1、操作系统安全操作系统安全 第七章第七章 Windows 操作系统安全技术操作系统安全技术计算机科学与工程系 第七章第七章 Windows 操作系统安全技术操作系统安全技术7.1 身份验证身份验证7.2 访问的安全控制访问的安全控制7.3 注册表安全注册表安全7.4 域管理机制域管理机制7.5 文件系统安全文件系统安全7.6 安全设置安全设置7.7 日志日志7.8 服务包与补丁包更新服务包与补丁包更新7.9 Windows 7安全机制十大革新安全机制十大革新计算机科学与工程系7.1 身份验证身份验证7.1.1 基本概念基本概念1 用户账户用户账户(Account)所谓用户账户,是计算机使用者的身
2、份标识。每一个所谓用户账户,是计算机使用者的身份标识。每一个使用计算机的人,必须凭借他的用户账户才能进入计算机,使用计算机的人,必须凭借他的用户账户才能进入计算机,进而访问计算机中的资源。进而访问计算机中的资源。用户账户有两种基本类型:本地用户账户和全局用户账户(域用户用户账户有两种基本类型:本地用户账户和全局用户账户(域用户账户)账户)(1)本地用户账户创建于网络客户机,它的作用范围仅)本地用户账户创建于网络客户机,它的作用范围仅仅限于创建它的计算机,用于控制用户对该计算机上资源仅限于创建它的计算机,用于控制用户对该计算机上资源的访问。的访问。(2)域用户账户创建于服务器(域控制器),可以在
3、网)域用户账户创建于服务器(域控制器),可以在网络中任何计算机上登录,使用范围是整个网络。络中任何计算机上登录,使用范围是整个网络。计算机科学与工程系7.1 身份验证身份验证Windows系统常用的内置账户:系统常用的内置账户:(1)Guest:来宾账户。(2)Administrator:系统管理员账户,具有最高权限。2 组组(Group)组是一组相关账号的集合,即用户账户的一种容器,提供了为一组用户同时设定权利和权限的可能。使用组的目的:简化对网络的管理,通过组可以一次性地为一批用户授予一定的权利和权限。计算机科学与工程系7.1 身份验证身份验证Windows系统中的组有三种基本类型:系统中
4、的组有三种基本类型:本地组本地组 全局组全局组 特别组特别组计算机科学与工程系计算机科学与工程系本地组本地组(1)本地组(工作组网络环境的组)用于创建网络客户机,控制对所创建的计算机资源的访问。它的成员是用户账户和全局组,它在一个本地的系统或者域中进行维护。本地组只有在创建它的本地系统或者域中才能实现对许可权和权限的管理。计算机科学与工程系全局组全局组(2)全局组(域环境中的组)用于创建服务器(域控制器),控制对域资源的访问。系统管理员可以利用全局组有效地将用户按他们的需要进行安排。Windows系统提供了三类全局组:1)管理员组(Domain Admins)2)用户组 (Domain Use
5、rs)3)域客人组(Domain Guests)计算机科学与工程系(3)特别组 Windows系统为了特定的目的创建了特别组。通过用户访问系统资源的方式来决定用户是否具有特别组的成员资格,特别组不可以通过用户管理器为其增加新成员,同时它也不可以被浏览和修改。Windows系统提供的的特别组如下:1)System:Windows操作系统 2)Creator owner:创建对对象拥有所有权的用户 3)Interactive:以交互的方式在本地系统登录入网的所有用户 4)Network:系统中所有通过网络连接的用户 5)Everyone:登录上网的系统中的所有用户(包括Interactive和Ne
6、twork组)需要注意的是,在特别组中,所有登录账户都是Everyone组的成员特别组特别组计算机科学与工程系计算机科学与工程系1)用户账户的管理从安全角度考虑,应注意如下几点:(1)要保证用户不会从隶属于的组中获得超过其任务要求的额外权限,同时用户隶属于的组能满足它的任务要求。(2)图7-2为Windows 2000/XP系统中用户属性对话框的“配置文件标签”对话框,一个登录脚本可以被分配给一个或者多个用户组账户,脚本文件一般是可执行文件(扩展名为.exe)或者是批处理文件(扩展名为.cmd或者.bat)。若设置了登录脚本,则系统在每次登录的时候都会运行此脚本。7.1.2 账户安全管理账户安
