你应该知道的Windows 7五大企业级安全功能

Windows 7发布后,虽然暂时Windows 7还难以撼动XP的市场地位,但是Windows 7也不是一个只有外表的花瓶,它除了炫丽的桌面应用外,Windows 7在企业级的安全应用上也有不少突破。本次就向大家介绍Windows 7企业版中鲜为人知的五大安全应用功能。

Windows与安全似乎不能总是并存。过去,当用户易操作和系统安全发生冲突时,微软总是选择牺牲系统安全。Windows XP近段时间遭受网络蠕虫入侵就是一个最好的例子,微软本来是有为XP预装抵抗蠕虫入侵的防火墙,但是为了让用户使用更简单,XP系统中的防火墙默认情况下是处于关闭状态的。

除了这些是用户能明显感受到的安全问题,Vista系统在安全性能上这迈出了重要的一步,随后微软推出的Windows 7除了继续上一版系统安全性能上的更新外,在其他方面还增加了很多新功能。其中最明显的改进就是用户账户控制系统(User Account Control System,简称UAC),这个账户控制系统在Vista系统中极易收到攻击,带来很多安全隐患,以至于很多用户都将这个系统关闭。但是在Windows 7系统中UAC得到很大的改善,改进后的UAC具有较好的系统防御功能,提高了对危险的辨别和工作效率。

除此之外,其实Windows 7系统还增加了一些不太显眼的安全保护功能,特别是以保护企业网络安全为目的的新功能。其中最重要的功能有以下五个:

DirectAccess:该功能可以使远程计算机通过 Internet 自动、无缝地访问内部网络,无需连接到虚拟专用网络 (VPN)。

Windows Biometric Framework(Windows生物识别架构):该功能为指纹扫描和生物识别应用提供标准化的方法。

AppLocker:该功能可以为Windows系统中的应用程序加锁,控制应用软件的运行状态。

BitLocker To Go:这是最重要的一项功能,该功能通过扩展BitLocker的硬盘加密方式来扩展硬盘设备。

Multiple active firewall profiles(多项防火墙配置协调工作):改良手动配置多项防火墙程序,达到了更好的网络通信保护功能。

据了解目前Windows 7企业版都具备以上功能,但是Windows 7其他系列的版本中只有最终版才具有以上功能。

即使你无法立刻完全体验到全部新功能的优点,但是提前了解这些功能的作用也不错。另外,如果你没有完全升级到Windows 7企业版或者最终版的话,你是无法运行所有的功能的,至少不能体验DirectAccess。

我们会从你马上就能用到的功能开始介绍,接下来就一起来看看这些新功能究竟如何保护Windows网络计算机的安全。

功能一:多项防火墙配置协调工作

比起Vista系统,Windows 7有一个看似很小但是很重要的改进,那就是防火墙的配置。Vista系统允许用户为公私用户开启多个防火墙配置和域名链接。每个私有网络都可能成为你的主Wi-Fi网络;只要用户输入正确的WEP或者WPA钥匙就可以随意登录私有网络,这过程中不需要任何的认证信息。但是登录域名网络就要求身份验证,验证方式有密码、指纹、密码卡或者一些组合的信息等。

每一个配置文件都能通过防火墙选择性地连接应用。比如,现在需要搭建的是家用或者企业的小型私有网络,就可以设置共享文件和打印。但是对于公用网络,你应该就不会共享你的文件了。

Vista系统的防火墙一般情况下都可以正常工作,除了将计算机同时连接到多个网络中,比如同时连接到以太网和无线网中。在这种情况下,系统会默认采用最严格的配置。这样就会带来很多问题,比如,当你通过公共Wi-Fi热点区域连接到公司的VPN中时,Vista系统就会同时向公共网络和域网络提交公共配置。

所有使用Windows 7系列的计算机可以同时启动几个防火墙配置,这样可以保证网络访问更加可信,同时减少不可信网络的接入。由于远程接入功能对于防火墙配置限制较少,所以用户目前也没有必要过多的担心外来网络对于企业内部网的入侵问题,可以放心使用。

功能二:Windows生物识别框(Biometric Framework)

随着指纹识别技术在笔记本中的应用越来越广泛,制定出一套处理人体识别数据的标准是很重要的。为了解决这种需求,Windows 7系统开发了生物识别框功能。进入Windows系统的生物识别框,会有一个标准的存储指纹数据方法和一个共同的API来访问这些数据。虽然很多开发商对于该系统的很多子功能都很感兴趣,但是在应用之前有两件事是企业必须知道的。

首先,传统的指纹扫描仪可以连接到计算机上,但是不能连接到企业网络中,但是微软的Windows生物识别框就能做到。

其次,Windows 7的指纹识别系统可以为每个用户存储10个手指的指纹信息,虽然我们都不愿意手指受伤,但是一旦某个手指出现意外,还可以通过其他手指登录系统,这显然比传统的智能多了。

指纹是通过Windows 7控制面板下的生物识别装置小程序来存储信息的,任何Windows 7系统和指纹扫描仪绑定后,就可以通过指纹来登录系统。要注意的是,你必须以管理员身份来添加或者管理指纹。

功能三:BitLocker To Go

目前最严重的安全隐患就是在移动网络应用中丢失商业机密。Vista中的BitLocker通过为笔记本全部的硬件设备加密方式来保护用户信息,这样即使内容被盗或者丢失,也没有人能够读取里面的信息。而Windows 7的BitLocker To Go也是通过加密方式来保护用户信息,只是方式上会更简单,保护范围也延伸到口袋大小的微型硬盘设备和小型闪存设备。

