Windows 7五大企業(yè)安全功能點評
Windows 7發(fā)布后,雖然暫時Windows 7還難以撼動XP的市場地位,但是Windows 7也不是一個只有外表的花瓶,它除了炫麗的桌面應用外,Windows 7在企業(yè)級的安全應用上也有不少突破。本次就向大家介紹Windows 7企業(yè)版中鮮為人知的五大安全應用功能。
Windows與安全似乎不能總是并存。過去,當用戶易操作和系統(tǒng)安全發(fā)生沖突時,微軟總是選擇犧牲系統(tǒng)安全。Windows XP近段時間遭受網絡蠕蟲入侵就是一個最好的例子,微軟本來是有為XP預裝抵抗蠕蟲入侵的防火墻,但是為了讓用戶使用更簡單,XP系統(tǒng)中的防火墻默認情況下是處于關閉狀態(tài)的。
除了這些是用戶能明顯感受到的安全問題,Vista系統(tǒng)在安全性能上這邁出了重要的一步,隨后微軟推出的Windows 7除了繼續(xù)上一版系統(tǒng)安全性能上的更新外,在其他方面還增加了很多新功能。其中最明顯的改進就是用戶賬戶控制系統(tǒng)(User Account Control System,簡稱UAC),這個賬戶控制系統(tǒng)在Vista系統(tǒng)中極易收到攻擊,帶來很多安全隱患,以至于很多用戶都將這個系統(tǒng)關閉。但是在Windows 7系統(tǒng)中UAC得到很大的改善,改進后的UAC具有較好的系統(tǒng)防御功能,提高了對危險的辨別和工作效率。
除此之外,其實Windows 7系統(tǒng)還增加了一些不太顯眼的安全保護功能,特別是以保護企業(yè)網絡安全為目的的新功能。其中最重要的功能有以下五個:
· DirectAccess:該功能可以使遠程計算機通過 Internet 自動、無縫地訪問內部網絡,無需連接到虛擬專用網絡 (VPN)。
· Windows Biometric Framework(Windows生物識別架構):該功能為指紋掃描和生物識別應用提供標準化的方法。
· AppLocker:該功能可以為Windows系統(tǒng)中的應用程序加鎖,控制應用軟件的運行狀態(tài)。
· BitLocker To Go:這是最重要的一項功能,該功能通過擴展BitLocker的硬盤加密方式來擴展硬盤設備。
· Multiple active firewall profiles(多項防火墻配置協(xié)調工作):改良手動配置多項防火墻程序,達到了更好的網絡通信保護功能。
據(jù)了解目前Windows 7企業(yè)版都具備以上功能,但是Windows 7其他系列的版本中只有最終版才具有以上功能。
即使你無法立刻完全體驗到全部新功能的優(yōu)點,但是提前了解這些功能的作用也不錯。另外,如果你沒有完全升級到Windows 7企業(yè)版或者最終版的話,你是無法運行所有的功能的,至少不能體驗DirectAccess。
我們會從你馬上就能用到的功能開始介紹,接下來就一起來看看這些新功能究竟如何保護Windows網絡計算機的安全。
功能一:多項防火墻配置協(xié)調工作
比起Vista系統(tǒng),Windows 7有一個看似很小但是很重要的改進,那就是防火墻的配置。Vista系統(tǒng)允許用戶為公私用戶開啟多個防火墻配置和域名鏈接。每個私有網絡都可能成為你的主Wi-Fi網絡;只要用戶輸入正確的WEP或者WPA鑰匙就可以隨意登錄私有網絡,這過程中不需要任何的認證信息。但是登錄域名網絡就要求身份驗證,驗證方式有密碼、指紋、密碼卡或者一些組合的信息等。
每一個配置文件都能通過防火墻選擇性地連接應用。比如,現(xiàn)在需要搭建的是家用或者企業(yè)的小型私有網絡,就可以設置共享文件和打印。但是對于公用網絡,你應該就不會共享你的文件了。
Vista系統(tǒng)的防火墻一般情況下都可以正常工作,除了將計算機同時連接到多個網絡中,比如同時連接到以太網和無線網中。在這種情況下,系統(tǒng)會默認采用最嚴格的配置。這樣就會帶來很多問題,比如,當你通過公共Wi-Fi熱點區(qū)域連接到公司的VPN中時,Vista系統(tǒng)就會同時向公共網絡和域網絡提交公共配置。
所有使用Windows 7系列的計算機可以同時啟動幾個防火墻配置,這樣可以保證網絡訪問更加可信,同時減少不可信網絡的接入。由于遠程接入功能對于防火墻配置限制較少,所以用戶目前也沒有必要過多的擔心外來網絡對于企業(yè)內部網的入侵問題,可以放心使用。
