| Windows和安全這兩個(gè)詞似乎總是水火不容。在過(guò)去,微軟試圖使其操作系統(tǒng)易于普通用戶使用,這通常意味著需要犧牲抵御入侵和病毒感染的防御。例如大家都知道的漏洞重重的Windows XP,雖然該操作系統(tǒng)有防火墻,但最初默認(rèn)狀態(tài)卻是關(guān)閉防火墻。
對(duì)于所有這些漏洞問(wèn)題,微軟的Vista系統(tǒng)標(biāo)志著windows安全的巨大進(jìn)步,而Windows 7則延續(xù)了這方面的改進(jìn),增加了一些新功能并加強(qiáng)了很多其他安全功能,最明顯的就是用戶帳號(hào)控制(UAC)系統(tǒng),Vista系統(tǒng)的用戶帳號(hào)控制系統(tǒng)非常可憎以致很多用戶選擇關(guān)閉這個(gè)功能,寧愿選擇讓系統(tǒng)容易受到攻擊,而不愿接受煩人的操作。UAC在Windwos7系統(tǒng)中已經(jīng)得到改善,不在惹人厭,而是更加能夠識(shí)別真正的威脅,因此也更有效。
其他Windows 7安全功能不太明顯,尤其是那些不只是涉及保護(hù)一臺(tái)計(jì)算機(jī),而是保護(hù)整個(gè)網(wǎng)絡(luò)的安全功能,其中最重要的安全新功能包括DirectAccess,windows網(wǎng)絡(luò)上計(jì)算機(jī)的VPN(虛擬專用)替代;Windows指紋識(shí)別標(biāo)準(zhǔn),規(guī)范了掃描儀和生物識(shí)別應(yīng)用程序使用指紋的方式;以及AppLocker,改善了之前Windows版本的軟件限制策略,該策略限制了哪些軟件可以在計(jì)算機(jī)上運(yùn)行。
同樣重要的包括BitLocker To Go,它庫(kù)鏖戰(zhàn)了BitLocker的全磁盤加密到外部硬盤加密,以及為處理多個(gè)防火墻配置文件而改善的程序,以便保護(hù)水平更好地與用戶連接到互聯(lián)網(wǎng)的位置相匹配。
正如典型的微軟風(fēng)格,這些功能附有簡(jiǎn)單的指導(dǎo)。讓我們看看這些功能如何能夠幫助windows系統(tǒng)保護(hù)計(jì)算機(jī)和網(wǎng)絡(luò)。
請(qǐng)注意,某些安全功能在所有windows 7版本中都具備,而有些安全功能只有企業(yè)版和旗艦版才能使用。此外,只有讓所有用戶都升級(jí)到windows 7,你才能在企業(yè)網(wǎng)絡(luò)完全部署這些功能,至少對(duì)于DirectAccess而言,它的后端要求是大部分企業(yè)沒(méi)有部署的。這些安全功能將與用戶仍在使用早期版本windows系統(tǒng)中的舊技術(shù)并肩作戰(zhàn)抵御攻擊。
雖然你可能還不能夠馬上利用所有這些新安全技術(shù)的全部?jī)?yōu)勢(shì),但現(xiàn)在是時(shí)候開(kāi)始為這些新技術(shù)進(jìn)行規(guī)劃。我們將從可以立即運(yùn)用的功能開(kāi)始,逐漸探討這些安全功能。
多個(gè)有效防火墻配置文件
從處理防火墻配置文件方面來(lái)看,windows 7提供了一個(gè)小但極其重要的改進(jìn)。Vista允許用戶為公共、私人和域連接設(shè)置不同的防火墻配置文件。私人網(wǎng)絡(luò)可能是你的家庭無(wú)線網(wǎng)絡(luò),除了擁有正確的WEP或WPA密鑰外,你不需要任何憑據(jù)登錄,但是比起公共網(wǎng)絡(luò)(例如咖啡店的無(wú)線網(wǎng)絡(luò)),你會(huì)更加信任公共網(wǎng)絡(luò)。域網(wǎng)絡(luò)要求身份驗(yàn)證:密碼、指紋、智能卡或者幾種因素結(jié)合來(lái)登錄。
每個(gè)配置文件類型都有自己選擇的允許通過(guò)防火墻的應(yīng)用程序和連接。舉例來(lái)說(shuō),在家庭網(wǎng)絡(luò)或者標(biāo)記為私人的小型企業(yè)網(wǎng)絡(luò),你可能會(huì)允許文件和打印機(jī)共享,而在標(biāo)記為公共的網(wǎng)絡(luò),你可能會(huì)禁止訪問(wèn)文件。
