windows安全机制

《windows安全机制》由会员分享，可在线阅读，更多相关《windows安全机制（19页珍藏版）》请在装配图网上搜索。

1、【精品文档】如有侵权，请联系网站删除，仅供学习与交流windows安全机制.精品文档.Windows 7安全机制十大革新当人们都在讨论Windows 7全新操作系统所带来的优雅界面：全新的工具条，完善的侧边栏，全新界面的Windows Explorer的同时。除了外观的改善，系统底层也有了不小的变化，包括经过革新的安全功能。就让我们逐个盘点Windows 7中增加或改进的十大安全功能。1、Action Center在Vista中，微软给其量身定做了安全中心功能，在其中用户可以找到有关系统安全方面的信息，另外当系统存在安全问题时，安全中心会进行诊断和修复。虽然用户可以从中了解系统是否安全，但并不

2、能提供系统维护方面的信息。而在Windows 7中，微软引进了全新的Action Center这个概念，作为原先安全中心的改进版。在此，用户可以轻松读取系统维护和安全提示，诊断和修复系统问题。提示系统当系统出现安全问题时，Action Center会在桌面上以短消息的形式向用户发出提醒。这样的提示一目了然，并且用户能够及时得知系统存在什么问题。当然，有人可能会觉得这样的提示过于频繁的话也是件烦人的事情，对此，Action Center也提供了一系列的个性设置。Action Center在控制面板-安全或者维护中都可以找到。Action Center - 安全这里的Action Center跟V

3、ista下的安全中心基本一样，主要提供安全方面的信息。Action Center - 维护这里的Action Center主要提供系统维护方面的信息，包括系统还原，自动更新等。诊断和修复在Windows 7中，诊断和修复问题并不是件轻松的事情，但通过诊断和修复向导，系统可以自动检测问题并试图修复，并会给予用户丰富的提示。下面是可以通过诊断和修复解决的问题：看到Aero效果没？这下不必担心Aero效果消失了吧？诊断报告为用户提高诊断报告跟解决问题同样重要，Windows 7中的诊断报告很详细，包括已解决和未解决的。2、UAC的改变当需要权限或密码才能完成任务时，UAC 会用下列消息之一警告用户（

4、以下图例均没有启动安全桌面）：windows需要您的许可才能继续：可能会影响本计算机其他修改系统设置时UAC提示用户的 Windows 功能或程序需要您的许可才能启动。请检查操作的名称以确保它正是您要运行的功能或程序。有数字签名的程序提权时UAC提示程序需要您的许可才能继续：不属于Windows的一部分的程序需要您的许可才能启动。它具有指明其名称和发行者的有效的数字签名，该数字签名可以帮助确保该程序正是其所声明的程序。确保该程序正是您要运行的程序。未能识别的程序是指没有其发行者所提供用于确保该程序正是其所没有数字签名的程序提权时UAC提示声明程序的有效数字签名的程序。这不一定表明有危险，因为许

5、多旧的合法程序缺少签名。但是，应该特别注意并且仅当其获取自可信任的来源（例如原装 CD 或发行者网站）时允许此程序运行。程序阻止这是管理员专门阻止在您的计算机上运行的程序。若要运行此程序，必须与管理员联系并且要求解除阻止此程序。建议您大多数情况下使用标准用户帐户登录计算机。可以浏览Internet，发送电子邮件，使用字处理器，所有这些都不需要管理员帐户。当您要执行管理任务（如安装新程序或更改会影响其他用户的设置）时，不必切换到管理员帐户。在执行该任务之前，Windows会提示您进行许可或提供管理员密码。为了帮助保护计算机，可以为共享该计算机的所有用户创建标准用户帐户。当拥有标准帐户的人试图安装

6、软件时，Windows 会要求输入管理员帐户的密码，以便在您不知情和未经您许可的情况下无法安装软件。2.UAC(User Agent Client) 用户代理客户端3.UAC(USB Audio Class)USB音频类，是USB众多设备类中的一种。3、改进的BitLocker在Vista 中我很少用BitLocker。因为第一，这种技术只能加密操作系统分区。这对于笔记本来说很好，但是对于我的台式机来说没有什么用处，因为台式机所处的位置非常安全。Service Pack 1 增加了加密其它磁盘的功能，效果也不错，但是只能用于硬盘。而我所需的是加密移动硬盘或者U盘的功能，因为这种存储介质具有移动

7、性，更容易丢失。在Windows 7中我们看到了喜人的改进。 BitLocker已经可以对移动磁盘进行加密了，并且操作起来很简单。我们只需要在控制面板中打开BitLocker ,选择我们需要加密的磁盘，然后点击Turn On BitLocker即可。可移动存储设备会显示在BitLocker To Go 分类中，如图C所示。图 C: 我们可以用BitLocker 加密USB存储设备需要注意一点，和Vista一样，BitLocker并不包含在家用版的Windows 7操作系统中。通过加密整个Windows操作系统卷保护数据。如果计算机安装了兼容TPM，BitLocker将使用TPM锁定保护数据的加

8、密密钥。因此，在TPM已验证计算机的状态之后，才能访问这些密钥。加密整个卷可以保护所有数据，包括操作系统本身、Windows注册表、临时文件以及休眠文件。因为解密数据所需的密钥保持由TPM锁定，因此攻击者无法通过只是取出硬盘并将其安装在另一台计算机上来读取数据。在启动过程中，TPM将释放密钥，该密钥仅在将重要操作系统配置值的一个哈希值与一个先前所拍摄的快照进行比较之后解锁加密分区。这将验证Windows启动过程的完整性。如果TPM检测到Windows安装已被篡改，则不会释放密钥。默认情况下，BitLocker安装向导配置为与TPM无缝使用。管理员可以使用组策略或脚本启用其他功能和选项。为了增强