7、全管理计算机科学与工程系2)系统管理员账户的管理 在安装Windows系统时系统管理员账户自动产生,该账户不会因为多次登录失败而被锁住,它不能被删除,但可以更名。(1)系统管理员口令设置)系统管理员口令设置 为了使对系统的野蛮攻击和猜测变得更加困难,应该选择随即的、可打印的并且大小写混合的字符串来设置系统管理员,尤其是系统域管理员(主域控制器的系统管理员)的口令。其他服务器的管理员应采用与域控制器中管理员不同的密码,以便更安全的保证域的绝对管理权限。(2)系统管理员账户安全管理)系统管理员账户安全管理 新建一个拥有域级系统管理员权限的用户再将系统管理员的权限设置为最低或更换管理员账户名是保护系
8、统管理员账户的常用措施。7.1.2 账户安全管理账户安全管理计算机科学与工程系7.1.2 账户安全管理账户安全管理3)组的安全管理措施如下:组的安全管理措施如下:(1)本地一般用户组的成员在不扩大其访问权限的条件下可以产生它们自己的用户组;(2)应该清楚用户组的成员设置是否得当,要对其进行仔细的观察;(3)为了使具有相同安全策略的用户组在登录时间、密码和权限等方面保持一致,可以用组将其组织在一起;(4)由于域控制器的复制组复制的数据库是安全性数据库,所以不能将全局组用户或者本地一般用户组加入到复制组中;(5)Domain Guests组和Guests组与普通用户组一样,其中的成员决定其运作方式
9、,与Guests帐号具有独特的性质不一样。计算机科学与工程系7.1.3 Windows身份验证身份验证7.1.3 Windows身份验证身份验证 要使用户和系统之间建立联系,本地用户必须请求本地登录进行身份验证,远程用户必须请求远程登录进行身份验证。Windows远程登录身份验证经过如下阶段 SMB验证协议 LM验证机制 NTLM验证机制 Kerberos验证体系计算机科学与工程系用户请求访问用户请求访问登录前,客户端计算机缓存密码的哈希值并放弃密码。客户端向服务器发送一个请求,该请求包括用户名以及纯文本格式的请求。服务器发送质询消息服务器发送质询消息服务器生成一个称为质询的 16 字节随机数
10、(即 NONCE),并将它发送到客户端。客户端发送应答消息客户端发送应答消息客户端使用由用户的密码生成的一个密码哈希值来加密服务器发送的质询。它以应答的形式将这个加密的质询发回到服务器。服务器将质询和应答发送到域控制器服务器将质询和应答发送到域控制器服务器将用户名、原始质询以及应答从客户端计算机发送到域控制器。域控制器比较质询和应答以对用户进行身份验证域控制器比较质询和应答以对用户进行身份验证域控制器获取该用户的密码哈希值,然后使用该哈希值对原始质询进行加密。接下来,域控制器将加密的质询与客户端计算机的应答进行比较。如果匹配,域控制器则发送该用户已经过身份验证的服务器确认。服务器向客户端发送应
11、答服务器向客户端发送应答假定凭据有效,服务器授予对所请求的服务或资源的客户端访问权。NTLM身份验证过程身份验证过程计算机科学与工程系计算机科学与工程系7.2 访问的安全控制访问的安全控制Windows访问控制由与每个进程相关的访问令牌和每个对象相关的安全描述符两个实体管理。7.2.1 基本概念基本概念1 安全标识符(Security Identifiers)SID也就是安全标识符,是标识用户、组和计算机账户的唯一的号码。其实Windows系统是按SID来区别用户的,不是按用户的用户账户名称,所以建立一个账户A,然后删除后马上再重建一个用户A其实是两个账户。计算机科学与工程系计算机科学与工程系
12、7.2.1 基本概念基本概念2 安全描述符安全描述符(Security Descriptors)安全描述符是 Windows 创建对象时所基于结构的一个主要部分,它包含了安全对象相关的安全信息,这意味着 Windows可识别的每一个对象(可以是文件对象、注册表键、网络共享、互斥量、信号灯、进程、线程、令牌、硬件、服务、驱动.)都可以保证其安全。一个安全描述符包含下面的安全信息:(1)拥有者或基本组对象的安全)拥有者或基本组对象的安全ID(SID)(2)DACL指定特殊用户或组的允许或拒绝的访问权限指定特殊用户或组的允许或拒绝的访问权限(3)SACL指定对象通用评估记录尝试的访问类型指定对象通用
