Windows和安全这两个词似乎总是水火不容。在过去,微软试图使其操作系统易于普通用户使用,这通常意味着需要牺牲抵御入侵和病毒感染的防御。例如大家都知道的漏洞重重的Windows XP,虽然该操作系统有防火墙,但最初默认状态却是关闭防火墙。
对于所有这些漏洞问题,微软的Vista系统标志着windows安全的巨大进步,而Windows 7则延续了这方面的改进,增加了一些新功能并加强了很多其他安全功能,最明显的就是用户帐号控制(UAC)系统,Vista系统的用户帐号控制系统非常可憎以致很多用户选择关闭这个功能,宁愿选择让系统容易受到攻击,而不愿接受烦人的操作。UAC在Windwos7系统中已经得到改善,不在惹人厌,而是更加能够识别真正的威胁,因此也更有效。
其他Windows 7安全功能不太明显,尤其是那些不只是涉及保护一台计算机,而是保护整个网络的安全功能,其中最重要的安全新功能包括DirectAccess,windows网络上计算机的VPN(虚拟专用)替代;Windows指纹识别标准,规范了扫描仪和生物识别应用程序使用指纹的方式;以及AppLocker,改善了之前Windows版本的软件限制策略,该策略限制了哪些软件可以在计算机上运行。
同样重要的包括BitLocker To Go,它库鏖战了BitLocker的全磁盘加密到外部硬盘加密,以及为处理多个防火墙配置文件而改善的程序,以便保护水平更好地与用户连接到互联网的位置相匹配。
正如典型的微软风格,这些功能附有简单的指导。让我们看看这些功能如何能够帮助windows系统保护计算机和网络。
请注意,某些安全功能在所有windows 7版本中都具备,而有些安全功能只有企业版和旗舰版才能使用。此外,只有让所有用户都升级到windows 7,你才能在企业网络完全部署这些功能,至少对于DirectAccess而言,它的后端要求是大部分企业没有部署的。这些安全功能将与用户仍在使用早期版本windows系统中的旧技术并肩作战抵御攻击。
虽然你可能还不能够马上利用所有这些新安全技术的全部优势,但现在是时候开始为这些新技术进行规划。我们将从可以立即运用的功能开始,逐渐探讨这些安全功能。
多个有效防火墙配置文件
从处理防火墙配置文件方面来看,windows 7提供了一个小但极其重要的改进。Vista允许用户为公共、私人和域连接设置不同的防火墙配置文件。私人网络可能是你的家庭无线网络,除了拥有正确的WEP或WPA密钥外,你不需要任何凭据登录,但是比起公共网络(例如咖啡店的无线网络),你会更加信任公共网络。域网络要求身份验证:密码、指纹、智能卡或者几种因素结合来登录。
每个配置文件类型都有自己选择的允许通过防火墙的应用程序和连接。举例来说,在家庭网络或者标记为私人的小型企业网络,你可能会允许文件和打印机共享,而在标记为公共的网络,你可能会禁止访问文件。
Vista系统的防火墙配置文件还不错,只是当计算机被同步连接到多个网络时,例如以太网和无线网络,系统会默认为最严格的配置文件。当通过公共无线热点连接到企业虚拟专用网络时将会造成问题。Vista将会认为同步连接到公共网络和域网络,并为二者运用公共配置文件。
所有windows 7版本都允许计算机同时保持几个防火墙配置文件开启,为可信任网络保持访问性和功能,同时阻止对不可信任网络的访问。由于很多远程访问功能要求较少限制的防火墙设置,用户现在就可以安全地远程工作,而同时免受来自企业网络外部的威胁。
Windows生物识别功能
随着笔记本电脑指纹识别器变得越来越普遍,为处理生物识别数据建立标准变得尤为重要。Windows Biometric Framework,这是存储指纹数据和通过共同API访问数据的标准方式。虽然该子系统的大多数功能都只是开发人员感兴趣的功能,仍然有两个重要的信息企业需要了解。
首先,虽然指纹扫描仪之前被用于登录到计算机,而不是登录到计算机域(企业网络或者网络分区),但Windows Biometric Framework就能够允许域登录。
其次,用户可以存储多大10个独特的指纹,每个手指的指纹。虽然我们都不想手指出意外,但存储10个手指的指纹在系统中是很好的预防措施,以免手指受伤的情况。
指纹是通过生物识别设备装置添加的,这可以在任何版本附有指纹识别器的windows 7的控制面板中找到,并且你能够启动计算机和域登录。你必须作为管理员登录才能够在windows7中添加或管理指纹。
BitLocker To Go
现在企业面临的最严重的安全威胁就是包含重要企业信息的移动设备的丢失。Windows Vista的BitLocker通过允许企业用户加密笔记本的整个硬盘来解决这个问题,这样当笔记本丢失或者被盗时,没人能够访问存储的信息。而BitLocker To Go扩展了相同的保护功能到更容易丢失的外部驱动,包括口袋大小的硬盘驱动和微型闪存驱动器。
Windows 7企业版和旗舰版中有这个功能,BitLocker To Go简单易用:右键单击Explorer中的外部驱动,并选择“打开BitLocker”来打开向导指导你加密驱动,等待一会儿程序运行,就完成了操作。等待时间取决于计算机和驱动速度,例如2GB闪存驱动的初始加密需要20分钟,而500GB和更大的外部驱动需要一个工作日。
