自從Windows 7上市之后，雖然暫時(shí)還不能撼動(dòng)Windows xp的老牌操作系統(tǒng)地位，但是也是有越來(lái)越多的企業(yè)和個(gè)人紛紛使用了這款全新的操作系統(tǒng)。不同于當(dāng)時(shí)vista的不受看好，Windows 7在企業(yè)安全應(yīng)用上也有了不少突破。

功能一：多項(xiàng)防火墻配置協(xié)調(diào)工作

比起Vista系統(tǒng)，Windows 7有一個(gè)看似很小但是很重要的改進(jìn)，那就是防火墻的配置。Vista系統(tǒng)允許用戶(hù)為公私用戶(hù)開(kāi)啟多個(gè)防火墻配置和域名鏈接。每個(gè)私有網(wǎng)絡(luò)都可能成為你的主Wi-Fi網(wǎng)絡(luò);只要用戶(hù)輸入正確的WEP或者WPA鑰匙就可以隨意登錄私有網(wǎng)絡(luò)，這過(guò)程中不需要任何的認(rèn)證信息。但是登錄域名網(wǎng)絡(luò)就要求身份驗(yàn)證，驗(yàn)證方式有密碼、指紋、密碼卡或者一些組合的信息等。

每一個(gè)配置文件都能通過(guò)防火墻選擇性地連接應(yīng)用。比如，現(xiàn)在需要搭建的是家用或者企業(yè)的小型私有網(wǎng)絡(luò)，就可以設(shè)置共享文件和打印。但是對(duì)于公用網(wǎng)絡(luò)，你應(yīng)該就不會(huì)共享你的文件了。

Vista系統(tǒng)的防火墻一般情況下都可以正常工作，除了將計(jì)算機(jī)同時(shí)連接到多個(gè)網(wǎng)絡(luò)中，比如同時(shí)連接到以太網(wǎng)和無(wú)線網(wǎng)中。在這種情況下，系統(tǒng)會(huì)默認(rèn)采用最嚴(yán)格的配置。這樣就會(huì)帶來(lái)很多問(wèn)題，比如，當(dāng)你通過(guò)公共Wi-Fi熱點(diǎn)區(qū)域連接到公司的VPN中時(shí)，Vista系統(tǒng)就會(huì)同時(shí)向公共網(wǎng)絡(luò)和域網(wǎng)絡(luò)提交公共配置。

所有使用Windows 7系列的計(jì)算機(jī)可以同時(shí)啟動(dòng)幾個(gè)防火墻配置，這樣可以保證網(wǎng)絡(luò)訪問(wèn)更加可信，同時(shí)減少不可信網(wǎng)絡(luò)的接入。由于遠(yuǎn)程接入功能對(duì)于防火墻配置限制較少，所以用戶(hù)目前也沒(méi)有必要過(guò)多的擔(dān)心外來(lái)網(wǎng)絡(luò)對(duì)于企業(yè)內(nèi)部網(wǎng)的入侵問(wèn)題，可以放心使用。

功能二：Windows 生物識(shí)別框(Biometric Framework)

隨著指紋識(shí)別技術(shù)在筆記本中的應(yīng)用越來(lái)越廣泛，制定出一套處理人體識(shí)別數(shù)據(jù)的標(biāo)準(zhǔn)是很重要的。為了解決這種需求，Windows 7系統(tǒng)開(kāi)發(fā)了生物識(shí)別框功能。進(jìn)入Windows系統(tǒng)的生物識(shí)別框，會(huì)有一個(gè)標(biāo)準(zhǔn)的存儲(chǔ)指紋數(shù)據(jù)方法和一個(gè)共同的API來(lái)訪問(wèn)這些數(shù)據(jù)。雖然很多開(kāi)發(fā)商對(duì)于該系統(tǒng)的很多子功能都很感興趣，但是在應(yīng)用之前有兩件事是企業(yè)必須知道的。

首先，傳統(tǒng)的指紋掃描儀可以連接到計(jì)算機(jī)上，但是不能連接到企業(yè)網(wǎng)絡(luò)中，但是微軟的Windows生物識(shí)別框就能做到。

