Windows 7帶來(lái)的安全功能
現(xiàn)在,到了Windows 7,微軟降低了UAC的控制功能(但沒(méi)有因此放松對(duì)安全性的重視)并增加了安全功能,在很多方面更加有利于最終用戶和系統(tǒng)安全管理員。下面,就讓我們來(lái)一探究竟。
應(yīng)用程序控制策略
在Windows 7中新引入的一種安全功能是AppLocker,它可以在對(duì)企業(yè)中應(yīng)用的安裝和使用進(jìn)行控制,以保證安全。請(qǐng)記住,只有旗艦版和企業(yè)版本的Windows 7中才包含了AppLocker,目的是為了和Windows Server 2008 R2進(jìn)行緊密的協(xié)同工作。
AppLocker容許你通過(guò)文件的數(shù)字簽名這樣的屬性創(chuàng)建規(guī)則。這些規(guī)則可以用來(lái)控制用戶訪問(wèn)和任何類型可執(zhí)行文件的使用。當(dāng)然,作為一個(gè)靈活的工具,你可以利用AppLocker建立例外規(guī)則。你可以將規(guī)則應(yīng)用的整個(gè)安全團(tuán)隊(duì),或者更精確地為單獨(dú)用戶建立規(guī)則。為了更進(jìn)一步了解 AppLocker的作用,你可以查看微軟TechNet網(wǎng)站上的演示。
BitLocker和BitLocker To Go
BitLocker是在Windows Vista中引入的,現(xiàn)在在Windows 7中也可以使用,作為安全功能,它可以防止對(duì)桌面系統(tǒng)未經(jīng)授權(quán)的訪問(wèn)以及丟失/被盜筆記本計(jì)算機(jī)中的數(shù)據(jù)泄露。眾所周知,BitLocker的加密文件系統(tǒng)(EFS)在功能上達(dá)到新的水平,可以在硬盤(pán)上使用硬件級(jí)加密,它不僅可以保護(hù)實(shí)際的數(shù)據(jù)文件,甚至系統(tǒng)文件也可以被納入,其中也包括了臨時(shí)文件、交換文件以及休眠文件之類的數(shù)據(jù)塊。
在Windows 7中,BitLocker的功能得到進(jìn)一步擴(kuò)展,通過(guò)新的BitLocker To Go,它現(xiàn)在可以支持移動(dòng)存儲(chǔ)(USB閃存驅(qū)動(dòng)器)的保護(hù)了。這也就意味著,非常容易丟失的USB閃存驅(qū)動(dòng)器現(xiàn)在也不會(huì)出現(xiàn)數(shù)據(jù)泄露的風(fēng)險(xiǎn)了。
請(qǐng)記住,只有旗艦版和企業(yè)版本的Windows 7中才包含了BitLocker和BitLocker To Go。如果希望了解BitLocker和BitLocker To Go的更多信息的話,你可以查看微軟TechNet網(wǎng)站上的演示?!?/p>
用戶帳戶控制功能
眾所周知,在Vista中,用戶帳戶控制功能并不是很受歡迎;但對(duì)于Vista來(lái)說(shuō),它仍然是一個(gè)重要的安全工具,“你確定的提示符可以防范由于疏忽導(dǎo)致惡意軟件的運(yùn)行,權(quán)限控制可以用來(lái)防止存在潛在風(fēng)險(xiǎn)的進(jìn)程。在Windows 7中,UAC已得到了改進(jìn),使用起來(lái)也方便了一些。
舉例來(lái)說(shuō),現(xiàn)在一些類型的任務(wù)可以由標(biāo)準(zhǔn)用戶批準(zhǔn),而不需要系統(tǒng)管理員的介入,這樣可以減少提示的次數(shù),為最終用戶提供方便,減輕系統(tǒng)管理員的負(fù)擔(dān)。并且,聽(tīng)從了來(lái)自管理員的呼聲,一位專業(yè)的系統(tǒng)管理員可以在控制面板對(duì)UAC的等級(jí)進(jìn)行調(diào)整甚至選擇關(guān)閉。此外,新的本地安全策略可以用于UAC對(duì)本地系統(tǒng)管理員和標(biāo)準(zhǔn)用戶的提示?!?/p>
