windows安全机制(72页).doc

《windows安全机制(72页).doc》由会员分享，可在线阅读，更多相关《windows安全机制(72页).doc（73页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、-Windows 7安全机制十大革新当人们都在讨论Windows 7全新操作系统所带来的优雅界面：全新的工具条，完善的侧边栏，全新界面的Windows Explorer的同时。除了外观的改善，系统底层也有了不小的变化，包括经过革新的安全功能。就让我们逐个盘点Windows 7中增加或改进的十大安全功能。1、Action Center在Vista中，微软给其量身定做了安全中心功能，在其中用户可以找到有关系统安全方面的信息，另外当系统存在安全问题时，安全中心会进行诊断和修复。虽然用户可以从中了解系统是否安全，但并不能提供系统维护方面的信息。而在中，微软引进了全新的Action Center这个概念

2、，作为原先安全中心的改进版。在此，用户可以轻松读取系统维护和安全提示，诊断和修复系统问题。提示系统当系统出现安全问题时，Action Center会在桌面上以短消息的形式向用户发出提醒。这样的提示一目了然，并且用户能够及时得知系统存在什么问题。当然，有人可能会觉得这样的提示过于频繁的话也是件烦人的事情，对此，Action Center也提供了一系列的个性设置。Action Center在控制面板-安全或者维护中都可以找到。Action Center - 安全这里的Action Center跟Vista下的安全中心基本一样，主要提供安全方面的信息。Action Center - 维护这里的Act

3、ion Center主要提供系统维护方面的信息，包括系统还原，自动更新等。诊断和修复在Windows 7中，诊断和修复问题并不是件轻松的事情，但通过诊断和修复向导，系统可以自动检测问题并试图修复，并会给予用户丰富的提示。下面是可以通过诊断和修复解决的问题：看到Aero效果没？这下不必担心Aero效果消失了吧？诊断报告为用户提高诊断报告跟解决问题同样重要，Windows 7中的诊断报告很详细，包括已解决和未解决的。2、UAC的改变当需要或才能完成任务时，UAC 会用下列消息之一用户（以下图例均没有启动）：windows需要您的许可才能继续：可能会影响本其他修改系统设置时UAC提示用户的 Wind

4、ows 功能或需要您的许可才能启动。请检查的名称以确保它正是您要运行的功能或。有数字签名的程序提权时UAC提示需要您的许可才能继续：不属于的一部分的程序需要您的许可才能启动。它具有指明其名称和发行者的有效的，该数字签名可以帮助确保该正是其所声明的程序。确保该正是您要运行的程序。未能识别的是指没有其发行者所提供用于确保该程序正是其所没有数字签名的程序提权时UAC提示声明程序的有效的程序。这不一定表明有危险，因为许多旧的合法缺少签名。但是，应该特别注意并且仅当其获取自可信任的来源（例如原装 CD 或发行者网站）时允许此运行。程序阻止这是专门阻止在您的上运行的。若要运行此，必须与联系并且要求解除阻止

5、此程序。建议您大多数情况下使用标准登录计算机。可以浏览，发送，使用字处理器，所有这些都不需要帐户。当您要执行管理任务（如安装新或更改会影响其他用户的设置）时，不必切换到帐户。在执行该任务之前，会提示您进行许可或提供密码。为了帮助保护计算机，可以为共享该计算机的所有用户创建标准。当拥有标准帐户的人试图安装软件时，Windows 会要求输入帐户的密码，以便在您不知情和未经您许可的情况下无法安装软件。2.UAC(User Agent Client) 用户代理3.UAC()USB音频类，是USB众多设备类中的一种。3、改进的BitLocker在Vista 中我很少用BitLocker。因为第一，这种技

6、术只能加密操作系统分区。这对于笔记本来说很好，但是对于我的台式机来说没有什么用处，因为台式机所处的位置非常安全。Service Pack 1 增加了加密其它磁盘的功能，效果也不错，但是只能用于硬盘。而我所需的是加密移动硬盘或者U盘的功能，因为这种存储介质具有移动性，更容易丢失。在Windows 7中我们看到了喜人的改进。 BitLocker已经可以对移动磁盘进行加密了，并且操作起来很简单。我们只需要在控制面板中打开BitLocker ,选择我们需要加密的磁盘，然后点击Turn On BitLocker即可。可移动存储设备会显示在BitLocker To Go 分类中，如图C所示。图 C: 我们

