Windows 7安全指南

你应当利用windows 7的诸多安全工具来锁定电脑、保护数据及守护网络。

就在不久前，Windows vista还是Windows操作系统中最安全的版本。Windows 7为Vista“杏漏补缺”，在此基础上作了改进，因而提供了一种更安全的计算环境。微软还结合用户针对vista的反馈意见，改善了用户体聆，并且确保安全功能界面直观，易于使用。本文介绍了Windows 7中一些比较重太的安全改进。

核心系统安全

与当初开发WindOWS Vista时一样，微软也是按安全开发生命周期(SDL)来开发WindOWS 7的。这款新的操作系统从头开始设计，确保是一种安全的计算环境；同时保留了有助于保护Vista的重要安全功能，比如内核补丁保护(Kernel Patch Protection)、数据执行防护(DEP)、地址空间布局随机化(ASLR)以及强制完整性级别(MandatoryIntegrity Levels)。这些功能为防范恶意软件及其他攻击提供了一个坚实的基础。Windows 7中的几个关键安全要素值得一提：

经过改进的UAC

你可能对UAC(用户帐户控制)很熟悉。在WindOWS Vista中推出的这项功能旨在帮助用户执行最低权限访问，并且让企业不必为用户授予管理员权限，就可以部署操作系统，从而降低总体拥有成本。虽然微软在UAC方面的主要初衷是，迫使软件开发人员采用更合理的编程方法，不希望访问操作系统的敏感区域，但大多数人还是认为UAC是一项安全功能。

用户一想到UAC，通常会与它触发的是否同意访问的提示联系起来。虽然自推出Vista以来，微软已经大大减少了触发UAC提示的事件(或完全阻止标准用户执行任务的事件)的类型和数量，但UAC还是导致Vista饱受诟病的一大原因。

在WindOWS 7中，微软再次减少了触发这种提示的应用程序和操作系统任务的数量。它还采用了更灵活的UAC接口。在Control Panel(控制面板)中的UserAccounts(用户帐户)下，可以选择Change User Account Control Settings(更改用户帐户控制设置)，用滑块来调节这项功能。

配置滑块让你可以在UAC的四个保护级别中进行选择，其中包括Always Notify(总是通知，这其实是Windows Vista提供的那种UAC保护级别)和NeverNotify(从不通知)。很显然，你可以从AlwaysNoify(总是通知)得到最大程度的保护。滑块设置成Never Notify(从不通知)而不是完全禁用UAC的优点在于，提示仅仅是UAC的一项功能而已，不影响UAC的其他功能。如果使用Never Notify(从不通知)设置。虽然UAC弹出话框再也不会打扰你，但UAC的一些核心保护机制依然存在，包括保护模式的IE浏览器。

支持集成的指纹扫描装置

很多Windows用户将操作系统配置成不需用输入用户名和密码就可以登录，不过这相当于任由自家的前门大开，还挂着一块霓虹灯招牌，上面赫然打着“从这里进人”的字眼。笔者强烈建议，应当为WindOWS 7中的所有用户帐户指定一个安全性比较强的密码或口令短语(这意昧着不能将宠物或钟爱篮球队的名称作为密码)。

就连密码也不能确保万无一失。密码只是在被人破解之前是安全的；假设攻击者铁了心，那么破解密码只是个时间问题，而不是是否破解得了。专家建议采用双因素验证来加强安全――换句话说，在密码的基础上增添另一层保护措施。很多电脑、特别是笔记本电脑随机配备了内置的生物特征检测安全技术，采用了指纹扫描装置。就Windows 7而言，微软提供了操作系统与指纹扫描硬件之间极其平滑的集成。

Windows 7改进了对驱动程序的支持，并且提高了在不同硬件平台上读取指纹的可靠性。无论是配置及使用WindOW$7中的指纹读取装置以便登录到操作系统，还是验证用户身份以便访问其他应用程序和网站，都轻而易举。点击Control Panel(控制面板)中的Biometric Devices(生物特征检测设备)，即可访问控制台；该控制台用于登记及管理指纹数据，并定制生物特征检测安全方面的设置。

生物特征检测设备控制台会显示检测到的任何生物特征检测设备。如果指纹读取装置还没有经过配置，状态会显示Not Enrolled(未登记)。点击该状态，即可访问控制台。

你可以添加一个手指或十个手指的指纹。如果添加多个指纹，即便你的食指缠上了绑带，或者手上了石膏，照样可以继续使用生物特征检测安全。在屏幕上，选择想要添加指纹的那个手指，然后把该手指放到指纹读取装置上(或者从读取装置上慢慢拖动手指，这取决于使用哪种类型的硬件)。每个手指需要成功扫描至少三次，那样才会登记到数据库中，这好比你不得不重新输入密码，证实密码已正确输入。

保护数据

每年都有成千上万台电脑丢失或被盗，特别是笔记本电脑。如果你没有采取适当的防范和安全控制措施，那么未授权用户只要把电脑搞到手，就能访问里面的任何敏感数据。随着数据存储量越来越大的小型USB闪存盘及其他便携式介质日益增多，敏感数据丢失或被盗的风险变得更大了。