其次，Windows 7的指紋識(shí)別系統(tǒng)可以為每個(gè)用戶(hù)存儲(chǔ)10個(gè)手指的指紋信息，雖然我們都不愿意手指受傷，但是一旦某個(gè)手指出現(xiàn)意外，還可以通過(guò)其他手指登錄系統(tǒng)，這顯然比傳統(tǒng)的智能多了。

指紋是通過(guò)Windows 7控制面板下的生物識(shí)別裝置小程序來(lái)存儲(chǔ)信息的，任何Windows 7系統(tǒng)和指紋掃描儀綁定后，就可以通過(guò)指紋來(lái)登錄系統(tǒng)。要注意的是，你必須以管理員身份來(lái)添加或者管理指紋。

功能三：BitLocker To Go

目前最嚴(yán)重的安全隱患就是在移動(dòng)網(wǎng)絡(luò)應(yīng)用中丟失商業(yè)機(jī)密。Vista中的BitLocker通過(guò)為筆記本全部的硬件設(shè)備加密方式來(lái)保護(hù)用戶(hù)信息，這樣即使內(nèi)容被盜或者丟失，也沒(méi)有人能夠讀取里面的信息。而Windows 7的BitLocker To Go也是通過(guò)加密方式來(lái)保護(hù)用戶(hù)信息，只是方式上會(huì)更簡(jiǎn)單，保護(hù)范圍也延伸到口袋大小的微型硬盤(pán)設(shè)備和小型閃存設(shè)備。

在Windows 7企業(yè)最終版中可以使用這個(gè)功能，只要鼠標(biāo)右擊資源管理器中的外部設(shè)備圖表，選擇下拉菜單“Turn on BitLocker”打開(kāi)一個(gè)向?qū)?，按著指示進(jìn)行配置加密，等待程序啟動(dòng)完畢后就能可以。等待的時(shí)間長(zhǎng)短跟你的電腦速度和配置設(shè)備有關(guān)，初步預(yù)計(jì)，對(duì)2GB的閃存設(shè)備和一個(gè)全日制工作的500GB或者更大的外圍硬件設(shè)備進(jìn)行配置只需要花費(fèi)20分鐘。

BitLocker To Go可以使用密碼進(jìn)行解密，企業(yè)也可以使用智能卡或者多種身份驗(yàn)證方式組合來(lái)解密。

對(duì)移動(dòng)設(shè)備加密也是Windows 7企業(yè)最終版中才具備的功能，但是你一旦創(chuàng)建了加密的移動(dòng)設(shè)備，用戶(hù)可以通過(guò)任何版本的Windows 7系統(tǒng)的電腦來(lái)讀寫(xiě)該設(shè)備。你也可以為加密的設(shè)備安裝一個(gè)閱讀應(yīng)用軟件，這樣Vista或者XP系統(tǒng)就只能對(duì)該設(shè)備進(jìn)行讀操作。

這項(xiàng)新增大安全功能可以用于企業(yè)工作中，讓決策者將信息寫(xiě)入安全的BitLocker To Go設(shè)備中，防止將信息保存到一個(gè)不安全的環(huán)境中。Windows 服務(wù)器的用戶(hù)還可以讓第三方使用活動(dòng)目錄保管一個(gè)密碼，一遍在丟失或者遺忘密碼時(shí)，可以恢復(fù)數(shù)據(jù)。

該項(xiàng)功能可以讓企業(yè)決策者安心得將重要的信息寫(xiě)入經(jīng)過(guò)BitLocker To Go加密過(guò)的設(shè)備中。當(dāng)用戶(hù)丟失或者忘記密碼時(shí)，還可以通過(guò)Windows服務(wù)器的第三方活動(dòng)目錄重新獲得打開(kāi)密碼。#p#