7、可以用BitLocker 加密USB存储设备需要注意一点，和Vista一样，BitLocker并不包含在家用版的Windows 7操作系统中。通过加密整个Windows卷保护数据。如果计算机安装了兼容TPM，BitLocker将使用TPM锁定保护数据的加密。因此，在TPM已验证计算机的状态之后，才能访问这些。加密整个卷可以保护所有数据，包括本身、Windows注册表、以及休眠文件。因为解密数据所需的保持由TPM锁定，因此攻击者无法通过只是取出硬盘并将其安装在另一台计算机上来读取数据。在启动过程中，TPM将释放，该密钥仅在将重要配置值的一个与一个先前所拍摄的进行比较之后解锁加密分区。这将验证Wi

8、ndows启动过程的完整性。如果TPM检测到Windows安装已被篡改，则不会释放。默认情况下，BitLocker安装向导配置为与TPM无缝使用。可以使用或脚本启用其他功能和选项。为了增强安全性，可以将TPM与用户输入的PIN或存储在USB闪存驱动器上的启动组合使用。在不带有兼容TPM的计算机上，BitLocker可以提供加密，而不提供使用TPM锁定的其他安全。在这种情况下，用户需要创建一个存储在USB闪存驱动器上的启动。TPMTPM是一个微，设计用于提供基本安全性相关功能，主要涉及加密。TPM通常安装在台式计算机或者便携式计算机的上，通过硬件与系统其余部分通信。合并了TPM的计算机能够创建加

9、密并对其进行加密，以便只可以由TPM解密。此过程通常称作“覆盖”或“绑定”，可以帮助避免泄露密钥。每个TPM有一个主覆盖，称为“存储根(SRK)”，它存储在TPM的内部。在TPM中创建的的隐私部分从不暴露给其他组件、进程或者人员。合并了TPM的计算机还可以创建一个，该密钥不仅被覆盖，而且还被连接到特定硬件或条件。这称为“密封”。首次创建密封时，TPM将记录配置值和文件哈希的。仅在这些当前系统值与中的值相匹配时才“解封”或释放密封。BitLocker使用密封检测对Windows完整性的攻击。使用TPM，对的隐私部分在控制的内存之外单独保存。因为TPM使用自身的内部和逻辑电路来处理指令，所以它不依

10、赖于，也不会受外部的影响。机制首先需要强调的是，并不是所有的Windows Vista(or Windows 7)版本都支持BitLocker加密，相应的功能只有Windows Vista 的Enterprise版和Ultimate版才能够实现。其目标即是让Windows Vista(or Windows 7)用户摆脱因 PC 硬件丢失、被盗或不当的淘汰处理而导致由数据失窃或泄漏构成的威胁，BitLocker保护的 Windows Vista 计算机的日常使用对用户来说是完全透明的。在具体实现方面，BitLocker主要通过两个主要子功能，完整的驱动器加密和对早期引导组件的完整性检查，及二者的

11、结合来增强数据保护。其中：驱动器加密能够有效地防止未经授权的用户破坏 Windows Vista(or Windows 7)文件以及系统对已丢失或被盗计算机的防护，通过加密整个 Windows 卷来实现。利用 BitLocker，所有用户和都可加密，包括交换和休眠文件。对早期引导组件进行完整性检查有助于确保只有在这些组件看起来未受干扰时才执行，还可确保加密的位于原始计算机中。通过 BitLocker，还可选择锁定正常的引导过程，直至用户提供 PIN（类似于 ATM 卡 PIN）或插入含有资料的 USB 闪存为止。这些附加的安全措施可实现多因素验证，并确保在提供正确的 PIN 或 USB 闪存之

12、前计算机不会从中启动或恢复。BitLocker 紧密集成于 Windows Vista(or Windows 7) 中，为企业提供了无缝、安全和易于管理的数据保护解决方案。例如，BitLocker 可选择利用企业现有的 Active Directory 域服务基础结构来远程委托恢复。BitLocker 还具备一个与早期引导组件相集成的灾难恢复控制台，以供用于“实地”数据检索。过程BitLocker主要有两种工作模式：TPM模式和U盘模式，为了实现更高程度的安全，我们还可以同时启用这两种模式。要使用TPM模式，要求计算机中必须具备不低于1.2版TPM，这种芯片是通过硬件提供的，一般只出现在对安全