13、评估记录尝试的访问类型(4)一个控制位集合,说明安全描述符的含义或它每个成员)一个控制位集合,说明安全描述符的含义或它每个成员计算机科学与工程系计算机科学与工程系7.2.1 基本概念基本概念3 访问令牌访问令牌(Access Tokens)访问令牌由用户的SID 用户所属组的SID和用户名组成。登录时,系统通过比较密码与安全数据库中存储的信息来验证密码。如果密码得到认证,则系统产生访问令牌。令牌是一个数据结构,用于由所有该用户激活的进程和线程。计算机科学与工程系计算机科学与工程系7.2.1 基本概念基本概念4 访问控制列表访问控制列表(Access Control Lists)一个系统通过访问
14、控制列表(ACL)来判断用户对资源的何种程度的访问。ACL由零个或多个ACE(Access Control Entries)组成,一个ACE包括一个SID和该SID可访问资源的描述,ACL分为自由访问控制列表(Discretionary ACL)系统访问控制列表(System ACL)DACL包括户和组的列表,以及相应的权限,允许或是拒绝,用来确定对资源的访问权限。SACL则用来确定安全资源的审核策略,包含了对象被访问的时间。5 访问控制项访问控制项(Access Control Entries)访问控制项由对象的权限以及用户或者组的SID组成。ACE分为允许访问和拒绝访问。允许访问的级别低于
15、拒绝访问。计算机科学与工程系7.2.2 Windows安全子系统安全子系统7.2.2 Windows安全子系统计算机科学与工程系(1)Winlogon Windows登录服务。是系统启动自动启动的一个程序,是整个登录过程的司令官,监视整个登录的过程,同时加载GINA。(2)Graphical Identification and Authentication DLL(GINA):图形化标识和验证:图形化标识和验证 提供一个为用户登录提供验证请求的交互式界面,被开发成独立的模块。比如说要采用指纹登录的方式,厂商开发指纹认证的接口就可以了。默认是Msgina.dll。GINA调用LSA。(3)Lo
16、cal Security Authority(LSA):本地安全授权:本地安全授权 是安全子系统的核心,它的作用就是加载认证包,管理域间的信任关系。(4)Security Support Provider Interface(SSPI):安全支持:安全支持提供者接口提供者接口 微软的SSPI很简单地遵循RFC 2743和RFC 2744的定义,提供一些安全服务的API,为应用程序和服务提供请求安全的验证连接的方法。7.2.2 Windows安全子系统安全子系统计算机科学与工程系(5)Authentication Packages:验证包:验证包 通过GINA DLL的可信验证后,返回用户的SI
17、D给LSA,然后将其放在用户的访问令牌中。验证包还可以为真实用户提供验证。(6)Security support providers:安全支持提供者:安全支持提供者 实现一些附加的安全机制,安装时以驱动的形式安装。默认情况下有Msnsspc.dll(微软网络挑战/反应认证模块)、Msapsspc.dll(分布式密码认证挑战/反应模块)、Schannel.dll(证书模块)三种。(7)Netlogon Service:网络登录服务:网络登录服务 是域登录的时候所使用到的,建立安全通道,前面的用户名密码在通道里是加密传输的。(8)Security Account Manager(SAM):安全账户
18、管理:安全账户管理者。者。是一个数据库,用来保存用户账号和口令。7.2.2 Windows安全子系统安全子系统计算机科学与工程系计算机科学与工程系计算机科学与工程系计算机科学与工程系计算机科学与工程系7.2.3 访问控制访问控制Windows 2000的访问控制过程图 计算机科学与工程系7.3 注册表安全注册表安全注册表是Windows的内部数据库,集中存储各种信息资源(用户、应用程序、硬件、网络协议和操作系统信息),它直接控制Windows的启动、应用程序的运行及硬件驱动程序的装载,Windows操作系统和程序运转的几乎所有的关键信息都记录在注册表中。计算机科学与工程系7.3.1 注册表的键
19、及其键值注册表的键及其键值注册表采用键和键值来管理具体的数据信息 计算机科学与工程系7.3.2 注册表的结构注册表的结构注册表是一个庞大的数据库,它的数据结构由以下5个子树组成:(1)HKEY_CLASSES_ROOT:管理系统中所有数据文件,包含所有文件扩展和所有执行文件相关的文件。(2)HKEY_CURRENT_USER:管理系统当前登录上网的用户的信息,包含用户登录用户名和暂存的密码。(3)HKEY_LOCAL_MACHINE:管理当前操作系统配置,包含本地系统一些重要信息。一般保存本地计算机硬件配置数据和常用的软件信息。(4)HKEY_USERS:管理系统的所有登录入网的用户的信息,包
