Windows7安全体验

<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

 

一、前言

 

    Windows 7作为微软最新开发的桌面操作系统，受到全球性关注，被广泛视为未达用户预期的Vista操作系统的替代者。微软于北京时间2009年1月9日，发布了该操作系统的第一个Beta测试版，Windows 7 Beta 1（内部版本号7000）。从第一印象来看，Windows 7与Vista相似度颇高。这可能会在最终发行的时候有所改变，不过系统底层内核目前已经基本稳固，包括我们主要考察的系统安全特性，也已经在这个版本中有了全面的展现。为了深入了解Windows 7在安全方面所作出的改进，我们进行了全面的试用和体验。

 

注：我们在测试系统中安装了微软官方发布的简体中文语言包，文中的界面文字和名词术语以该语言包的具体显示为准。需要注意的是，该语言包中的信息还不是特别完整，所以在一些界面上会存在简体中文和英文并存的现象。

 

 

二、安全特性巡礼

 

    从Windows XP开始，“安全中心”成为了用户控制系统安全功能的核心界面，而Vista也基本沿用了这一设定。在Windows 7当中，“行为中心”（Action Center）代替了传统的安全中心。目前，行为中心包含了诸多功能项，包括“安全”子分类下的网络防火墙、Windows Update、病毒防护、Spyware and unwanted software protection、Internet安全设置、用户帐户控制、网络访问保护以及“维护”子分类下的检查问题报告的解决方案、Windows备份、检查更新、Troubleshooting:System Maintenance等，共计十一项安全功能和状态报告功能。另外，在行动中心当中还可以调用查找和解决系统问题的“疑难解答”功能，以及通过“恢复”功能将系统还原到之前的某个时间点。必须说明的是，安全中心在很大程度上是在完成Windows 7安全控制台的功能，也是一个浏览系统安全状态的视窗，用户在需要的时候也可以通过其它方式查找和调阅操作系统提供的安全功能，例如Windows Update、备份和还原、Windows Defender、BitLocker驱动器加密等等。

 

    在Vista中引入的“用户帐户控制”（UAC）功能曾被微软视为解决桌面安全问题的利器，却因为不易使用等方面的原因而沦为鸡肋。而Windows 7着重对这一功能进行了改善，以使用户可以更轻松的借助这一工具定制系统的安全处理行为。在Vista系统当中，用户只能选择开启或关闭UAC，而在开启状态下，只要系统稍作改变，就需要用户进行确认，对用户的正常操作有着不小的干扰。而在Windows 7系统当中，用户则可以对UAC的通知等级进行设置，而在操作界面上也增加了很多信息和提示（例如以不同的颜色来表示不同的程序来源和等级）。目前UAC的等级共有四级，除了与Vista系统中对应的始终通知和从不通知之外，增加了了额外的两个选项。默认选项下，仅当有程序变更时才会提示用户进行确认，而用户调整系统设置时则不需要进行确认。另外的一个选项与默认选项类似，只是在要求用户确认的时候并不会锁定桌面，用户仍旧可以进行其它操作。通过这些增加的选项，用户可以对UAC进行更精细的控制，在很大程度上减少不必要的通知数量。

 

    在Vista操作系统当中，用户是无法对某个文件夹或某个文件进行单独备份的。而在Windows 7当中，除了可以对整个计算机进行备份之外，还提供了被称为“让我选择”的选项，可以由用户自己决定要备份哪些数据，大大提高了该功能的灵活程度。而在还原数据的时候，Windows 7也会提供更多的信息供用户参阅，以让用户更准确的决定还原到哪个时间点。

 

    Windows 7所集成的防火墙组件也有了一定的提升，其中最明显的一点就在于提供了外向连接过滤。与Windows XP等操作系统集成的防火墙不同，Windows 7的防火墙除了能够阻止进入系统的非授权连接，而且还可以防止系统中的程序非法的建立向外的网络连接。不过目前，Windows 7防火墙还无法通过一些利用反弹连接技术的防火墙测试软件（包括LeakTest、FireHole、Jumper、ZAbypass等等）的测试，我们也期待正式版的防火墙组件可以有更好的表现。

