桌面計(jì)算中不變的東西為數(shù)不多，而其中一個(gè)不變項(xiàng)就是沒有什么是從來(lái)不變的。在大多數(shù)情況下，這是件好事。我們的計(jì)算環(huán)境的樣貌不斷變化，這是革新和創(chuàng)造的成果。它為我們提供了與周圍世界交互、協(xié)作和連接的新方式。

然而，隨著桌面計(jì)算的樣貌發(fā)生變化，桌面安全的樣貌也變了。隨著平臺(tái)的本質(zhì)和數(shù)據(jù)發(fā)生變化，新威脅涌現(xiàn)了。IT 專業(yè)人員必須保持警惕，了解可用來(lái)幫助抵御這些威脅的做法和工具。

桌面安全的“深層防御”觀點(diǎn)代表一套安全哲學(xué)。這種方法有助于盡可能保護(hù)計(jì)算環(huán)境免受許多不同潛在攻擊手法的攻擊。我們來(lái)看看幾種幫助保護(hù)您的桌面環(huán)境免受不需要的軟件和惡意軟件侵害的方式、幾種保護(hù)用戶和數(shù)據(jù)移動(dòng)的新技術(shù)、幾種幫助 IT 專業(yè)人員管理多樣化計(jì)算環(huán)境的工具。

惡意軟件

技術(shù)精通的罪犯攻擊起桌面計(jì)算機(jī)來(lái)毫不手軟。不幸得很，這就意味著欺騙和強(qiáng)制最終用戶在計(jì)算機(jī)上安裝惡意軟件的企圖越來(lái)越有創(chuàng)造性。幸運(yùn)的是，有許多工具可用來(lái)幫助保護(hù)用戶及用戶連接到的基礎(chǔ)結(jié)構(gòu)。

用戶帳戶控制 (UAC) 是一項(xiàng)首先在 Windows Vista 引入的功能。此控制幫助用戶和管理員在桌面計(jì)算環(huán)境內(nèi)保護(hù)對(duì)管理權(quán)限的訪問。用戶可以利用標(biāo)準(zhǔn)用戶權(quán)限輕松操作，因此其計(jì)算機(jī)的管理功能與可能企圖在用戶不知情的情況下訪問數(shù)據(jù)或執(zhí)行任務(wù)的惡意軟件隔離開來(lái)。

Windows 7 對(duì) UAC 進(jìn)行了一些重要增強(qiáng)。通過減少要求提升的管理功能的數(shù)量，改進(jìn)了最終用戶體驗(yàn)。Windows 7 還為經(jīng)過數(shù)字簽名的 Windows 可執(zhí)行文件引入了自動(dòng)提升，并引入了新的操作模式來(lái)對(duì)要求顯式提升的事件進(jìn)行更精細(xì)的控制。關(guān)于 UAC 如何保護(hù)桌面計(jì)算環(huán)境的更詳細(xì)的說明，請(qǐng)參閱 Mark Russinovich 2009 年 7 月的文章“深入了解 Windows 7 用戶帳戶控制。”

AppLocker 是 Windows 7 的另一新增功能，能使管理員精確指定哪些程序能在他們的環(huán)境中運(yùn)行。AppLocker 是以 Windows XP 和 Windows Vista 中引入的軟件限制策略 (SRP) 為基礎(chǔ)構(gòu)建的。管理員可以允許或拒絕在其桌面安裝特定應(yīng)用程序。

AppLocker 通過引入基于應(yīng)用程序數(shù)字簽名的規(guī)則增強(qiáng)了超出 SRP 的體驗(yàn)。此功能使管理員能標(biāo)識(shí)他們可能要在組織內(nèi)禁止的應(yīng)用程序，而不必每次都要在程序?qū)傩裕ɡ缛掌诖粱虬姹咎?hào)）更改時(shí)更新規(guī)則。AppLocker 內(nèi)的規(guī)則引擎還提供了很多粒度（見圖 1）。這使管理員能輕松構(gòu)建清楚的規(guī)則并根據(jù)需要允許例外。

