桌面安全:采用“深層防御”方法
桌面計算中不變的東西為數不多,而其中一個不變項就是沒有什么是從來不變的。在大多數情況下,這是件好事。我們的計算環境的樣貌不斷變化,這是革新和創造的成果。它為我們提供了與周圍世界交互、協作和連接的新方式。
然而,隨著桌面計算的樣貌發生變化,桌面安全的樣貌也變了。隨著平臺的本質和數據發生變化,新威脅涌現了。IT 專業人員必須保持警惕,了解可用來幫助抵御這些威脅的做法和工具。
桌面安全的“深層防御”觀點代表一套安全哲學。這種方法有助于盡可能保護計算環境免受許多不同潛在攻擊手法的攻擊。我們來看看幾種幫助保護您的桌面環境免受不需要的軟件和惡意軟件侵害的方式、幾種保護用戶和數據移動的新技術、幾種幫助 IT 專業人員管理多樣化計算環境的工具。
惡意軟件
技術精通的罪犯攻擊起桌面計算機來毫不手軟。不幸得很,這就意味著欺騙和強制最終用戶在計算機上安裝惡意軟件的企圖越來越有創造性。幸運的是,有許多工具可用來幫助保護用戶及用戶連接到的基礎結構。
用戶帳戶控制 (UAC) 是一項首先在 Windows Vista 引入的功能。此控制幫助用戶和管理員在桌面計算環境內保護對管理權限的訪問。用戶可以利用標準用戶權限輕松操作,因此其計算機的管理功能與可能企圖在用戶不知情的情況下訪問數據或執行任務的惡意軟件隔離開來。
Windows 7 對 UAC 進行了一些重要增強。通過減少要求提升的管理功能的數量,改進了最終用戶體驗。Windows 7 還為經過數字簽名的 Windows 可執行文件引入了自動提升,并引入了新的操作模式來對要求顯式提升的事件進行更精細的控制。關于 UAC 如何保護桌面計算環境的更詳細的說明,請參閱 Mark Russinovich 2009 年 7 月的文章“深入了解 Windows 7 用戶帳戶控制。”
AppLocker 是 Windows 7 的另一新增功能,能使管理員精確指定哪些程序能在他們的環境中運行。AppLocker 是以 Windows XP 和 Windows Vista 中引入的軟件限制策略 (SRP) 為基礎構建的。管理員可以允許或拒絕在其桌面安裝特定應用程序。
AppLocker 通過引入基于應用程序數字簽名的規則增強了超出 SRP 的體驗。此功能使管理員能標識他們可能要在組織內禁止的應用程序,而不必每次都要在程序屬性(例如日期戳或版本號)更改時更新規則。AppLocker 內的規則引擎還提供了很多粒度(見圖 1)。這使管理員能輕松構建清楚的規則并根據需要允許例外。
圖 1 配置 Windows 7 中的 AppLocker
另外,AppLocker 規則也可以與組織中的特定用戶或組相關聯。這可以通過驗證和強制規定可以運行特定應用程序的用戶來提供特定控制,以使您支持遵從性要求和安全性要求。
UAC 和 AppLocker 提供可靠的機制來控制您能在任何計算機上安裝并使用哪些應用程序。添加 Forefront Client Security 可助您更進一步,它提供功能強大的防病毒和反間諜軟件引擎,同時提供實時文件保護。如果惡意元素進入您的桌面計算環境,Forefront Client Security 中包含的不斷更新的篩選器不僅可以幫助檢測威脅,而且可以消除威脅。
數據移動
我們在過去十年中所看到的一個最顯著變化,就是當初那么小的計算裝置現在以實際桌面形式存在。便攜式計算機、上網本和各類移動設備現在構成了計算平臺的主體。用戶的移動性更強,用戶數據也是。這當然有它的好處,可是也帶來了更高的風險。便攜式計算機及其他便攜設備更有可能丟失、遺忘或被盜,因而可能使保密信息落入未授權個人手中。