Vista系統(tǒng)的防火墻配置文件還不錯(cuò),只是當(dāng)計(jì)算機(jī)被同步連接到多個(gè)網(wǎng)絡(luò)時(shí),例如以太網(wǎng)和無(wú)線網(wǎng)絡(luò),系統(tǒng)會(huì)默認(rèn)為最嚴(yán)格的配置文件。當(dāng)通過(guò)公共無(wú)線熱點(diǎn)連接到企業(yè)虛擬專用網(wǎng)絡(luò)時(shí)將會(huì)造成問(wèn)題。Vista將會(huì)認(rèn)為同步連接到公共網(wǎng)絡(luò)和域網(wǎng)絡(luò),并為二者運(yùn)用公共配置文件。
所有windows 7版本都允許計(jì)算機(jī)同時(shí)保持幾個(gè)防火墻配置文件開(kāi)啟,為可信任網(wǎng)絡(luò)保持訪問(wèn)性和功能,同時(shí)阻止對(duì)不可信任網(wǎng)絡(luò)的訪問(wèn)。由于很多遠(yuǎn)程訪問(wèn)功能要求較少限制的防火墻設(shè)置,用戶現(xiàn)在就可以安全地遠(yuǎn)程工作,而同時(shí)免受來(lái)自企業(yè)網(wǎng)絡(luò)外部的威脅。
Windows生物識(shí)別功能
隨著筆記本電腦指紋識(shí)別器變得越來(lái)越普遍,為處理生物識(shí)別數(shù)據(jù)建立標(biāo)準(zhǔn)變得尤為重要。Windows Biometric Framework,這是存儲(chǔ)指紋數(shù)據(jù)和通過(guò)共同API訪問(wèn)數(shù)據(jù)的標(biāo)準(zhǔn)方式。雖然該子系統(tǒng)的大多數(shù)功能都只是開(kāi)發(fā)人員感興趣的功能,仍然有兩個(gè)重要的信息企業(yè)需要了解。
首先,雖然指紋掃描儀之前被用于登錄到計(jì)算機(jī),而不是登錄到計(jì)算機(jī)域(企業(yè)網(wǎng)絡(luò)或者網(wǎng)絡(luò)分區(qū)),但Windows Biometric Framework就能夠允許域登錄。
其次,用戶可以存儲(chǔ)多大10個(gè)獨(dú)特的指紋,每個(gè)手指的指紋。雖然我們都不想手指出意外,但存儲(chǔ)10個(gè)手指的指紋在系統(tǒng)中是很好的預(yù)防措施,以免手指受傷的情況。
指紋是通過(guò)生物識(shí)別設(shè)備裝置添加的,這可以在任何版本附有指紋識(shí)別器的windows 7的控制面板中找到,并且你能夠啟動(dòng)計(jì)算機(jī)和域登錄。你必須作為管理員登錄才能夠在windows7中添加或管理指紋。
BitLocker To Go
現(xiàn)在企業(yè)面臨的最嚴(yán)重的安全威脅就是包含重要企業(yè)信息的移動(dòng)設(shè)備的丟失。Windows Vista的BitLocker通過(guò)允許企業(yè)用戶加密筆記本的整個(gè)硬盤來(lái)解決這個(gè)問(wèn)題,這樣當(dāng)筆記本丟失或者被盜時(shí),沒(méi)人能夠訪問(wèn)存儲(chǔ)的信息。而B(niǎo)itLocker To Go擴(kuò)展了相同的保護(hù)功能到更容易丟失的外部驅(qū)動(dòng),包括口袋大小的硬盤驅(qū)動(dòng)和微型閃存驅(qū)動(dòng)器。
Windows 7企業(yè)版和旗艦版中有這個(gè)功能,BitLocker To Go簡(jiǎn)單易用:右鍵單擊Explorer中的外部驅(qū)動(dòng),并選擇“打開(kāi)BitLocker”來(lái)打開(kāi)向?qū)е笇?dǎo)你加密驅(qū)動(dòng),等待一會(huì)兒程序運(yùn)行,就完成了操作。等待時(shí)間取決于計(jì)算機(jī)和驅(qū)動(dòng)速度,例如2GB閃存驅(qū)動(dòng)的初始加密需要20分鐘,而500GB和更大的外部驅(qū)動(dòng)需要一個(gè)工作日。
