Windows和安全這兩個(gè)詞似乎總是水火不容。在過去，微軟試圖使其操作系統(tǒng)易于普通用戶使用，這通常意味著需要犧牲抵御入侵和病毒感染的防御。例如大家都知道的漏洞重重的Windows XP，雖然該操作系統(tǒng)有防火墻，但最初默認(rèn)狀態(tài)卻是關(guān)閉防火墻。

對(duì)于所有這些漏洞問題，微軟的Vista系統(tǒng)標(biāo)志著windows安全的巨大進(jìn)步，而Windows 7則延續(xù)了這方面的改進(jìn)，增加了一些新功能并加強(qiáng)了很多其他安全功能，最明顯的就是用戶帳號(hào)控制(UAC)系統(tǒng)，Vista系統(tǒng)的用戶帳號(hào)控制系統(tǒng)非?？稍饕灾潞芏嘤脩暨x擇關(guān)閉這個(gè)功能，寧愿選擇讓系統(tǒng)容易受到攻擊，而不愿接受煩人的操作。UAC在Windwos7系統(tǒng)中已經(jīng)得到改善，不在惹人厭，而是更加能夠識(shí)別真正的威脅，因此也更有效。

其他Windows 7安全功能不太明顯，尤其是那些不只是涉及保護(hù)一臺(tái)計(jì)算機(jī)，而是保護(hù)整個(gè)網(wǎng)絡(luò)的安全功能，其中最重要的安全新功能包括DirectAccess，windows網(wǎng)絡(luò)上計(jì)算機(jī)的VPN(虛擬專用)替代;Windows指紋識(shí)別標(biāo)準(zhǔn)，規(guī)范了掃描儀和生物識(shí)別應(yīng)用程序使用指紋的方式;以及AppLocker，改善了之前Windows版本的軟件限制策略，該策略限制了哪些軟件可以在計(jì)算機(jī)上運(yùn)行。

同樣重要的包括BitLocker To Go，它庫(kù)鏖戰(zhàn)了BitLocker的全磁盤加密到外部硬盤加密，以及為處理多個(gè)防火墻配置文件而改善的程序，以便保護(hù)水平更好地與用戶連接到互聯(lián)網(wǎng)的位置相匹配。

正如典型的微軟風(fēng)格，這些功能附有簡(jiǎn)單的指導(dǎo)。讓我們看看這些功能如何能夠幫助windows系統(tǒng)保護(hù)計(jì)算機(jī)和網(wǎng)絡(luò)。

請(qǐng)注意，某些安全功能在所有Windows 7版本中都具備，而有些安全功能只有企業(yè)版和旗艦版才能使用。此外，只有讓所有用戶都升級(jí)到Windows 7，你才能在企業(yè)網(wǎng)絡(luò)完全部署這些功能，至少對(duì)于DirectAccess而言，它的后端要求是大部分企業(yè)沒有部署的。這些安全功能將與用戶仍在使用早期版本windows系統(tǒng)中的舊技術(shù)并肩作戰(zhàn)抵御攻擊。

雖然你可能還不能夠馬上利用所有這些新安全技術(shù)的全部?jī)?yōu)勢(shì)，但現(xiàn)在是時(shí)候開始為這些新技術(shù)進(jìn)行規(guī)劃。我們將從可以立即運(yùn)用的功能開始，逐漸探討這些安全功能。

多個(gè)有效防火墻配置文件

從處理防火墻配置文件方面來看，Windows 7提供了一個(gè)小但極其重要的改進(jìn)。Vista允許用戶為公共、私人和域連接設(shè)置不同的防火墻配置文件。私人網(wǎng)絡(luò)可能是你的家庭無線網(wǎng)絡(luò)，除了擁有正確的WEP或WPA密鑰外，你不需要任何憑據(jù)登錄，但是比起公共網(wǎng)絡(luò)(例如咖啡店的無線網(wǎng)絡(luò))，你會(huì)更加信任公共網(wǎng)絡(luò)。域網(wǎng)絡(luò)要求身份驗(yàn)證：密碼、指紋、智能卡或者幾種因素結(jié)合來登錄。

每個(gè)配置文件類型都有自己選擇的允許通過防火墻的應(yīng)用程序和連接。舉例來說，在家庭網(wǎng)絡(luò)或者標(biāo)記為私人的小型企業(yè)網(wǎng)絡(luò)，你可能會(huì)允許文件和打印機(jī)共享，而在標(biāo)記為公共的網(wǎng)絡(luò)，你可能會(huì)禁止訪問文件。