圖:在Windows 7系統(tǒng)中,所有ude網絡連接都可以使用自己特殊的防火墻配置
#p#
功能二:Windows 生物識別框(Biometric Framework)
隨著指紋識別技術在筆記本中的應用越來越廣泛,制定出一套處理人體識別數(shù)據(jù)的標準是很重要的。為了解決這種需求,Windows 7系統(tǒng)開發(fā)了生物識別框功能。進入Windows系統(tǒng)的生物識別框,會有一個標準的存儲指紋數(shù)據(jù)方法和一個共同的API來訪問這些數(shù)據(jù)。雖然很多開發(fā)商對于該系統(tǒng)的很多子功能都很感興趣,但是在應用之前有兩件事是企業(yè)必須知道的。
圖:指紋識別框中可以識別10個手指指紋
首先,傳統(tǒng)的指紋掃描儀可以連接到計算機上,但是不能連接到企業(yè)網絡中,但是微軟的Windows生物識別框就能做到。
其次,Windows 7的指紋識別系統(tǒng)可以為每個用戶存儲10個手指的指紋信息,雖然我們都不愿意手指受傷,但是一旦某個手指出現(xiàn)意外,還可以通過其他手指登錄系統(tǒng),這顯然比傳統(tǒng)的智能多了。
指紋是通過Windows 7控制面板下的生物識別裝置小程序來存儲信息的,任何Windows 7系統(tǒng)和指紋掃描儀綁定后,就可以通過指紋來登錄系統(tǒng)。要注意的是,你必須以管理員身份來添加或者管理指紋。
#p#
功能三:BitLocker To Go
目前最嚴重的安全隱患就是在移動網絡應用中丟失商業(yè)機密。Vista中的BitLocker通過為筆記本全部的硬件設備加密方式來保護用戶信息,這樣即使內容被盜或者丟失,也沒有人能夠讀取里面的信息。而Windows 7的BitLocker To Go也是通過加密方式來保護用戶信息,只是方式上會更簡單,保護范圍也延伸到口袋大小的微型硬盤設備和小型閃存設備。
圖:啟用BitLocker功能為設備加密
在Windows 7企業(yè)最終版中可以使用這個功能,只要鼠標右擊資源管理器中的外部設備圖表,選擇下拉菜單“Turn on BitLocker”打開一個向導,按著指示進行配置加密,等待程序啟動完畢后就能可以。等待的時間長短跟你的電腦速度和配置設備有關,初步預計,對2GB的閃存設備和一個全日制工作的500GB或者更大的外圍硬件設備進行配置只需要花費20分鐘。
BitLocker To Go可以使用密碼進行解密,企業(yè)也可以使用智能卡或者多種身份驗證方式組合來解密。
對移動設備加密也是Windows 7企業(yè)最終版中才具備的功能,但是你一旦創(chuàng)建了加密的移動設備,用戶可以通過任何版本的Windows 7系統(tǒng)的電腦來讀寫該設備。你也可以為加密的設備安裝一個閱讀應用軟件,這樣Vista或者XP系統(tǒng)就只能對該設備進行讀操作。
這項新增大安全功能可以用于企業(yè)工作中,讓決策者將信息寫入安全的BitLocker To Go設備中,防止將信息保存到一個不安全的環(huán)境中。Windows 服務器的用戶還可以讓第三方使用活動目錄保管一個密碼,一遍在丟失或者遺忘密碼時,可以恢復數(shù)據(jù)。
該項功能可以讓企業(yè)決策者安心得將重要的信息寫入經過BitLocker To Go加密過的設備中。當用戶丟失或者忘記密碼時,還可以通過Windows服務器的第三方活動目錄重新獲得打開密碼。
#p#
功能四:AppLocker 應用程序鎖
通過控制應用程序的安裝和運行狀態(tài)可以有效地提高系統(tǒng)的穩(wěn)定性,防止惡意軟件的入侵以及帶寬等影響網絡速度的問題。
Windows原始的版本中,這些都是由軟件限制策略功能處理的。這些策略對于那些基于當?shù)匚募到y(tǒng)的特定軟件有實用的預防效果,但是對于那些暗藏在可信應用軟件中的加密木馬是沒有預防效果的。
軟件限制策略在實際的運行和維護都有困難的。一些應用程序需要安裝在外部獨有路徑下,因此就需要制定新的路徑規(guī)則。雖然基于哈希的策略能提供有效地安全保障,但每當一個程序升級后它就會失效。任何程序代碼的變換,甚至是錯誤的修復或者更新,都會改變哈希值,有時還會阻止程序正常運行。因此,IT經理不得不去維護或者修改冗長的哈希規(guī)則表單和程序的自動更新功能。
