Windows 7的五大企业安全功能

安全 漏洞
自从Windows 7上市之后,虽然暂时还不能撼动Windows xp的老牌操作系统地位,但是也是有越来越多的企业和个人纷纷使用了这款全新的操作系统。不同于当时vista的不受看好,Windows 7在企业安全应用上也有了不少突破。

自从Windows 7上市之后,虽然暂时还不能撼动Windows xp的老牌操作系统地位,但是也是有越来越多的企业和个人纷纷使用了这款全新的操作系统。不同于当时vista的不受看好,Windows 7在企业安全应用上也有了不少突破。

功能一:多项防火墙配置协调工作

比起Vista系统,Windows 7有一个看似很小但是很重要的改进,那就是防火墙的配置。Vista系统允许用户为公私用户开启多个防火墙配置和域名链接。每个私有网络都可能成为你的主Wi-Fi网络;只要用户输入正确的WEP或者WPA钥匙就可以随意登录私有网络,这过程中不需要任何的认证信息。但是登录域名网络就要求身份验证,验证方式有密码、指纹、密码卡或者一些组合的信息等。

每一个配置文件都能通过防火墙选择性地连接应用。比如,现在需要搭建的是家用或者企业的小型私有网络,就可以设置共享文件和打印。但是对于公用网络,你应该就不会共享你的文件了。

Vista系统的防火墙一般情况下都可以正常工作,除了将计算机同时连接到多个网络中,比如同时连接到以太网和无线网中。在这种情况下,系统会默认采用最严格的配置。这样就会带来很多问题,比如,当你通过公共Wi-Fi热点区域连接到公司的VPN中时,Vista系统就会同时向公共网络和域网络提交公共配置。

所有使用Windows 7系列的计算机可以同时启动几个防火墙配置,这样可以保证网络访问更加可信,同时减少不可信网络的接入。由于远程接入功能对于防火墙配置限制较少,所以用户目前也没有必要过多的担心外来网络对于企业内部网的入侵问题,可以放心使用。

功能二:Windows 生物识别框(Biometric Framework)

随着指纹识别技术在笔记本中的应用越来越广泛,制定出一套处理人体识别数据的标准是很重要的。为了解决这种需求,Windows 7系统开发了生物识别框功能。进入Windows系统的生物识别框,会有一个标准的存储指纹数据方法和一个共同的API来访问这些数据。虽然很多开发商对于该系统的很多子功能都很感兴趣,但是在应用之前有两件事是企业必须知道的。

首先,传统的指纹扫描仪可以连接到计算机上,但是不能连接到企业网络中,但是微软的Windows生物识别框就能做到。

其次,Windows 7的指纹识别系统可以为每个用户存储10个手指的指纹信息,虽然我们都不愿意手指受伤,但是一旦某个手指出现意外,还可以通过其他手指登录系统,这显然比传统的智能多了。

指纹是通过Windows 7控制面板下的生物识别装置小程序来存储信息的,任何Windows 7系统和指纹扫描仪绑定后,就可以通过指纹来登录系统。要注意的是,你必须以管理员身份来添加或者管理指纹。

功能三:BitLocker To Go

目前最严重的安全隐患就是在移动网络应用中丢失商业机密。Vista中的BitLocker通过为笔记本全部的硬件设备加密方式来保护用户信息,这样即使内容被盗或者丢失,也没有人能够读取里面的信息。而Windows 7的BitLocker To Go也是通过加密方式来保护用户信息,只是方式上会更简单,保护范围也延伸到口袋大小的微型硬盘设备和小型闪存设备。

在Windows 7企业最终版中可以使用这个功能,只要鼠标右击资源管理器中的外部设备图表,选择下拉菜单“Turn on BitLocker”打开一个向导,按着指示进行配置加密,等待程序启动完毕后就能可以。等待的时间长短跟你的电脑速度和配置设备有关,初步预计,对2GB的闪存设备和一个全日制工作的500GB或者更大的外围硬件设备进行配置只需要花费20分钟。

BitLocker To Go可以使用密码进行解密,企业也可以使用智能卡或者多种身份验证方式组合来解密。

对移动设备加密也是Windows 7企业最终版中才具备的功能,但是你一旦创建了加密的移动设备,用户可以通过任何版本的Windows 7系统的电脑来读写该设备。你也可以为加密的设备安装一个阅读应用软件,这样Vista或者XP系统就只能对该设备进行读操作。

这项新增大安全功能可以用于企业工作中,让决策者将信息写入安全的BitLocker To Go设备中,防止将信息保存到一个不安全的环境中。Windows 服务器的用户还可以让第三方使用活动目录保管一个密码,一遍在丢失或者遗忘密码时,可以恢复数据。

该项功能可以让企业决策者安心得将重要的信息写入经过BitLocker To Go加密过的设备中。当用户丢失或者忘记密码时,还可以通过Windows服务器的第三方活动目录重新获得打开密码。#p#

功能四:AppLocker 应用程序锁

通过控制应用程序的安装和运行状态可以有效地提高系统的稳定性,防止恶意软件的入侵以及带宽等影响网络速度的问题。

Windows原始的版本中,这些都是由软件限制策略功能处理的。这些策略对于那些基于当地文件系统的特定软件有实用的预防效果,但是对于那些暗藏在可信应用软件中的加密木马是没有预防效果的。

