这句话并不总是兼容Windows和安全。过去,微软寻求使其操作系统尽可能的易于管理的“典型”的用户往往意味着牺牲足够的防范入侵和感染。Windows XP臭名昭著的漏洞对网络蠕虫是最近的一个例子;微软发布的操作系统防火墙,但最初把它默认关闭。
所有的缺陷,真实,Vista标志着一个巨大的进步在Windows安全。Windows 7持续改进,增加了几个新特性和增强其他——最明显的是用户帐户控制系统,所以讨厌Vista证明许多用户关闭它,离开他们的系统容易受到入侵,以换取一个恼人的经验更少。UAC已经修改了在Windows 7中更少侵入,更多关心什么是一个真正的威胁,因此更有效。
其他Windows 7安全特性不明显,尤其是用于企业关心保护不仅仅是一台电脑,但整个网络。最重要的新特性是DirectAccess, VPN替代电脑在Windows网络;Windows生物识别框架,规范使用指纹扫描仪和生物识别应用程序的方式;AppLocker,改善以前的Windows版本的软件限制政策限制哪些软件可以运行在一台机器上。
还关键驱动器加密,扩展了全盘加密的外部硬盘驱动器加密,和精制过程处理多个防火墙配置文件,以便更好的保护级别比赛的位置一个用户连接到互联网。
在典型的微软时尚,这些特性可用低调或指导。让我们来看看每个Windows如何帮助保护他们的电脑和网络。
注意,这些特性可用于所有版本的Windows 7,而其他人则需要企业或最终的版本。更重要的是,你不能完全实现一些功能,直到你所有用户升级到Windows 7,和至少有一个——DirectAccess端需求,大多数企业还没有到位。然而,这些功能将并肩工作使用老技术的用户仍在早期版本的Windows。
因此,即使你可能无法充分利用所有的新立即安全特性,现在是时候开始规划。我们将马上开始,您可以使用的特性,那些需要规划。
多个活动防火墙配置文件
Windows 7提供了一个虽小但非常重要的改进在Vista防火墙配置文件的处理。Vista允许用户设置不同的防火墙配置文件为公共,私人和域连接。一个私人网络可能是你家的无线网络;除了拥有正确的WEP或WPA密钥,你不需要任何凭证登录,但你相信它超过一个公共网络像一个咖啡店热点。域网络需要身份验证,密码,指纹,智能卡或一些组合的因素——登录。
每个概要文件类型都有自己的选择的应用程序和允许通过防火墙的连接。例如,在一个家庭或小型企业网络私人,你可能允许文件和打印机共享,在网络标记为公开,你可能会不允许访问你的文件。
Vista的防火墙配置文件很好,除了一台电脑同时连接多个网络的时候,比如一个以太网和无线网络。在这些情况下,系统将默认为最严格的概要文件。这可能导致问题,例如,企业VPN连接到一个通过一个公共wi - fi热点;Vista将承认并发连接公共和域网络和应用的公众形象。
所有版本的Windows 7允许计算机保持几个防火墙配置文件活跃的同时,维护的访问和功能更可信网络而阻止访问通过可信网络越少。因为许多需要更少的限制性防火墙设置远程访问功能,用户现在可以安全地工作,同时保持免受威胁以外的企业网络。
Windows生物识别框架
和指纹的读者越来越常见的在笔记本电脑上,建立一个标准的生物特征数据的处理变得重要。进入Windows生物识别框架,一个标准化的方法来存储指纹数据和访问它通过一个通用的API。虽然大部分的功能子系统只感兴趣的开发人员,有两个重要的企业应该知道的事情。
首先,虽然指纹扫描仪前可用于登录电脑但不能登录公司域(企业网络或网络分段),Windows生物框架允许域登录。
第二,用户可以存储多达10个独特的指纹,每个手指一个。虽然我们大多数人可能不希望很快失去一根手指,让所有的十个手指进入较小的系统是一个很好的预防措施,以防受伤。烹饪事故或一只手夹在一扇门可以很容易地修改一个手指足够它不会正确地注册指纹阅读器,而你不想让一个用户被禁止进入他的电脑在他治疗。
添加使用指纹生物识别设备applet,它出现在控制面板的任何Windows 7电脑附带指纹扫描仪和计算机和域登录,您可以启用。您必须以管理员身份登录添加或管理Windows 7上的指纹。
驱动器加密去
今天面临的最严重的安全威胁的一个企业是一个移动的损失资产含有公司机密信息。Windows Vista的驱动器加密开始解决这个问题通过允许业务用户加密的笔记本电脑的整个硬盘,这样如果丢失或被盗,没有人可以访问存储在它的信息。驱动器加密去相同的保护延伸至更容易丢失外部驱动器,包括袖珍的硬盘和闪存。
可以在Windows 7旗舰版和企业版,驱动器加密是使用简单:外部驱动器在资源管理器中右键单击并选择“打开磁盘加密”打开一个向导,该向导将指导您完成加密驱动器,等待一段时间进程运行,你就完成了。等待取决于您的计算机的速度和驱动器,但预计初始加密20分钟为一个2 gb的闪存驱动器和一个完整的工作日为500 gb和更大的外部硬盘驱动器。
驱动器加密去驱动可以使用用户选择的密码和/或解密,在企业使用它们,多因素身份验证的智能卡。
加密移动硬盘可以创建只在Windows 7旗舰版和企业版,但是一旦你已经创建了一个,你可以读和写它从任何Windows 7电脑。你也可以安装一个阅读器应用程序加密的驱动器上,允许只读访问从Vista和XP的电脑。