9、安全性，可以将TPM与用户输入的PIN或存储在USB闪存驱动器上的启动密钥组合使用。在不带有兼容TPM的计算机上，BitLocker可以提供加密，而不提供使用TPM锁定密钥的其他安全。在这种情况下，用户需要创建一个存储在USB闪存驱动器上的启动密钥。编辑本段TPMTPM是一个微芯片，设计用于提供基本安全性相关功能，主要涉及加密密钥。TPM通常安装在台式计算机或者便携式计算机的主板上，通过硬件总线与系统其余部分通信。合并了TPM的计算机能够创建加密密钥并对其进行加密，以便只可以由TPM解密。此过程通常称作“覆盖”或“绑定”密钥，可以帮助避免泄露密钥。每个TPM有一个主覆盖密钥，称为“存储根密钥(

10、SRK)”，它存储在TPM的内部。在TPM中创建的密钥的隐私部分从不暴露给其他组件、软件、进程或者人员。合并了TPM的计算机还可以创建一个密钥，该密钥不仅被覆盖，而且还被连接到特定硬件或软件条件。这称为“密封”密钥。首次创建密封密钥时，TPM将记录配置值和文件哈希的快照。仅在这些当前系统值与快照中的值相匹配时才“解封”或释放密封密钥。BitLocker使用密封密钥检测对Windows操作系统完整性的攻击。使用TPM，密钥对的隐私部分在操作系统控制的内存之外单独保存。因为TPM使用自身的内部固件和逻辑电路来处理指令，所以它不依赖于操作系统，也不会受外部软件漏洞的影响。编辑本段机制首先需要强调的是

11、，并不是所有的Windows Vista(or Windows 7)版本都支持BitLocker驱动器加密，相应的功能只有Windows Vista 的Enterprise版和Ultimate版才能够实现。其目标即是让Windows Vista(or Windows 7)用户摆脱因 PC 硬件丢失、被盗或不当的淘汰处理而导致由数据失窃或泄漏构成的威胁，BitLocker保护的 Windows Vista 计算机的日常使用对用户来说是完全透明的。在具体实现方面，BitLocker主要通过两个主要子功能，完整的驱动器加密和对早期引导组件的完整性检查，及二者的结合来增强数据保护。其中：驱动器加密能够

12、有效地防止未经授权的用户破坏 Windows Vista(or Windows 7)文件以及系统对已丢失或被盗计算机的防护，通过加密整个 Windows 卷来实现。利用 BitLocker，所有用户和系统文件都可加密，包括交换和休眠文件。对早期引导组件进行完整性检查有助于确保只有在这些组件看起来未受干扰时才执行数据解密，还可确保加密的驱动器位于原始计算机中。通过 BitLocker，还可选择锁定正常的引导过程，直至用户提供 PIN（类似于 ATM 卡 PIN）或插入含有密钥资料的 USB 闪存驱动器为止。这些附加的安全措施可实现多因素验证，并确保在提供正确的 PIN 或 USB 闪存驱动器之前

13、计算机不会从休眠状态中启动或恢复。BitLocker 紧密集成于 Windows Vista(or Windows 7) 中，为企业提供了无缝、安全和易于管理的数据保护解决方案。例如，BitLocker 可选择利用企业现有的 Active Directory 域服务基础结构来远程委托恢复密钥。BitLocker 还具备一个与早期引导组件相集成的灾难恢复控制台，以供用于“实地”数据检索。编辑本段过程BitLocker主要有两种工作模式：TPM模式和U盘模式，为了实现更高程度的安全，我们还可以同时启用这两种模式。要使用TPM模式，要求计算机中必须具备不低于1.2版TPM芯片，这种芯片是通过硬件提供

14、的，一般只出现在对安全性要求较高的商用电脑或工作站上，家用电脑或普通的商用电脑通常不会提供。要想知道电脑是否有TPM芯片，可以运行“devmgmt.msc”打开设备管理器，然后看看设备管理器中是否存在一个叫做“安全设备”的节点，该节点下是否有“受信任的平台模块”这类的设备，并确定其版本即可。如果要使用U盘模式，则需要电脑上有USB接口，计算机的BIOS支持在开机的时候访问USB设备（能够流畅运行Windows Vista(or Windows 7)的计算机基本上都应该具备这样的功能），并且需要有一个专用的U盘（U盘只是用于保存密钥文件，容量不用太大，但是质量一定要好）。使用U盘模式后，用于解密

15、系统盘的密钥文件会被保存在U盘上，每次重启动系统的时候必须在开机之前将U盘连接到计算机上。受信任的平台模块是实现TPM模式BitLocker的前提条件。对硬盘分区的要求硬件满足上述要求后，还要确保硬盘分区的安排可以满足要求。通常情况下，我们可能习惯这样给硬盘分区：首先，在第一块硬盘上划分一个活动主分区，用于安装Windows，这个分区是系统盘；其次，对于剩下的空间继续划分更多主分区，或者创建一个扩展分区，然后在上面创建逻辑驱动器。简单来说，我们已经习惯于让第一块硬盘的第一个分区成为系统盘，并在上面安装Windows。传统方式下的硬盘分区情况。在一台安装Windows Vista(or Wind

16、ows 7)的计算机上运行“diskmgmt.msc”后即可看到硬盘分区情况。这里重点需要关注的是，硬盘上是否有超过一个的活动分区。如果该磁盘上有两个分区，对应的盘符分别是“C”和“D”，其中“C”就是第一块硬盘上的第一个分区，属于系统盘而且是活动的。但问题在于，如果除了系统盘外，硬盘上不存在其他活动分区，这种情况下是无法直接启用BitLocker的（无论是TPM模式还是U盘模式）。原因很简单，源于其工作原理，BitLocker功能实际上就是将操作系统或者机密数据所在的硬盘分区进行加密，在启动系统的时候，我们必须提供解密的密钥，来解密原本被加密的文件，这样才能启动操作系统或者读取机密文件。但这