 

注：Windows 7的Windows过滤平台（Windows Filtering Platform，WFP），主要用于让第三方产品可以使用Windows防火墙的某些功能，其API相比Vista系统集成的WFP进行了很多改进。

 

    BitLocker可以提供对操作系统所在卷的加密功能，而在Windows 7当中将该功能扩展到可以对移动存储设备使用（比如U盘），以保护用户所携带的移动数据，该功能被命名为“BitLocker To Go”。不过需要注意的是，目前想在Windows 7中启用BitLocker功能，要求计算机中安装有TPM（Trusted Platform Module）硬件。

 

小贴士 Windows 7内置了生物识别技术，以适应移动计算设备的安全管理需要。典型的好处包括，可以有效地降低在设备中集成指纹识别设备的成本和技术难度。这是促进计算机制造商转向到Windows 7的众多技术之一，也可以让消费者很容易地以相同的设备价格获取指纹识别功能。

 

 

三、安全产品支持

 

    由于Windows 7的正式版本可能会早于预定计划的2010年初发布（最早可能提早到2009年夏末），应用程序开发商都开始紧锣密鼓地为这个新的操作系统平台提供支持。这其中，作为桌面安全的重要组成部分，各种安全产品的支持无疑是最受到关注的。虽然Windows 7在底层架构上与Vista相比并没有大的变更，但是对于需要“精细”控制的桌面安全防护来说，显然不是将Vista体系下的产品拿过来使用这么简单。我们在Windows 7上安装了一些常见的防病毒软件来进行测试，大部分产品都无法正常工作，甚至无法正常启动。目前，根据微软的安全产品供应商页面上发布的消息，目前提供兼容于Windows 7的安全防护软件的厂商包括了卡巴斯基、赛门铁克和AVG。基于在2008年10月份PDC2008上发布的Windows 7测试版本，这些厂商发布了专门的针对Windows 7的产品版本。这些产品也都是类似于测试版或预览版的形式，可以到这些厂商的官方网站上查询与Windows 7有关的最新产品发放信息。通过我们的测试可以发现，除了这些专为Windows 7定制的安全软件，还有一些其它的产品可以在Windows 7测试版上正常工作。

例如，金山毒霸2009的清理专家组件无法正常执行，但是基本的防护功能和扫描功能是可以正常工作的。而AVG公司推出的avast! 4.8防病毒套件，在Windows 7之下完全可以正常工作，无论是扫描程序还是防护程序都是如此。考虑到目前Windows 7平台上的恶意程序传播还不是很严重，而且avast! 4.8家庭版是可以免费获取的产品，所以目前关注和试用Windows 7的用户，可以将avast! 4.8家庭版作为该平台上安全防护产品的首要考虑。

 

Tip

Windows操作系统中自带的Windows Defender组件也可以完成针对恶意软件的防护工作，在Windows 7中也带有该组件，其功能相比最早的Windows Defender已经有了较大提高，不过在检测能力上还无法与专业的安全软件产品相比。在我们对共91个的一组恶意软件样本的测试当中，Windows Defender能够检测到20个左右的恶意软件，而avast! 4.8家庭版则可以检测出其中的68个。

 

 

四、总结

 

Windows 7相比之前的操作系统，还是在安全方面着意进行了很多增强，相信在安全程度上至少不会低于Vista等操作系统。不过在试用过程中可以发现，Windows 7在安全性上的改进空间仍旧很大，比如默认没有采用密码强度限制。而以往版本Windows的安全问题，在Windows 7上仍旧存在。目前，Windows 7已经有安全漏洞发布，相信在今后的正式版当中，这仍旧是最令微软和用户头疼的问题之一。诚然，安全防护并不完全是操作系统厂商自身的问题，还有很多其它的因素需要考虑。从这个角度出发，微软所作出的努力已经足够让人欣慰和认可了。特别是，在集成更多安全功能以带给用户更方便安全管理能力的同时，微软还在积极的进行架构完善和系统接口扩充，这对于提高各领域和层面的安全协作，具有很积极的意义。