20、含用户的设置和配置信息。(5)HKEY_CURRENT_CONFIG:管理当前硬件配置。计算机科学与工程系7.3.3 注册表的安全管理注册表的安全管理在Windows系统中,对于注册表的安全管理大致可以分为 设置注册表文件的访问权限 注册表的审核两种方法计算机科学与工程系1)设置注册表文件的访问权限)设置注册表文件的访问权限 注册表的安全级别在默认情况下是比较高的。对于整个注册表而言,管理员具有完全访问的权限,其他用户只拥有与自己账户相关的权限。对拥有适当权限的一些用户可以指派特权 7.3.3 注册表的安全管理注册表的安全管理计算机科学与工程系2)注册表的审核 通过审核管理员可以查看曾对注册表
21、进行编辑过的用户,以及该用户是在本地进行编辑的还是从远程位置上进行编辑的,即可以跟踪那些对注册表项的有关操作。激活审核机制的基本操作步骤如下:1)选择“开始”-“运行”,在“运行”对话框中输入regedit.exe命令,打开注册表编辑器 2)若希望对某项进行审核机制的设置,在对应项上右击,选择“权限”,打开对应项的权限对话框 7.3.3 注册表的安全管理注册表的安全管理计算机科学与工程系7.3.3 注册表的安全管理注册表的安全管理计算机科学与工程系单击“添加”,系统将打开“选择用户或组”对话框 7.3.3 注册表的安全管理注册表的安全管理计算机科学与工程系7.3.3 注册表的安全管理注册表的安
22、全管理审核事件审核事件审核事件说明说明查询数值查询数值审核任何试图从注册表子键分支中读取键值项数据的操作设置数值设置数值审核任何试图从注册表中设定键值项数据的操作枚举数值枚举数值审核试图标识注册表中的子键的事件通知通知审核来自注册表键的通知事件创建链接创建链接审核试图在特定子键中创建符号链接的事件写入写入DAC审核用户访问子键写入任意ACI(安全权限)页获得访问权的事件读取控制读取控制审核用户访问子键的安全权限删除删除审核删除注册表对象的事件计算机科学与工程系7.3.3 注册表的安全管理注册表的安全管理注册表编辑器的限制使用通过设置注册表中的键:“HKEY_CURRENT_USERSoftwa
23、reMicrosoftWindowsCurrent VersionPoliciesSystemDisableRegistryTools”项中的REG_DWORD型的值为1,来使注册表编辑器无法运行 计算机科学与工程系7.3.3 注册表的安全管理注册表的安全管理计算机科学与工程系7.4 域管理机制域管理机制当共享计算机和用户数量较多时,Windows域可对其实现高效管理。域(Domain)是集中管理所有用户的权限以及设定如何登录到文件服务器上的共享个人电脑。Windows 系统的域之间可以建立信任关系来进行相互访问。当两个域之间的信任关系建立之后,两个域之间可以实现网络资源的共享与管理 计算机科
24、学与工程系域控制器域控制器 域控制器包含了完整的域目录的信息。为了保证活动目录的及时更新及不会出现相互覆盖的现象,域控制器间的同步采用了先进的多主复制的技术(USN)。(1)活动目录简介)活动目录简介 活动目录(Active Directory)存储了有关网络对象的信息,并让用户和管理员能够轻松地查找和使用这些信息。它采用了一种结构化的数据存储方式,并以此作为基础对目录信息进行合乎逻辑的分层组织。Microsoft Active Directory 服务为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段,是Windows 平台的核心组件。活动目录包括目录和与目录相关服务两个方面:1
25、)目录:用来存储各种对象的一个物理上的容器2)与目录相关服务:是使目录中所以资源和信息发挥作用的服务计算机科学与工程系计算机科学与工程系计算机科学与工程系计算机科学与工程系计算机科学与工程系域控制器域控制器Windows系统提供的基本域功能(1)管理域控制器集中管理用户对网络的访问,如登录、验证、访问目录和共享资源。(2)资源共享(3)安全性(4)可冗余性(5)可扩展性计算机科学与工程系计算机科学与工程系计算机科学与工程系7.5 文件系统安全文件系统安全7.5.1 文件系统类型文件系统类型 FAT16 FAT16是是Microsoft较早推出的文件系统,具有高度兼容性。一较早推出的文件系统,具