13、性要求较高的商用电脑或工作站上，家用电脑或普通的商用电脑通常不会提供。要想知道电脑是否有TPM，可以运行“devmgmt.msc”打开，然后看看设备管理器中是否存在一个叫做“安全设备”的节点，该节点下是否有“受信任的平台模块”这类的设备，并确定其版本即可。如果要使用U盘模式，则需要电脑上有USB接口，计算机的BIOS支持在开机的时候访问USB设备（能够流畅运行Windows Vista(or Windows 7)的计算机基本上都应该具备这样的功能），并且需要有一个专用的U盘（U盘只是用于保存文件，容量不用太大，但是质量一定要好）。使用U盘模式后，用于解密的文件会被保存在U盘上，每次重启动系统的

14、时候必须在开机之前将U盘连接到计算机上。受信任的平台模块是实现TPM模式BitLocker的前提条件。对硬盘分区的要求硬件满足上述要求后，还要确保的安排可以满足要求。通常情况下，我们可能习惯这样给：首先，在第一块硬盘上划分一个活动，用于安装Windows，这个分区是；其次，对于剩下的空间继续划分更多主分区，或者创建一个，然后在上面创建。简单来说，我们已经习惯于让第一块硬盘的第一个分区成为，并在上面安装Windows。传统方式下的情况。在一台安装Windows Vista(or Windows 7)的计算机上运行“diskmgmt.msc”后即可看到情况。这里重点需要关注的是，硬盘上是否有超过一

15、个的。如果该上有两个分区，对应的分别是“C”和“D”，其中“C”就是第一块硬盘上的第一个分区，属于而且是活动的。但问题在于，如果除了系统盘外，硬盘上不存在其他，这种情况下是无法直接启用BitLocker的（无论是TPM模式还是U盘模式）。原因很简单，源于其工作原理，BitLocker功能实际上就是将或者机密数据所在的进行加密，在启动系统的时候，我们必须提供解密的，来解密原本被加密的文件，这样才能启动操作系统或者读取。但这就有一个问题，用于解密的可以保存在TPM或者U盘中，但是解密程序应该放在哪里？难道就放在吗？可是系统盘已经被加密了，这就导致了一种很矛盾的状态：因为用于解密的程序被加密了，因此

16、无法运行，导致无法解密文件。所以如果要顺利使用BitLocker功能，硬盘上必须至少有两个，除了系统盘外，额外的活动分区必须保持未加密状态（且必须是），同时可用空间不能少于1.5GB。为了保证可靠性，这个专门的最好专用，不要在上面保存其他文件或者安装额外的。遗憾的是，一般情况下，很少有人会在自己的硬盘上创建多个。那么我们又该怎样设置硬盘，以满足BitLocker的要求？如果是在安装Windows Vista(or Windows 7)之前看到了这段内容，并且打算安装好之后使用BitLocker功能，那么我们可以在安装的时候直接将分区准备好。如果是在安装了Windows Vista(or Win

17、dows 7)，并且在打算使用BitLocker的时候才看到这段内容，而已经按照传统的方式划分好了，那么也不用担心。通过一些方法，我们可以在不破坏现有系统以及所有数据的前提下为BitLocker腾出一部分空间来创建另一个分区。如果还没有安装Vista(or Windows 7)如果正打算在一块新硬盘上安装Windows Vista(or Windows 7)企业版或旗舰版，那么就可以在安装的过程中创建出符合BitLocker要求的分区结构。具体的过程如下：准备好Windows Vista(or Windows 7)安装，并在计算机的BIOS设置中设定通过引导计算机（具体的设置方法请参考计算机或

18、主板的说明书）；打开电源，立刻将Windows Vista(or Windows 7)安装放入计算机。如果设置无误，那么计算机会自动从引导，稍等片刻，屏幕上就会出现一个绿色的滚动条，就像Windows Vista(or Windows 7)正常启动时候那样；当看到“安装Windows”对话框之后，选择要安装的语言、时间和货币格式，以及键盘和输入方法，设置好之后单击“下一步”按钮；单击窗口左下角的“修复安装”链接；随后可以看到“系统恢复选项”对话框，因为这是一块新硬盘，因此不会列出任何内容，直接单击“下一步”按钮；在接下来看到的“系统恢复选项”对话框中，单击“”链接；通过“”创建符合要求的分区当

