Windows和安全這兩個詞似乎總是水火不容。在過去，微軟試圖使其操作系統易于普通用戶使用，這通常意味著需要犧牲抵御入侵和病毒感染的防御。例如大家都知道的漏洞重重的Windows XP，雖然該操作系統有防火墻，但最初默認狀態卻是關閉防火墻。

對于所有這些漏洞問題，微軟的Vista系統標志著windows安全的巨大進步，而Windows 7則延續了這方面的改進，增加了一些新功能并加強了很多其他安全功能，最明顯的就是用戶帳號控制(UAC)系統，Vista系統的用戶帳號控制系統非常可憎以致很多用戶選擇關閉這個功能，寧愿選擇讓系統容易受到攻擊，而不愿接受煩人的操作。UAC在Windwos7系統中已經得到改善，不在惹人厭，而是更加能夠識別真正的威脅，因此也更有效。

其他Windows 7安全功能不太明顯，尤其是那些不只是涉及保護一臺計算機，而是保護整個網絡的安全功能，其中最重要的安全新功能包括DirectAccess，windows網絡上計算機的VPN(虛擬專用)替代;Windows指紋識別標準，規范了掃描儀和生物識別應用程序使用指紋的方式;以及AppLocker，改善了之前Windows版本的軟件限制策略，該策略限制了哪些軟件可以在計算機上運行。

同樣重要的包括BitLocker To Go，它庫鏖戰了BitLocker的全磁盤加密到外部硬盤加密，以及為處理多個防火墻配置文件而改善的程序，以便保護水平更好地與用戶連接到互聯網的位置相匹配。

正如典型的微軟風格，這些功能附有簡單的指導。讓我們看看這些功能如何能夠幫助windows系統保護計算機和網絡。

請注意，某些安全功能在所有Windows 7版本中都具備，而有些安全功能只有企業版和旗艦版才能使用。此外，只有讓所有用戶都升級到Windows 7，你才能在企業網絡完全部署這些功能，至少對于DirectAccess而言，它的后端要求是大部分企業沒有部署的。這些安全功能將與用戶仍在使用早期版本windows系統中的舊技術并肩作戰抵御攻擊。

雖然你可能還不能夠馬上利用所有這些新安全技術的全部優勢，但現在是時候開始為這些新技術進行規劃。我們將從可以立即運用的功能開始，逐漸探討這些安全功能。

多個有效防火墻配置文件

從處理防火墻配置文件方面來看，Windows 7提供了一個小但極其重要的改進。Vista允許用戶為公共、私人和域連接設置不同的防火墻配置文件。私人網絡可能是你的家庭無線網絡，除了擁有正確的WEP或WPA密鑰外，你不需要任何憑據登錄，但是比起公共網絡(例如咖啡店的無線網絡)，你會更加信任公共網絡。域網絡要求身份驗證：密碼、指紋、智能卡或者幾種因素結合來登錄。

每個配置文件類型都有自己選擇的允許通過防火墻的應用程序和連接。舉例來說，在家庭網絡或者標記為私人的小型企業網絡，你可能會允許文件和打印機共享，而在標記為公共的網絡，你可能會禁止訪問文件。

Vista系統的防火墻配置文件還不錯，只是當計算機被同步連接到多個網絡時，例如以太網和無線網絡，系統會默認為最嚴格的配置文件。當通過公共無線熱點連接到企業虛擬專用網絡時將會造成問題。Vista將會認為同步連接到公共網絡和域網絡，并為二者運用公共配置文件。

所有Windows 7版本都允許計算機同時保持幾個防火墻配置文件開啟，為可信任網絡保持訪問性和功能，同時阻止對不可信任網絡的訪問。由于很多遠程訪問功能要求較少限制的防火墻設置，用戶現在就可以安全地遠程工作，而同時免受來自企業網絡外部的威脅。#p#

Windows生物識別功能

隨著筆記本電腦指紋識別器變得越來越普遍，為處理生物識別數據建立標準變得尤為重要。Windows Biometric Framework，這是存儲指紋數據和通過共同API訪問數據的標準方式。雖然該子系統的大多數功能都只是開發人員感興趣的功能，仍然有兩個重要的信息企業需要了解。

首先，雖然指紋掃描儀之前被用于登錄到計算機，而不是登錄到計算機域(企業網絡或者網絡分區)，但Windows Biometric Framework就能夠允許域登錄。

其次，用戶可以存儲多大10個獨特的指紋，每個手指的指紋。雖然我們都不想手指出意外，但存儲10個手指的指紋在系統中是很好的預防措施，以免手指受傷的情況。

指紋是通過生物識別設備裝置添加的，這可以在任何版本附有指紋識別器的Windows 7的控制面板中找到，并且你能夠啟動計算機和域登錄。你必須作為管理員登錄才能夠在windows7中添加或管理指紋。

BitLocker To Go

現在企業面臨的最嚴重的安全威脅就是包含重要企業信息的移動設備的丟失。Windows Vista的BitLocker通過允許企業用戶加密筆記本的整個硬盤來解決這個問題，這樣當筆記本丟失或者被盜時，沒人能夠訪問存儲的信息。而BitLocker To Go擴展了相同的保護功能到更容易丟失的外部驅動，包括口袋大小的硬盤驅動和微型閃存驅動器。

Windows 7企業版和旗艦版中有這個功能，BitLocker To Go簡單易用：右鍵單擊Explorer中的外部驅動，并選擇“打開BitLocker”來打開向導指導你加密驅動，等待一會兒程序運行，就完成了操作。等待時間取決于計算機和驅動速度，例如2GB閃存驅動的初始加密需要20分鐘，而500GB和更大的外部驅動需要一個工作日。