额外的安全可以实现在企业环境中通过使用管理政策,只允许磁盘加密驱动器写到,防止用户将数据存储在不安全的驱动器。Windows Server的用户还可以保持一个托管使用Active Directory中恢复密码丢失或忘记密码可以恢复。
AppLocker
控制应用程序的用户可以安装或运行是一种有效的方式维护稳定的用户的系统,防止恶意软件和网络的完整性保护类似BitTorrent高耗带宽的应用设置。
在早期版本的Windows,这是由软件限制策略特性。这些策略可以应用于阻止特定软件的运行基于文件系统的位置或未能匹配的密码散列,受信任的应用程序。
软件限制策略可以有效地实施和维护的麻烦。一些程序需要安装外的典型路径,迫使新路径规则生成。和基于散列的政策提供强大的安全,但无论何时更新程序失败。任何改变程序的代码——甚至一个bug修复或安全更新——改变了散列表中,如果允许,防止程序运行。因此,管理者必须维护和更新繁琐的哈希列表规则和自动覆盖程序更新的能力。
AppLocker,可用于Windows 7企业和最终(以及Windows Server 2008 R2),添加了一个新的、更加灵活的方法控制软件:出版商规则。出版商规则依赖于信息在程序的签名证书,今天,越来越多的应用。
这些信息更详细的文件路径或散列数据,允许管理员创建复杂的规则,如只允许软件从一个特定的出版商,与一个特定的名称,与一个特定的文件名称和/或运行一个特定的版本。例如,可以创建一个规则允许运行,从Adobe Photoshop,或者只有当前和未来版本的Photoshop。
AppLocker规则可以应用于任何可执行文件,脚本,安装程序或系统库,为用户提供足够的自由,说,安装必要的软件或更新没有行政覆盖,同时还能阻止他们使用未经授权的软件。
此外,AppLocker规则可以书面形式应用到特定的用户或用户组;你的会计团队和图形设计团队可能有非常不同的软件需求,但随着AppLocker,只有一组政策需要为每个组提供独特的限制和津贴。AppLocker甚至可以区分用户共享同一台计算机。
一个真正节省时间是能够自动生成规则从一个可信的参考计算机。政策可以被导出并应用于整个网络使用Windows的组策略设置。(参见微软的技术使用AppLocker分步指南)。
重要的是要注意,AppLocker规则仅适用于用户的机器在运行Windows 7旗舰版或企业版。如果你的一些用户有较早的Windows版本,你需要保持软件限制策略。随着越来越多的用户升级到Windows 7,你可以逐步淘汰SRP和依靠AppLocker。
DirectAccess
由微软称为“下一代”替代vpn, DirectAccess允许Windows 7企业和最终用户直接连接到Windows 2008 R2和未来的服务器。而用户通常需要启动VPN连接,DirectAccess对最终用户是完全透明的:当电脑连接互联网,DirectAccess自动创建了一个安全连接到公司网络用户的一部分,没有任何行动,并自动请求路由到内部网络连接。
DirectAccess提供改进了传统vpn自动连接。首先,它使用IPsec和IPv6网络协议来加密,从端到端路由连接。VPN加密是剥夺了VPN服务器,DirectAccess可以保持加密方式和公司网络内的应用程序服务器。(DirectAccess支持许多其他协议创建隧道为这个交通网络不支持IPv6或IPsec。)
因为DirectAccess使用标准的互联网端口流量,它轻易地穿越防火墙没有任何额外的配置,VPN用户经常遇到麻烦。
另一个好处:因为连接自动创建和维护,管理员可以管理和持续更新DirectAccess-enabled电脑,即使用户没有直接使用企业资源。远程用户倾向于通过VPN连接只有当他们需要访问网络资源;根据职工,周之间可能会通过VPN连接。
这意味着VPN用户必须被隔离,扫描和打补丁才能被允许访问公司网络,这一过程减缓了连接和限制工人的生产力,以及提供IT管理员只有小窗口的时间来管理他们的远程计算机。DirectAccess,电脑更新的同时其余的公司网络,可以监控无论用户需要访问公司网络。
但是请注意,不会实践对大多数公司搬到DirectAccess。系统依赖于一个先进的网络基础设施——包括Windows Server 2008 R2和IPv6——许多企业尚未推出了或正在逐步升级,所以它可能是几年前许多公司拥有所有的工具和技术来充分DirectAccess。在过渡阶段,它可以运行在传统的VPN。
但它提供了一窥网络——一个安全的未来,不间断连接“大本营”,允许远程员工如果他们坐在中央办公室工作。
为企业,Windows 7允许安全意识之间的伙伴关系建立的IT部门和最终用户,让员工得到工作,而从网络应用安全策略和更新。所有这些功能共享是什么承诺易用性不来真正的安全为代价,显示微软似乎终于认识到这两个不一定是不相容的。
洛根Kugler是一个频繁Computerworld贡献者。他最近的文章是“5使用引导Linux住光盘的方法”。
这个故事,“5 Windows 7安全特性的企业需要了解“最初发表的《计算机世界》 。