从XP向Win7迁移的必要性与可行性探讨

如果把IT管理与上述的矛盾和机遇理解成一场武林高手的博弈，那么
Windows 7 的出现无疑让IT管理人员拥有了一件克敌制胜的神兵利器，而本文将尽量从一个IT管理者的角度来分析升级到Windows 7给企业IT管理带来的方便、收益乃至深远影响。在开始，我想先谈谈安全性的话题。

MC特约专家 金海龙 微软(中国)有限公司信息技术部IT经理

“他强由他强，清风拂山冈，他横任他横，明月照大江。”当笔者写作“从Windows XP向Windows 7迁移的必要性探讨”这个题目时，第一时间想到的竟然是金庸先生《倚天屠龙记》中的这一段描写。以现在企业IT的生存状态，有多少同仁面对千疮百孔的基础结构，不断增长的用户需求以及日益严峻的来自内部、外部有关预算、管理、客户满意度和信息安全的挑战，每日疲于奔命而无暇顾及如何细化IT管理。如何借助Windows 7的新技术帮助企业提高生产力，如何体现IT管理者的价值以及如何提升IT管理者的地位，相信是CIO们都很头疼的问题。

UAC：企业的第一道安全防护策略

提到Windows的安全性，有人会皱着眉头的说“Windows的安全特性和它的安全漏洞一样多，甚至后者更多些”。作为微软内部IT管理者的一员，我更愿意这样回答：“每一个安全特性的出现，都是为了防范已知的和潜在的安全威胁，信息技术的进步不断带来新的信息安全挑战，也正是这些挑战不断地推动技术的进步”。Windows 7里的诸多安全特性也是应用户广泛的实际需求而开发的。

说到Windows 7的安全特性，不能不提UAC(User Account Control)：用户账户控制。使用Windows XP的用户都知道，绝大多数用户(包括很多企业用户在内)，为了获得对系统的控制权和方便对系统进行维护，经常放弃安全性而选择使用管理员账号或者带有管理员权限的账号作为日常的工作账号。这种不被微软和绝大多数安全专家推荐的操作方式目前其实相当普遍，已经带来了巨大的安全隐患。为什么有些充满瑕疵并不高明的恶意软件和病毒程序可以在Windows XP系统上肆无忌惮地横行？唾手可得的用户管理员权限是主要原因。我的一次实际经历也许可以说明一些问题。

实际案例

1个月之前有一家大企业的信息安全主管紧急“召见”笔者，因为恶意软件造成的安全威胁已经开始直接影响他们企业的竞争优势，他们想了解微软如何解决这样的问题。

他的团队“偶然”发现公司的共享文件服务器上多了一个压缩文件包，而这个文件包里竟然是新产品的全套研发图纸。这让所有公司主管大为震惊，是什么力量可以让如此高密级的信息轻而易举地出现在公共服务器上？后来经过调查发现，这是某个具有高密级访问权限的用户机器受恶意软件的控制，恶意软件冒用该用户的特权，有目的地收集相关的高价值信息发布到只需要一般级别就能访问的服务器上。

这次未遂的泄密事件暴露出来的问题不是恶意软件本身，而是恶意软件可以轻松冒用宿主机器上的用户权限，进行各种非法操作。

解决方案

这种安全威胁其实在很多公司都存在，区别只是看它带来的后果有多严重而已。Windows 7的新一代UAC功能可以较好地解决该问题。

笔者能够理解，部署5万台级别客户端的系统升级对于一个企业的IT管理者意味着什么。但是显然，在特定情况发生以后，Windows 7的一个安全功能就可以完全战胜用户所有的其他疑虑。

从Windows Vista开始，UAC的开发和演变一直在不停地进步。到Windows 7，它已经是非常重要的安全功能。UAC为广大的个人电脑用户提供了应对恶意软件和不明可执行文件的第一道防线。

当企业管理者看到这样的位置程序提示时，往往很轻易
就让其继续运行了，殊不知危险就是从这里开始。

Windows Vista出现以后，UAC为人诟病的地方就是太多的进程需要用户干预，很多用户对UAC动辄弹出的窗口“恨之入骨”。但是，当大家体验使用Windows 7时就会发现，UAC出现的机会大幅度减少了。这不是微软在改进Windows 7 UAC功能的时候进行了妥协，而是经过2年的时间，整个第三方软件的开发习惯开始改变。很多程序员发现，原来他们的程序并不需要那么多的系统特权就可以顺利地执行。于是绝大多数主流程序供应商开始仔细审视，自己开发的应用程序到底需要什么层面的系统权限进行安装和执行。

这对于终用户而言确实是个好消息，意味着更多有责任感的软件企业开始尊重用户的权利，他们开始注意适当的使用用户系统的权限而不是“权限越大越好”，虽然后者对于应用程序开发者容易得多，而对于终用户来说，每个使用高权限运行的程序都将带来极大的安全隐患。相关的调查表明，在Windows Vista发布的时候，全世界有775,312个软件或者软件的进程需要UAC的干预，而在Windows 7发布的时候，这一数字减少到168,149个。

UAC控制是Windows 7中的第一道防线，保护企业用户的信息安全

作为企业IT管理人员，UAC带来的便利是不言而喻的，尤其是对于管理力量相对薄弱，难以完全控制终端用户状态，或者只有有限管理权限以及迫切需要平衡安全性与员工生产力的企业IT管理人员，UAC的出现可以非常有效地避免一些人为错误和恶意软件、病毒软件对系统控制权的轻易获得，从而减少用户受到侵害的机会，降低IT技术支持的工作量。

当然，谈到信息安全，UAC绝对不是能解决一切问题的“终极武器”。信息安全是个跨学科的复杂课题，涉及到管理、技术、人员和流程等多个方面，UAC提供了信息安全管理的有力手段而不是包治百病的良药。在Windows 7中，UAC的功能是可以控制的，这是为了给一些技术熟练的终端用户提供方便的操作，并且尽量降低因安全性提升带来的工作效率影响；同时，在企业环境里，系统管理员是可以通过组策略来限制终端用户对UAC设置的变更。

AppLocker：应用程序的完美控制策略

如果说UAC杜绝了绝大多数非授权软件对管理员权限的“非法”获取，一定会有用户提出：“很多恶意软件是不需要管理员权限就可以运行的”。的确，有许多恶意软件可以通过一些普通权限来运行并且逐级地激发相关的应用，从而达到彻底控制计算机的目的，AppLocker的功能就是针对这种情况而设计的(该功能只存在于企业版和旗舰版的Windows 7中)。

在以Windows XP为终端操作平台的企业应用环境中，为了防止用户随便地安装、使用非标准的或者存在安全风险的软件，IT管理员费尽心机。即便是在使用了组策略(GPO)的活动目录(AD)管理环境下，因为缺乏终端策略的支持，制定、调整相关的组策略也是非常复杂的事情。有些管理员干脆禁掉了所有可能的动态链接库的使用，这无疑给普通用户的日常工作带来不便。用户时常抱怨IT管理者的苛刻政策导致公司的业务系统不能发挥大的效能。AppLocker就是针对这一管理挑战而设计的。

AppLocker的出现，可以给管理员带来巨大的方便。
允许安装什么程序、禁止什么通行，全部都可以掌控。

在典型的AD+GPO网络管理模式里，AppLocker的出现给管理员带来巨大的方便，通过组策略的制定，管理员可以轻松设定在用户终端上什么程序可以运行，什么程序不可以。较之从前的动辄封掉某个端口，AppLocker可以用类似“黑”“白”名单的方式来具体地允许或者禁止某一应用程序的执行。例如，您可以禁止某些P2P软件的使用而不妨碍其它合法P2P软件的网络访问，您可以给公司内部的流媒体大开绿灯而禁止用户访问公网上的视频网站……

在知识产权被日益重视的今天，AppLocker带给管理员的好处还包括对于用户滥用未授权软件的控制。宽带、无线、大容量存储以及移动计算的普及让用户获得软件和应用程序变得如此方便，新软件的层出不穷也让IT管理员们颇为头疼。一方面是业务部门日益强烈的有关解放生产力的呼声，一方面是严峻到四面楚歌的信息安全和符合规定的需求，IT管理员迫切需要一种可以完全控制用户桌面状态的手段，覆盖应用软件的安装、卸载、变更等整个生命周期。而AppLocker则在众多的“桌面管理软件小工具”之外提供了更为强大的，易于部署和维护的企业级解决方案。

对于管辖动辄成百上千台机器的管理员而言，在每台机器上种一个代理来管理桌面环境的时代已经带来管理上的噩梦，每一次重大的系统升级都是管理员不堪回首的经历。在AD+GPO的支持下，AppLocker在以万台终端计量的企业环境里，也能对用户应用程序状态进行精确控制，其带来的便利、灵活性以及对于任何严酷的审计审查、合规要求都是管理员梦寐以求的，从这种意义上讲，它已经解脱了管理员至少10%的客户端系统维护时间。

后记

本文对于UAC和AppLocker的介绍仅仅是众多Windows 7安全管理功能中的一部分，在Windows 7里有诸多类似的针对企业应用环境的贴心设计，笔者会在后续的文章中选择具代表性和影响力的进行详细的阐述。各位读者请继续关注《微型计算机·PC OFFICE》栏目的相关介绍。