26、有高度兼容性。一般被用于般被用于Windows 95或早期系统上。或早期系统上。FAT16使用使用16位的空间位的空间来表示每个扇区配置文件的情形,磁盘分区最大达到来表示每个扇区配置文件的情形,磁盘分区最大达到2GB。但。但FAT16文件系统存在使用簇的大小不恰当的严重缺点。文件系统存在使用簇的大小不恰当的严重缺点。FAT32 FAT32提供了比提供了比FAT16更为先进的文件管理特征,可以支持的更为先进的文件管理特征,可以支持的磁盘大小达到磁盘大小达到2TB,采用了更小的簇,可以更有效率地保存信,采用了更小的簇,可以更有效率地保存信息。息。FAT32分区的启动记录被包含在一个含有关键数据的结
27、构分区的启动记录被包含在一个含有关键数据的结构中,减少了计算机系统崩溃的可能性。中,减少了计算机系统崩溃的可能性。NTFS 微软重点推荐的微软重点推荐的NTFS文件系统伴随文件系统伴随windows NT的产生而出现的产生而出现和发展的,提供了和发展的,提供了FAT16和和FAT32文件系统所没有的可靠性和文件系统所没有的可靠性和兼容性,提供了服务器或工作站所需的安全保障。兼容性,提供了服务器或工作站所需的安全保障。NTFS分区分区上,支持随机访问控制和拥有权,对共享文件夹无论采用上,支持随机访问控制和拥有权,对共享文件夹无论采用FAT还是还是NTFS文件系统都可以指定权限,以免受到本地访问或
28、远文件系统都可以指定权限,以免受到本地访问或远程访问的影响。程访问的影响。计算机科学与工程系表表7-2 NTFS的权限的权限NTFS权限权限基于目录基于目录基于文件基于文件写入(W)添加文件和目录,改变一个属性以及显示所有者和权限显示所有者和权限,改变文件的属性,在文件内加入数据读取(R)显示目录名、属性、所有者及权限显示文件数据、属性、所有者及权限删除(D)可删除目录可删除文件执行(X)显示属性,可进入目录中的目录,显示所有者和权限显示文件属性、所有者和权限,如果是可执行文件,可运行取得所有权(O)取得目录的所有权取得文件的所有权改变权限(P)改变目录的权限改变文件的权限计算机科学与工程系7
29、.5 文件系统安全文件系统安全文件系统的安全由三个基本部分组成 目录权限 共享权限 审计计算机科学与工程系7.5 文件系统安全文件系统安全1)目录权限由于目录权限最终要授予给某个用户或者组,因此目录权限又称为用户权限。文件不能设置共享访问权限,但可以通过系统资源浏览器设置本地访问权限。当一个文件从同一NTFS分区下的一个目录移动到另一目录时,文件将保留原有的权限;当一个文件在两个不同的NTFS分区间复制或移动时,此文件将继承目标目录的权限,即获得新目录的权限。计算机科学与工程系7.5 文件系统安全文件系统安全2)共享权限远程访问文件或者目录是通过共享权限来实现的,即远程用户通过共享访问网络访问
30、点中的文件,但用户对共享所获得的最终访问权限取决于共享的权限设置。共享权限的设置如下:(1)在Windows资源管理器中打开“我的文档”,单击要进行共享的文件夹(2)在“文件与文件夹任务”栏中单击“共享该文件夹”(3)在“属性”对话框中,选中“共享该文件夹”单选框,以便与网络上的其它用户共享文件夹。(4)单击“权限”按钮,在弹出的对话框中进一步设置共享权限共享权限的应用与在NTFS上的应用类似,但共享权限只能分配完全控制、更改、读取和不可访问的权限。计算机科学与工程系7.5 文件系统安全文件系统安全3)审计系统管理员通过审核文件和目录跟踪目录和文件的使用情况,便于引导用户进行正确的操作,也能够
31、使系统管理员及时发现可能存在的安全隐患和安全威胁。在对文件或访问对象设置审核策略后才能审核文件或目录,设置审核策略的基本操作步骤如下:(1)在域管理器的“规则”菜单下选择“审核”,打开“审核规则”对话框(2)在打开的对话框中设置审核的对象,完成规则设置后,在文件或目录的属性对话框中便可进行进一步的审计设置。计算机科学与工程系7.6 安全设置安全设置为了使现有的流行的Windows系统更加安全,以Windows 2000/XP为例,可采取以下措施:1.不要使用Ghost版的Windows XP系统 若使用此系统,默认情况下远程终端服务自动被开启,并且弱口令形式的new账号存在,黑客利用两者很容易