17、就有一个问题，用于解密的密钥可以保存在TPM芯片或者U盘中，但是解密程序应该放在哪里？难道就放在系统盘吗？可是系统盘已经被加密了，这就导致了一种很矛盾的状态：因为用于解密的程序被加密了，因此无法运行，导致无法解密文件。所以如果要顺利使用BitLocker功能，硬盘上必须至少有两个活动分区，除了系统盘外，额外的活动分区必须保持未加密状态（且必须是NTFS文件系统），同时可用空间不能少于1.5GB。为了保证可靠性，这个专门的活动分区最好专用，不要在上面保存其他文件或者安装额外的操作系统。遗憾的是，一般情况下，很少有人会在自己的硬盘上创建多个活动分区。那么我们又该怎样设置硬盘，以满足BitLocke

18、r的要求？如果是在安装Windows Vista(or Windows 7)之前看到了这段内容，并且打算安装好之后使用BitLocker功能，那么我们可以在安装的时候直接将分区准备好。如果是在安装了Windows Vista(or Windows 7)，并且在打算使用BitLocker的时候才看到这段内容，而硬盘分区已经按照传统的方式划分好了，那么也不用担心。通过一些方法，我们可以在不破坏现有系统以及所有数据的前提下为BitLocker腾出一部分空间来创建另一个分区。如果还没有安装Vista(or Windows 7)如果正打算在一块新硬盘上安装Windows Vista(or Windows

19、 7)企业版或旗舰版，那么就可以在安装的过程中创建出符合BitLocker要求的分区结构。具体的过程如下：准备好Windows Vista(or Windows 7)安装光盘，并在计算机的BIOS设置中设定通过光盘引导计算机（具体的设置方法请参考计算机或主板的说明书）；打开电源，立刻将Windows Vista(or Windows 7)安装光盘放入计算机。如果设置无误，那么计算机会自动从光盘引导，稍等片刻，屏幕上就会出现一个绿色的滚动条，就像Windows Vista(or Windows 7)正常启动时候那样；当看到“安装Windows”对话框之后，选择要安装的语言、时间和货币格式，以及键

20、盘和输入方法，设置好之后单击“下一步”按钮；单击窗口左下角的“修复安装”链接；随后可以看到“系统恢复选项”对话框，因为这是一块新硬盘，因此不会列出任何内容，直接单击“下一步”按钮；在接下来看到的“系统恢复选项”对话框中，单击“命令提示符”链接；通过“命令提示符”创建符合要求的分区当打开“命令提示行”窗口后，依次运行下面列出的命令（除了第一条和最后两条命令外，其他所有命令都需要在“diskpart”提示符下运行，括号内的文字是对命令的解释，不用输入。）：Diskpart（启动diskpart.exe，这是一个命令行界面下的硬盘分区调整程序。）Select Disk 0（将第一块硬盘选中，作为后续

21、操作的目标盘。如果有多块硬盘，并且希望将Windows Vista(or Windows 7)安装到其他硬盘上，请更改数字“0”为目标硬盘的编号。如果想知道分别有哪些硬盘，各自的编号是什么，请首先运行“list disk”命令。）Clean（清空所选硬盘上的分区表信息。注意：目标硬盘上如果有数据，将被全部清除。）Create Partition Primary Size=1500（创建一个体积为1.5GB的主分区，这个分区用于日后保存引导文件。）Assign Letter=S（将这个1.5GB分区的盘符设置为“S”，或者其他任何想要使用的字母，但不建议使用“C”，毕竟很多人都习惯于将Windo

22、ws安装到C盘。）Active（将这个1.5GB的分区设置为活动分区。）Create Partition Primary（用所有剩余空间创建一个主分区，如果希望除了这个主分区外还创建其他分区，请使用“size=xxx”参数指定这个主分区的大小。）Assign Letter=C（将这个分区的盘符设置为“C”，接下来会将Windows安装到这个分区，同时最终被BitLocker加密的也是这个分区。）List Volume（查看已经分好的区，正常情况下可以看到划分好的分区界面。）Exit（退出Diskpart程序。）Format C: /Y /Q /FS:NTFS（用NTFS文件系统快速格式化C盘。

23、）Format S: /Y /Q /FS:NTFS（用NTFS文件系统快速格式化S盘。）经过上述设置，我们可以重新启动计算机，并再次使用Windows Vista(or Windows 7)安装光盘引导系统，完成操作系统的安装工作。在安装过程中需要注意，系统必须安装到C盘，而不能安装到S盘。在命令提示行下创建好的分区如果已经安装了Vista (or Windows 7)如果已经安装好了Windows Vista(or Windows 7)旗舰版或企业版，并在打算启用BitLocker的时候才发现系统被安装到磁盘0分区1上，也不用担心。只要分区0可用空间足够，我们完全可以将其中一部分空间拆借出来

24、，创建一个新的磁盘0分区1。虽然有很多第三方软件可以做到这一点，不过往往需要付费购买，而且因为在系统盘的前面添加了一个新的分区，导致盘符变化，可能会使得Windows无法正常启动，因此不建议使用这类第三方软件。安装了BitLocker和EFS增强工具后，请这样操作：从“开始”菜单下的“所有程序”“附件”“系统工具”“BitLocker”路径下启动“BitLocker驱动器准备工具”，在授权协议页面上单击“我接受”，随后该软件将自动检查本机的配置情况。阅读屏幕上显示的注意事项，按照提示照做后单击“继续”按钮。随后程序会自动调整硬盘分区，整个过程分为三个步骤：缩小（压缩）现有的系统盘；利用压缩获得

