摘要：Windows 7 是基于微软的安全开发生命周期（SDL）框架开发的，完善了审计、监控和数据加密的功能，加强了对远程通信的支持。Windows 7 保留了 Vista 下所有的安全机制以加强系统的安全防护能力，并在系统底层的实现方面进行了改进，使得 Windows 7 的内核修复保护、服务强化、数据执行防御、地址空间随机化等机制可以更好地抵御攻击行为。

　　关键词：Windows 7；安全机制

　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2014）20-4695-02

　　Analysis of Windows 7 Security Mechanism

　　QU Chun-hang

　　（School of Electrical and Information， Changchun Institute of Architecture ，Changchun 130607，China）

　　Abstract： Windows 7 is Microsoft security development lifecycle （SDL） based on the framework for the development， improve the auditing， monitoring and data encryption function， the strengthening of the remote communication support. Windows 7 retains all the security mechanisms under Vista strengthening safety protection ability of the system， and has been improved in the realization of system level， the Windows 7 kernel restoration and protection， service enhancement， data execution prevention， address space randomization mechanism can better resist aggression.

　　Key words： Windows 7； security mechanism

　　1 绪论

　　众所周知，操作系统是计算机的系统软件，是计算机资源的直接管理者，它直接与硬件打交道，并为用户提供接口，是计算机软件的基础与核心。操作系统经历了技术发展时期及标准化过程，这期间产生了种类繁多的各类操作系统，从第一台由美国贝尔实验室、麻省理工学院和通用电气公司计划开发的这款称为Multics[4]的不成功多路转换信息和计算服务的系统，再到2012年由微软推出的windows8计算机操作系统，适用于触控屏幕的平板电脑设计。期间更是有诸多类似windows server2003，windowsxp等操作系统的产生。虽然Win8系统已经诞生，但是2014年5月20日消息，中央国家机关政府采购中心发出通知，要求国家机关进行信息类协议供货强制节能产品采购时，所有计算机类产品不允许安装Windows8操作系统。这样，使得曾近在销售业绩上创造了历史最佳水的Win7系统备受青睐，而Win7 的安全问题也成了用户关心的热点。下面我们就来盘点一下Win7安全机制的十大革新。

　　2 Win7安全机制的十大革新

　　2.1 DirectAccess [2]

　　Windows 7带给我们的一个全新功能是DirectAccess才称为直接访问，它是Windows7和Windows Server 2008 R2中的一项新增功能。众所周知，VPN能够帮助企业通过一个公用网络建立一个临时的、安全稳定通讯隧道。企业使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。 对于很多中小企业用户来说，VPN相关解决方案的高成本和复杂结构，往往让这些企业望而却步。而如果你是Windows 7用户，则完全可以告别VPN，通过Windows 7下的Direct Access也可以享受到安全、稳定和快捷的网络通道。

　　2.2 AppLocker [3]

　　AppLocker即程序应用控制策略这一新功能能够节省管理员大量的策略维护时间，以便方便快捷地选择需要安装或运行的脚本、程序及文件。 AppLocker的使用简单快捷，只要在“运行”中输入gpedit.msc打开组策略编辑器，如图1所示，定位到应用程序控制，在“可执行程序规则”、“安装程序规则”、“脚本规则”上分别右键，创建默认规则，即可。

　　2.3 改进的BitLocker [1]

　　虽然在Vista系统中就已经有BitLocker这项功能，由于其使用的局限性如台式机不需要，只能加密所有分区等，导致利用率低。但是在 Windows 7中 这一功能得到较好的补充和完善。新的BitLocker不但能对系统各个分区单独加密还可以对移动硬盘进行加密。如图1-2所示， 我们只需要在控制面板中打开系统和安全下的BitLocker ，选择我们需要加密的系统分区或者移动硬盘，直接点击启用 BitLocker即可。而且BitLocker密钥可存储在磁盘、USB盘，甚至可以打印出来，也可通过组策略自动生成并保存于Active Directory中。