19、打开“命令提示行”窗口后，依次运行下面列出的命令（除了第一条和最后两条命令外，其他所有命令都需要在“diskpart”提示符下运行，括号内的文字是对命令的解释，不用输入。）：Diskpart（启动diskpart.exe，这是一个命令行界面下的调整程序。）Select Disk 0（将第一块硬盘选中，作为后续操作的目标盘。如果有多块硬盘，并且希望将Windows Vista(or Windows 7)安装到其他硬盘上，请更改数字“0”为目标硬盘的编号。如果想知道分别有哪些硬盘，各自的编号是什么，请首先运行“list disk”命令。）Clean（清空所选硬盘上的信息。注意：目标硬盘上如果有数据

20、，将被全部清除。）Create Partition Primary Size=1500（创建一个体积为1.5GB的，这个分区用于日后保存。）Assign Letter=S（将这个1.5GB分区的盘符设置为“S”，或者其他任何想要使用的字母，但不建议使用“C”，毕竟很多人都习惯于将Windows安装到C盘。）Active（将这个1.5GB的分区设置为。）Create Partition Primary（用所有剩余空间创建一个，如果希望除了这个主分区外还创建其他分区，请使用“size=xxx”参数指定这个主分区的大小。）Assign Letter=C（将这个分区的盘符设置为“C”，接下来会将Win

21、dows安装到这个分区，同时最终被BitLocker加密的也是这个分区。）List Volume（查看已经分好的区，正常情况下可以看到划分好的分区界面。）Exit（退出Diskpart程序。）Format C: /Y /Q /FS:NTFS（用NTFS文件系统C盘。）Format S: /Y /Q /FS:NTFS（用NTFS文件系统S盘。）经过上述设置，我们可以重新启动计算机，并再次使用Windows Vista(or Windows 7)安装引导系统，完成的安装工作。在安装过程中需要注意，系统必须安装到C盘，而不能安装到S盘。在命令提示行下创建好的分区如果已经安装了Vista (or Wi

22、ndows 7)如果已经安装好了Windows Vista(or Windows 7)旗舰版或企业版，并在打算启用BitLocker的时候才发现系统被安装到磁盘0分区1上，也不用担心。只要分区0可用空间足够，我们完全可以将其中一部分空间拆借出来，创建一个新的磁盘0分区1。虽然有很多可以做到这一点，不过往往需要付费购买，而且因为在的前面添加了一个新的分区，导致盘符变化，可能会使得Windows无法正常启动，因此不建议使用这类第三方。安装了BitLocker和EFS增强工具后，请这样操作：从“开始”下的“所有程序”“附件”“”“BitLocker”路径下启动“BitLocker准备工具”，在授权协

23、议页面上单击“我接受”，随后该将自动检查本机的配置情况。阅读上显示的注意事项，按照提示照做后单击“继续”按钮。随后程序会自动调整，整个过程分为三个步骤：缩小（压缩）现有的；利用压缩获得的可用空间创建一个用于保存的新分区；然后根据BitLocker的要求调整新分区的设置。这个过程大概需要三分钟左右，完成后单击“完成”按钮，系统会自动重启动。这时准备工作已经全部完成。通过上述操作，在本机会出现一个盘符为“S”，可用空间为1.5GB的新分区，和启动过程中的会保存在这里。另外，在使用BitLocker和EFS增强工具调整的时候，还必须保证之前的在减少1.5GB的可用空间后保留的可用空间不小于分区总容量

24、的10%。默认情况下，Vista中只能使用TPM模式的BitLocker，因此要使用U盘模式，我们必须配置将其启用。好在支持BitLocker功能的Windows Vista版本都是具有的。具体做法如下：运行“”打开，从编辑器窗口左侧的控制台树形图中定位到“计算机配置”“管理模板”“Windows组件”“BitLocker加密”。在右侧的控制台窗口中找到并双击打开“设置：启用高级启动选项”这个策略，选择“已启用”。单击“确定”保存设置，这样我们已经在本机启用了U盘模式的BitLocker。启用BitLocker在安装SP1之后的Vista企业版和旗舰版中，我们可以使用三种模式的BitLocke

