Windows 7发布后,虽然暂时Windows 7还难以撼动XP的市场位置 ,但是Windows 7也不是一个只有表面 的花瓶,它除了炫丽的桌面应用外,Windows 7在企业级的安全应用上也有不少打破 。本次就向大家介绍Windows 7企业版中不为人知 的五大安全应用功能。
图:Windows 7华美 转身变形金刚
Windows与安全似乎不能总是并存。过去,当用户易操作和系统安全发作 抵触 时,微软总是选择牺牲系统安全。Windows XP近段时间遭受网络蠕虫入侵就是一个最好的例子,微软原本 是有为XP预装抵御 蠕虫入侵的防火墙,但是为了让用户使用更简单,XP系统中的防火墙默认状况 下是处于关闭状态的。
除了这些是用户能明显感遭到 的安全问题,Vista系统在安全性能上这迈出了重要的一步,随后微软推出的Windows 7除了继续上一版系统安全性能上的更新外,在其他方面还增加了很多新功能。其中最明显的改良 就是用户账户控制系统(User Account Control System,简称UAC),这个账户控制系统在Vista系统中极易收到攻击,带来很多安全隐患,以致 于很多用户都将这个系统关闭。但是在Windows7 中UAC得到很大的改善,改良 后的UAC具有较好的系统防御功能,提高了对危险的区分 和工作效率。
除此之外,其实Windows7 还增加了一些不太显眼的安全保护功能,特别是以保护企业网络安全为目的的新功能。其中最重要的功能有以下五个:
· DirectAccess:该功能可以使远程计算机通过 Internet 自动、无缝地访问内部网络,无需连接到虚拟专用网络 (VPN)。
· Windows Biometric Framework(Windows生物辨认 架构):该功能为指纹扫描和生物辨认 应用提供标准化的方法。
· AppLocker:该功能可以为Windows 中的应用程序加锁,控制应用软件的运行状态。
· BitLocker To Go:这是最重要的一项功能,该功能通过扩展BitLocker的硬盘加密方式来扩展硬盘设备。
· Multiple active firewall profiles(多项防火墙配置谐和 工作):改进 手动配置多项防火墙程序,到达 了更好的网络通讯 保护功能。
据理解 目前Windows 7企业版都具备以上功能,但是Windows 7其他系列的版本中只有最终版才具有以上功能。
即便 你无法立即 完全体验到全部新功能的优点,但是提早 理解 这些功能的作用也不错。另外,假如 你没有完全升级到Windows 7企业版或者最终版的话,你是无法运行一切 的功能的,至少不能体验DirectAccess。
我们会从你马上就能用到的功能开始介绍,接下来就一同 来看看这些新功能到底 如何保护Windows网络计算机的安全。
功能一:多项防火墙配置谐和 工作
比起Vista系统,Windows 7有一个看似很小但是很重要的改良 ,那就是防火墙的配置。Vista系统允许用户为公私用户开启多个防火墙配置和域名链接。每个私有网络都可能成为你的主Wi-Fi网络;只需 用户输入正确的WEP或者WPA钥匙就可以随意登录私有网络,这过程中不需要. 任何的认证信息。但是登录域名网络就要求身份验证,验证方式有密码、指纹、密码卡或者一些组合的信息等。
每一个配置文件都能通过防火墙选择性地连接应用。比方 ,现在需要. 搭建的是家用或者企业的小型私有网络,就可以设置共享文件和打印。但是对于公用网络,你应该就不会共享你的文件了。
Vista系统的防火墙一般状况 下都可以正常工作,除了将计算机同时连接到多个网络中,比方 同时连接到以太网和无线网中。在这种状况 下,系统会默认采用最严厉 的配置。这样就会带来很多问题,比方 ,当你通过公共Wi-Fi热点区域连接到公司的VPN中时,Vista系统就会同时向公共网络和域网络提交公共配置。
一切 使用Windows 7系列的计算机可以同时启动几个防火墙配置,这样可以保证网络访问愈加 可信,同时减少不可信网络的接入。由于远程接入功能对于防火墙配置限制较少,所以用户目前也没有必要过多的担忧 外来网络对于企业内部网的入侵问题,可以放心使用。
图:在Windows7 中,一切 ude网络连接都可以使用自己. 特殊的防火墙配置