圖 1 配置 Windows 7 中的 AppLocker

另外，AppLocker 規(guī)則也可以與組織中的特定用戶或組相關(guān)聯(lián)。這可以通過驗(yàn)證和強(qiáng)制規(guī)定可以運(yùn)行特定應(yīng)用程序的用戶來(lái)提供特定控制，以使您支持遵從性要求和安全性要求。

UAC 和 AppLocker 提供可靠的機(jī)制來(lái)控制您能在任何計(jì)算機(jī)上安裝并使用哪些應(yīng)用程序。添加 Forefront Client Security 可助您更進(jìn)一步，它提供功能強(qiáng)大的防病毒和反間諜軟件引擎，同時(shí)提供實(shí)時(shí)文件保護(hù)。如果惡意元素進(jìn)入您的桌面計(jì)算環(huán)境，F(xiàn)orefront Client Security 中包含的不斷更新的篩選器不僅可以幫助檢測(cè)威脅，而且可以消除威脅。

數(shù)據(jù)移動(dòng)

我們?cè)谶^去十年中所看到的一個(gè)最顯著變化，就是當(dāng)初那么小的計(jì)算裝置現(xiàn)在以實(shí)際桌面形式存在。便攜式計(jì)算機(jī)、上網(wǎng)本和各類移動(dòng)設(shè)備現(xiàn)在構(gòu)成了計(jì)算平臺(tái)的主體。用戶的移動(dòng)性更強(qiáng)，用戶數(shù)據(jù)也是。這當(dāng)然有它的好處，可是也帶來(lái)了更高的風(fēng)險(xiǎn)。便攜式計(jì)算機(jī)及其他便攜設(shè)備更有可能丟失、遺忘或被盜，因而可能使保密信息落入未授權(quán)個(gè)人手中。

有多種選擇幫助保護(hù)您和用戶的數(shù)據(jù)免于丟失或被盜。BitLocker 驅(qū)動(dòng)器加密（簡(jiǎn)稱 BitLocker）幫助阻止對(duì)您的便攜式計(jì)算機(jī)或上網(wǎng)本的未經(jīng)授權(quán)的訪問。存儲(chǔ)在加密驅(qū)動(dòng)器（見圖 2）中的文件受到保護(hù)，未經(jīng)授權(quán)的用戶不可訪問。通過提供全卷數(shù)據(jù)加密、早期的引導(dǎo)組件完整性檢查、要求 PIN 或 USB 閃存設(shè)備在引導(dǎo)時(shí)具有密鑰材料的選項(xiàng)，用戶和管理員對(duì)萬(wàn)一移動(dòng)設(shè)備丟失或被盜后的數(shù)據(jù)完整性可以更自信。#p#

圖 2 BitLocker 驅(qū)動(dòng)器加密在驅(qū)動(dòng)器級(jí)別鎖定數(shù)據(jù)

便攜式計(jì)算機(jī)和上網(wǎng)本丟失僅是問題的一部分。將便攜式存儲(chǔ)設(shè)備（比如 USB 閃存驅(qū)動(dòng)器）放錯(cuò)地方也是相當(dāng)普遍的。USB 閃存驅(qū)動(dòng)器可以存儲(chǔ)大量數(shù)據(jù)，而且成本非常低，對(duì)選擇存儲(chǔ)設(shè)備的人很有吸引力。這也讓使用 USB 閃存驅(qū)動(dòng)器存儲(chǔ)敏感信息危機(jī)四伏。BitLocker To Go 將 BitLocker 功能擴(kuò)展到可移動(dòng)存儲(chǔ)設(shè)備，可以幫助解除此憂。

隨著用戶移動(dòng)性的增加，不僅保護(hù)存儲(chǔ)在物理設(shè)備上的數(shù)據(jù)很重要，保護(hù)跨公共網(wǎng)絡(luò)移動(dòng)的數(shù)據(jù)也很重要。DirectAccess 是 Windows 7 中引入的一項(xiàng)新增功能，提高了從外部路徑連接到公司網(wǎng)絡(luò)時(shí)的安全性。