25、r：纯TPM模式，要求系统中具有TPM，这样用于解密的以及用于验证完整性的相关文件都会保存在TPM芯片中。纯U盘模式，要求系统符合上文中提到的和USB设备有关的条件，这样用于解密的会被保存在U盘中。混合模式，可以使用TPM+U盘，TPM+PIN，以及TPM+U盘+PIN的形式进一步增强系统安全。那么这些模式分别要怎样使用？让我们来看看。纯U盘模式因为目前具有TPM的电脑还不是很多，因此我们首先介绍纯U盘模式的使用方法，毕竟这种方式才适合最多人使用。打开，依次单击“安全”“BitLocker加密”，我们可以看到BitLocker加密驱动器的界面。这里已经列出了当前安装电脑的所有本地，对于想要加密

26、的分区，单击对应的“启用BitLocker”链接，随后可以看到设置启动首选项的界面，在这里我们需要选择BitLocker的工作方式。因为没有TPM，因此只能选择最后一个选项，这样以后每次启动系统的时候都必须提供保存了的U盘，不过系统启动后就不再需要了。因此在这里直接单击“每一次启动时要求启动USB”选项。选择要使用的BitLocker工作模式。将准备好的U盘连接到计算机，等程序界面上显示了这个U盘后，单击将其选中，然后单击“保存”按钮，这样用于解密被BitLocker加密的分区所需的就会被保存在所选的U盘上。随后可以看到保存恢复密码的界面，在这里我们需要决定恢复密码的处理方式。需要注意，在平时

27、的使用过程中，并不需要提供恢复密码，我们只要提供之前一步操作中指定的U盘即可，而恢复密码是在U盘不可用（例如，丢失或者损坏）时使用的，因此建议将其妥善处理。例如，如果本机安装了打印机，可以将恢复密码打印在纸上，并将这张纸保存在安全的地方。同时因为非常重要，建议同时保留恢复密码的多个副本，例如多次打印，然后将打印的密码分别保存在不同的安全位置，或者保存在另外的U盘上（最好不要将恢复密码和启动密码保存在同一个U盘上）。保管好恢复密码后单击“下一步”按钮，随后程序会对我们的操作进行一个概述。同时为了进一步确认本机可以正常使用BitLocker功能，请保持选中“运行BitLocker系统检查”选项，这

28、样程序会在进行加密之前先对系统中的各项设置进行检查。如果确认无误，请单击“继续”按钮（注意：在整个过程中，最先使用的U盘一定不能拔下来，如果需要将恢复密码保存在其他U盘上，请将第二块U盘连接到计算机的其他USB接口上）。接下来需要重新启动系统，准备好之后单击“现在重启动”按钮。重启动完成，并成功登录后，右下角会显示一个气泡图标，提示我们系统正在进行加密，单击这个气泡图标后可以看到显示加密进度的对话框。在这里我们可以暂停加密操作，并在稍后继续进行，但是无法停止或者撤销加密操作。加密操作需要一定的时间，主要取决于的大小以及计算机的硬件速度。不过好在这个操作只需要进行一次。而且在日后的使用过程中，系

29、统的运行速度并不会有太大的降低，因此可以放心使用。加密完成后单击“完成”按钮即可。经过上述操作，BitLocker功能已经被成功启用。但是还有几点问题需要注意：应用BitLocker加密后，当Windows Vista启动后，我们查看时将不会看到文件带有任何与“加密”有关的属性，这属于正常现象，因为BitLocker的加密是在系统底层，从文件系统上实现的，而在用户看来，启动了的系统里的系统文件并没有被加密。但如果换个角度来看，例如一台计算机上安装了两个系统，或者将装有系统的硬盘拆掉，连接到其他计算机上，在试图访问应用了BitLocker的系统所在的分区时，我们会收到拒绝访问的信息，而且拒绝的原