功能二:Windows 生物辨认 框(Biometric Framework)
随着指纹辨认 技术在笔记本中的应用越来越普遍 ,制定出一套处理人体辨认 数据的标准是很重要的。为理解 决这种需求,Windows7 开发了生物辨认 框功能。进入Windows 的生物辨认 框,会有一个标准的存储指纹数据方法和一个共同的API来访问这些数据。虽然很多开发商对于该系统的很多子功能都很感兴趣,但是在应用之前有两件事是企业必须知道的。
图:指纹辨认 框中可以辨认 10个手指指纹
首先,传统的指纹扫描仪可以连接到计算机上,但是不能连接到企业网络中,但是微软的Windows生物辨认 框就能做到。
其次,Windows 7的指纹辨认 系统可以为每个用户存储10个手指的指纹信息,虽然我们都不愿意手指受伤,但是一旦某个手指出现不测 ,还可以通过其他手指登录系统,这显然比传统的智能多了。
指纹是通过Windows 7控制面板下的生物辨认 装置小程序来存储信息的,任何Windows7 和指纹扫描仪绑定后,就可以通过指纹来登录系统。要注意的是,你必须以管理员身份来添加或者管理指纹。
功能三:BitLocker To Go
目前最严重的安全隐患就是在移动网络应用中丢失商业机密。Vista中的BitLocker通过为笔记本全部的硬件设备加密方式来保护用户信息,这样即便 内容被盗或者丢失,也没有人可以 读取里面的信息。而Windows 7的BitLocker To Go也是通过加密方式来保护用户信息,只是方式上会更简单,保护范围也延伸到口袋大小的微型硬盘设备和小型闪存设备。
图:启用BitLocker功能为设备加密
在Windows 7企业最终版中可以使用这个功能,只需 鼠标右击资源管理器中的外部设备图表,选择下拉菜单“Turn on BitLocker”打开一个导游 ,按着指示进行配置加密,等候 程序启动完成 后就能可以。等候 的时间长短跟你的电脑速度和配置设备有关,初步估计 ,对2GB的闪存设备和一个全日制工作的500GB或者更大的外围硬件设备进行配置只需要. 破费 20分钟。
BitLocker To Go可以使用密码进行解密,企业也可以使用智能卡或者多种身份验证方式组合来解密。
对移动设备加密也是Windows 7企业最终版中才具备的功能,但是你一旦创建了加密的移动设备,用户可以通过任何版本的Windows7 的电脑来读写该设备。你也可以为加密的设备安装一个阅读应用软件,这样Vista或者XP系统就只能对该设备进行读操作。
这项新增大安全功能可以用于企业工作中,让决策者将信息写入安全的BitLocker To Go设备中,避免 将信息保存到一个不安全的环境中。Windows 服务器的用户还可以让第三方使用活动目录保管一个密码,一遍在丢失或者遗忘密码时,可以恢复数据。
该项功能可以让企业决策者安心得将重要的信息写入经过BitLocker To Go加密过的设备中。当用户丢失或者遗忘 密码时,还可以通过Windows服务器的第三方活动目录重新取得 打开密码。
功能四:AppLocker 应用程序锁
通过控制应用程序的安装和运行状态可以有效地提高系统的稳定性,避免 恶意软件的入侵以及带宽等影响网络速度的问题。
Windows原始的版本中,这些都是由软件限制策略功能处理的。这些策略对于那些基于当地文件系统的特定软件有适用 的预防效果,但是对于那些暗藏在可信应用软件中的加密木马是没有预防效果的。
软件限制策略在实际的运行和维护都有艰难 的。一些应用程序需要. 安装在外部独有路径下,因而 就需要. 制定新的路径规则。虽然基于哈希的策略能提供有效地安全保证 ,但每当一个程序升级后它就会失效。任何程序代码的变换,甚至是错误的修复或者更新,都会改动 哈希值,有时还会阻止程序正常运行。因而 ,IT经理不得不去维护或者修改冗长的哈希规则表单和程序的自动更新功能。
Windows 7企业最终版和Windows Sever 2008 R2中的AppLock功能可用,该功能增加了一个全新的方式灵活地控制软件——出版商规则(publisher rules)。出版商规则依赖于程序的签名认证信息,这也是越来越多的应用软件所具有的。