32、,导致计算机存在安全隐患,极有可能被入侵。2.设置系统登录密码3.系统盘选用NTFS格式4.安装或启动内置防火墙5.关掉Guest帐号和删除不必要的用户6.把系统Administrator帐号改名7.关闭默认共享8.设置自动下载安装补丁计算机科学与工程系7.7 日志日志Windows NT日志系统日志系统 Windows NT的日志文件一般分为三类:的日志文件一般分为三类:(1)系统日志:跟踪各种各样的系统事件,记录由 Windows NT 的系统组件产生的事件。例如,在启动过程加载驱动程序错误或其它系统组件的失败记录在系统日志中。(2)应用程序日志:记录由应用程序或系统程序产生的事件,比如应
33、用程序产生的装载dll(动态链接库)失败的信息将出现在日志中。(3)安全日志:记录登录上网、下网、改变访问权限以及系统启动和关闭等事件以及与创建、打开或删除文件等资源使用相关联的事件。利用系统的“事件管理器”可以指定在安全日志中记录需要记录的事件,安全日志的默认状态是关闭的。计算机科学与工程系7.7 日志日志Windows 2000日志系统与Windows NT一样,Windows 2000中也一样使用“事件查看器”来管理日志系统,也同样需要用系统管理员身份进入系统后方可进行操作。在Windows 2000中,日志文件的类型比较多,通常有应用程序日志,安全日志、系统日志、DNS服务器日志、FT
34、P日志、WWW日志等等,可能会根据服务器所开启的 服务不同而略有变化。启动Windows 2000时,事件日志服务会自动启动,所有用户都可以查看“应用程序日志”,但是只有系统管理员才能访问“安全日志”和“系统日志”。系统默认的情况下会 关闭“安全日志”,但我们可以使用“组策略”来启用“安全日志”开始记录。安全日志一旦开启,就会无限制的记录下去,直到装满时停止运行。计算机科学与工程系 Windows 7安全机制十大革新安全机制十大革新DirectAccess DirectAccess提供内网直接访问功能,即外网的用户可以不建提供内网直接访问功能,即外网的用户可以不建立立VPN(虚拟专用网络)连接
35、,而从(虚拟专用网络)连接,而从Internet高速、安全的直接高速、安全的直接访问企业网络!访问企业网络!AppLocker AppLocker即应用程序控制策略,允许管理员对用户可以安装即应用程序控制策略,允许管理员对用户可以安装和使用的应用程序版本进行控制。和使用的应用程序版本进行控制。改进的改进的BitLocker BitLocker在在Vista中只能加密所有分区,而在中只能加密所有分区,而在Windows 7中改中改进了进了BitLocker,使它能够对移动硬盘进行加密。,使它能够对移动硬盘进行加密。Action Center Action Center在原先在原先Vista系统中
36、的系统中的Security Center(安全中(安全中心)上进行了改进,不仅包含原先的安全设置,还包含了心)上进行了改进,不仅包含原先的安全设置,还包含了Windows Update、Backup等功能。等功能。PowerShell v2 PowerShell v2是一个基于是一个基于.net的命令行管理端,管理员可以通的命令行管理端,管理员可以通过命令行的形式管理多种设置。过命令行的形式管理多种设置。计算机科学与工程系 Windows 7安全机制十大革新安全机制十大革新UAC(用户帐户控制)的改变(用户帐户控制)的改变UAC为更好的保护系统在Vista中首次引入,不论管理员帐户还是标准帐户
37、都以标准帐户权限运行,导致很多用户将其关闭。Windows 7在原先UAC的基础上,引入了 UAC 的 PA 帐户可以运行的两种新模式,以及某些内置 Windows 组件的自动提升机制。Windows Filtering Platform(WFP)WFP即Windows过滤平台,可以在开发的软件中嵌入防火墙。Biometric安全特性安全特性Biometric是Windows 7提供的新安全功能,可以在控制面板中找到,提供指纹识别功能。Internet Explorer 8Windows 7所带的浏览器是IE8,IE8提供加速器、网页节选、在线搜索匹配项等功能。DNSSECDNSSEC可使 Windows 7计算机验证 DNS 服务器的身份。