30、因是目标分区没有被格式化。这都属于正常现象，而且也证明了BitLocker正在保护我们的安全（设想一下，连访问分区都无法实现，又如何进行脱机攻击？）。另外，保存了启动的U盘，直接在Windows下查看的时候，完全看不到其中保存的密钥文件。这也是为了安全。同时建议这个U盘只用于保存BitLocker的启动，而不要用作其他用途。这主要是为了尽量避免U盘因为各种原因，例如病毒感染或者频繁写入损坏而造成系统无法访问。而且需要注意，盘只是在启动系统的时候需要，只要系统启动完成，我们就可以将其拔出，并妥善保管起来。的正常运行过程中并不需要我们反复提供盘。最后一点，在加密过程中，的可用磁盘空间将会急剧减少。

31、这属于正常情况，因为这个过程中会产生大量。加密完成后这些文件会被自动删除，同时可用空间数量会恢复正常。在解密被加密的时也会遇到类似的情况。在应用了U盘模式的BitLocker后，每次启动系统前都必须将保存了启动的U盘连接到计算机，否则系统会提示需要BitLocker加密密钥。这就要求我们必须将保存了启动的U盘连接到计算机后重启动，才能完成Windows的启动和加载过程。如果因为某些原因，例如保存了启动的U盘损坏或者丢失，只要还保留有启用BitLocker时创建的恢复密码，那么可以在这个界面上按下进行恢复。特色BitLocker支持“受信平台模块(TPM : Trusted Platform M

32、odule)”1.2及其后版本，可实现基于硬件的全盘加密，以增强数据保护，并确保运行 Windows Vista 的 PC 在系统脱机时不被浏览与修改；BitLocker 使用128或256位的AES。(甚至有BitLocker将使用1024位加密，是否属实有待考证)；BitLocker可通过设置；在系统中采用BitLocker加密对系统性能的影响很小，这是一个好消息；BitLocker可存储在、USB盘，甚至可以打印出来。也可通过组策略自动生成并保存于Active Directory中；取消进入控制面板系统和安全BitLocker加密，选择你被加密的盘符，点旁边的“解除BitLocker”，

33、就行了。4、DirectAccessWindows 7带给我们的一个全新功能是DirectAccess，它可以让远程用户不借助VPN就可以通过互联网安全的接入公司的内网。管理员可以通过应用组策略设置以及其它方式管理远程电脑，甚至可以在远程电脑接入互联网时自动对其进行更新，而不管这台电脑是否已经接入了企业内网。DirectAccess 还支持多种认证机制的智能卡以及IPsec和IPv6用于加密传输。5、Biometric安全特性毫无疑问，最安全的身份鉴定方法是采用生物学方法，或者说采用指纹，视网膜扫描，DNA以及其它独特的物理特征进行验证。虽然Windows 目前还没有计划内置DNA样本检测功能

34、，但是它确实加入了指纹读取功能。Windows 支持用户通过指纹识别的方式登陆系统，而且当前很多预装 Vista 的笔记本电脑都带有指纹扫描器，不过在Vista中，指纹识别功能都是通过第三方程序实现的。而在Windows 7中已经内置的指纹识别功能。控制面板中的 Biometric Devices程序（如图D所示）可以让用户配置指纹传感器（这也是目前唯一支持的生物学身份验证设备）。图D: 现在 Windows也内置了指纹识别功能6、AppLocker在XP 和Vista中都带有软件限制策略，这是一个很不错的安全措施。管理员可以使用组策略防止用户运行某些可能引发安全风险的特定程序。不过在这两个系

35、统中，软件限制策略的使用频率很低，因为使用起来并不简单。Windows 7 将这种概念得以改良，发展出了名为AppLocker的功能。 AppLocker 也被植入在 Windows Server 2008 R2中。它使用简单，并且给予管理员更灵活的控制能力。管理员可以结合整个域的组策略使用AppLocker ，也可以在单机上结合本地安全策略使用这一功能。如图E所示，AppLocker位于Application Control Policies 节点下一层。图E: AppLocker 的功能和软件限制策略相同，但是更易使用Win7 同时还支持传统的软件限制策略，因为AppLocker并不是集成

36、在所有版本的Windows 7中的。 Windows7 通过引入 AppLocker 满足了企业对应用程序控制解决方案的日益提高的要求：提供了一个简单、灵活的机制，使管理员能明确指定允许在其桌面环境中运行的内容。因此，AppLocker 通过允许管理员执行以下操作，不仅提供了安全保护，还提供了可操作和合规性优势： 当某个软件不在允许列表中时阻止该未经许可的软件在桌面环境中运行 阻止易受攻击、未经授权的应用程序在桌面环境中运行，包括恶意软件 阻止用户运行不必要地消耗网络带宽或影响企业计算环境的应用程序 阻止用户运行破坏桌面环境稳定性并增加技术支持成本的应用程序 为有效的桌面配置管理提供更多选择