软件限制策略在实际的运行和维护都有困难的。一些应用程序需要安装在外部独有路径下,因此就需要制定新的路径规则。虽然基于哈希的策略能提供有效地安全保障,但每当一个程序升级后它就会失效。任何程序代码的变换,甚至是错误的修复或者更新,都会改变哈希值,有时还会阻止程序正常运行。因此,IT经理不得不去维护或者修改冗长的哈希规则表单和程序的自动更新功能。

Windows 7企业最终版和Windows Sever 2008 R2中的AppLock功能可用,该功能增加了一个全新的方式灵活地控制软件——出版商规则(publisher rules)。出版商规则依赖于程序的签名认证信息,这也是越来越多的应用软件所具有的。

应用程序的签名认证信息比旧版的文件路径和哈希数据都更详细,它可以让系统管理员创建复杂的规则,比如通过设置特定的名字,例如文件名字设置软件来运行特定的供应商的软件,或者通过特定的名字来运行特定的软件或特定版本的软件。比如,可以建立一个规则让系统只运行Adobe的程序,或者只运行Photoshop,甚至可以只是运行目前最新版的Photoshop。

AppLocker规则可以适用于任何可执行文件、脚本、安装程序或者是系统库中,让用户有多种选择,也就是说可以让用户安装所需要的软件,管理员不需要控制软件的更新,同时还可以防止安装没有授权的软件。

此外,AppLocker规则中可以写入特定的用户和用户组,比如会计组和图形设计组肯定有不同的软件需求,通过AppLocker规则,群组中只要有一个人配置了规则,大家都可以共享,AppLocker甚至还可以区分出用户组之间谁共享同一台计算机。

但是要清楚的是AppLocker只是针对Windows 7企业版和Windows 7最终版。如果你的用户是用旧版Windows系统,你需要单独为他们设置一个软件限制策略。但是随着越来越多的用户升级到Windows 7系统,你就可以抛弃SRP改用AppLocker。

功能五:DirectAccess

微软号称DirectAccess是“下一代”的VPNs,DirectAccess允许Windows 7企业版和Windows 7最终版用户直接连接到Windows Sever 2008 R2服务器中。鉴于用户连接VPN时通常需要先发起请求,但是使用DirectAccess,电脑连接到网络上后,系统就会自动连接到公司网络中,整个连接过程是完全透明的。

DirectAccess自动连接与传统的VPNs连接有很大的改进。首先,它使用IPsec和IPv6网络协议进行数据加密和端到端的路由器连接。VPN的加密是与VPN服务器脱离的,而DirectAccess能够让数据从企业内网应用服务器上传送到客户端的整个过程中都处于加密状态。

因为DirectAccess使用一个标准的互联网端口通信,所以它可以不需要任何配置就能够穿过防火墙,这是VPN用户不能做到的。

DirectAccess还有另一个好处就是可以自动创建连接和维护。即使用户不是直接使用公司资源,管理员也可以同时管理和更新DirectAccess计算机。虽然用户一般只是在需要访问网络资源时才会通过VPN连接,但是VPN连接常常很耗时间。

例如,如果远程用户在本地的咖啡厅连接到无线热点,DirectAccess 将检测到 Internet 连接可用并自动建立与内部网络边缘的 DirectAccess 服务器的连接。 用户将能够访问管理员已授予远程访问权限的内部资源,如内部共享、网站和应用程序。

连接耗时主要是因为VPN用户必须经过隔离、扫描、和修复后才能获准登录公司内网。整个过程会影响连接速度,从而影响员工的工作效率。但是通过DirectAccess,计算机即使在企业内网休眠的时候还能正常更新,同时可监控企业网络的访问情况。

但是有一点需要注意,让大部分公司马上移到DirectAccess上是不切实际的。因为这个系统依赖于良好的网络基础设施,其中包括Windows Server 2008 R2和IPv6,这是很多企业目前还没有完全具备的基础设施,所以等企业搭好环境完全移到DirectAccess中还需要等上几年。未来几年内,VPN还是运用的主流。

纵观未来网络,基于安全环境下的“家里办公”将会是发展趋势,那时的网络可以满足员工居家办公,就像在办公室里一样顺畅。

 

【编辑推荐】

  1. Windows TCP/IP协议栈存在严重远程安全漏洞
  2. 微软新图片漏洞可导致木马传播 建议立即更新
  3. MS09-002利用代码公布:XP到2008用户皆面临打击
  4. Windows内核图像文件漏洞揭示严重安全问题
  5. 网络入侵防范中心:关注librpc.dll漏洞
责任编辑:张启峰 来源: ZDNET安全频道
相关推荐

2010-08-12 09:55:15

2010-08-12 20:37:01

2011-05-05 11:31:00

2011-08-31 11:12:36

2009-06-23 18:03:37

Windows 7微软特色

2011-08-10 17:49:56

2009-04-01 11:17:39

2011-05-18 10:40:19

Windows 7

2010-04-23 10:49:52

Windows 7安装

2022-08-08 10:20:19

数据安全首席信息安全官

2022-02-09 11:25:58

混合云云计算云安全

2012-12-26 10:31:10

2013-08-15 11:31:25

2013-08-06 13:36:42

2015-01-20 09:11:19

2012-08-29 09:41:07

2013-08-06 09:56:11

2021-10-28 18:14:28

应用安全安全管理网络安全

2014-12-25 23:02:29

2012-12-25 10:17:24

点赞
收藏

51CTO技术栈公众号