BitLocker To Go加密的驅(qū)動(dòng)可以使用用戶選擇的密碼和/或智能卡多因素驗(yàn)證(企業(yè)使用)來(lái)解密。
加密可移動(dòng)驅(qū)動(dòng)只能在windows 7企業(yè)版和旗艦版操作,但一旦創(chuàng)建加密后,就可以從任何版本windows 7讀取或者寫入信息。你也可以在加密驅(qū)動(dòng)安裝一個(gè)讀取應(yīng)用程序來(lái)允許vista和XP系統(tǒng)的只讀訪問(wèn)。
通過(guò)使用管理政策僅允許BitLocker To Go驅(qū)動(dòng)被寫入以防止用戶將數(shù)據(jù)保存在不安全設(shè)備上可以為企業(yè)環(huán)境增強(qiáng)安全性。Windows Server的用戶也可以使用Active Directory保存一個(gè)恢復(fù)密碼,以便恢復(fù)丟失或者忘記的密碼。
AppLocker
控制哪些應(yīng)用程序用戶可以安裝或者運(yùn)行是有效維持用戶系統(tǒng)穩(wěn)定性、抵御惡意軟件和保護(hù)網(wǎng)絡(luò)完整性(以防被帶寬要求高的應(yīng)用程序占用,如BitTorrent)的方法
在之前windows版本中,這是由軟件限制政策功能處理的,這些政策可以用于防止特定軟件的運(yùn)行,根據(jù)軟件在文件系統(tǒng)的位置或者軟件無(wú)法與已知可信應(yīng)用程序的加密哈希匹配來(lái)判斷。
軟件限制政策在部署和維護(hù)方面可能是一個(gè)麻煩。有些程序需要安裝在典型路徑的外部,因此需要生成新的路徑規(guī)則。基于哈希的政策提供強(qiáng)大的安全性,但當(dāng)程序更新后,政策也可能失效。程序編碼的任何更改,甚至是漏洞修復(fù)或安全更新,都會(huì)改變哈希,并且會(huì)阻止程序運(yùn)行。因此,IT管理人員必須保持和更新哈希規(guī)則列表,并自動(dòng)覆蓋程序更新的能力。
Windows 7企業(yè)版和旗艦版(以及Windows Server 2008 R2)中的AppLocker增加了新的更加靈活的控制軟件的方法:發(fā)布者規(guī)則。發(fā)布者規(guī)則依賴于程序簽名證書(shū)的信息,這也是越來(lái)越多應(yīng)用程序增加的信息。
該信息比文件路徑或者哈希數(shù)據(jù)更加詳細(xì),它可以讓管理員創(chuàng)建復(fù)雜的規(guī)則,例如僅允許來(lái)自某特定發(fā)布者的軟件,特定名稱、特定文件名稱和/或特定版本。舉例來(lái)說(shuō),可以創(chuàng)建一條規(guī)則允許任何來(lái)自Adobe的程序運(yùn)行,或者僅允許Photoshop運(yùn)行,或者只有最新版本的Photoshop運(yùn)行。
AppLocker規(guī)則可以適用于任何可執(zhí)行、腳本、安裝程序或者系統(tǒng)庫(kù),讓用戶有足夠的回旋余地,比如安裝必要的軟件或升級(jí)而不需要管理員權(quán)限,并且能夠避免使用未經(jīng)授權(quán)的軟件。
此外,AppLocker規(guī)則可以被寫入以用于特定用戶或用戶組,企業(yè)會(huì)計(jì)部門和圖形涉及部門可能有不同的軟件需求,但對(duì)于AppLocker,就能夠?yàn)槊拷M根據(jù)各自獨(dú)特的限制和要求來(lái)設(shè)置規(guī)則。
真正節(jié)省時(shí)間的是從可信參考計(jì)算機(jī)自動(dòng)生成規(guī)則的能力,策略可以使用windows的組策略設(shè)置在網(wǎng)絡(luò)范圍內(nèi)運(yùn)用。
值得注意的是,AppLocker僅適用于運(yùn)行windows 7企業(yè)版或者旗艦版的用戶。如果你的用戶使用的是較舊版本的windows,你將需要使用軟件限制策略。隨著越來(lái)越多的用戶升級(jí)到windows 7系統(tǒng),你可以淘汰掉軟件限制策略,轉(zhuǎn)投AppLocker。
