学习如何使用AppLocker的,BitLocker To Go的,安全账户,以及其他重要的Windows 7安全性改进,以良好的使用
Windows 7的一直热情接待,并迅速采取通过企业,其结果是许多IT管理员正与该平台的新安全功能挣扎。除了从Windows Vista中,Windows 7继承人介绍安全功能的转换,企业将要采取的优势更改用户帐户控制,BitLocker的,和其他功能。
Windows 7中改进了Vista的一个友好的UAC机制,可移动介质和硬盘驱动器卷加密的能力,为强大的加密密码,无忧的安全远程访问更广泛的支持,并在AppLocker的形式复杂的保护,防止木马病毒的恶意软件,命名一些。
[掌握与InfoWorld的交互式安全安全iGuide。|保持最新与罗杰·格里姆斯最新的安全动态安全顾问博客和InfoWorld的安全中心的通讯。]
在本指南中,我将通过这些和其他显著的安全增强功能在Windows 7上运行,并配置和使用他们提供我的建议。我要特别密切关注新的AppLocker应用控制功能,它可能是战斗社交工程恶意程序的木马在Windows商店的最实用,最经济实惠的方式。
新的和改进的Windows 7有数以百计的安全性修改和补充,太多以覆盖一举。虽然本指南的重点是那些大多数组织将有兴趣,请记住,很多人可能值得你关注。几个BIGGIES不是这里讨论的内置智能卡和生物识别技术,以迫使一个称为Kerberos的使用能力支持限制NTLM,并为新的支持DNSSEC标准,这正在成为必不可少的,以防止DNS攻击的剥削。同样值得注意的是所谓的新功能身份验证扩展保护,这使许多复杂的人在这方面的中间人攻击,可以在我们的一些最值得信赖的安全协议(如SSL和TLS)罢工。
用户帐户控制。一个Windows Vista中的功能,用户喜爱恨,用户帐户控制已显著改善是在这取决于你是否以管理员身份登录或标准用户在Windows 7正版和潜在的恶意活动之间的区分。然而,无论是较少干扰,更聪明,Windows 7中的一些安装可能有一个默认的UAC安全设置这是一个水平比一些专家(包括本人)建议低。标准用户有UAC安全默认为最安全的设置,而管理员帐户位于下方的最高设置,这是潜在的风险更高一个档次。
还要注意的是,虽然UAC提供了急需的机制,以防止管理员权限滥用,它可以被绕过。如果你需要高安全性,用户不应该有提升的用户帐户,直到他们需要登录。
你的域环境应该已经是最高,最安全的电平(“始终通知”)。如果不是,是真的。这样一来,用户将被提示输入自己的密码进行高风险的行政行为。不管还有什么,UAC应该启用。
BitLocker驱动器加密。在Windows 7中,BitLocker驱动器加密技术从OS驱动器伸出和固定数据驱动器,包括可移动存储设备,诸如便携式硬盘驱动器和USB闪存驱动器。这个新功能叫做BitLocker To Go的。
在Windows Vista SP1中,微软增加了对加密固定数据驱动器的官方支持,但这只能通过命令行工具来完成。现在,只需右键单击Windows资源管理器GUI,您就可以加密操作系统卷、固定数据驱动器和USB闪存驱动器。此外,您可以使用智能卡来保护数据量,还可以设置数据恢复代理来自动备份BitLocker密钥。如果您使用的是可信平台模块(TPM)芯片,则可以强制规定最小PIN长度;对于大多数环境来说,五个字符就足够了。
在Windows 7中,没有必要打开BitLocker之前创建单独的分区。系统分区会自动创建并没有一个驱动器号,所以它不是在Windows资源管理器看到和数据文件不会被无意中写入。系统分区是Windows 7比Windows Vista中较小的,需要的空间只有100MB。
与BitLocker去,你可以加密可移动驱动器一次一个或要求所有可移动介质被默认加密。此外,加密可移动媒体可以被解密和重新加密在任何Windows 7计算机 - 不只是它最初是在加密的一个。
BitLocker To Go的阅读器(bitlockertogo.exe)是一个程序,运行Windows Vista或Windows XP,让您可以打开并查看已经在Windows 7中被加密使用BitLocker可移动驱动器的内容的计算机上的作品。
你应该在便携式计算机上启用BitLocker(最好用TPM和其他因素),如果你不使用其他数据加密产品。存储BitLocker PIN和恢复信息在Active Directory或配置称为数据恢复代理,将允许管理员解锁使用BitLocker加密的任何驱动器中的域范围内的公共密钥。要求BitLocker To Go的所有可能的可移动介质驱动器。
轻松加密的页面文件。谁也无法利用BitLocker的但还是用户要防止内存交换页面文件在脱机部门编辑攻击不再需要擦除关机页面文件进行分析。Windows XP和更早版本有,允许页面文件要在关机和重建在每次启动时删除的设置。这是一个很大的安全功能,但它往往造成延迟停机和初创公司 - 有时添加多达10分钟的过程。
在Windows 7(和Vista),您可以启用页面文件加密。更妙的是:没有密钥管理。Windows创建和删除加密密钥根据需要,所以没有机会,用户可以“输”键或需要恢复。这是在其最好的加密安全性。
