影響操作的流暢性。可以說,UAC是Win7安全體系的重要組成部分,也是所有Win7用戶最常接觸到的一個功能。
2、BitLocker(磁盤鎖)
BitLocker驅動器加密技術也是Vista中新增的一種數據保護功能,主要用於解決計算機設備丟失導致的數據失竊或惡意洩漏等問題。Win7修改了BitLocker潛在被破解的漏洞,加強了TPM(受信任的平台模塊),可實現基於硬件的全盤加密。
點評:BitLocker的密鑰可以保存在磁盤或移動盤中,也支持打印保存,適合於對安全性要求較高的企業或個人用戶。
3、Suite B (加密支持)
SuiteB是由美國國家安全局(NSA)制定的支持政府和軍事系統的秘密(SECRET)和絕密(TOP SECRET)通信上的強制密碼算法。憑借此算法,NSA認為他們能鼓勵美國國內部門之間的的協作性。
按照安全需求不同,可分為128、256甚至更高級別。其中128位或是256位密鑰的AES和SHA-256被指定為保護機密情報最高到秘密(SECRET)級。保護絕密(TOP SECRET)信息則要求使用256位AES密鑰並結合SHA-384。
點評:Suite B是非常嚴格的密碼算法,Windows7采用這樣高規格標准也是為了能讓其安全性提升一個台階。
4、Direct Access(直接訪問)
Direct Acces是Windows 7和Server 2008 R2中的一項新功能。憑借這個功能,外網的用戶可以在不需要建立VPN連接的情況下,高速、安全的從Internet直接訪問公司防火牆之後的資源。
Direct Access功能克服了VPN的很多局限性,它利用IPv6可以自動地在外網客戶機和公司內網服務器之間連接雙向的連接,並使用IPSec進行計算機之間的驗證。
點評:直接訪問的優點主要是提高員工生產力;遠程用戶更易於管理;改進的安全性。
5、Managed Service Accounts(服務帳戶管理)
服務帳戶通常擁有較高的權限,也導致了很難對其進行管理。保護安全的最簡單、常用的方法就是經常更換密碼,避免密碼丟失後造成損失。但是修改服務帳戶非常繁瑣,所以有必要對其進行統一管理。
點評:與DirectAccess類似的是,服務帳戶管理也有包括模式更新、PowerShell2等一系列操作,熟悉以後會比較方便。