25、的可用空间创建一个用于保存引导文件的新分区；然后根据BitLocker的要求调整新分区的设置。这个过程大概需要三分钟左右，完成后单击“完成”按钮，系统会自动重启动。这时准备工作已经全部完成。通过上述操作，在本机会出现一个盘符为“S”，可用空间为1.5GB的新分区，引导文件和启动过程中的临时文件会保存在这里。另外，在使用BitLocker和EFS增强工具调整硬盘分区的时候，还必须保证之前的系统盘在减少1.5GB的可用空间后保留的可用空间不小于分区总容量的10%。默认情况下，Vista中只能使用TPM模式的BitLocker，因此要使用U盘模式，我们必须配置组策略将其启用。好在支持BitLocke

26、r功能的Windows Vista版本都是具有组策略的。具体做法如下：运行“gpedit.msc”打开组策略编辑器，从编辑器窗口左侧的控制台树形图中定位到“计算机配置”“管理模板”“Windows组件”“BitLocker驱动器加密”。在右侧的控制台窗口中找到并双击打开“控制面板设置：启用高级启动选项”这个策略，选择“已启用”。单击“确定”保存设置，这样我们已经在本机启用了U盘模式的BitLocker。启用BitLocker在安装SP1之后的Vista企业版和旗舰版中，我们可以使用三种模式的BitLocker：纯TPM模式，要求系统中具有TPM芯片，这样用于解密的密钥以及用于验证引导文件完整性

27、的相关文件都会保存在TPM芯片中。纯U盘模式，要求系统符合上文中提到的和USB设备有关的条件，这样用于解密的密钥会被保存在U盘中。混合模式，可以使用TPM+U盘，TPM+PIN，以及TPM+U盘+PIN的形式进一步增强系统安全。那么这些模式分别要怎样使用？让我们来看看。纯U盘模式因为目前具有TPM芯片的电脑还不是很多，因此我们首先介绍纯U盘模式的使用方法，毕竟这种方式才适合最多人使用。打开控制面板，依次单击“安全”“BitLocker驱动器加密”，我们可以看到BitLocker加密驱动器的界面。这里已经列出了当前安装电脑的所有本地硬盘分区，对于想要加密的分区，单击对应的“启用BitLocker

28、”链接，随后可以看到设置启动首选项的界面，在这里我们需要选择BitLocker的工作方式。因为没有TPM芯片，因此只能选择最后一个选项，这样以后每次启动系统的时候都必须提供保存了密钥的U盘，不过系统启动后就不再需要了。因此在这里直接单击“每一次启动时要求启动USB密钥”选项。选择要使用的BitLocker工作模式。将准备好的U盘连接到计算机，等程序界面上显示了这个U盘后，单击将其选中，然后单击“保存”按钮，这样用于解密被BitLocker加密的分区所需的密钥就会被保存在所选的U盘上。随后可以看到保存恢复密码的界面，在这里我们需要决定恢复密码的处理方式。需要注意，在平时的使用过程中，并不需要提供

29、恢复密码，我们只要提供之前一步操作中指定的U盘即可，而恢复密码是在U盘不可用（例如，丢失或者损坏）时使用的，因此建议将其妥善处理。例如，如果本机安装了打印机，可以将恢复密码打印在纸上，并将这张纸保存在安全的地方。同时因为非常重要，建议同时保留恢复密码的多个副本，例如多次打印，然后将打印的密码分别保存在不同的安全位置，或者保存在另外的U盘上（最好不要将恢复密码和启动密码保存在同一个U盘上）。保管好恢复密码后单击“下一步”按钮，随后程序会对我们的操作进行一个概述。同时为了进一步确认本机可以正常使用BitLocker功能，请保持选中“运行BitLocker系统检查”选项，这样程序会在进行加密之前先对

30、系统中的各项设置进行检查。如果确认无误，请单击“继续”按钮（注意：在整个过程中，最先使用的U盘一定不能拔下来，如果需要将恢复密码保存在其他U盘上，请将第二块U盘连接到计算机的其他USB接口上）。接下来需要重新启动系统，准备好之后单击“现在重启动”按钮。重启动完成，并成功登录后，桌面右下角会显示一个气泡图标，提示我们系统正在进行加密，单击这个气泡图标后可以看到显示加密进度的对话框。在这里我们可以暂停加密操作，并在稍后继续进行，但是无法停止或者撤销加密操作。加密操作需要一定的时间，主要取决于系统盘的大小以及计算机的硬件速度。不过好在这个操作只需要进行一次。而且在日后的使用过程中，系统的运行速度并不

31、会有太大的降低，因此可以放心使用。加密完成后单击“完成”按钮即可。经过上述操作，BitLocker功能已经被成功启用。但是还有几点问题需要注意：应用BitLocker加密后，当Windows Vista启动后，我们查看系统文件时将不会看到文件带有任何与“加密”有关的属性，这属于正常现象，因为BitLocker的加密是在系统底层，从文件系统上实现的，而在用户看来，启动了的系统里的系统文件并没有被加密。但如果换个角度来看，例如一台计算机上安装了两个系统，或者将装有系统的硬盘拆掉，连接到其他计算机上，在试图访问应用了BitLocker的系统所在的分区时，我们会收到拒绝访问的信息，而且拒绝的原因是目标