功能四：AppLocker 應(yīng)用程序鎖

通過(guò)控制應(yīng)用程序的安裝和運(yùn)行狀態(tài)可以有效地提高系統(tǒng)的穩(wěn)定性，防止惡意軟件的入侵以及帶寬等影響網(wǎng)絡(luò)速度的問(wèn)題。

Windows原始的版本中，這些都是由軟件限制策略功能處理的。這些策略對(duì)于那些基于當(dāng)?shù)匚募到y(tǒng)的特定軟件有實(shí)用的預(yù)防效果，但是對(duì)于那些暗藏在可信應(yīng)用軟件中的加密木馬是沒(méi)有預(yù)防效果的。

軟件限制策略在實(shí)際的運(yùn)行和維護(hù)都有困難的。一些應(yīng)用程序需要安裝在外部獨(dú)有路徑下，因此就需要制定新的路徑規(guī)則。雖然基于哈希的策略能提供有效地安全保障，但每當(dāng)一個(gè)程序升級(jí)后它就會(huì)失效。任何程序代碼的變換，甚至是錯(cuò)誤的修復(fù)或者更新，都會(huì)改變哈希值，有時(shí)還會(huì)阻止程序正常運(yùn)行。因此，IT經(jīng)理不得不去維護(hù)或者修改冗長(zhǎng)的哈希規(guī)則表單和程序的自動(dòng)更新功能。

Windows 7企業(yè)最終版和Windows Sever 2008 R2中的AppLock功能可用，該功能增加了一個(gè)全新的方式靈活地控制軟件——出版商規(guī)則(publisher rules)。出版商規(guī)則依賴(lài)于程序的簽名認(rèn)證信息，這也是越來(lái)越多的應(yīng)用軟件所具有的。

應(yīng)用程序的簽名認(rèn)證信息比舊版的文件路徑和哈希數(shù)據(jù)都更詳細(xì)，它可以讓系統(tǒng)管理員創(chuàng)建復(fù)雜的規(guī)則，比如通過(guò)設(shè)置特定的名字，例如文件名字設(shè)置軟件來(lái)運(yùn)行特定的供應(yīng)商的軟件，或者通過(guò)特定的名字來(lái)運(yùn)行特定的軟件或特定版本的軟件。比如，可以建立一個(gè)規(guī)則讓系統(tǒng)只運(yùn)行Adobe的程序，或者只運(yùn)行Photoshop，甚至可以只是運(yùn)行目前最新版的Photoshop。

AppLocker規(guī)則可以適用于任何可執(zhí)行文件、腳本、安裝程序或者是系統(tǒng)庫(kù)中，讓用戶(hù)有多種選擇，也就是說(shuō)可以讓用戶(hù)安裝所需要的軟件，管理員不需要控制軟件的更新，同時(shí)還可以防止安裝沒(méi)有授權(quán)的軟件。

此外，AppLocker規(guī)則中可以寫(xiě)入特定的用戶(hù)和用戶(hù)組，比如會(huì)計(jì)組和圖形設(shè)計(jì)組肯定有不同的軟件需求，通過(guò)AppLocker規(guī)則，群組中只要有一個(gè)人配置了規(guī)則，大家都可以共享，AppLocker甚至還可以區(qū)分出用戶(hù)組之間誰(shuí)共享同一臺(tái)計(jì)算機(jī)。

但是要清楚的是AppLocker只是針對(duì)Windows 7企業(yè)版和Windows 7最終版。如果你的用戶(hù)是用舊版Windows系統(tǒng)，你需要單獨(dú)為他們?cè)O(shè)置一個(gè)軟件限制策略。但是隨著越來(lái)越多的用戶(hù)升級(jí)到Windows 7系統(tǒng)，你就可以拋棄SRP改用AppLocker。

功能五：DirectAccess

微軟號(hào)稱(chēng)DirectAccess是“下一代”的VPNs，DirectAccess允許Windows 7企業(yè)版和Windows 7最終版用戶(hù)直接連接到Windows Sever 2008 R2服務(wù)器中。鑒于用戶(hù)連接VPN時(shí)通常需要先發(fā)起請(qǐng)求，但是使用DirectAccess，電腦連接到網(wǎng)絡(luò)上后，系統(tǒng)就會(huì)自動(dòng)連接到公司網(wǎng)絡(luò)中，整個(gè)連接過(guò)程是完全透明的。