BitLocker To Go加密的驅動可以使用用戶選擇的密碼和/或智能卡多因素驗證(企業使用)來解密。

加密可移動驅動只能在Windows 7企業版和旗艦版操作，但一旦創建加密后，就可以從任何版本Windows 7讀取或者寫入信息。你也可以在加密驅動安裝一個讀取應用程序來允許vista和XP系統的只讀訪問。

通過使用管理政策僅允許BitLocker To Go驅動被寫入以防止用戶將數據保存在不安全設備上可以為企業環境增強安全性。Windows Server的用戶也可以使用Active Directory保存一個恢復密碼，以便恢復丟失或者忘記的密碼。#p#

AppLocker

控制哪些應用程序用戶可以安裝或者運行是有效維持用戶系統穩定性、抵御惡意軟件和保護網絡完整性(以防被帶寬要求高的應用程序占用，如BitTorrent)的方法

在之前windows版本中，這是由軟件限制政策功能處理的，這些政策可以用于防止特定軟件的運行，根據軟件在文件系統的位置或者軟件無法與已知可信應用程序的加密哈希匹配來判斷。

軟件限制政策在部署和維護方面可能是一個麻煩。有些程序需要安裝在典型路徑的外部，因此需要生成新的路徑規則。基于哈希的政策提供強大的安全性，但當程序更新后，政策也可能失效。程序編碼的任何更改，甚至是漏洞修復或安全更新，都會改變哈希，并且會阻止程序運行。因此，IT管理人員必須保持和更新哈希規則列表，并自動覆蓋程序更新的能力。

Windows 7企業版和旗艦版(以及Windows Server 2008 R2)中的AppLocker增加了新的更加靈活的控制軟件的方法：發布者規則。發布者規則依賴于程序簽名證書的信息，這也是越來越多應用程序增加的信息。

該信息比文件路徑或者哈希數據更加詳細，它可以讓管理員創建復雜的規則，例如僅允許來自某特定發布者的軟件，特定名稱、特定文件名稱和/或特定版本。舉例來說，可以創建一條規則允許任何來自Adobe的程序運行，或者僅允許Photoshop運行，或者只有最新版本的Photoshop運行。

AppLocker規則可以適用于任何可執行、腳本、安裝程序或者系統庫，讓用戶有足夠的回旋余地，比如安裝必要的軟件或升級而不需要管理員權限，并且能夠避免使用未經授權的軟件。

此外，AppLocker規則可以被寫入以用于特定用戶或用戶組，企業會計部門和圖形涉及部門可能有不同的軟件需求，但對于AppLocker，就能夠為每組根據各自獨特的限制和要求來設置規則。

真正節省時間的是從可信參考計算機自動生成規則的能力，策略可以使用windows的組策略設置在網絡范圍內運用。

值得注意的是，AppLocker僅適用于運行Windows 7企業版或者旗艦版的用戶。如果你的用戶使用的是較舊版本的windows，你將需要使用軟件限制策略。隨著越來越多的用戶升級到Windows 7系統，你可以淘汰掉軟件限制策略，轉投AppLocker。#p#

DirectAccess

被微軟號稱是VPN“下一代”替代品的DirectAccess允許Windows 7企業版和旗艦版用戶直接連接到windows 2008 R2和未來服務器版本。用戶通常需要發起VPN連接，而DirectAccess對于最終用戶而言幾乎是透明的：當計算機連接到網絡時，DirectAccess自動創建到企業網絡的安全鏈接，而不需要用戶的任何操作，并且通過該連接自動路由請求到內部互聯網。

除了自動連接外，DirectAccess還提供傳統VPN無法實現的功能。首先，它使用的是Ipsec和Ipv6互聯網協議來加密和路由端到端連接。VPN加密是在VPN服務器被剝離，DirectAccess可以全程都保持加密，從企業網絡內的應用程序服務器。(DirectAccess支持很多其他協議來創建不支持Ipsec或Ipv6網絡流量渠道)

因為DirectAccess使用的是標準互聯網端口，它可以輕松穿越防火墻，而不需要任何額外配置，而這方面VPN用戶則常常遇到問題。

另一個優勢：因為連接是自動創建和維護的，管理員可以持續管理和更新DirectAccess啟用的計算機，甚至當用戶不是直接使用企業資源時。遠程用戶僅當需要訪問網絡資源時往往通過VPN連接。

這意味著VPN用戶在被允許訪問企業網絡前必須被隔離、掃描和修復補丁，這個程序減慢了連接速度，限制了員工的效率，并且IT管理員只有很少的時間來管理遠程計算機。而有了DirectAccess，企業網絡的所有計算機可以同時更新，并且不管用戶是否需要訪問企業網絡都會被監控。

但請注意，所有公司立即轉而使用DirectAccess并不實際。該系統依賴于高級網絡基礎設施，包括Windows Server 2008 R2 和IPv6，這也是很多企業沒有部署的項目，在企業部署所有工具和技術前可能還需要幾年時間才能完全轉移到DirectAccess。 這個階段，企業仍需使用傳統VPN。

但是它讓我們瞥見了未來網絡，到“企業大本營”的安全、永遠開啟的連接能夠允許遠程員工像在企業辦公室里辦公一樣方便和安全。

對于企業而言，window 7允許在安全IT部門和最終用戶間建立某種伙伴關系，讓員工在部署安全策略和更新網絡應用的環境下工作。所有這些功能的共同宗旨就是在不犧牲可用性的情況下，實現真正的安全，這也體現了微軟似乎終于意識到這兩者并不是水火不容。