ActiveX控件安裝服務(wù)
眾所周知,ActiveX控件是Internet Explorer、Office和Windows媒體播放器使用的自注冊(cè)COM,可以為用戶提供更具交互性的體驗(yàn)。由于ActiveX控件通常分布在.cab文件中,標(biāo)準(zhǔn)帳戶的用戶沒(méi)有權(quán)限來(lái)安裝它們。但是,在 Windows 7,新的ActiveX控件安裝服務(wù)在默認(rèn)狀態(tài)下啟用的,這樣可以幫助系統(tǒng)管理員更輕松地通過(guò)使用組策略來(lái)部署配置可信站點(diǎn)區(qū)域確定的網(wǎng)站,可以在不干預(yù)的情況下安裝ActiveX控件。這減少了不必要的電話支持以及重新包裝和分發(fā)所需的ActiveX控件等操作耗費(fèi)的更多時(shí)間?!?/p>
直接訪問(wèn)功能
Windows 7新的直接訪問(wèn)功能與Windows Server 2008 R2的緊密結(jié)合,可以讓沒(méi)有VPN的企業(yè)網(wǎng)絡(luò)對(duì)最終用戶變得更方便。只要使用直接訪問(wèn)功能,就可以自動(dòng)在移動(dòng)系統(tǒng)和公司網(wǎng)絡(luò)之間建立一個(gè)安全的雙向連接,移動(dòng)工作人員可以在不依靠VPN的情況,通過(guò)互聯(lián)網(wǎng)安全地連接到企業(yè)網(wǎng)絡(luò)的任何位置。在直接訪問(wèn)功能的幫助下,IT專業(yè)人士不需要再擔(dān)心提供和維持VPN配置帶來(lái)額外的開(kāi)支了。
多重作用防火墻策略
眾所周知,Vista中的Windows防火墻策略是基于網(wǎng)絡(luò)連接的類型(公共、家庭和工作/域),并且同時(shí)只能支持一種連接類型。不幸的是,這樣的限制,在需要不同的防火墻策略時(shí)可能引起各種問(wèn)題,舉例來(lái)說(shuō),當(dāng)移動(dòng)用戶訪問(wèn)公網(wǎng),然后啟動(dòng)VPN連接到公司網(wǎng)絡(luò)這種情況下。
為了適應(yīng)這類情形,Windows 7防火墻提供了新功能,允許多個(gè)防火墻策略在同一時(shí)間啟用,以便正在使用無(wú)論是什么類型的連接,適當(dāng)?shù)姆阑饓Σ呗远紝⑸?,從而確保移動(dòng)/遠(yuǎn)程用戶的安全,并可以訪問(wèn)相應(yīng)的網(wǎng)絡(luò)。從另一方面來(lái)看,新的多重作用防火墻策略可以讓安全專業(yè)人員只需要維持一套適用于移動(dòng)/遠(yuǎn)程系統(tǒng)和物理連接的系統(tǒng)即可。
還有更多的是...
盡管我已經(jīng)被Windows 7安全方面的新功能所打動(dòng),但在已有安全功能方面也有很多的改進(jìn)。舉例來(lái)說(shuō),加密文件系統(tǒng)(EFS)架構(gòu)已經(jīng)進(jìn)行了調(diào)整,加入橢圓曲線密碼學(xué)(ECC)模式,這讓它達(dá)到了國(guó)家安全局規(guī)定的B級(jí)安全要求。
在新的ECC支持下,Kerberos認(rèn)證模式也可以支持更強(qiáng)大的智能卡登錄密碼。NTLM身份驗(yàn)證協(xié)議現(xiàn)在在默認(rèn)狀態(tài)下就可以支持最低128位的安全加密策略,不過(guò)你也可以降低其等級(jí)。
相關(guān)文章:
