功能完整的Windows 公开测试版已于月日发布舆论界到处都充斥着关于界面变化方面的评论那么究竟微软公司的这个新系统有什么与众不同之处呢?在操作系统和网络安全方面又有何改进呢?在本文中我们将探讨Windows 的安全功能并将从纯粹的安全角度来讨论Windows 系统是否具有实用性我们将重点探讨安全管理界面用户帐户控制(UAC)以及BitLocker等方面的改进并看看新功能AppLocker和新的生物识别框架(Biometric Framework)
Vista系统在安全方面存在的问题
针对用户对于Windows系统安全方面的投诉微软公司在构建Windows Vista系统时就开始将重点转移到安全功能方面我们都知道Vista的安全性能确实要比之前的操作系统要先进BitLocker磁盘加密家长控制(parental controls)内置防恶意软件程序(Windows Defender)改进的windows防火墙数据执行保护(DEPData Prevention Execution)保护模式IE浏览器服务强化数字版权管理功能Crypto API以及网络访问保护(NAP)客户端功能加密文件系统(EFSEncrypting File System )等方面都有明显改进Vista系统中还有很多软件限制策略以及其他安全增强功能SP中还添加了更多安全相关的改进包括BitLocker的多因素验证重新设计的随机数字生成器(RNG)以及远程桌面协议文件等
然而用户感触最深(也是最憎恨)的安全功能就是用户帐户控制(UAC)所有的用户帐户(包括管理帐户)在默认情况下都是以标准用户模式运行的而如果执行更高特权还要求提高模式这种UAC还附有安全桌面功能以防止恶意软件在弹出管理员权限提示时访问桌面这些提示功能让用户很是恼火也是大家对于Vista的不满的主要原因之一
Windows 团队面临的挑战就是如何让操作系统像Vista一样安全(或者比Vista更安全)而同时更加透明地将安全功能呈现在用户面前
关于Security Center和Action Center
Windows XP SP系统中的安全中心(通过控制面板进行操作)旨在为管理安全相关的设置提供集中式的管理中心并且这也延续到Vista系统中然而在Windows 中会有更加集中式的管理安全中心将不复存在取而代之的是Action Center(行动中心)在Action Center中你会发现警报器发出的信息不单单是安全方面的警报同时也将涉及Windows UpdateDiagnosticsNAPBackup和Restore以及故障问题如图所示
图Action Center集中管理很多管理任务不单单是安全方面
更加灵活的UAC设置
在Vista中你可以通过组策略(Group Policy)来禁用UAC功能但是这并不可取因为容易使系统受到攻击或者你也可以将UAC设置为不弹出提示信息但家庭版的Vista并不包含组策略编辑器因此用户必须通过编辑注册表来禁止提示信息然而在Windows 中用户能够更加方便的控制UAC的功能
注意
IT管理员们可以放心的是没有管理权限的用户是无法更改UAC设置的
在Action Center的左窗格中可以看到有一个标记为Account Control Settings(用户控制设置)的选项以下四个选项可以来选择UAC的提示行为(通过调整滑动条)
·Always Notify(总是通知)当你安装软件或者更新系统时都会出现UAC提示信息
·Notify Only When Programs Try to Make Changes(只有当程序发生改变时通知)只有当程序要求提升权限时才会有提示信息不过用户对Windows设置的更改不会通知(这是默认的)
·Notify Only When Programs Try to Make Changes (Do Not Dim the Desktop)(只有当程序发生改变时通知(不要调暗桌面))与默认情况相同只是提示信息时Secure Desktop会被禁用
·从不通知当用户更改Windows设置或者安装软件时都不会提示(不推荐)
图滑动条可以让用户更加精确地控制Windows 中的UAC提示
BitLocker增强功能
Vista企业版和终极版中的BitLocker能够允许用户加密整个卷使用的是AES或者利用某些计算机上的Trusted Platform Module (TPM可信赖平台模块)芯片以及USB密钥来加密这些方式可以防止未授权启动操作系统或者访问加密卷上的数据(例如通过安装一个不同的操作系统让未授权的用户启动它)这对于可能丢失或者盗窃的便携系统尤为有用
最初只能用来加密安装操作系统的卷SP 则新增了加密多个固定磁盘的功能不过用户不能用它来加密可移动磁盘在Windows 中功能增强版BitLocker可以支持便携式硬盘和闪存设备的加密该功能也被称为BitLocker to Go这是很多公司一直期待的功能因为将敏感数据保存在USB密钥上已经成为流行
注意
你同样可以执行政策要求可移动驱动在用户向其写入数据前进行BitLocker保护
BitLocker是通过控制面板程序管理的如图所示
图在windonws 中用户可以使用BitLocker对可移动磁盘和固定磁盘进行加密
你可以选择使用密码来解密磁盘或者使用智能卡和PIN如图所示
图当你使用BitLocker加密磁盘时你可以使用密码或者智能卡来解密
你也可以设置一个恢复键以确保在忘记密码的时候解密磁盘恢复键可以保存到文件或者打印出来存储在安全的地方加密可能需要一段时间取决于磁盘的大小加密GB的USB密钥需要花大约分钟可以通过进度表来获取时间信息如图所示
图进度条在加密过程中可以显示加密进度
组策略AppLocker
Windows 中还有另外一个LockerAppLocker这是一个新的组策略功能它允许管理员对用户可以安装和使用的应用程序版本进行控制这样就可以有效阻止用户安装和运行较老版本的应用程序(可能有安全漏洞)
早期版本的Windows使用的是软件限制策略(Software Restriction Policies)来控制用户可以使用的应用程序而AppLocker主要通过三种类型的规则来改进配置问题PathFile Hash以及Publisher规则Publisher Rules取代了SRP中的Certificate Rules为用户提供更多的灵活性和选择性不过这些也很难规避
Biometric Framework生物识别框架
在Vista中如果你想要使用指纹登录必须使用指纹传感器供应商提供的软件而Windows 所提供的新的安全功能Biometric Framework可以提供本地支持指纹识别装置也更加便于开发者将生物安全技术纳入其软件用户可以在新的控制面板中找到Biometric Devices选项该功能用户管理指纹如图所示
图你可以通过控制面板管理生物识别设
生物识别设备可以设置为允许用户登录到Windows或者使用生物识别技术的网域每个用户都可以设定不同的手指
注意
目前为止指纹传感器是Windows生物识别框架支持的唯一生物识别设备
Windows Biometric Service (WBS)是管理指纹识别器的框架部分并作为客户端程序与生物识别设备间的I/O代理这使应用程序不能直接访问生物数据从而保护用户信息
结语
在Windows 中我们看到了微软公司在安全方面作出的努力他们从用户体验的角度改善了先前版本操作系统的一些安全功能对于大多数企业用户和网络管理员而言Windows 的强大的安全功能确实值得尝试