BitLocker To Go加密的驱动可以使用用户选择的密码和/或智能卡多因素验证(企业使用)来解密。
加密可移动驱动只能在windows 7企业版和旗舰版操作,但一旦创建加密后,就可以从任何版本windows 7读取或者写入信息。你也可以在加密驱动安装一个读取应用程序来允许vista和XP系统的只读访问。
通过使用管理政策仅允许BitLocker To Go驱动被写入以防止用户将数据保存在不安全设备上可以为企业环境增强安全性。Windows Server的用户也可以使用Active Directory保存一个恢复密码,以便恢复丢失或者忘记的密码。
AppLocker
控制哪些应用程序用户可以安装或者运行是有效维持用户系统稳定性、抵御恶意软件和保护网络完整性(以防被带宽要求高的应用程序占用,如BitTorrent)的方法
在之前windows版本中,这是由软件限制政策功能处理的,这些政策可以用于防止特定软件的运行,根据软件在文件系统的位置或者软件无法与已知可信应用程序的加密哈希匹配来判断。
软件限制政策在部署和维护方面可能是一个麻烦。有些程序需要安装在典型路径的外部,因此需要生成新的路径规则。基于哈希的政策提供强大的安全性,但当程序更新后,政策也可能失效。程序编码的任何更改,甚至是漏洞修复或安全更新,都会改变哈希,并且会阻止程序运行。因此,IT管理人员必须保持和更新哈希规则列表,并自动覆盖程序更新的能力。
Windows 7企业版和旗舰版(以及Windows Server 2008 R2)中的AppLocker增加了新的更加灵活的控制软件的方法:发布者规则。发布者规则依赖于程序签名证书的信息,这也是越来越多应用程序增加的信息。
该信息比文件路径或者哈希数据更加详细,它可以让管理员创建复杂的规则,例如仅允许来自某特定发布者的软件,特定名称、特定文件名称和/或特定版本。举例来说,可以创建一条规则允许任何来自Adobe的程序运行,或者仅允许Photoshop运行,或者只有最新版本的Photoshop运行。
AppLocker规则可以适用于任何可执行、脚本、安装程序或者系统库,让用户有足够的回旋余地,比如安装必要的软件或升级而不需要管理员权限,并且能够避免使用未经授权的软件。
此外,AppLocker规则可以被写入以用于特定用户或用户组,企业会计部门和图形涉及部门可能有不同的软件需求,但对于AppLocker,就能够为每组根据各自独特的限制和要求来设置规则。
真正节省时间的是从可信参考计算机自动生成规则的能力,策略可以使用windows的组策略设置在网络范围内运用。
值得注意的是,AppLocker仅适用于运行windows 7企业版或者旗舰版的用户。如果你的用户使用的是较旧版本的windows,你将需要使用软件限制策略。随着越来越多的用户升级到windows 7系统,你可以淘汰掉软件限制策略,转投AppLocker。
DirectAccess
被微软号称是VPN“下一代”替代品的DirectAccess允许windows 7企业版和旗舰版用户直接连接到windows 2008 R2和未来服务器版本。用户通常需要发起VPN连接,而DirectAccess对于最终用户而言几乎是透明的:当计算机连接到网络时,DirectAccess自动创建到企业网络的安全链接,而不需要用户的任何操作,并且通过该连接自动路由请求到内部互联网。
除了自动连接外,DirectAccess还提供传统VPN无法实现的功能。首先,它使用的是Ipsec和Ipv6互联网协议来加密和路由端到端连接。VPN加密是在VPN服务器被剥离,DirectAccess可以全程都保持加密,从企业网络内的应用程序服务器。(DirectAccess支持很多其他协议来创建不支持Ipsec或Ipv6网络流量渠道)
因为DirectAccess使用的是标准互联网端口,它可以轻松穿越防火墙,而不需要任何额外配置,而这方面VPN用户则常常遇到问题。
另一个优势:因为连接是自动创建和维护的,管理员可以持续管理和更新DirectAccess启用的计算机,甚至当用户不是直接使用企业资源时。远程用户仅当需要访问网络资源时往往通过VPN连接。
这意味着VPN用户在被允许访问企业网络前必须被隔离、扫描和修复补丁,这个程序减慢了连接速度,限制了员工的效率,并且IT管理员只有很少的时间来管理远程计算机。而有了DirectAccess,企业网络的所有计算机可以同时更新,并且不管用户是否需要访问企业网络都会被监控。
但请注意,所有公司立即转而使用DirectAccess并不实际。该系统依赖于高级网络基础设施,包括Windows Server 2008 R2 和IPv6,这也是很多企业没有部署的项目,在企业部署所有工具和技术前可能还需要几年时间才能完全转移到DirectAccess。 这个阶段,企业仍需使用传统VPN。
但是它让我们瞥见了未来网络,到“企业大本营”的安全、永远开启的连接能够允许远程员工像在企业办公室里办公一样方便和安全。
对于企业而言,window 7允许在安全IT部门和最终用户间建立某种伙伴关系,让员工在部署安全策略和更新网络应用的环境下工作。所有这些功能的共同宗旨就是在不牺牲可用性的情况下,实现真正的安全,这也体现了微软似乎终于意识到这两者并不是水火不容。