DirectAccess自動(dòng)連接與傳統(tǒng)的VPNs連接有很大的改進(jìn)。首先，它使用IPsec和IPv6網(wǎng)絡(luò)協(xié)議進(jìn)行數(shù)據(jù)加密和端到端的路由器連接。VPN的加密是與VPN服務(wù)器脫離的，而DirectAccess能夠讓數(shù)據(jù)從企業(yè)內(nèi)網(wǎng)應(yīng)用服務(wù)器上傳送到客戶(hù)端的整個(gè)過(guò)程中都處于加密狀態(tài)。

因?yàn)镈irectAccess使用一個(gè)標(biāo)準(zhǔn)的互聯(lián)網(wǎng)端口通信，所以它可以不需要任何配置就能夠穿過(guò)防火墻，這是VPN用戶(hù)不能做到的。

DirectAccess還有另一個(gè)好處就是可以自動(dòng)創(chuàng)建連接和維護(hù)。即使用戶(hù)不是直接使用公司資源，管理員也可以同時(shí)管理和更新DirectAccess計(jì)算機(jī)。雖然用戶(hù)一般只是在需要訪問(wèn)網(wǎng)絡(luò)資源時(shí)才會(huì)通過(guò)VPN連接，但是VPN連接常常很耗時(shí)間。

例如，如果遠(yuǎn)程用戶(hù)在本地的咖啡廳連接到無(wú)線熱點(diǎn)，DirectAccess 將檢測(cè)到 Internet 連接可用并自動(dòng)建立與內(nèi)部網(wǎng)絡(luò)邊緣的 DirectAccess 服務(wù)器的連接。 用戶(hù)將能夠訪問(wèn)管理員已授予遠(yuǎn)程訪問(wèn)權(quán)限的內(nèi)部資源，如內(nèi)部共享、網(wǎng)站和應(yīng)用程序。

連接耗時(shí)主要是因?yàn)閂PN用戶(hù)必須經(jīng)過(guò)隔離、掃描、和修復(fù)后才能獲準(zhǔn)登錄公司內(nèi)網(wǎng)。整個(gè)過(guò)程會(huì)影響連接速度，從而影響員工的工作效率。但是通過(guò)DirectAccess，計(jì)算機(jī)即使在企業(yè)內(nèi)網(wǎng)休眠的時(shí)候還能正常更新，同時(shí)可監(jiān)控企業(yè)網(wǎng)絡(luò)的訪問(wèn)情況。

但是有一點(diǎn)需要注意，讓大部分公司馬上移到DirectAccess上是不切實(shí)際的。因?yàn)檫@個(gè)系統(tǒng)依賴(lài)于良好的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，其中包括Windows Server 2008 R2和IPv6,這是很多企業(yè)目前還沒(méi)有完全具備的基礎(chǔ)設(shè)施，所以等企業(yè)搭好環(huán)境完全移到DirectAccess中還需要等上幾年。未來(lái)幾年內(nèi)，VPN還是運(yùn)用的主流。

縱觀未來(lái)網(wǎng)絡(luò)，基于安全環(huán)境下的“家里辦公”將會(huì)是發(fā)展趨勢(shì)，那時(shí)的網(wǎng)絡(luò)可以滿(mǎn)足員工居家辦公，就像在辦公室里一樣順暢。

【編輯推薦】

1. Windows TCP/IP協(xié)議棧存在嚴(yán)重遠(yuǎn)程安全漏洞
2. 微軟新圖片漏洞可導(dǎo)致木馬傳播 建議立即更新
3. MS09-002利用代碼公布:XP到2008用戶(hù)皆面臨打擊
4. Windows內(nèi)核圖像文件漏洞揭示嚴(yán)重安全問(wèn)題
5. 網(wǎng)絡(luò)入侵防范中心：關(guān)注librpc.dll漏洞