32、分区没有被格式化。这都属于正常现象，而且也证明了BitLocker正在保护我们操作系统的安全（设想一下，连访问分区都无法实现，又如何进行脱机攻击？）。另外，保存了启动密钥的U盘，直接在Windows资源管理器下查看的时候，完全看不到其中保存的密钥文件。这也是为了安全。同时建议这个U盘只用于保存BitLocker的启动密钥，而不要用作其他用途。这主要是为了尽量避免U盘因为各种原因，例如病毒感染或者频繁写入损坏而造成系统无法访问。而且需要注意，密钥盘只是在启动系统的时候需要，只要系统启动完成，我们就可以将其拔出，并妥善保管起来。操作系统的正常运行过程中并不需要我们反复提供密钥盘。最后一点，在加密过

33、程中，系统盘的可用磁盘空间将会急剧减少。这属于正常情况，因为这个过程中会产生大量临时文件。加密完成后这些文件会被自动删除，同时可用空间数量会恢复正常。在解密被加密的系统盘时也会遇到类似的情况。在应用了U盘模式的BitLocker后，每次启动系统前都必须将保存了启动密钥的U盘连接到计算机，否则系统会提示需要BitLocker驱动器加密密钥。这就要求我们必须将保存了启动密钥的U盘连接到计算机后重启动，才能完成Windows的启动和加载过程。如果因为某些原因，例如保存了启动密钥的U盘损坏或者丢失，只要还保留有启用BitLocker时创建的恢复密码，那么可以在这个界面上按下回车键进行恢复。编辑本段特色

34、BitLocker支持“受信平台模块(TPM : Trusted Platform Module)”1.2及其后版本，可实现基于硬件的全盘加密，以增强数据保护，并确保运行 Windows Vista 的 PC 在系统脱机时不被浏览与修改；BitLocker 使用128或256位的AES加密算法。(甚至有传言BitLocker将使用1024位加密，是否属实有待考证)；BitLocker可通过组策略设置；在系统中采用BitLocker驱动器加密对系统性能的影响很小，这是一个好消息；BitLocker密钥可存储在磁盘、USB盘，甚至可以打印出来。也可通过组策略自动生成并保存于Active Direc

35、tory中；编辑本段取消进入控制面板系统和安全BitLocker驱动器加密，选择你被加密的盘符，点旁边的“解除BitLocker”，就行了。4、DirectAccessWindows 7带给我们的一个全新功能是DirectAccess，它可以让远程用户不借助VPN就可以通过互联网安全的接入公司的内网。管理员可以通过应用组策略设置以及其它方式管理远程电脑，甚至可以在远程电脑接入互联网时自动对其进行更新，而不管这台电脑是否已经接入了企业内网。DirectAccess 还支持多种认证机制的智能卡以及IPsec和IPv6用于加密传输。5、Biometric安全特性毫无疑问，最安全的身份鉴定方法是采用生

36、物学方法，或者说采用指纹，视网膜扫描，DNA以及其它独特的物理特征进行验证。虽然Windows 目前还没有计划内置DNA样本检测功能，但是它确实加入了指纹读取功能。Windows 支持用户通过指纹识别的方式登陆系统，而且当前很多预装 Vista 的笔记本电脑都带有指纹扫描器，不过在Vista中，指纹识别功能都是通过第三方程序实现的。而在Windows 7中已经内置的指纹识别功能。控制面板中的 Biometric Devices程序（如图D所示）可以让用户配置指纹传感器（这也是目前唯一支持的生物学身份验证设备）。图D: 现在 Windows也内置了指纹识别功能6、AppLocker在XP 和Vi

37、sta中都带有软件限制策略，这是一个很不错的安全措施。管理员可以使用组策略防止用户运行某些可能引发安全风险的特定程序。不过在这两个系统中，软件限制策略的使用频率很低，因为使用起来并不简单。Windows 7 将这种概念得以改良，发展出了名为AppLocker的功能。 AppLocker 也被植入在 Windows Server 2008 R2中。它使用简单，并且给予管理员更灵活的控制能力。管理员可以结合整个域的组策略使用AppLocker ，也可以在单机上结合本地安全策略使用这一功能。如图E所示，AppLocker位于Application Control Policies 节点下一层。图E:

38、 AppLocker 的功能和软件限制策略相同，但是更易使用Win7 同时还支持传统的软件限制策略，因为AppLocker并不是集成在所有版本的Windows 7中的。 Windows7 通过引入 AppLocker 满足了企业对应用程序控制解决方案的日益提高的要求：提供了一个简单、灵活的机制，使管理员能明确指定允许在其桌面环境中运行的内容。因此，AppLocker 通过允许管理员执行以下操作，不仅提供了安全保护，还提供了可操作和合规性优势： 当某个软件不在允许列表中时阻止该未经许可的软件在桌面环境中运行 阻止易受攻击、未经授权的应用程序在桌面环境中运行，包括恶意软件 阻止用户运行不必要地消耗

39、网络带宽或影响企业计算环境的应用程序 阻止用户运行破坏桌面环境稳定性并增加技术支持成本的应用程序 为有效的桌面配置管理提供更多选择 在仍然要求只有具有管理凭据的用户可以安装或运行应用程序和软件更新的同时，允许用户基于策略运行批准的应用程序和软件更新 帮助确保桌面环境符合公司策略和行业法规AppLocker 通过下面两种规则操作提供了简单但功能强大的结构：允许和拒绝。还提供了识别这些操作的例外的方法。允许规则操作限制应用程序只能执行允许的应用程序列表，并阻止其他所有内容。拒绝规则操作采用相反的方法，允许执行除拒绝应用程序列表中的应用程序之外的所有应用程序。虽然很多企业可能会结合使用允许操作和拒绝

40、操作，但理想的 AppLocker 部署应使用具有内置例外的允许规则操作。例外规则允许将文件从通常包含这些文件的允许规则操作或拒绝规则操作中排除。使用例外，可以创建一个规则来“允许运行 Windows 操作系统中除内置游戏之外的所有内容”。结合使用允许规则操作和例外提供了一种功能强大的方式来构建一个允许的应用程序列表，而不必创建大量规则。AppLocker 引入了基于应用程序数字签名的发布者规则。发布者规则通过能够指定属性（如应用程序的版本）允许构建可进行应用程序更新的规则。例如，组织可以创建“如果 Acrobat Reader 程序由软件发布商 Adobe 签名，则允许运行该程序高于 9.0