在Windows 7企业最终版中可以使用这个功能,只要鼠标右击资源管理器中的外部设备图表,选择下拉菜单“Turn on BitLocker”打开一个向导,按着指示进行配置加密,等待程序启动完毕后就能可以。等待的时间长短跟你的电脑速度和配置设备有关,初步预计,对2GB的闪存设备和一个全日制工作的500GB或者更大的外围硬件设备进行配置只需要花费20分钟。

BitLocker To Go可以使用密码进行解密,企业也可以使用智能卡或者多种身份验证方式组合来解密。

对移动设备加密也是Windows 7企业最终版中才具备的功能,但是你一旦创建了加密的移动设备,用户可以通过任何版本的Windows 7系统的电脑来读写该设备。你也可以为加密的设备安装一个阅读应用软件,这样Vista或者XP系统就只能对该设备进行读操作。

这项新增大安全功能可以用于企业工作中,让决策者将信息写入安全的BitLocker To Go设备中,防止将信息保存到一个不安全的环境中。Windows 服务器的用户还可以让第三方使用活动目录保管一个密码,一遍在丢失或者遗忘密码时,可以恢复数据。

该项功能可以让企业决策者安心得将重要的信息写入经过BitLocker To Go加密过的设备中。当用户丢失或者忘记密码时,还可以通过Windows服务器的第三方活动目录重新获得打开密码。

功能四:AppLocker应用程序锁

通过控制应用程序的安装和运行状态可以有效地提高系统的稳定性,防止恶意软件的入侵以及带宽等影响网络速度的问题。

Windows原始的版本中,这些都是由软件限制策略功能处理的。这些策略对于那些基于当地文件系统的特定软件有实用的预防效果,但是对于那些暗藏在可信应用软件中的加密木马是没有预防效果的。

软件限制策略在实际的运行和维护都有困难的。一些应用程序需要安装在外部独有路径下,因此就需要制定新的路径规则。虽然基于哈希的策略能提供有效地安全保障,但每当一个程序升级后它就会失效。任何程序代码的变换,甚至是错误的修复或者更新,都会改变哈希值,有时还会阻止程序正常运行。因此,IT经理不得不去维护或者修改冗长的哈希规则表单和程序的自动更新功能。

Windows 7企业最终版和Windows Sever 2008 R2中的AppLock功能可用,该功能增加了一个全新的方式灵活地控制软件??出版商规则(publisher rules)。出版商规则依赖于程序的签名认证信息,这也是越来越多的应用软件所具有的。

应用程序的签名认证信息比旧版的文件路径和哈希数据都更详细,它可以让系统管理员创建复杂的规则,比如通过设置特定的名字,例如文件名字设置软件来运行特定的供应商的软件,或者通过特定的名字来运行特定的软件或特定版本的软件。比如,可以建立一个规则让系统只运行Adobe的程序,或者只运行Photoshop,甚至可以只是运行目前最新版的Photoshop。

AppLocker规则可以适用于任何可执行文件、脚本、安装程序或者是系统库中,让用户有多种选择,也就是说可以让用户安装所需要的软件,管理员不需要控制软件的更新,同时还可以防止安装没有授权的软件。

此外,AppLocker规则中可以写入特定的用户和用户组,比如会计组和图形设计组肯定有不同的软件需求,通过AppLocker规则,群组中只要有一个人配置了规则,大家都可以共享,AppLocker甚至还可以区分出用户组之间谁共享同一台计算机。

但是要清楚的是AppLocker只是针对Windows 7企业版和Windows 7最终版。如果你的用户是用旧版Windows系统,你需要单独为他们设置一个软件限制策略。但是随着越来越多的用户升级到Windows 7系统,你就可以抛弃SRP改用AppLocker。

功能五:DirectAccess

微软号称DirectAccess是“下一代”的VPNs,DirectAccess允许Windows 7企业版和Windows 7最终版用户直接连接到Windows Sever 2008 R2服务器中。鉴于用户连接VPN时通常需要先发起请求,但是使用DirectAccess,电脑连接到网络上后,系统就会自动连接到公司网络中,整个连接过程是完全透明的。

DirectAccess自动连接与传统的VPNs连接有很大的改进。首先,它使用IPsec和IPv6网络协议进行数据加密和端到端的路由器连接。VPN的加密是与VPN服务器脱离的,而DirectAccess能够让数据从企业内网应用服务器上传送到客户端的整个过程中都处于加密状态。

因为DirectAccess使用一个标准的互联网端口通信,所以它可以不需要任何配置就能够穿过防火墙,这是VPN用户不能做到的。

DirectAccess还有另一个好处就是可以自动创建连接和维护。即使用户不是直接使用公司资源,管理员也可以同时管理和更新DirectAccess计算机。虽然用户一般只是在需要访问网络资源时才会通过VPN连接,但是VPN连接常常很耗时间。

例如,如果远程用户在本地的咖啡厅连接到无线热点,DirectAccess 将检测到 Internet 连接可用并自动建立与内部网络边缘的 DirectAccess 服务器的连接。 用户将能够访问管理员已授予远程访问权限的内部资源,如内部共享、网站和应用程序。

连接耗时主要是因为VPN用户必须经过隔离、扫描、和修复后才能获准登录公司内网。整个过程会影响连接速度,从而影响员工的工作效率。但是通过DirectAccess,计算机即使在企业内网休眠的时候还能正常更新,同时可监控企业网络的访问情况。

但是有一点需要注意,让大部分公司马上移到DirectAccess上是不切实际的。因为这个系统依赖于良好的网络基础设施,其中包括Windows Server 2008 R2和IPv6,这是很多企业目前还没有完全具备的基础设施,所以等企业搭好环境完全移到DirectAccess中还需要等上几年。未来几年内,VPN还是运用的主流。

纵观未来网络,基于安全环境下的“家里办公”将会是发展趋势,那时的网络可以满足员工居家办公,就像在办公室里一样顺畅。