现在是各种机构广泛应用windows7系统的时候了，但是信息安全经理们却对此不持积极的态度，他们原本期盼的微软最新客户端操作系统的安全特性很可能会表现得不尽人意。

　　在Gartner的安全与风险管理峰会上，Gartner的副总裁兼研究员Neil MacDonald告诉与会者，与曾经辉煌一时的XP系统和被喻为是“灾难”的Vista系统相比，Windows7的安全特性使计算机的操作系统得到了一个明显的改善，但是，Windows 7的一些受到大力宣传的安全特性却需要支付额外的费用，并需要和微软的其他产品配合起来才能正常的运行。

　　例如，一些高端的安全特性（如 AppLocker、BitLocker、BitLocker to Go和DirectAccess） 不仅需要安装更昂贵的Windows 7企业版，还要求有企业保证（Enterprise Assurance）或软件保证维护（Software Assurance maintenance）计划。可是，这些特性又不能和惠普和戴尔公司出售的已预先配置好的PC机相兼容。

　　MacDonald说，一些机构已经试着通过购买和企业版具有相同安全性能的Windows 7 终极版（Ultimate）来突破这一局限。尽管Windows 7 终极版本身比Windows 7更贵，但因为不需要再购买维护计划，所以Ultimate 版可以为每个用户节约100美元。但是，这种方法同样也有其弊端。

　　MacDonald表示，“终极版是一种正式的针对用户的版本，并且附带着一个用户SKU，这就意味着它只提供普通用户水平的支持；而且使用Ultimate版本的用户享受支持和安全补丁的时限由10年变成了5年。由于不能批量的激活许可证，用户只能手动激活每个版本。”

　　Windows 7的每个安全特性也有其优缺点。ApperLoker是微软极力宣传的一款应用程序控制或白名单技术，其目的是更容易的限制用户可以安装的应用程序列表。不过MacDonald却说，这只是一个管理该列表的技巧而已。

　　MacDonald说道：“有的用户在运行一个程序时出现异常，就会向服务台打电话寻求帮助，因为程序总要更新，所以很快这个白名单上的支持和服务就变成了累赘。”

　　他补充说：“一项类似的功能已经能够克服XP系统和 AppLocker的缺点（如没有内置的软件分发机制，不要求客户对他们的很多应用程序进行数字签名等）。这些缺点使得微软的产品不如来自第三方供应商的产品，如赛门铁克公司的Altiris团队和LANDesk Software。

　　MacDonald对另一项关键的安全技术升级给予了肯定态度，即微软的BitLocker全磁盘加密特性。该特性首次在Windows Vistaa推出，Windows 7也把它包含了进来，并提供了几项显著改善，如更广泛的密码字符支持、更智能的数据访问驱动器和一个只有100 MB的启动分区（而Vista系统需要1GB）。

　　不过，BitLocker的缺点仍旧很明显，如伪双登录（先PIN，后证书）的用户，即一个复杂的检索程序。如果用户忘记他们的PIN，BitLocker将不支持XP系统下的恢复。

　　同样，在Windows 7系统中全新的BitLocker to Go特性能为可移动驱动器和USB存储设备提供数据加密。MacDonald表示，它可以为Windows XP SP2和更高版本的操作系统提供后端只读支持，它也是由曾经建立BitLocker的同一团队开发的。但它目前不支持光驱，缺乏与Windows Mobile和非Windows平台的整合，也不能进行数据泄露保护（DLP），只能对敏感数据进行加密，而忽视了非敏感数据。MacDonald说，“这不是一个明智的数据加密解决方案。你输入的所有东西都将被加密，这会为政策的制定带来诸多不便。”

　　Windows 7内置的针对VPN客户端的DirectAccess特性，对外宣传是一个“很酷的”特性。但MacDonald表示，即便承诺将为客户提供补丁的下载和病毒库更新，但对于一个公司而言，必须拥有Windows2008 R2的服务器才能够实现。它所使用的IPv6互联网协议也使其配置起来很困难。MacDonald指出，“我们还有其它的选择可以加快远程无线访问技术的到来。”

　　在此次安全与风险管理峰会上，与会的Koch商业解决方案公司的网络安全经理 Mike McElravy表示，他所在的公司正在测试Windows 7，到今年年底公司每名员工都将使用Windows 7操作系统。他表示，他对Windows 7 的安全性能并没有留下什么深刻的印象（特别是对BitLocker），他的公司将会考虑采用其他厂商的白名单技术。

　　虽然微软已经在Windows 7上加入了很多全新的功能，但McElravy表示，他们的工作并没有想象中的完美，在安全方面微软也落后于其他的厂商。

　　幸运的是，微软还有时间来处理这些由于Windows 7安全特性所引发的问题。MacDonald指出，微软将继续对Windows XP提供技术支持并更新补丁的下载，这将一直持续到2014年6月。这意味着，在未来的2、3年里，各个公司可以通过对硬件的更新慢慢地过渡到Windows 7操作系统。

　　MacDonald指出，在此期间有两件最重要的操作能够提高Windows客户端的安全：第一是将IE6升级到IE7、IE8、或使用火狐浏览器、谷歌浏览器；第二是确保管理员权限的安全，使之不会被其他的用户使用。

　　MacDonald说，“今天，你仍可以在Windows XP上开展工作。虽然你还不必依赖于Windows 7，但你可以把Windows 7看作一个催化剂，以此来加快系统安全性的提升。”