41、 版本的所有版本”的规则。现在，当 Adobe 更新 Acrobat 时，您可以部署应用程序更新，而不必为该应用程序的新版本创建另一规则。AppLocker 支持称为规则集合的多个独立可配置策略：包括可执行文件、安装程序、脚本和 DLL。这些多个集合允许组织构建超越传统的仅可执行文件解决方案的规则，提供了更高的灵活性和增强的保护功能。例如，组织可以创建规则来“允许图形安全组从 Adobe 运行 Photoshop 安装程序或应用程序（只要 Adobe Photoshop 仍是 114.* 版）”。这将允许 IT 管理员保持控制，但也允许用户可以基于业务需求将其计算机保持为最新状态。此外，可以将

42、每个策略单独地置于仅审核模式中，以便允许您在规则开始阻止应用程序运行并潜在影响最终用户工作效率之前对这些规则进行测试。AppLocker 规则可以与组织内特定的用户和组相关联。这提供了特定控制，通过验证并强制哪些用户可以运行特定应用程序来允许您支持合规性要求。例如，可以创建一个规则来“允许财务安全组的用户运行财务行业应用程序”。这将阻止不属于财务安全组的所有人员（包括管理员）运行财务应用程序，但仍为那些因业务需求需要运行这些应用程序的人员提供了访问权限。通过新的规则创建工具和向导，AppLocker 为 IT 管理员提供了可靠的体验。例如，IT 管理员可以使用测试参考计算机自动生成规则，然后将

43、这些规则导入生产环境供广泛部署。IT 管理员还可以导出策略为生产配置提供备份，或出于合规性目的提供文档。您的组策略基础结构也可用来构建和部署 AppLocker 规则，从而节省组织的培训和支持成本。AppLocker 是 Windows 7 Enterprise 和 Windows7 Ultimate 中提供的一项新技术。此外，Windows Server 2008 R2 Standard、Windows Server 2008 R2 Enterprise、Windows Server 2008 R2 Datacenter 和 面向基于 Itanium 的系统的 Windows Server

44、2008 R2 中也提供了 AppLocker。这些相同版本中还提供了软件限制策略。摘要桌面环境不仅是一种最具生产效率的工具，而且代表一项重大投资。您需要一些工具使用户能够运行提高工作效率所需的应用程序，同时还能有效地防御未知或不需要的软件。Windows7 通过引入 AppLocker 满足了企业对应用程序控制解决方案的需求：提供了一个简单、灵活的机制，使管理员能明确指定允许在其桌面环境中运行的内容。因此，AppLocker 不仅提供了安全保护，还提供了可操作和合规性优势。此外，可通过久经考验、众所周知的工具和技术管理 AppLocker，以便综合利用 IT 资源使 IT 基础结构与动态的业

45、务需求相一致。7、Windows Filtering Platform (WFP)Windows Filtering Platform (WFP)是在Vista中引入的API集。在Windows 7中，开发人员可以通过这套API集将Windows防火墙嵌入他们所开发的软件中。 这种情况使得第三方程序可以在恰当的时候关闭Windows 防火墙的某些设置。8、PowerShell v2Windows 7 集成了PowerShell v2，这个命令行界面可以让管理员通过命令行的形式管理多种设置，包括组策略安全设置。管理员还可以将多个命令行结合起来组成脚本。对于同一任务来说，使用命令行的方式要比图形界

46、面更节省步骤。Windows 7 还集成了 PowerShell Integrated Scripting Environment (ISE) (图F),这是 PowerShell的图形界面版本。图 F: Windows 7 集成了PowerShell v.2 和 PowerShell ISE9、DNSSecWindows 7支持DNSSec (域名系统安全),它将安全性扩展到了 DNS平台。有了DNSSec，一个DNS区域就可以使用数字签名技术，并通过这种技术鉴定所收到的数据的可信度。DNS 客户端并不在自身实施DNS 授权，而是等待服务器返回授权结果。10、Internet Explore

47、r 8Windows 7 所带的浏览器是IE8，其所提供的安全性包括：SmartScreen Filter 代替/扩展了IE7中的网络钓鱼过滤器。The XSS Filter 防御跨界脚本攻击 。域名高亮 对 URL 的重点部分进行强调，从而让用户更清楚自己所访问的站点是否正确。更好的针对 ActiveX 的安全控制。数据执行保护 (DEP)默认为开启状态。内存管理1Windows的内存结构Windows系统中的每个进程都被赋予它自己的虚拟地址空间。对于32位进程来说，这个地址空间是4GB，因为32位指针可以拥有从0x00000000至0xFFFFFFFF之间的任何一个值。2地址空间中的区域当

48、进程被创建并被赋予它的地址空间时，该可用空间的主体是空闲的，未分配的。若要使用该地址空间的各个部分，必须要调用virtualAlloc函数来分配它里边的各个区域。对每一个地址空间的区域进行分配的操作称为保留（reserve）当你保留地址空间的一个区域时，该区域必须是系统的页面大小的倍数，而且分配边界必须从一个分配粒度开始。例如x86的页面大小为4KB，分配粒度为64KB。若要使用已保留的地址空间区域，则必须分配物理存储器，然后将该物理存储器映射到已保留的地址空间区域。这个过程叫提交物理存储器。也调用VirtualAlloc函数，但和前面保留的输入参数有所区别，可以自己查此函数。当然用户也可以在