37、在仍然要求只有具有管理凭据的用户可以安装或运行应用程序和软件更新的同时，允许用户基于策略运行批准的应用程序和软件更新 帮助确保桌面环境符合公司策略和行业法规AppLocker 通过下面两种规则操作提供了简单但功能强大的结构：允许和拒绝。还提供了识别这些操作的例外的方法。允许规则操作限制应用程序只能执行允许的应用程序列表，并阻止其他所有内容。拒绝规则操作采用相反的方法，允许执行除拒绝应用程序列表中的应用程序之外的所有应用程序。虽然很多企业可能会结合使用允许操作和拒绝操作，但理想的 AppLocker 部署应使用具有内置例外的允许规则操作。例外规则允许将文件从通常包含这些文件的允许规则操作或拒绝规

38、则操作中排除。使用例外，可以创建一个规则来“允许运行 Windows 操作系统中除内置游戏之外的所有内容”。结合使用允许规则操作和例外提供了一种功能强大的方式来构建一个允许的应用程序列表，而不必创建大量规则。AppLocker 引入了基于应用程序数字签名的发布者规则。发布者规则通过能够指定属性（如应用程序的版本）允许构建可进行应用程序更新的规则。例如，组织可以创建“如果 Acrobat Reader 程序由软件发布商 Adobe 签名，则允许运行该程序高于 9.0 版本的所有版本”的规则。现在，当 Adobe 更新 Acrobat 时，您可以部署应用程序更新，而不必为该应用程序的新版本创建另一

39、规则。AppLocker 支持称为规则集合的多个独立可配置策略：包括可执行文件、安装程序、脚本和 DLL。这些多个集合允许组织构建超越传统的仅可执行文件解决方案的规则，提供了更高的灵活性和增强的保护功能。例如，组织可以创建规则来“允许图形安全组从 Adobe 运行 Photoshop 安装程序或应用程序（只要 Adobe Photoshop 仍是 114.* 版）”。这将允许 IT 管理员保持控制，但也允许用户可以基于业务需求将其计算机保持为最新状态。此外，可以将每个策略单独地置于仅审核模式中，以便允许您在规则开始阻止应用程序运行并潜在影响最终用户工作效率之前对这些规则进行测试。AppLock

40、er 规则可以与组织内特定的用户和组相关联。这提供了特定控制，通过验证并强制哪些用户可以运行特定应用程序来允许您支持合规性要求。例如，可以创建一个规则来“允许财务安全组的用户运行财务行业应用程序”。这将阻止不属于财务安全组的所有人员（包括管理员）运行财务应用程序，但仍为那些因业务需求需要运行这些应用程序的人员提供了访问权限。通过新的规则创建工具和向导，AppLocker 为 IT 管理员提供了可靠的体验。例如，IT 管理员可以使用测试参考计算机自动生成规则，然后将这些规则导入生产环境供广泛部署。IT 管理员还可以导出策略为生产配置提供备份，或出于合规性目的提供文档。您的组策略基础结构也可用来构

41、建和部署 AppLocker 规则，从而节省组织的培训和支持成本。AppLocker 是 Windows 7 Enterprise 和 Windows7 Ultimate 中提供的一项新技术。此外，Windows Server 2008 R2 Standard、Windows Server 2008 R2 Enterprise、Windows Server 2008 R2 Datacenter 和 面向基于 Itanium 的系统的 Windows Server 2008 R2 中也提供了 AppLocker。这些相同版本中还提供了软件限制策略。摘要桌面环境不仅是一种最具生产效率的工具，而且代

42、表一项重大投资。您需要一些工具使用户能够运行提高工作效率所需的应用程序，同时还能有效地防御未知或不需要的软件。Windows7 通过引入 AppLocker 满足了企业对应用程序控制解决方案的需求：提供了一个简单、灵活的机制，使管理员能明确指定允许在其桌面环境中运行的内容。因此，AppLocker 不仅提供了安全保护，还提供了可操作和合规性优势。此外，可通过久经考验、众所周知的工具和技术管理 AppLocker，以便综合利用 IT 资源使 IT 基础结构与动态的业务需求相一致。7、Windows Filtering Platform (WFP)Windows Filtering Platfor

