Windows7作为目前主流操作系统,在安全方面有了很大改进,让用户可以免受侵害,可以有更多精力投入到具体的应用上来,而无需担心病毒木马的干扰。其中Bitlocker、UAC、AppLocke就是典型的例子。
(1).Bitlocker和BitLocker To G0
在Windows Vista中推出的BitLocker是一个用于笔记本及其它不安全物理系统的***安全技术。它可以加密硬盘驱动器,从而在笔记本被窃取或遗失时保护我们的数据。在Windows 7中使用BitLocker使得这一切更加容易。我们再也不用进行Windows Vista中需要的手动驱动器分区操作。Windows 7BitLocker会自动的在引导磁盘上创建和隐藏一个200MB的分区。我们只需要在“计算机”中右键点击驱动器,并从上下文菜单中选择“启用BitLocker”即可启用它。
Windows 7的这项新功能把BitLocker的驱动器加密能力延伸到了USB闪存驱动器,称作BitLockerTo Go。要想访问通过BitLocker To Go加密的USB驱动器内容,我们需要提供密码或PIN。只需要考虑一下我们有多少个这样的USB驱动器(以及丢失的数量),就知道这种技术的重要性所在了。类似于AppLocker,BitLocker和BitLocker To Go只在Windows 7企业版中提供。尽管需要这个版本来加密USB驱动器,但是如果提供了授权的凭据,那么更低的版本可以读写加密usB驱动器上的数据。更低的客户端级别,例如Windows Vista,在提供了正确的凭据后可以从这些驱动器读取数据,但是无法写入。
(2).UAC
Windows 7***的改进之一是UAC。在Windows Vista中广受非议的UAC是一个点子不错但走错路的典型。UAC过度频繁的提示导致许多用户(包括我自己)把整个UAC都禁用了。然而,禁用UAC也移除了它所提供的保护。当UAC被禁用时,保护模式会被禁用,因为UAC保护着Win32目录和注册表虚拟化。Windows 7中的UAC带来了更适于接受的体验。提示频率大幅降低,并且提示级别可以进行配置。
(3).AppLocke
UAC是一个可以用来保护桌面的工具,但并不是唯一的一个。AppLocker可以让我们创建策略显式控制在桌面上可以安装或运行的应用程序和可执行文件(例如.exe文件、脚本、动态链接库)。它的“允许”规则只允许执行白名单中的应用程序,阻止运行所有其它的应用程序。它的“拒绝”规则允许执行除黑名单以外的所有应用程序。AppLocker允许对特定应用程序创建“允许”或“拒绝”例外。它使用数字签名标识应用程序和可执行文件,粒度上控制可以向下延伸到版本一级。例如,可以配置AppLocker只允许运行Adobe Reader 10.0或更新的版本。AppLocker规则可以应用到组织中特定的用户或组。只有Windows 7企业版才提供AppLocker,它可以通过组策略在企业中进行管理。