到目前为止，微软并没有太多地去解释为什么Windows 7用户应该迁移到Windows 10。

熟悉的开始菜单的回归，操作系统集成Cortana，这些都不错，然而这并不是让用户、尤其是企业用户离开他们已经尝试过、测试过并且还不错的操作系统——也就是Windows 7——的那种功能。

我认为Windows 10独有的安全功能对于企业客户是有吸引力的。到目前为止，尤其是最近，微软方面并没有过多地谈及这些功能。部分原因可能是有很多Windows 10安全功能可能并且应该对于那些还没有完全部署的企业用户来说是一个卖点。

微软肯定已经在谈到Windows Hello了，这项新的生物认证技术让用户不用输入密码就可以登录到他们的Windows 10设备上。使用Hello技术需要使用新硬件，因为它是用指纹和面部识别技术认证的。Hello提供给所有不同Windows 10版本的用户——包括家庭版、专业版、企业版和教育版。有很多其他安全功能将仅限于提供给Windows 10用户。

昨天，微软公开表示Windows 10还没有之前在年初承诺的Enterprise Data Protection以及Passport Enterprise功能。（如果你仔细阅读，微软在所有场合都承认Windows 10缺失了这些功能，还有之前成功的Windows Store for Business。）

微软计划在本月把这些功能带入Windows 10预览版中，这样就可以在年底推出，作为最后秋季Threshold 2发布的一部分。

但是有其他一些Windows 10安全功能是微软做得极其少的。

其中之一就是BitLocker驱动器加密。尽管这项功能是Windows 7的一部分，并且仍然存在于Windows 10中，但是微软正在扩大可以获得这项功能的用户范围。在Windows 7方面，只有旗舰版和企业版用户可以获得BitLocker。在Windows 10方面，专业版、企业版和教育版用户都可以得到。

还有更多。我在微软下载中心发现的这个列表中，把Windows 7和Windows 10的安全功能做了一个对比：

正如本文上面提到的，一些功能还没有提供给Windows 10用户，例如Enterprise Data Protection以及企业版的Passport。

Enterprise Data Protection（EDP）是构建在防数据丢失功能上的，目前是Windows 7的功能之一。不过现在它更近了一步，通过容器把消费者和企业数据分离开。EDP将与Azure Active Directory以及Rights Management Services集成。微软承诺EDP将提供“跨移动设备和桌面的无缝的用户体验”。EDP将提供给Windows 10专业版、企业版和教育版用户。

微软Passport则是让用户更安全地登录到应用、在线和本地内容中而无需密码。Passport目前支持微软Accounts以及Azure Active Directory。虽然这已经是Windows 10家庭版和专业版的一部分，但还没有进入Windows 10企业版，微软方面昨天证实。

Device Guard是另外一项Windows 10独有的安全功能，到目前为止关于这项功能我们知之甚少。Device Guard提供了应用锁定；一个应用在运行之前必须证明它是可信的。微软宣称Device Guard“将是微软出货台式机以来最具突破性的防恶意软件功能”。

另一项服务Credential Guard则是关于“机密隔离”。来自微软关于Credential Guard功能的描述：

“Credential Guard会对之前保存在Local Security Authority（LSA）中保存的Windows版本的机密进行隔离，使用基于虚拟化的安全技术。在Windows 10之前，LSA保存的机密是被操作系统使用的。操作系统中的LSA进程与隔离的LSA进行通信，使用远程进程调用。利用基于虚拟化的安全功能保存的数据是不能被操作系统的其他部分所访问的。”

Device Guard和Credential Guard将仅限于Windows 10企业版和教育版用户。

不断深入，微软把一项新技术带入到Windows 10内核中，该技术实现了Device Guard和Credential Guard。微软最近在其Channel 9网站上发布了三段系列视频，谈及这项名为Isolated User Mode（IUM）的技术，值得一看。

IUM是Windows 10独有的安全技术，引入了安全内核和安全应用的理念，运行在一个不同于普通内核的地址空间中。

IUM落地在Windows 10新的Virtualization Based Security（VBS）功能中，也就是之前的Virtual Secure Mode中。VBS已经被集成到Windows 10中。VNS提供了基于硬件的隔离，把运行在VBS环境中的Windows功能与Windows 10操作系统中的其他功能隔离开。

“这种隔离有助于确保VBS环境中的流程和数据不会被访问或者篡改。在Windows 10之前的Windows版本中从来没有提供过这种隔离。”当被问及IUM时微软新闻发言人这样表示。

Device Guard利用VBS环境其功能被篡改。Device Guard是为了组织对内核模式的基于硬件的零日功能。而且这项功能也超越了被带入AppLocker的安全功能——可能会被那些获得管理权限的攻击者篡改，该新闻发言人称。

“Device Guards要求‘签名’策略，这意味着只有被可信签署人签署的更新策略才能更改已经在设备上设置好的应用控制策略。签名策略对于我们防止获得管理控制权的攻击者形成撤销应用控制策略来说至关重要，这可能会让攻击者运行不受信任的恶意应用。”该新闻发言人称。

与此同时，Credential Guard则利用VBS环境方式盗窃和滥用用户“设备证书”，这可能被用于Pass the Hash（PtH）攻击中。

随着下一个Windows 10（Threshold 2）重大更新即将在年底前推出，我期待着从微软那里听到更多关于Windows 7和Windows 10在安全方面的消息。在此期间，将会是Windows Insiders会谈到Windows 10怎么样吧。