49、保留地址空间的同时提交物理存储器。这样，当一个应用程序通过调用VirtrualAlloc函数，将物理存储器提交给地址空间的一个区域时，地址空间实际上是从硬盘上的一个文件中进行分配的。当用户进程中的一个线程试图访问进程的地址空间中的一个数据块的时候。一般会发生两种情况：1线程试图访问的数据是在RAM中，则cpu只需要将虚拟地址映射到内存的物理地址中，然后执行需要的访问。2数据不在RAM中，而是放在页文件的某个地方。这时候，访问引起页面失效，cpu将通知操作系统，操作系统就从RAM中寻找一个空白页，如果找不到空白页，则必须释放一个页。如果该页面没有被修改过，则可以直接释放，否则必须先把此页面从RA

50、M拷贝到页面交换文件，然后系统进入该页文件，找出需要访问的数据，并将数据加载到空闲的内存页面。然后，操作系统更新它的用于指明数据的虚拟内存地址现在已经映射到RAM中的相应的物理存储器地址中的表。3. Windows的内存管理方法windows提供了3种方法来进行内存管理：1.虚拟内存，最适合用来管理大型对象或者结构数组2.内存映射文件，最适合用来管理大型数据流（通常来自文件）以及在单个计算机上运行多个进程之间共享数据。3.内存堆栈，最适合用来管理大量的小对象31虚拟内存虚拟内存的使用主要有以下几个步骤：1在地址空间保留一个区域，调用函数VirtualAlloc2在保留区域中的提交物理存储器，当

51、保留一个区域后，必须将物理存储器提交给该区域，然后才能访问该区域中包含的内存地址。系统从它的页文件中将已提交的物理存储器分配给一个区域。仍旧调用函数VirtualAlloc具体参数设置可以见msdn，当然，用户也可以一次性地进行操作保留区域和提交物理存储器。3回收虚拟内存和释放地址空间区域，调用VirtualFree函数，并且，如果要释放一个区域，必须释放该区域保留地所有地址空间。当然用户也可以只回收物理存储器而不释放区域，仍旧调用VirtualFree函数，但参数传入不同。32内存映射文件与虚拟内存一样，内存映射文件可以用来保留一个地址空间的区域，并将物理存储器提交给该区域。他们之间的区别是

52、，物理存储器来自一个已经位于磁盘上的文件，而不是系统的页文件。一旦该文件被映射，就可以访问它，就像整个文件被加载到了内存一样。内存映射文件一般用于3个不同的目的：1系统使用内存映射文件，以便加载和执行.exe和DLL文件。这可以大大节省页文件空间和应用程序启动运行所需的时间2可以使用内存映射文件来访问磁盘上的数据。这使你可以不比对文件执行i/o操作，并且可以不必对文件内容进行缓存3可以使用内存映射文件，使同一台计算机上运行的多个进程能够相互之间共享数据。若要使用内存映射文件，必须执行下列操作步骤：1）创建或打开一个文件内核对象，该对象用于标识磁盘上你想用作内存映射文件的文件(CreateFil

53、e函数)2）创建一个文件映射内核对象，告诉系统该文件的大小和你打算如何访问该文件（CreateFileMapping函数）3）让系统将文件映射对象的全部或一部分映射到你的地址空间（MapViewOfFile函数，要求文件的位移是分配粒度的倍数）当完成对内存映射文件的使用时，必须执行下面的这些步骤将它清除：4）告诉系统从你的进程的地址空间中撤销文件映射内核对象的映象(UnmapViewOfFile函数)5）关闭文件映射内核对象（CloseHandle函数，第2）步创建的对象）6）关闭文件内核对象(CloseHandle函数，第1)步创建的对象）利用内存映射文件，还可以实现进程之间的数据共享。数据

54、共享的方法是通过让两个或多个进程映射同一个文件映射对象的视图，这也意味着他们将共享物理存储器的同一个页面。另外，用户也可以创建由系统的页文件支持的内存映射文件，而不是由专用硬盘文件支持的内存映射文件。这样，就不需要调用CreateFile函数，只需要给CreateFileMapping的Hfile参数传递INVALID_HANDLE_VALUE，并传递一个以0结尾的字符串作为pszName参数。别的进程就可以用CreateFileMapping或者OpenFilemapping函数。33堆栈堆栈可以用来分配许多较小的数据块，例如对链接表和链接树进行管理等。堆栈的优点是，可以不考虑分配粒度和页面

55、边界之类的问题。堆栈的缺点是，分配和释放内存块的速度比其他机制要慢，并且无法直接控制物理存储器的提交和回收。当进程初始化时，系统在进程的地址空间中创建一个堆栈。该堆栈为进程的默认堆栈。按照默认设置，该堆栈的地址空间区域的大小是1MB。系统可以扩大进程的默认堆栈。由于进程的默认堆栈可以供许多windows函数调用，因此对默认堆栈的访问是按顺序进行的。也就是，系统必须保证在规定的时间内，每次只有一个线程能分配和释放默认堆栈中的内存块。当然，用户也可以在进程的地址空间中创建一些辅助堆栈。堆栈的一些操作函数如下（具体可以查msdn）：1创建堆栈HeapCreate2.从堆栈中分配内存块HeapAllo

56、c3.改变内存块的大小HeapReAlloc4.释放内存块HeapFree5.撤销堆栈HeapDestroyWindows内存原理与内存管理WIndows为每个进程分配了4GB的虚拟地址空间，让每个进程都认为自己拥有4GB的内存空间，4GB怎么来的？ 32位 CPU可以取地址的空间为2的32次方，就是4GB（正如16位CPU有20根寻址线所有拥有2的20次方的寻址空间一样）当我们在Windows中双击一个应用程序图标后，系统为该应用程序创建一个进程，Windows使得每个进程都拥有2GB的地址空间，这2GB地址空间用于程序存放代码，数据，堆栈，自由存储区（堆），另外2GB用于共享系统使用前面的

