現(xiàn)在，到了Windows 7，微軟降低了UAC的控制功能(但沒有因此放松對安全性的重視)并增加了安全功能，在很多方面更加有利于最終用戶和系統(tǒng)安全管理員。下面，就讓我們來一探究竟。　

應(yīng)用程序控制策略

在Windows 7中新引入的一種安全功能是AppLocker，它可以在對企業(yè)中應(yīng)用的安裝和使用進行控制，以保證安全。請記住，只有旗艦版和企業(yè)版本的Windows 7中才包含了AppLocker，目的是為了和Windows　Server　2008　R2進行緊密的協(xié)同工作。

AppLocker容許你通過文件的數(shù)字簽名這樣的屬性創(chuàng)建規(guī)則。這些規(guī)則可以用來控制用戶訪問和任何類型可執(zhí)行文件的使用。當然，作為一個靈活的工具，你可以利用AppLocker建立例外規(guī)則。你可以將規(guī)則應(yīng)用的整個安全團隊，或者更精確地為單獨用戶建立規(guī)則。為了更進一步了解 AppLocker的作用，你可以查看微軟TechNet網(wǎng)站上的演示。　

BitLocker和BitLocker　To　Go

BitLocker是在Windows　Vista中引入的，現(xiàn)在在Windows 7中也可以使用，作為安全功能，它可以防止對桌面系統(tǒng)未經(jīng)授權(quán)的訪問以及丟失/被盜筆記本計算機中的數(shù)據(jù)泄露。眾所周知，BitLocker的加密文件系統(tǒng)(EFS)在功能上達到新的水平，可以在硬盤上使用硬件級加密，它不僅可以保護實際的數(shù)據(jù)文件，甚至系統(tǒng)文件也可以被納入，其中也包括了臨時文件、交換文件以及休眠文件之類的數(shù)據(jù)塊。

在Windows 7中，BitLocker的功能得到進一步擴展，通過新的BitLocker　To　Go，它現(xiàn)在可以支持移動存儲(USB閃存驅(qū)動器)的保護了。這也就意味著，非常容易丟失的USB閃存驅(qū)動器現(xiàn)在也不會出現(xiàn)數(shù)據(jù)泄露的風(fēng)險了。

請記住，只有旗艦版和企業(yè)版本的Windows 7中才包含了BitLocker和BitLocker　To　Go。如果希望了解BitLocker和BitLocker　To　Go的更多信息的話，你可以查看微軟TechNet網(wǎng)站上的演示。　

用戶帳戶控制功能

眾所周知，在Vista中，用戶帳戶控制功能并不是很受歡迎;但對于Vista來說，它仍然是一個重要的安全工具，“你確定的提示符可以防范由于疏忽導(dǎo)致惡意軟件的運行，權(quán)限控制可以用來防止存在潛在風(fēng)險的進程。在Windows 7中，UAC已得到了改進，使用起來也方便了一些。

舉例來說，現(xiàn)在一些類型的任務(wù)可以由標準用戶批準，而不需要系統(tǒng)管理員的介入，這樣可以減少提示的次數(shù)，為最終用戶提供方便，減輕系統(tǒng)管理員的負擔。并且，聽從了來自管理員的呼聲，一位專業(yè)的系統(tǒng)管理員可以在控制面板對UAC的等級進行調(diào)整甚至選擇關(guān)閉。此外，新的本地安全策略可以用于UAC對本地系統(tǒng)管理員和標準用戶的提示。　

ActiveX控件安裝服務(wù)

眾所周知，ActiveX控件是Internet　Explorer、Office和Windows媒體播放器使用的自注冊COM，可以為用戶提供更具交互性的體驗。由于ActiveX控件通常分布在.cab文件中，標準帳戶的用戶沒有權(quán)限來安裝它們。但是，在 Windows 7，新的ActiveX控件安裝服務(wù)在默認狀態(tài)下啟用的，這樣可以幫助系統(tǒng)管理員更輕松地通過使用組策略來部署配置可信站點區(qū)域確定的網(wǎng)站，可以在不干預(yù)的情況下安裝ActiveX控件。這減少了不必要的電話支持以及重新包裝和分發(fā)所需的ActiveX控件等操作耗費的更多時間。　

直接訪問功能

Windows 7新的直接訪問功能與Windows　Server　2008　R2的緊密結(jié)合，可以讓沒有VPN的企業(yè)網(wǎng)絡(luò)對最終用戶變得更方便。只要使用直接訪問功能，就可以自動在移動系統(tǒng)和公司網(wǎng)絡(luò)之間建立一個安全的雙向連接，移動工作人員可以在不依靠VPN的情況，通過互聯(lián)網(wǎng)安全地連接到企業(yè)網(wǎng)絡(luò)的任何位置。在直接訪問功能的幫助下，IT專業(yè)人士不需要再擔心提供和維持VPN配置帶來額外的開支了。

多重作用防火墻策略

眾所周知，Vista中的Windows防火墻策略是基于網(wǎng)絡(luò)連接的類型(公共、家庭和工作/域)，并且同時只能支持一種連接類型。不幸的是，這樣的限制，在需要不同的防火墻策略時可能引起各種問題，舉例來說，當移動用戶訪問公網(wǎng)，然后啟動VPN連接到公司網(wǎng)絡(luò)這種情況下。

為了適應(yīng)這類情形，Windows 7防火墻提供了新功能，允許多個防火墻策略在同一時間啟用，以便正在使用無論是什么類型的連接，適當?shù)姆阑饓Σ呗远紝⑸В瑥亩_保移動/遠程用戶的安全，并可以訪問相應(yīng)的網(wǎng)絡(luò)。從另一方面來看，新的多重作用防火墻策略可以讓安全專業(yè)人員只需要維持一套適用于移動/遠程系統(tǒng)和物理連接的系統(tǒng)即可。

還有更多的是...

盡管我已經(jīng)被Windows 7安全方面的新功能所打動，但在已有安全功能方面也有很多的改進。舉例來說，加密文件系統(tǒng)(EFS)架構(gòu)已經(jīng)進行了調(diào)整，加入橢圓曲線密碼學(xué)(ECC)模式，這讓它達到了國家安全局規(guī)定的B級安全要求。

在新的ECC支持下，Kerberos認證模式也可以支持更強大的智能卡登錄密碼。NTLM身份驗證協(xié)議現(xiàn)在在默認狀態(tài)下就可以支持最低128位的安全加密策略，不過你也可以降低其等級。