WindOWS 7保留了Vista的一些数据保护技术，比如加密文件系统(EFS)以及对活动目录权限管理服务(AD RMS)的支持。除了对这些技术进行小幅升级外，Windows 7还大幅改进了Vista的BitLocker驱动器加密技术，还增添了BitLocker to Go功能，用于保护可移动介质上的数据。

用BitLOcker来加密驱动器

BitLocker首次出现在WindowsVista中时，它只能对主要的操作系统卷进行加密。Windows Vista SP2(服务包2)扩大了这项功能的应用范围，可以加密其他卷，比如主硬驱上的附加驱动器或分区，但它还是无法让用户能够对便携式磁盘或可移动磁盘上的数据进行加密。Windows 7带来了BitLocker to Go，不但可以保护便携式驱动器上的数据，同时为与合作伙伴、客户或其他方共享数据提供了一种方式。

在开始使用BitLocker驱动器加密功能之前，磁盘卷必须经过合理配置。Windows要有一个未经加密的小容量分区来存放核心系统文件，而开启引导过程、验证用户以便访问加密卷需要用到这个文件。大多数人在最初建立驱动器分区时没有考虑到这一点， 为此微软开发了一款工具，可以转移数据、重新对驱动器进行分区，以便为BitLocker加密作好准备。你可以从微软的网站下载BitLocker驱动器准备工具(http:／／support，microsoft，com／kb／933246)。

一旦你的驱动器经过了合理分区，就可以用BitLocker来进行加密了。点击Control Panel(控制面板)中的BitLocker Drive Encyption(BitLocker驱动器加密)。BitLocker控制台会显示所有的可用驱动器及当前状态(无论BitLocker目前是不是在保护它们)。你会注意到，上面显示了不同类型的驱动器，一类是用BitLocker来加密的固定驱动器，另一类是用BitLocker to Go来保护的可移动驱动器。

点击任何未加密驱动器旁边的Turnon BitLocker(启用BitLocker)，就可以开始进行加密。该实用程序会要求你指定一个密码用于对加密数据解锁，或者要求插入智能卡――如果你偏爱用智能卡来验证。然后，BesLocker为你提供了保存BitLocker Recovery Key(BitLocker恢复密钥)的机会，可以保存为文本文件，也可以打印出来。如果你忘了密码或者验证根本没有通过，就必须使用BitLocker恢复密钥才能对数据解锁。

一旦加密过程开始，你可以像往常那样使用Windows，BitLocker工具会在后台加密数据。驱动器加密完成后，你可以点击Manage BitLocker(管理BitLocker)。选择登录到Windows后，自动对加密驱动器解锁。

没有TPM，照样使用BitLocker

默认情况下，BitLocker需要可信平台模块(TPM)芯片来存放BitLocker加密密钥，并便于对BitLocker保护的数据进行加密及解密。遗憾的是，很多台式机和笔记本电脑并没有配备TPM芯片，但也不是说一点希望都没有了。

微软添加了没有兼容的TPM也可以使用BkLocker驱动器加密的选项，但访问该选项未必来得很直观或很容易。想在没有TPM芯片的情况下使用BitLocker，请采取下列步骤：

1　点击屏幕左下方的Windows标识，即Start(开始)按钮。

2　在Start(开始)菜单底部的SearchPrograms and Files(搜索程序和文件)栏，输入gpedit，msc，按回车键。

3　在Computer Connfiguration(计算机配置)下，依次浏览Administrative Templates(管理模板)、Windows Components(Windows组件)、BitLocker Drive Encryption(BitLocker驱动器加密)和Operating svstemDrives(操作系统驱动器)。

4　鼠标双击Require additionauthentication at startup(启动时要求另外验证)选项。

5　选择顶部的Enabled(启用)单选按钮，勾选Allow BitLockerwithout a compatible TPM(允许没有兼容TPM也可使用BitLocker)复选框。点击OK(确定)。

用BitLOcker tO GO来保护移动数据

虽然Windows Vista能够保护电脑上的驱动器和卷，但无法对可移动驱动器上的数据进行加密。Windows 7利用BitLocker to Go，解决了缺少这项功能的明显不足。

尽管你在加密过程中可以继续工作，但最初对可移动驱动器进行加密时，必须确保加密过程中不得取走该驱动器。如果加密过程还没有完成就取走驱动器，可能会导致驱动器上的数据受到不可恢复的破坏。如果非要在加密完成之前关闭或取走驱动器，就使用Pause(暂停)按钮，先停止加密过程。

如果使用BitLocker to Go，就可以保护USB拇指驱动器及其他可移动介质上的数据。如果想与别人共享敏感信息，可以向对方提供USB拇指驱动器上的加密数据，并选择一个与对方共享、用来对内容解锁的密码。如果想加强保护，可要求使用智能卡来对数据解锁，而且加密驱动器和智能卡分开来提供。

BitLocker to Go还让管理员能够控制怎样使用可移动介质，并且执行用来保护可移动驱动器上数据的策略。通过Group PoIicy(组策略)，管理员就能把没有受保护的存储介质设置成只读，要求系统先对任何可移动存储介质进行BitLocker加密，之后用户才能把数据保存到上面。

沈建苗　编译