57、这些地址并不是物理内存中的地址，而是该进程空间中的虚拟地址虚拟空间只是Windows为该进程分配的一个虚拟的地址空间，只有当其和物理内存相关联后才有意义内存的分页每个物理地址对应一个虚拟地址？1GB那页表该有多长，所以将内存分页管理，4K为一页，即4K就是一个最小单位。虚拟地址到物理地址的映射见图，中间的那个就是页表了。如何映射？进程被创建时会建立一个 虚拟内从到物理内存的映射表-页表，根据页表可以将虚拟内存和物理内存关联起来-页表如何工作，怎么将虚拟地址关联物理地址-虚拟内存是什么？就是把磁盘拿来当内存用，这是以前买电脑时的想法。所以就一直都想不明白一个问题：要真是这样，那内存分个什么1GB

58、,2GB,4GB，大家都买个1M的内存条，然后把自己磁盘拿来当内存用多好，比2GB,4GB不知道要大多少。其实这个说法有一点擦边球的味道，虚拟内存是一些系统页文件，存放在磁盘上，每个系统页文件大小也为4K，物理内存也被分页，每个页大小也为4K，这样虚拟页文件和物理内存页就可以对应，实际上虚拟内存就是用于物理内存的临时存放的磁盘空间。页文件就是内存页，物理内存中每页叫物理页，磁盘上的页文件叫虚拟页，物理页+虚拟页就是系统所以使用的页文件的总和。还有映像页文件和映射页文件，映像页文件就是拿程序本身当页文件使用（而不是用系统的页文件），映射页文件就是使用磁盘上的文件（非系统页文件）来当页文件使用（这

59、主要用于读取文件）。虚拟地址页的状态：空闲：该区域没有被所使用，也没有被预定，没有和物理内存管理私有：该区域虽然没有被使用，但是已经被申请（预定了），别人无法使用它。同样也没和物理内存关联提交：该区域已经和物理内存管理，可以使用了虚拟内存和物理内存的管理(Windows内存管理的核心)Windows是多任务的系统，在每个进程创建时，系统为每个进程也创建了一个页表，用于虚拟地址到物理地址的转换。比如现在程序在执行进程A，用户切换到了另外一个进程B，则系统会将进程A在内存中的数据存放到页文件中，并更新进程A的页表（使虚拟地址和页文件形成映射）。然后读取进程B的页表，根据页表判断进程B的数据是在内存

60、中还是在页文件中（通过页文件的类型来判断），如果在内存中就直接读取，如果在页面文件中，就将页面文件内容读入物理内存，然后更新页表（使虚拟地址和物理内存形成映射）。这样一看，虚拟内存实际上就是冒牌的物理内存了吧。程序的执行一个PE文件有数据区，代码区，堆栈区（由系统分配，用于管理局部变量），使用OD载入一个程序就可以知道这些都是以二进制的形式保存在文件中。程序刚运行的时候，系统不直接将整个程序载入到物理内存中，也不将其载入到页文件中，而是以程序文件本身作为页文件形成映射（虚拟地址到页文件的映射），建立页表，然后随着程序的执行通过页表来将其虚拟地址转换成物理地址（将页文件读入内存），然后在读取内存

61、中的指令或数据。当进程被切换时，将内存内容保存到页文件，更新页表，如此往复，实现多任务操作。可以知道，程序的代码段，数据段，堆栈区（系统分配）这些虚拟地址区域已经是映射状态，即有相应的物理内存与之对应。系统为每个进程提供了2G的自己的虚拟地址空间，剩下的虚拟地址空间干什么用？剩下的虚拟地址空间就是给程序运行时动态分配内存使用。C+中 new的功能就是动态分配地址空间：申请内存的最小单位是区域，每个区域为CPU粒度大小，即64K，每次申请的内存都必须是64K的整数倍，C+ new功能申请一个区域，保留该区域，然后提交需要的页，其他的保留。char *address=new char1024; /

62、分配1K的内存这条语句首先申请一个区域的地址空间，表示这个区域已经被预定了，这就是上述区域状态中的私有状态，虽然预定了，但是还没有和物理内存关联起来，所以程序也无法使用该内存，然后程序将这1K的内存提交，就是映射到了内存当中，区域的状态就变成了映射状态，这样程序就可以使用这1K的内存了，而剩下的页仍然为保留状态。那当进程被切换时，这1K的进程存放在哪呢？程序本身的页文件已经被 代码，全局数据，堆栈这些所使用了，所以系统会为自由存储区分配的内存分配新的页文件来做虚拟内存。局部变量的定义是由系统分配的，它将局部变量分配到堆栈区，因为堆栈区已经映射了，所以不用在映射，故不用使用新的页文件了。堆栈区的

63、大小为1M左右，如果分配的局部变量超过1M会产生堆栈溢出。可以看到，系统的单个页文件大小为4K，程序自己的虚拟空间地址从00010000到7FFEFFFF差不多是2G动态分配一个500M的内存后，物理内存，页文件，可用的虚拟地址空间都减少了500M查询内存状态使用VirtualQuery(Addressn,&membaseinf,sizeof(MEMORY_BASIC_INFORMATION)定义3个变量char Stack20*1024; /存在堆栈中，堆栈在程序启动时已经被映像到内存中了char* Dynamic=new char64*1024; /动态分配一个70K的内存char* Dynamic2=new char1024; /动态分配一个1K的内存地址所在页面基地址：查询的地址所在的页面的起始地址页面所在区域的基地址：页面所在区域的起始地址区域保护属性：分配区域时要设置区域的读写属性从页面基地址开