相信Windows系統是大家接觸最多的系統了。那么隨著Windows 7的發布，很多個人以及企業都隨之使用起來。那么今天我們就來主要談及一下相關Windows 7安全問題。多年來，許多IT評論家都在抨擊微軟產品。而且微軟推出的Windows Vista為他們提供了新的貶斥對象。這款產品的可用性和安全性能讓許多用戶都很惱火。因為這個原因，許多企業仍舊使用XP，而不是其后繼者Windows Vista。

然而，隨著最近Windows 7的發布，大多數企業計劃升級的時間也越來越迫近了。Windows 2000和XP Service Pack 2的官方支持早已結束，XP Service Pack 3也將于2014年6月結束。Windows 7自我感覺良好的安全性能是否真的會使企業更加安全呢？在這篇簡短的Windows 7預實施安全指南里，我們將回答這個問題。

即便是微軟最鐵桿的批評家也同意Windows 7安全性能遠遠超過Windows XP和Vista，這是一個巨大的進步。然而，DirectAccess、AppLocker、BitLocker和BitLocker to Go等安全性能要求更加昂貴的系統來運行，如Windows 7企業版和Windows 7旗艦版。升級到這些版本的成本要比升級到pro版本的成本高10%左右，幾乎是家庭高級版的兩倍。另外，需要Windows商務性能的企業要為那些電腦辦理軟件保障特許證（微軟的軟件維護項目），這個許可證每年要花30到50美元。這樣看來，與第三方供應商所提供的產品的安全性能相比，Windows7值得去花費那些額外的費用嗎？

有了DirectAccess，Windows7個人電腦不用裝配虛擬專用網絡（VPN）客戶端。隨時在線的VPN客戶端支持多重身份驗證，允許管理員升級組策略設置、分發軟件和反病毒程序的更新（只要有客戶端與網絡連接）。系統和服務的高度集成化不僅能改善端點的整體安全性能，還能很大程度上減少控制臺要求用戶與VPN鏈接的次數。不過，DirectAccess需要在Windows Server 2008 R2 上運行，如果你支持的客戶不是Windows7系統的話，你還需要有另外的VPN。

AppLocker可以更容易限制用戶安裝的應用程序數量，但用戶還可以選擇其他的更為成熟的產品，例如Bit9的Parity Suite和CoreTrace的Bouncer。許多產品提供預先生成的帶有自動升級功能的應用程序白名單和黑名單，生成企業的應用程序和使用方法報告，為多個版本的Windows系統提供保護，這些服務都是AppLocker所不能提供的。

BitLocker為電腦的硬盤驅動提供密碼保護，預防信息的失竊和丟失；BitLocker To Go為可移動儲存裝置（如USB硬盤）提供密碼保護，但不包括光驅。盡管BitLocker可以通過毀掉密碼來保護數據，但卻不能滿足一些審計員的需求，他們需要在硬盤被處理時，看到安全覆蓋的痕跡。對BitLocker To Go將裝置上的所有東西加密的批評似乎站不住腳，BitLocker To Go還不是成熟的數據泄露保護產品。對大多數系統管理員來說，他們能夠在企業范圍內為USB上的數據提供保護是很好的事情。現代PC機的強大功能，意味著加密過程不會比昂貴的DLP（數字化處理器）產品緩慢，后者只能對敏感數據進行加密。然而，BitLocker To Go也有一個與DirectAccess類似的問題，如果不是所有的客戶都使用Windows7系統的話，用戶還需要另外的加密方法。使用BitLocker To Go加密過的裝置雖然可以在安裝了Windows XP和Windows Vista的PC機上使用，但此時，裝置里的數據是只讀數據。

在跨平臺使用方面，像TrueCrypt這樣的產品可以提供非常大的靈活性。TrueCrypt是免費的，可是它不與Windows服務器政策兼容，也不具有較高的聯網能力。利用 BitLocker，管理者可以建立Windows組策略來實現可移動存儲裝置上BitLocke的使用，并且對服務器和PC機上的硬盤進行加密。PGP的全磁盤加密是功能完整的替換加密方法，不過這種加密方法比升級到Windows7的成本還高。

微軟的Windows系統是仁者見仁、智者見智的。許多批評家指責微軟的安全性能不支持最佳組合，用處單一，只能被小范圍企業內的小范圍人群所使用。如果用戶想要自己安全基礎設施的每部分都能達到最佳組合，相信沒有一家供應商會支持這種做法的。如果用戶有預算，這樣的最佳組合打算無可厚非。然而，不同的安全控制方法和被迫停止使用的裝置會帶來很多額外的費用，例如附加的員工培訓費用和管理費用。統一威脅管理（UTM）產品的受歡迎程度越來越高，這說明了在許多有實際經驗的管理員看來，那種最佳組合的方案既不現實也不經濟。

將Windows 7安全性能發揮到最佳有以下好處：可以使操作系統和組策略的兼容性更強，同時能帶來熟悉的用戶界面和指令。這樣一來，系統的安全配置會變得很簡單，遠遠強于在系統中再加上第三方供應商的安全產品。這樣的配置減輕了用戶對多供應商關系，多產品混用知識的需求，減少了升級的次數。Windows7還稱不上完美，但已經很不錯了：將一款不錯的安全產品合理地、正確地配置遠好于去追求一款根本不存在的最佳產品。

【編輯推薦】

1. 黑客大賽使得Windows 7安全性遭質疑
2. 深入討論如何保護Windows 7安全
3. Windows 7安全利器 - UAC解析
4. 確保Windows 7安全 微軟該做的五件事