43、m (WFP)是在Vista中引入的API集。在Windows 7中，开发人员可以通过这套API集将Windows防火墙嵌入他们所开发的软件中。 这种情况使得第三方程序可以在恰当的时候关闭Windows 防火墙的某些设置。8、PowerShell v2Windows 7 集成了PowerShell v2，这个命令行界面可以让管理员通过命令行的形式管理多种设置，包括组策略安全设置。管理员还可以将多个命令行结合起来组成脚本。对于同一任务来说，使用命令行的方式要比图形界面更节省步骤。Windows 7 还集成了 PowerShell Integrated Scripting Environment

44、(ISE) (图F),这是 PowerShell的图形界面版本。图 F: Windows 7 集成了PowerShell v.2 和 PowerShell ISE9、DNSSecWindows 7支持DNSSec (域名系统安全),它将安全性扩展到了 DNS平台。有了DNSSec，一个DNS区域就可以使用数字签名技术，并通过这种技术鉴定所收到的数据的可信度。DNS 客户端并不在自身实施DNS 授权，而是等待服务器返回授权结果。10、Internet Explorer 8Windows 7 所带的浏览器是IE8，其所提供的安全性包括：SmartScreen Filter 代替/扩展了IE7中的网

45、络钓鱼过滤器。The XSS Filter 防御跨界脚本攻击 。域名高亮 对 URL 的重点部分进行强调，从而让用户更清楚自己所访问的站点是否正确。更好的针对 ActiveX 的安全控制。数据执行保护 (DEP)默认为开启状态。内存管理1Windows的内存结构Windows系统中的每个进程都被赋予它自己的虚拟地址空间。对于32位进程来说，这个地址空间是4GB，因为32位指针可以拥有从0x00000000至0xFFFFFFFF之间的任何一个值。2地址空间中的区域当进程被创建并被赋予它的地址空间时，该可用空间的主体是空闲的，未分配的。若要使用该地址空间的各个部分，必须要调用virtualAllo

46、c函数来分配它里边的各个区域。对每一个地址空间的区域进行分配的操作称为保留（reserve）当你保留地址空间的一个区域时，该区域必须是系统的页面大小的倍数，而且分配边界必须从一个分配粒度开始。例如x86的页面大小为4KB，分配粒度为64KB。若要使用已保留的地址空间区域，则必须分配物理存储器，然后将该物理存储器映射到已保留的地址空间区域。这个过程叫提交物理存储器。也调用VirtualAlloc函数，但和前面保留的输入参数有所区别，可以自己查此函数。当然用户也可以在保留地址空间的同时提交物理存储器。这样，当一个应用程序通过调用VirtrualAlloc函数，将物理存储器提交给地址空间的一个区域时

47、，地址空间实际上是从硬盘上的一个文件中进行分配的。当用户进程中的一个线程试图访问进程的地址空间中的一个数据块的时候。一般会发生两种情况：1线程试图访问的数据是在RAM中，则cpu只需要将虚拟地址映射到内存的物理地址中，然后执行需要的访问。2数据不在RAM中，而是放在页文件的某个地方。这时候，访问引起页面失效，cpu将通知操作系统，操作系统就从RAM中寻找一个空白页，如果找不到空白页，则必须释放一个页。如果该页面没有被修改过，则可以直接释放，否则必须先把此页面从RAM拷贝到页面交换文件，然后系统进入该页文件，找出需要访问的数据，并将数据加载到空闲的内存页面。然后，操作系统更新它的用于指明数据的虚拟内存地址现在已经映射到RAM中的相应的物理存储器地址中的表。3. Windows的内存管理方法windows提供了3种方法来进行内存管理：1.虚拟内存，最适合用来管理大型对象或者结构数组2.内存映射文件，最适合用来管理大型数据流（通常来自文件）以及在单个计算机上运行多个进程之间共享数据。3.内存堆栈，最适合用来管理大量的小对象31虚拟内存虚拟内存的使用主要有以下几个步骤：1在地址空间保留一个区域，调