利用 Internet 協(xié)議安全 (IPsec) 和 Internet 協(xié)議版本 6 (IPv6) 之類的基于標(biāo)準(zhǔn)的技術(shù)，DirectAccess 讓用戶無(wú)需單獨(dú)的 VPN 連接就可以從遠(yuǎn)程位置無(wú)縫連接到公司網(wǎng)絡(luò)。DirectAccess 還使用三重?cái)?shù)據(jù)加密標(biāo)準(zhǔn) (3DES) 和高級(jí)加密標(biāo)準(zhǔn) (AES) 之類的 IPsec 加密方法來(lái)幫助確保數(shù)據(jù)在傳輸中得到保護(hù)。要了解更多關(guān)于 DirectAccess 和結(jié)合網(wǎng)絡(luò)訪問保護(hù)功能增強(qiáng)它的方式，請(qǐng)查看 Joseph Davies 所寫的 2010 年 6 月網(wǎng)絡(luò)專家專欄。

最后，隨著更多應(yīng)用程序和業(yè)務(wù)線工作轉(zhuǎn)向云，Web 瀏覽器為聯(lián)機(jī)計(jì)算提供盡可能安全的環(huán)境甚至更為重要。即將推出的 Internet Explorer 9 將構(gòu)建在堅(jiān)實(shí)的 Internet 安全功能基礎(chǔ)上，同時(shí)還提供一些受歡迎的增強(qiáng)功能。

例如，Internet Explorer 9 將納入一個(gè)跨站點(diǎn)腳本 (XSS) 篩選器來(lái)幫助檢測(cè)這類日益普遍的攻擊。XSS 攻擊以利用惡意代碼危害合法網(wǎng)站為目標(biāo)。

如果 XSS 篩選器在 Internet Explorer 9 發(fā)現(xiàn)任何漏洞，就會(huì)禁用有害腳本。Internet Explorer 9 還提供一個(gè)增強(qiáng)的 SmartScreen 篩選器來(lái)幫助用戶識(shí)別并避免訪問惡意網(wǎng)站，惡意網(wǎng)站上可能包含網(wǎng)頁(yè)仿冒攻擊、惡意軟件等。了解更多關(guān)于 Internet Explorer 9 的信息并下載測(cè)試版。

簡(jiǎn)化管理

作為 IT 專業(yè)人員，使部署、管理和維護(hù)安全技術(shù)與策略的工作保持盡可能容易又高效很重要。Windows 7 提供了許多工具來(lái)幫助您簡(jiǎn)化桌面安全基礎(chǔ)結(jié)構(gòu)的管理。

例如，現(xiàn)在為組策略提供了 Windows PowerShell cmdlet。使用此功能強(qiáng)大的命令行外殼和腳本語(yǔ)言，現(xiàn)在您可以更輕松地使許多組策略任務(wù)自動(dòng)化，更輕松地管理這些任務(wù)。您可以創(chuàng)建組策略對(duì)象，定義它們與 Active Directory 容器的關(guān)聯(lián)，配置基于注冊(cè)表的策略設(shè)置，不一而足。這有助您確保環(huán)境中的每個(gè)桌面都符合管理員建立的安全配置。

控制軟件在組織內(nèi)的部署方式以防止引入潛在惡意軟件是根本。ActiveX 安裝程序服務(wù)幫助您利用組策略來(lái)管理 ActiveX 控件的部署。這確保您可以安裝并管理這些可增強(qiáng)最終用戶 Web 體驗(yàn)的豐富控件，而不會(huì)損及 UAC 之類的桌面安全控制的完整性。

惡意攻擊將繼續(xù)適應(yīng)桌面計(jì)算革新。然而，針對(duì)安全的綜合深層防御方法將有助于確保您的用戶及您的關(guān)鍵業(yè)務(wù)數(shù)據(jù)一直受到保護(hù)。 

本文地址

本文來(lái)源：微軟TechNet中文站

【編輯推薦】

1. 揭秘能避開入侵防御系統(tǒng)的新惡意軟件技術(shù)
2. 變種病毒偽裝“手機(jī)飛信” 自動(dòng)聯(lián)網(wǎng)狂下惡意軟件
3. UC瀏覽器遭多個(gè)惡意軟件卸載 網(wǎng)秦提供解決方案