DirectAccess
被微軟號(hào)稱是VPN“下一代”替代品的DirectAccess允許windows 7企業(yè)版和旗艦版用戶直接連接到windows 2008 R2和未來(lái)服務(wù)器版本。用戶通常需要發(fā)起VPN連接,而DirectAccess對(duì)于最終用戶而言幾乎是透明的:當(dāng)計(jì)算機(jī)連接到網(wǎng)絡(luò)時(shí),DirectAccess自動(dòng)創(chuàng)建到企業(yè)網(wǎng)絡(luò)的安全鏈接,而不需要用戶的任何操作,并且通過(guò)該連接自動(dòng)路由請(qǐng)求到內(nèi)部互聯(lián)網(wǎng)。
除了自動(dòng)連接外,DirectAccess還提供傳統(tǒng)VPN無(wú)法實(shí)現(xiàn)的功能。首先,它使用的是Ipsec和Ipv6互聯(lián)網(wǎng)協(xié)議來(lái)加密和路由端到端連接。VPN加密是在VPN服務(wù)器被剝離,DirectAccess可以全程都保持加密,從企業(yè)網(wǎng)絡(luò)內(nèi)的應(yīng)用程序服務(wù)器。(DirectAccess支持很多其他協(xié)議來(lái)創(chuàng)建不支持Ipsec或Ipv6網(wǎng)絡(luò)流量渠道)
因?yàn)镈irectAccess使用的是標(biāo)準(zhǔn)互聯(lián)網(wǎng)端口,它可以輕松穿越防火墻,而不需要任何額外配置,而這方面VPN用戶則常常遇到問(wèn)題。
另一個(gè)優(yōu)勢(shì):因?yàn)檫B接是自動(dòng)創(chuàng)建和維護(hù)的,管理員可以持續(xù)管理和更新DirectAccess啟用的計(jì)算機(jī),甚至當(dāng)用戶不是直接使用企業(yè)資源時(shí)。遠(yuǎn)程用戶僅當(dāng)需要訪問(wèn)網(wǎng)絡(luò)資源時(shí)往往通過(guò)VPN連接。
這意味著VPN用戶在被允許訪問(wèn)企業(yè)網(wǎng)絡(luò)前必須被隔離、掃描和修復(fù)補(bǔ)丁,這個(gè)程序減慢了連接速度,限制了員工的效率,并且IT管理員只有很少的時(shí)間來(lái)管理遠(yuǎn)程計(jì)算機(jī)。而有了DirectAccess,企業(yè)網(wǎng)絡(luò)的所有計(jì)算機(jī)可以同時(shí)更新,并且不管用戶是否需要訪問(wèn)企業(yè)網(wǎng)絡(luò)都會(huì)被監(jiān)控。
但請(qǐng)注意,所有公司立即轉(zhuǎn)而使用DirectAccess并不實(shí)際。該系統(tǒng)依賴于高級(jí)網(wǎng)絡(luò)基礎(chǔ)設(shè)施,包括Windows Server 2008 R2 和IPv6,這也是很多企業(yè)沒(méi)有部署的項(xiàng)目,在企業(yè)部署所有工具和技術(shù)前可能還需要幾年時(shí)間才能完全轉(zhuǎn)移到DirectAccess。 這個(gè)階段,企業(yè)仍需使用傳統(tǒng)VPN。
但是它讓我們瞥見(jiàn)了未來(lái)網(wǎng)絡(luò),到“企業(yè)大本營(yíng)”的安全、永遠(yuǎn)開(kāi)啟的連接能夠允許遠(yuǎn)程員工像在企業(yè)辦公室里辦公一樣方便和安全。
對(duì)于企業(yè)而言,window 7允許在安全I(xiàn)T部門和最終用戶間建立某種伙伴關(guān)系,讓員工在部署安全策略和更新網(wǎng)絡(luò)應(yīng)用的環(huán)境下工作。所有這些功能的共同宗旨就是在不犧牲可用性的情況下,實(shí)現(xiàn)真正的安全,這也體現(xiàn)了微軟似乎終于意識(shí)到這兩者并不是水火不容。
編輯:北京信誠(chéng)IT保姆IT外包部 http:// www.aboverow.cn www.xcit.com.cn |
當(dāng)前位置:
