从XP向Win7迁移的必要性与可行性探讨

实际案例

1个月之前有一家大企业的信息安全主管紧急“召见”笔者，因为恶意软件造成的安全威胁已经开始直接影响他们企业的竞争优势，他们想了解微软如何解决这样的问题。

他的团队“偶然”发现公司的共享文件服务器上多了一个压缩文件包，而这个文件包里竟然是新产品的全套研发图纸。这让所有公司主管大为震惊，是什么力量可以让如此高密级的信息轻而易举地出现在公共服务器上？后来经过调查发现，这是某个具有高密级访问权限的用户机器受恶意软件的控制，恶意软件冒用该用户的特权，有目的地收集相关的高价值信息发布到只需要一般级别就能访问的服务器上。

这次未遂的泄密事件暴露出来的问题不是恶意软件本身，而是恶意软件可以轻松冒用宿主机器上的用户权限，进行各种非法操作。

解决方案

这种安全威胁其实在很多公司都存在，区别只是看它带来的后果有多严重而已。Windows 7的新一代UAC功能可以较好地解决该问题。

笔者能够理解，部署5万台级别客户端的系统升级对于一个企业的IT管理者意味着什么。但是显然，在特定情况发生以后，Windows 7的一个安全功能就可以完全战胜用户所有的其他疑虑。

从Windows Vista开始，UAC的开发和演变一直在不停地进步。到Windows 7，它已经是非常重要的安全功能。UAC为广大的个人电脑用户提供了应对恶意软件和不明可执行文件的第一道防线。

当企业管理者看到这样的位置程序提示时，往往很轻易
就让其继续运行了，殊不知危险就是从这里开始。

Windows Vista出现以后，UAC为人诟病的地方就是太多的进程需要用户干预，很多用户对UAC动辄弹出的窗口“恨之入骨”。但是，当大家体验使用Windows 7时就会发现，UAC出现的机会大幅度减少了。这不是微软在改进Windows 7 UAC功能的时候进行了妥协，而是经过2年的时间，整个第三方软件的开发习惯开始改变。很多程序员发现，原来他们的程序并不需要那么多的系统特权就可以顺利地执行。于是绝大多数主流程序供应商开始仔细审视，自己开发的应用程序到底需要什么层面的系统权限进行安装和执行。

这对于终用户而言确实是个好消息，意味着更多有责任感的软件企业开始尊重用户的权利，他们开始注意适当的使用用户系统的权限而不是“权限越大越好”，虽然后者对于应用程序开发者容易得多，而对于终用户来说，每个使用高权限运行的程序都将带来极大的安全隐患。相关的调查表明，在Windows Vista发布的时候，全世界有775,312个软件或者软件的进程需要UAC的干预，而在Windows 7发布的时候，这一数字减少到168,149个。

UAC控制是Windows 7中的第一道防线，保护企业用户的信息安全

作为企业IT管理人员，UAC带来的便利是不言而喻的，尤其是对于管理力量相对薄弱，难以完全控制终端用户状态，或者只有有限管理权限以及迫切需要平衡安全性与员工生产力的企业IT管理人员，UAC的出现可以非常有效地避免一些人为错误和恶意软件、病毒软件对系统控制权的轻易获得，从而减少用户受到侵害的机会，降低IT技术支持的工作量。

当然，谈到信息安全，UAC绝对不是能解决一切问题的“终极武器”。信息安全是个跨学科的复杂课题，涉及到管理、技术、人员和流程等多个方面，UAC提供了信息安全管理的有力手段而不是包治百病的良药。在Windows 7中，UAC的功能是可以控制的，这是为了给一些技术熟练的终端用户提供方便的操作，并且尽量降低因安全性提升带来的工作效率影响；同时，在企业环境里，系统管理员是可以通过组策略来限制终端用户对UAC设置的变更。