Windows 7為系統安全管理員帶來什么
眾所周知,從Windows XP SP2開始,微軟就十分關注操作系統的安全性。盡管在性能和兼容性方面,Windows Vista的惡評如潮,但在安全方面卻很少受到批評。實際上,對Vista的主要錯誤認識之一就是對安全重點關注導致非常嚴格的用戶帳戶控制(UAC)功能影響了整個系統。
現在,到了Windows 7,微軟降低了UAC的控制功能(但沒有因此放松對安全性的重視)并增加了安全功能,在很多方面更加有利于最終用戶和系統安全管理員。下面,就讓我們來一探究竟。
應用程序控制策略
在Windows 7中新引入的一種安全功能是AppLocker,它可以在對企業中應用的安裝和使用進行控制,以保證安全。請記住,只有旗艦版和企業版本的Windows 7中才包含了AppLocker,目的是為了和Windows Server 2008 R2進行緊密的協同工作。
AppLocker容許你通過文件的數字簽名這樣的屬性創建規則。這些規則可以用來控制用戶訪問和任何類型可執行文件的使用。當然,作為一個靈活的工具,你可以利用AppLocker建立例外規則。你可以將規則應用的整個安全團隊,或者更精確地為單獨用戶建立規則。為了更進一步了解AppLocker的作用,你可以查看微軟TechNet網站上的演示。
BitLocker和BitLocker To Go
BitLocker是在Windows Vista中引入的,現在在Windows 7中也可以使用,作為安全功能,它可以防止對桌面系統未經授權的訪問以及丟失/被盜筆記本計算機中的數據泄露。眾所周知,BitLocker的加密文件系統(EFS)在功能上達到新的水平,可以在硬盤上使用硬件級加密,它不僅可以保護實際的數據文件,甚至系統文件也可以被納入,其中也包括了臨時文件、交換文件以及休眠文件之類的數據塊。
在Windows 7中,BitLocker的功能得到進一步擴展,通過新的BitLocker To Go,它現在可以支持移動存儲(USB閃存驅動器)的保護了。這也就意味著,非常容易丟失的USB閃存驅動器現在也不會出現數據泄露的風險了。
請記住,只有旗艦版和企業版本的Windows 7中才包含了BitLocker和BitLocker To Go。如果希望了解BitLocker和BitLocker To Go的更多信息的話,你可以查看微軟TechNet網站上的演示。
用戶帳戶控制功能
眾所周知,在Vista中,用戶帳戶控制功能并不是很受歡迎;但對于Vista來說,它仍然是一個重要的安全工具,“你確定”的提示符可以防范由于疏忽導致惡意軟件的運行,權限控制可以用來防止存在潛在風險的進程。在Windows 7中,UAC已得到了改進,使用起來也方便了一些。
舉例來說,現在一些類型的任務可以由標準用戶批準,而不需要系統管理員的介入,這樣可以減少提示的次數,為最終用戶提供方便,減輕系統管理員的負擔。并且,聽從了來自管理員的呼聲,一位專業的系統管理員可以在控制面板對UAC的等級進行調整甚至選擇關閉。此外,新的本地安全策略可以用于UAC對本地系統管理員和標準用戶的提示。
ActiveX控件安裝服務
眾所周知,ActiveX控件是Internet Explorer、Office和Windows媒體播放器使用的自注冊COM,可以為用戶提供更具交互性的體驗。由于ActiveX控件通常分布在。cab文件中,標準帳戶的用戶沒有權限來安裝它們。但是,在Windows 7,新的ActiveX控件安裝服務在默認狀態下啟用的,這樣可以幫助系統管理員更輕松地通過使用組策略來部署配置可信站點區域確定的網站,可以在不干預的情況下安裝ActiveX控件。這減少了不必要的電話支持以及重新包裝和分發所需的ActiveX控件等操作耗費的更多時間。
直接訪問功能
Windows 7新的直接訪問功能與Windows Server 2008 R2的緊密結合,可以讓沒有VPN的企業網絡對最終用戶變得更方便。只要使用直接訪問功能,就可以自動在移動系統和公司網絡之間建立一個安全的雙向連接,移動工作人員可以在不依靠VPN的情況,通過互聯網安全地連接到企業網絡的任何位置。在直接訪問功能的幫助下,IT專業人士不需要再擔心提供和維持VPN配置帶來額外的開支了。
多重作用防火墻策略
眾所周知,Vista中的Windows防火墻策略是基于網絡連接的類型(公共、家庭和工作/域),并且同時只能支持一種連接類型。不幸的是,這樣的限制,在需要不同的防火墻策略時可能引起各種問題,舉例來說,當移動用戶訪問公網,然后啟動VPN連接到公司網絡這種情況下。
為了適應這類情形,Windows 7防火墻提供了新功能,允許多個防火墻策略在同一時間啟用,以便正在使用無論是什么類型的連接,適當的防火墻策略都將生效,從而確保移動/遠程用戶的安全,并可以訪問相應的網絡。從另一方面來看,新的多重作用防火墻策略可以讓安全專業人員只需要維持一套適用于移動/遠程系統和物理連接的系統即可。
還有更多的是…
盡管我已經被Windows 7安全方面的新功能所打動,但在已有安全功能方面也有很多的改進。舉例來說,加密文件系統(EFS)架構已經進行了調整,加入橢圓曲線密碼學(ECC)模式,這讓它達到了國家安全局規定的B級安全要求。
在新的ECC支持下,Kerberos認證模式也可以支持更強大的智能卡登錄密碼。NTLM身份驗證協議現在在默認狀態下就可以支持最低128位的安全加密策略,不過你也可以降低其等級。關于Windows 7現有安全功能的新改進,你可以查閱Microsoft TechNet站點上的文章《客戶端安全最新變化》。
【編輯推薦】