更好的加密。Windows 7包含了所有最新行业公认的加密算法,如AES(高级加密标准),ECC(椭圆曲线加密)和SHA-2哈希家庭。事实上,Windows 7中实现了所有的密码的的Suite B,经美国国家安全局和美国国家标准与技术研究所在通用的加密软件使用一组加密算法。
尽管微软增加了对Suite B加密算法(AES,ECDSA,ECDH,SHA2)升级到Windows Vista的支持,Windows 7允许的Suite B加密与传输层安全(简称TLS V.1.2)和加密文件系统(EFS使用)。的Suite B密码应尽可能使用。然而,需要注意的是Suite B的密码通常不与Windows Vista之前的Windows版本兼容是非常重要的。
默认情况下,Windows中的所有现有技术都将使用业界标准的密码。没有更多的传统,使用专有的密码。仍然存在的这些传统的密码仅包含向后兼容的目的。微软已经共享了详细的新密码与密码世界的分析和评价。Key和散列大小增加默认。
EFS(加密文件系统)已经在许多方面超出了使用更现代化的密码改善。首先,你可以使用智能卡来保护您的EFS密钥。这不仅使EFS密钥更安全,但允许它们是计算机之间移植。
管理员会很高兴地知道,他们可以阻止用户在创建自签名EFS密钥。以前,用户可以很容易地打开EFS,其生成的自签名EFS数字证书是否兼容PKI服务器无法找到。很多时候,这些用户加密的文件,但不备份他们的自签名的数字证书,这经常导致不可恢复的数据丢失。
在Windows 7中,管理员仍可以允许自签名EFS密钥,而强制要求密码和最小密钥长度。Windows 7将督促用户备份他们的EFS数字证书的一些其他可移动介质或网络驱动器共享 - 并保持督促他们,直到他们做到这一点。微软网页详细介绍了EFS变化。
更安全与IE 8浏览。用户不需要的Windows 7运行IE 8,如果他们正在运行IE的旧操作系统上的旧版本,他们应该升级到IE 8,尽快。更妙的是,从安全角度看,是在Windows 7上运行的IE 8。
不仅是IE 8默认情况下,比浏览器的早期版本更安全,但IE 8是Windows 7更安全,比在Windows XP。最近的中国谷歌的零日攻击的黑客比任何我能想出更有效地说明了这一点。中国的攻击工作最有效地在IE 6和IE不能很好地在IE 8(见相对风险评级)。微软测试了许多相关的漏洞,发现他们在IE 8是显著困难在IE 8来完成,并且更难在Windows 7上。
当然,应用程序和网站的兼容性问题将指导如何快速的Windows商店可以移动到新的浏览器 - 但是运行一些测试。我的客户中不乏谁仍然执着于IE 6和一年多没有进行任何的兼容性测试。通常当我鞭策他们与IE 8的复验申请麻烦,它的工作原理。
多个活动的防火墙策略。在Windows 7之前,当一个用户有多个网络接口活跃,只有一个Windows防火墙配置文件(即首页,域名,工作或公共)都可以使用。这造成潜在的安全漏洞,例如当计算机被有线到本地网络域并连接到限制少的无线网络。Windows 7中现在可以检测多种网络和相应的防火墙配置文件应用到合适的接口。
提高了系统还原功能。现在系统还原包括用户的个人内容文件。旧版本备份,只保护Windows系统文件。系统还原还会让你看到哪些文件会在系统的每个版本恢复恢复文件。它并不完美,但它很高兴看到,如果你要选择一个特定的恢复点会发生什么。
平滑的远程访问。直接访问允许远程用户能够安全地访问企业资源(如股票,网站,应用程序等)不连接到传统类型的VPN。DirectAccess的每一个用户的启用DirectAccess的便携式计算机连接到Internet时建立的双向连通性与用户的企业网络,甚至在用户登录之前。这样做的优点是,用户不必考虑连接到企业网络,而IT管理员可以管理即使计算机没有连接到VPN远程计算机。
一旦DirectAccess的启用,当用户的计算机连接到Internet,就好像他或她是该组织的本地网络上。组策略的工作,远程管理工具的工作,并自动推修补工程。
不幸的是,DirectAccess的具有相当复杂的要求,包括Windows Server 2008 R2(作为RAS服务器),Windows 7企业版或旗舰版的客户,PKI,IPv6和安全。但作为企业把需要的组件到位,就应该考虑使用DirectAccess的作为其默认的VPN技术,为Windows 7和更高版本客户端。
托管服务帐户。服务帐户常常是高度特权,但难以管理。最佳实践建议,决定系统不断变化的服务帐户密码频繁,以免密码攻击的风险。但是,Windows服务通常占需要两个或更多协调,以同步密码更改为服务不中断地继续运行;Windows 7和Windows Server 2008 R2中之前,服务帐户是不容易管理。如果服务帐户作为启用管理服务帐户,Windows将接管的Kerberos SPN的密码管理,简化管理(服务主体名称)。
如DirectAccess,托管服务帐户有很多的要求,包括更新模式和强制使用PowerShell 2.尽管如此,如果服务帐户在您的环境麻烦 - 你知道他们是 - 考虑启用这一新功能时,您的基础设施准备。
虚拟服务帐户。虚拟服务帐户(VSA)的在该Windows接管密码管理与托管服务帐户。但是,VSA的是本地服务帐户,不需要更新模式或近的努力来配置和使用量。
当VSA控制的服务,该服务访问与计算机的身份在网络(在域环境中),这更象是内置的本地系统和网络服务帐户做,只是VSA的允许每个服务都有自己的独立安全域和相应的隔离。