应用程序的签名认证信息比旧版的文件路径和哈希数据都更详细,它可以让系统管理员创建复杂的规则,比方 通过设置特定的名字,例如文件名字设置软件来运行特定的供给 商的软件,或者通过特定的名字来运行特定的软件或特定版本的软件。比方 ,可以建立一个规则让系统只运行Adobe的程序,或者只运行Photoshop,甚至可以只是运行目前最新版的Photoshop。
AppLocker规则可以适用于任何可执行文件、脚本、安装程序或者是系统库中,让用户有多种选择,也就是说可以让用户安装所需要. 的软件,管理员不需要. 控制软件的更新,同时还可以避免 安装没有受权 的软件。
此外,AppLocker规则中可以写入特定的用户和用户组,比方 会计组和图形设计组肯定有不同的软件需求,通过AppLocker规则,群组中只需 有一个人配置了规则,大家都可以共享,AppLocker甚至还可以辨别 出用户组之间谁共享同一台计算机。
但是要清楚的是AppLocker只是针对Windows 7企业版和Windows 7最终版。假如 你的用户是用旧版Windows ,你需要. 单独为他们设置一个软件限制策略。但是随着越来越多的用户升级到Windows7 ,你就可以丢弃 SRP改用AppLocker。
功能五:DirectAccess
微软号称DirectAccess是“下一代”的VPNs,DirectAccess允许Windows 7企业版和Windows 7最终版用户直接连接到Windows Sever 2008 R2服务器中。鉴于用户连接VPN时通常需要. 先发起恳求 ,但是使用DirectAccess,电脑连接到网络上后,系统就会自动连接到公司网络中,整个连接过程是完全透明的。
图:Windows 7的DirectAccess连接表示 图
DirectAccess自动连接与传统的VPNs连接有很大的改良 。首先,它使用IPsec和IPv6网络协议 进行数据加密和端到端的路由器连接。VPN的加密是与VPN服务器脱离的,而DirectAccess可以 让数据从企业内网应用服务器上传送到客户端的整个过程中都处于加密状态。
由于 DirectAccess使用一个标准的互联网端口通讯 ,所以它可以不需要. 任何配置就可以 穿过防火墙,这是VPN用户不能做到的。
DirectAccess还有另一个益处 就是可以自动创建连接和维护。即便 用户不是直接使用公司资源,管理员也可以同时管理和更新DirectAccess计算机。虽然用户一般只是在需要. 访问网络资源时才会通过VPN连接,但是VPN连接常常很耗时间。
例如,假如 远程用户在本地的咖啡厅连接到无线热点,DirectAccess 将检测到 Internet 连接可用并自动建立与内部网络边缘的 DirectAccess 服务器的连接。 用户将可以 访问管理员已授予远程访问权限的内部资源,如内部共享、网站和应用程序。
连接耗时主要是由于 VPN用户必须经过隔离、扫描、和修复后才能获准登录公司内网。整个过程会影响连接速度,从而影响员工的工作效率。但是通过DirectAccess,计算机即便 在企业内网休眠的时候还能正常更新,同时可监控企业网络的访问状况 。
但是有一点需要. 注意,让大部分公司马上移到DirectAccess上是不实在 际的。由于 这个系统依赖于良好的网络基础设备 ,其中包括Windows Server 2008 R2和IPv6,这是很多企业目前还没有完全具备的基础设备 ,所以等企业搭好环境完全移到DirectAccess中还需要. 等上几年。将来 几年内,VPN还是运用的主流。
纵观将来 网络,基于安全环境下的“家里办公”将会是发展趋向 ,那时的网络可以满足员工居家办公,就像在办公室里一样顺畅。
原文作者:Logan Kugler
原文标题:Five Windows 7 security features that businesses need to know about
原文链接:http://www.computerworld.com/s/article/9179749/Five_Windows_7_security_features_that_businesses_need_to_know_about?taxonomyId=89&pageNumber=1 |