有多種選擇幫助保護您和用戶的數據免于丟失或被盜。BitLocker 驅動器加密(簡稱 BitLocker)幫助阻止對您的便攜式計算機或上網本的未經授權的訪問。存儲在加密驅動器(見圖 2)中的文件受到保護,未經授權的用戶不可訪問。通過提供全卷數據加密、早期的引導組件完整性檢查、要求 PIN 或 USB 閃存設備在引導時具有密鑰材料的選項,用戶和管理員對萬一移動設備丟失或被盜后的數據完整性可以更自信。#p#
圖 2 BitLocker 驅動器加密在驅動器級別鎖定數據
便攜式計算機和上網本丟失僅是問題的一部分。將便攜式存儲設備(比如 USB 閃存驅動器)放錯地方也是相當普遍的。USB 閃存驅動器可以存儲大量數據,而且成本非常低,對選擇存儲設備的人很有吸引力。這也讓使用 USB 閃存驅動器存儲敏感信息危機四伏。BitLocker To Go 將 BitLocker 功能擴展到可移動存儲設備,可以幫助解除此憂。
隨著用戶移動性的增加,不僅保護存儲在物理設備上的數據很重要,保護跨公共網絡移動的數據也很重要。DirectAccess 是 Windows 7 中引入的一項新增功能,提高了從外部路徑連接到公司網絡時的安全性。
利用 Internet 協議安全 (IPsec) 和 Internet 協議版本 6 (IPv6) 之類的基于標準的技術,DirectAccess 讓用戶無需單獨的 VPN 連接就可以從遠程位置無縫連接到公司網絡。DirectAccess 還使用三重數據加密標準 (3DES) 和高級加密標準 (AES) 之類的 IPsec 加密方法來幫助確保數據在傳輸中得到保護。要了解更多關于 DirectAccess 和結合網絡訪問保護功能增強它的方式,請查看 Joseph Davies 所寫的 2010 年 6 月網絡專家專欄。
最后,隨著更多應用程序和業務線工作轉向云,Web 瀏覽器為聯機計算提供盡可能安全的環境甚至更為重要。即將推出的 Internet Explorer 9 將構建在堅實的 Internet 安全功能基礎上,同時還提供一些受歡迎的增強功能。
例如,Internet Explorer 9 將納入一個跨站點腳本 (XSS) 篩選器來幫助檢測這類日益普遍的攻擊。XSS 攻擊以利用惡意代碼危害合法網站為目標。
如果 XSS 篩選器在 Internet Explorer 9 發現任何漏洞,就會禁用有害腳本。Internet Explorer 9 還提供一個增強的 SmartScreen 篩選器來幫助用戶識別并避免訪問惡意網站,惡意網站上可能包含網頁仿冒攻擊、惡意軟件等。了解更多關于 Internet Explorer 9 的信息并下載測試版。
簡化管理
作為 IT 專業人員,使部署、管理和維護安全技術與策略的工作保持盡可能容易又高效很重要。Windows 7 提供了許多工具來幫助您簡化桌面安全基礎結構的管理。
例如,現在為組策略提供了 Windows PowerShell cmdlet。使用此功能強大的命令行外殼和腳本語言,現在您可以更輕松地使許多組策略任務自動化,更輕松地管理這些任務。您可以創建組策略對象,定義它們與 Active Directory 容器的關聯,配置基于注冊表的策略設置,不一而足。這有助您確保環境中的每個桌面都符合管理員建立的安全配置。
控制軟件在組織內的部署方式以防止引入潛在惡意軟件是根本。ActiveX 安裝程序服務幫助您利用組策略來管理 ActiveX 控件的部署。這確保您可以安裝并管理這些可增強最終用戶 Web 體驗的豐富控件,而不會損及 UAC 之類的桌面安全控制的完整性。
惡意攻擊將繼續適應桌面計算革新。然而,針對安全的綜合深層防御方法將有助于確保您的用戶及您的關鍵業務數據一直受到保護。
本文來源:微軟TechNet中文站
【編輯推薦】
