AppLocker——防范未授权的软件运行

　　在企业环境中，用户运行未授权的软件将会增加感染恶意软件的风险，同时带来更多的帮助次数，而且也可能感染更多企业的其它桌面系统，增加了IT人员的负担。对于企业网络环境，往往会存在大量的可用应用程序，因此IT管理员们需要功能强大的工具，来只允许功能强大的、授权的软件运行。

　　Windows 7提供了名为AppLocker的解决方案。AppLocker即所谓的“应用程序控制策略”，Windows 7通过提供AppLocker为企业用户提供了一种新的应用程序控制策略，使lT管理员通过这一灵活、易于使用的机制，来指定哪些应用程序才能够在用户桌面上运行。通过这一工具，lT管理员将能够实现应用程序安全性、可操作性，以及应用程序符合法规性的收益。

　　在实战中，利用AppLocker管理员可以非常方便地进行配置，以实现用户可在计算机上可运行哪些程序、安装哪些文件、运行哪些脚本。由于AppLocker是基于组策略管理和配置的，因此我们可以非常方便地将其部署到整个网络环境中，可谓一劳永逸。

　　打开组策略编辑器，依次定位到“计算机配置” →“Windows 设置”→“安全设置”→“应用程序控制”，可以看到AppLocker组策略配置项。

DirectAccess——增强的用户移动性和可管理性

　　企业可以通过结合使用Windows 7和Windows Server 2008当中的DirectAccess，来提高移动用户的工作效率，通过为这些用户提供任何时间、任何地点只要能连接到企业内部网络的VPN连接，便可确保用户的生产能力。而对于lT管理员而言，管理这些远程的桌面也变得更为简单，通过DirectAccess，IT管理员能够在远程计算机连接到企业网络的任一时刻推动远程桌面升级组策略设置、分发软件升级等，即便在用户没有登录的情况下也能够实现。这一方便的应用将确保移动用户的电脑设置随时随地与企业的策略保持一致。

　　在计算机使用授权上，DirectAccess也提供了授权用户和支持制造商授权(如智能卡)相关的用户授权，IT管理员能够配置哪些lntranet资源能够被哪些用户通过DirectAccess进行访问，从而在用户出差、在客户那里On-site等不同的情况下，确保企业数据的安全性。

　　BitLocker——保护企业数据安全

　　引入Windows 7或之前的Windows Vista，大家都将能够体会到BitLocker在数据保护上的强大功能。它将能够在用户笔记本电脑、移动设备甚至是桌面电脑硬盘不幸被盗、遗失、或非正常解禁的情况下确保数据的安全性。Windows 7将BitLocker的强大功能扩展到了USB存储设备上(即BitLocker To Go)，同时使得BitLocker的传统功能变得更易使用。Windows 7在如何控制企业环境中的数据安全上提供了更多的控制权，从如何配置集成到修复密钥上的活动目录域服务策略，到简单、高效的硬件修复流程，BitLocker为IT管理员们提供了更高的集成管理体验。

　　此外，笔者补充一点。关于Windows 7的BitLocker To Go加密，有人困惑“用BitLocker To Go加密的USB设备是否可以在多台机器上使用”。其实，这完全可以。如果用户知道密码或者拥有智能卡，那么由BitLocker To Go加密的USB设备可以在任何支持BitLocker(Enterprise/UItimate )的Windows 7机器上进行解锁，它是完全可以移动的，而这在企业环境中是非常有用的。

　　BranchCache——提高应用程序响应

　　对于大规模的企业而言，确保分支办公机构与总部的同步通常是一件很困难的事情，尤其是分支办公室对总部资源的访问，受限于网络带宽、文件大小等因素，分支办公室往往需要等待很久才能够看到自己所需要的文件。