Windows 7企業(yè)最終版和Windows Sever 2008 R2中的AppLock功能可用,該功能增加了一個全新的方式靈活地控制軟件——出版商規(guī)則(publisher rules)。出版商規(guī)則依賴于程序的簽名認證信息,這也是越來越多的應用軟件所具有的。
應用程序的簽名認證信息比舊版的文件路徑和哈希數(shù)據(jù)都更詳細,它可以讓系統(tǒng)管理員創(chuàng)建復雜的規(guī)則,比如通過設置特定的名字,例如文件名字設置軟件來運行特定的供應商的軟件,或者通過特定的名字來運行特定的軟件或特定版本的軟件。比如,可以建立一個規(guī)則讓系統(tǒng)只運行Adobe的程序,或者只運行Photoshop,甚至可以只是運行目前最新版的Photoshop。
AppLocker規(guī)則可以適用于任何可執(zhí)行文件、腳本、安裝程序或者是系統(tǒng)庫中,讓用戶有多種選擇,也就是說可以讓用戶安裝所需要的軟件,管理員不需要控制軟件的更新,同時還可以防止安裝沒有授權的軟件。
此外,AppLocker規(guī)則中可以寫入特定的用戶和用戶組,比如會計組和圖形設計組肯定有不同的軟件需求,通過AppLocker規(guī)則,群組中只要有一個人配置了規(guī)則,大家都可以共享,AppLocker甚至還可以區(qū)分出用戶組之間誰共享同一臺計算機。
但是要清楚的是AppLocker只是針對Windows 7企業(yè)版和Windows 7最終版。如果你的用戶是用舊版Windows系統(tǒng),你需要單獨為他們設置一個軟件限制策略。但是隨著越來越多的用戶升級到Windows 7系統(tǒng),你就可以拋棄SRP改用AppLocker。
#p#
功能五:DirectAccess
微軟號稱DirectAccess是“下一代”的VPNs,DirectAccess允許Windows 7企業(yè)版和Windows 7最終版用戶直接連接到Windows Sever 2008 R2服務器中。鑒于用戶連接VPN時通常需要先發(fā)起請求,但是使用DirectAccess,電腦連接到網絡上后,系統(tǒng)就會自動連接到公司網絡中,整個連接過程是完全透明的。
圖:Windows 7的DirectAccess連接示意圖
DirectAccess自動連接與傳統(tǒng)的VPNs連接有很大的改進。首先,它使用IPsec和IPv6網絡協(xié)議進行數(shù)據(jù)加密和端到端的路由器連接。VPN的加密是與VPN服務器脫離的,而DirectAccess能夠讓數(shù)據(jù)從企業(yè)內網應用服務器上傳送到客戶端的整個過程中都處于加密狀態(tài)。
因為DirectAccess使用一個標準的互聯(lián)網端口通信,所以它可以不需要任何配置就能夠穿過防火墻,這是VPN用戶不能做到的。
DirectAccess還有另一個好處就是可以自動創(chuàng)建連接和維護。即使用戶不是直接使用公司資源,管理員也可以同時管理和更新DirectAccess計算機。雖然用戶一般只是在需要訪問網絡資源時才會通過VPN連接,但是VPN連接常常很耗時間。
例如,如果遠程用戶在本地的咖啡廳連接到無線熱點,DirectAccess 將檢測到 Internet 連接可用并自動建立與內部網絡邊緣的 DirectAccess 服務器的連接。 用戶將能夠訪問管理員已授予遠程訪問權限的內部資源,如內部共享、網站和應用程序。
連接耗時主要是因為VPN用戶必須經過隔離、掃描、和修復后才能獲準登錄公司內網。整個過程會影響連接速度,從而影響員工的工作效率。但是通過DirectAccess,計算機即使在企業(yè)內網休眠的時候還能正常更新,同時可監(jiān)控企業(yè)網絡的訪問情況。
但是有一點需要注意,讓大部分公司馬上移到DirectAccess上是不切實際的。因為這個系統(tǒng)依賴于良好的網絡基礎設施,其中包括Windows Server 2008 R2和IPv6,這是很多企業(yè)目前還沒有完全具備的基礎設施,所以等企業(yè)搭好環(huán)境完全移到DirectAccess中還需要等上幾年。未來幾年內,VPN還是運用的主流。
縱觀未來網絡,基于安全環(huán)境下的“家里辦公”將會是發(fā)展趨勢,那時的網絡可以滿足員工居家辦公,就像在辦公室里一樣順暢。
原文作者:Logan Kugler
原文標題:Five Windows 7 security features that businesses need to know about
【編輯推薦】
