Windows 7發布后，雖然暫時Windows 7還難以撼動XP的市場地位，但是Windows 7也不是一個只有外表的花瓶，它除了炫麗的桌面應用外，Windows 7在企業級的安全應用上也有不少突破。本次就向大家介紹Windows 7企業版中鮮為人知的五大安全應用功能。

Windows與安全似乎不能總是并存。過去，當用戶易操作和系統安全發生沖突時，微軟總是選擇犧牲系統安全。Windows XP近段時間遭受網絡蠕蟲入侵就是一個最好的例子，微軟本來是有為XP預裝抵抗蠕蟲入侵的防火墻，但是為了讓用戶使用更簡單，XP系統中的防火墻默認情況下是處于關閉狀態的。

除了這些是用戶能明顯感受到的安全問題，Vista系統在安全性能上這邁出了重要的一步，隨后微軟推出的Windows 7除了繼續上一版系統安全性能上的更新外，在其他方面還增加了很多新功能。其中最明顯的改進就是用戶賬戶控制系統（User Account Control System，簡稱UAC），這個賬戶控制系統在Vista系統中極易收到攻擊，帶來很多安全隱患，以至于很多用戶都將這個系統關閉。但是在Windows 7系統中UAC得到很大的改善，改進后的UAC具有較好的系統防御功能，提高了對危險的辨別和工作效率。

除此之外，其實Windows 7系統還增加了一些不太顯眼的安全保護功能，特別是以保護企業網絡安全為目的的新功能。其中最重要的功能有以下五個：

DirectAccess：該功能可以使遠程計算機通過 Internet 自動、無縫地訪問內部網絡，無需連接到虛擬專用網絡 （VPN）。

Windows Biometric Framework（Windows生物識別架構）：該功能為指紋掃描和生物識別應用提供標準化的方法。

AppLocker：該功能可以為Windows系統中的應用程序加鎖，控制應用軟件的運行狀態。

BitLocker To Go：這是最重要的一項功能，該功能通過擴展BitLocker的硬盤加密方式來擴展硬盤設備。

Multiple active firewall profiles（多項防火墻配置協調工作）：改良手動配置多項防火墻程序，達到了更好的網絡通信保護功能。 　　

據了解目前Windows 7企業版都具備以上功能，但是Windows 7其他系列的版本中只有最終版才具有以上功能。

即使你無法立刻完全體驗到全部新功能的優點，但是提前了解這些功能的作用也不錯。另外，如果你沒有完全升級到Windows 7企業版或者最終版的話，你是無法運行所有的功能的，至少不能體驗DirectAccess。

我們會從你馬上就能用到的功能開始介紹，接下來就一起來看看這些新功能究竟如何保護Windows網絡計算機的安全。

功能一：多項防火墻配置協調工作

比起Vista系統，Windows 7有一個看似很小但是很重要的改進，那就是防火墻的配置。Vista系統允許用戶為公私用戶開啟多個防火墻配置和域名鏈接。每個私有網絡都可能成為你的主Wi-Fi網絡；只要用戶輸入正確的WEP或者WPA鑰匙就可以隨意登錄私有網絡，這過程中不需要任何的認證信息。但是登錄域名網絡就要求身份驗證，驗證方式有密碼、指紋、密碼卡或者一些組合的信息等。

每一個配置文件都能通過防火墻選擇性地連接應用。比如，現在需要搭建的是家用或者企業的小型私有網絡，就可以設置共享文件和打印。但是對于公用網絡，你應該就不會共享你的文件了。

Vista系統的防火墻一般情況下都可以正常工作，除了將計算機同時連接到多個網絡中，比如同時連接到以太網和無線網中。在這種情況下，系統會默認采用最嚴格的配置。這樣就會帶來很多問題，比如，當你通過公共Wi-Fi熱點區域連接到公司的VPN中時，Vista系統就會同時向公共網絡和域網絡提交公共配置。

所有使用Windows 7系列的計算機可以同時啟動幾個防火墻配置，這樣可以保證網絡訪問更加可信，同時減少不可信網絡的接入。由于遠程接入功能對于防火墻配置限制較少，所以用戶目前也沒有必要過多的擔心外來網絡對于企業內部網的入侵問題，可以放心使用。

圖：在Windows 7系統中，所有ude網絡連接都可以使用自己特殊的防火墻配置

功能二：Windows生物識別框（Biometric Framework）

隨著指紋識別技術在筆記本中的應用越來越廣泛，制定出一套處理人體識別數據的標準是很重要的。為了解決這種需求，Windows 7系統開發了生物識別框功能。進入Windows系統的生物識別框，會有一個標準的存儲指紋數據方法和一個共同的API來訪問這些數據。雖然很多開發商對于該系統的很多子功能都很感興趣，但是在應用之前有兩件事是企業必須知道的。

圖：指紋識別框中可以識別10個手指指紋

首先，傳統的指紋掃描儀可以連接到計算機上，但是不能連接到企業網絡中，但是微軟的Windows生物識別框就能做到。

其次，Windows 7的指紋識別系統可以為每個用戶存儲10個手指的指紋信息，雖然我們都不愿意手指受傷，但是一旦某個手指出現意外，還可以通過其他手指登錄系統，這顯然比傳統的智能多了。

指紋是通過Windows 7控制面板下的生物識別裝置小程序來存儲信息的，任何Windows 7系統和指紋掃描儀綁定后，就可以通過指紋來登錄系統。要注意的是，你必須以管理員身份來添加或者管理指紋。

功能三：BitLocker To Go

目前最嚴重的安全隱患就是在移動網絡應用中丟失商業機密。Vista中的BitLocker通過為筆記本全部的硬件設備加密方式來保護用戶信息，這樣即使內容被盜或者丟失，也沒有人能夠讀取里面的信息。而Windows 7的BitLocker To Go也是通過加密方式來保護用戶信息，只是方式上會更簡單，保護范圍也延伸到口袋大小的微型硬盤設備和小型閃存設備。

圖：啟用BitLocker功能為設備加密

在Windows 7企業最終版中可以使用這個功能，只要鼠標右擊資源管理器中的外部設備圖表，選擇下拉菜單“Turn on BitLocker”打開一個向導，按著指示進行配置加密，等待程序啟動完畢后就能可以。等待的時間長短跟你的電腦速度和配置設備有關，初步預計，對2GB的閃存設備和一個全日制工作的500GB或者更大的外圍硬件設備進行配置只需要花費20分鐘。

BitLocker To Go可以使用密碼進行解密，企業也可以使用智能卡或者多種身份驗證方式組合來解密。

對移動設備加密也是Windows 7企業最終版中才具備的功能，但是你一旦創建了加密的移動設備，用戶可以通過任何版本的Windows 7系統的電腦來讀寫該設備。你也可以為加密的設備安裝一個閱讀應用軟件，這樣Vista或者XP系統就只能對該設備進行讀操作。

這項新增大安全功能可以用于企業工作中，讓決策者將信息寫入安全的BitLocker To Go設備中，防止將信息保存到一個不安全的環境中。Windows 服務器的用戶還可以讓第三方使用活動目錄保管一個密碼，一遍在丟失或者遺忘密碼時，可以恢復數據。

該項功能可以讓企業決策者安心得將重要的信息寫入經過BitLocker To Go加密過的設備中。當用戶丟失或者忘記密碼時，還可以通過Windows服務器的第三方活動目錄重新獲得打開密碼。

功能四：AppLocker應用程序鎖

通過控制應用程序的安裝和運行狀態可以有效地提高系統的穩定性，防止惡意軟件的入侵以及帶寬等影響網絡速度的問題。

Windows原始的版本中，這些都是由軟件限制策略功能處理的。這些策略對于那些基于當地文件系統的特定軟件有實用的預防效果，但是對于那些暗藏在可信應用軟件中的加密木馬是沒有預防效果的。

軟件限制策略在實際的運行和維護都有困難的。一些應用程序需要安裝在外部獨有路徑下，因此就需要制定新的路徑規則。雖然基于哈希的策略能提供有效地安全保障，但每當一個程序升級后它就會失效。任何程序代碼的變換，甚至是錯誤的修復或者更新，都會改變哈希值，有時還會阻止程序正常運行。因此，IT經理不得不去維護或者修改冗長的哈希規則表單和程序的自動更新功能。

Windows 7企業最終版和Windows Sever 2008 R2中的AppLock功能可用，該功能增加了一個全新的方式靈活地控制軟件——出版商規則（publisher rules）。出版商規則依賴于程序的簽名認證信息，這也是越來越多的應用軟件所具有的。

應用程序的簽名認證信息比舊版的文件路徑和哈希數據都更詳細，它可以讓系統管理員創建復雜的規則，比如通過設置特定的名字，例如文件名字設置軟件來運行特定的供應商的軟件，或者通過特定的名字來運行特定的軟件或特定版本的軟件。比如，可以建立一個規則讓系統只運行Adobe的程序，或者只運行Photoshop，甚至可以只是運行目前最新版的Photoshop。

AppLocker規則可以適用于任何可執行文件、腳本、安裝程序或者是系統庫中，讓用戶有多種選擇，也就是說可以讓用戶安裝所需要的軟件，管理員不需要控制軟件的更新，同時還可以防止安裝沒有授權的軟件。

此外，AppLocker規則中可以寫入特定的用戶和用戶組，比如會計組和圖形設計組肯定有不同的軟件需求，通過AppLocker規則，群組中只要有一個人配置了規則，大家都可以共享，AppLocker甚至還可以區分出用戶組之間誰共享同一臺計算機。

但是要清楚的是AppLocker只是針對Windows 7企業版和Windows 7最終版。如果你的用戶是用舊版Windows系統，你需要單獨為他們設置一個軟件限制策略。但是隨著越來越多的用戶升級到Windows 7系統，你就可以拋棄SRP改用AppLocker。

功能五：DirectAccess

微軟號稱DirectAccess是“下一代”的VPNs，DirectAccess允許Windows 7企業版和Windows 7最終版用戶直接連接到Windows Sever 2008 R2服務器中。鑒于用戶連接VPN時通常需要先發起請求，但是使用DirectAccess，電腦連接到網絡上后，系統就會自動連接到公司網絡中，整個連接過程是完全透明的。

圖：Windows 7的DirectAccess連接示意圖

DirectAccess自動連接與傳統的VPNs連接有很大的改進。首先，它使用IPsec和IPv6網絡協議進行數據加密和端到端的路由器連接。VPN的加密是與VPN服務器脫離的，而DirectAccess能夠讓數據從企業內網應用服務器上傳送到客戶端的整個過程中都處于加密狀態。

因為DirectAccess使用一個標準的互聯網端口通信，所以它可以不需要任何配置就能夠穿過防火墻，這是VPN用戶不能做到的。

DirectAccess還有另一個好處就是可以自動創建連接和維護。即使用戶不是直接使用公司資源，管理員也可以同時管理和更新DirectAccess計算機。雖然用戶一般只是在需要訪問網絡資源時才會通過VPN連接，但是VPN連接常常很耗時間。

例如，如果遠程用戶在本地的咖啡廳連接到無線熱點，DirectAccess 將檢測到 Internet 連接可用并自動建立與內部網絡邊緣的 DirectAccess 服務器的連接。 用戶將能夠訪問管理員已授予遠程訪問權限的內部資源，如內部共享、網站和應用程序。

連接耗時主要是因為VPN用戶必須經過隔離、掃描、和修復后才能獲準登錄公司內網。整個過程會影響連接速度，從而影響員工的工作效率。但是通過DirectAccess，計算機即使在企業內網休眠的時候還能正常更新，同時可監控企業網絡的訪問情況。

但是有一點需要注意，讓大部分公司馬上移到DirectAccess上是不切實際的。因為這個系統依賴于良好的網絡基礎設施，其中包括Windows Server 2008 R2和IPv6,這是很多企業目前還沒有完全具備的基礎設施，所以等企業搭好環境完全移到DirectAccess中還需要等上幾年。未來幾年內，VPN還是運用的主流。

縱觀未來網絡，基于安全環境下的“家里辦公”將會是發展趨勢，那時的網絡可以滿足員工居家辦公，就像在辦公室里一樣順暢。

【編輯推薦】

1. 深入討論如何保護Windows 7安全
2. Windows 7系統安全大揭秘