Vista系統(tǒng)的防火墻配置文件還不錯(cuò)，只是當(dāng)計(jì)算機(jī)被同步連接到多個(gè)網(wǎng)絡(luò)時(shí)，例如以太網(wǎng)和無線網(wǎng)絡(luò)，系統(tǒng)會(huì)默認(rèn)為最嚴(yán)格的配置文件。當(dāng)通過公共無線熱點(diǎn)連接到企業(yè)虛擬專用網(wǎng)絡(luò)時(shí)將會(huì)造成問題。Vista將會(huì)認(rèn)為同步連接到公共網(wǎng)絡(luò)和域網(wǎng)絡(luò)，并為二者運(yùn)用公共配置文件。

所有Windows 7版本都允許計(jì)算機(jī)同時(shí)保持幾個(gè)防火墻配置文件開啟，為可信任網(wǎng)絡(luò)保持訪問性和功能，同時(shí)阻止對(duì)不可信任網(wǎng)絡(luò)的訪問。由于很多遠(yuǎn)程訪問功能要求較少限制的防火墻設(shè)置，用戶現(xiàn)在就可以安全地遠(yuǎn)程工作，而同時(shí)免受來自企業(yè)網(wǎng)絡(luò)外部的威脅。#p#

Windows生物識(shí)別功能

隨著筆記本電腦指紋識(shí)別器變得越來越普遍，為處理生物識(shí)別數(shù)據(jù)建立標(biāo)準(zhǔn)變得尤為重要。Windows Biometric Framework，這是存儲(chǔ)指紋數(shù)據(jù)和通過共同API訪問數(shù)據(jù)的標(biāo)準(zhǔn)方式。雖然該子系統(tǒng)的大多數(shù)功能都只是開發(fā)人員感興趣的功能，仍然有兩個(gè)重要的信息企業(yè)需要了解。

首先，雖然指紋掃描儀之前被用于登錄到計(jì)算機(jī)，而不是登錄到計(jì)算機(jī)域(企業(yè)網(wǎng)絡(luò)或者網(wǎng)絡(luò)分區(qū))，但Windows Biometric Framework就能夠允許域登錄。

其次，用戶可以存儲(chǔ)多大10個(gè)獨(dú)特的指紋，每個(gè)手指的指紋。雖然我們都不想手指出意外，但存儲(chǔ)10個(gè)手指的指紋在系統(tǒng)中是很好的預(yù)防措施，以免手指受傷的情況。

指紋是通過生物識(shí)別設(shè)備裝置添加的，這可以在任何版本附有指紋識(shí)別器的Windows 7的控制面板中找到，并且你能夠啟動(dòng)計(jì)算機(jī)和域登錄。你必須作為管理員登錄才能夠在windows7中添加或管理指紋。

BitLocker To Go

現(xiàn)在企業(yè)面臨的最嚴(yán)重的安全威脅就是包含重要企業(yè)信息的移動(dòng)設(shè)備的丟失。Windows Vista的BitLocker通過允許企業(yè)用戶加密筆記本的整個(gè)硬盤來解決這個(gè)問題，這樣當(dāng)筆記本丟失或者被盜時(shí)，沒人能夠訪問存儲(chǔ)的信息。而BitLocker To Go擴(kuò)展了相同的保護(hù)功能到更容易丟失的外部驅(qū)動(dòng)，包括口袋大小的硬盤驅(qū)動(dòng)和微型閃存驅(qū)動(dòng)器。

Windows 7企業(yè)版和旗艦版中有這個(gè)功能，BitLocker To Go簡(jiǎn)單易用：右鍵單擊Explorer中的外部驅(qū)動(dòng)，并選擇“打開BitLocker”來打開向?qū)е笇?dǎo)你加密驅(qū)動(dòng)，等待一會(huì)兒程序運(yùn)行，就完成了操作。等待時(shí)間取決于計(jì)算機(jī)和驅(qū)動(dòng)速度，例如2GB閃存驅(qū)動(dòng)的初始加密需要20分鐘，而500GB和更大的外部驅(qū)動(dòng)需要一個(gè)工作日。

BitLocker To Go加密的驅(qū)動(dòng)可以使用用戶選擇的密碼和/或智能卡多因素驗(yàn)證(企業(yè)使用)來解密。

加密可移動(dòng)驅(qū)動(dòng)只能在Windows 7企業(yè)版和旗艦版操作，但一旦創(chuàng)建加密后，就可以從任何版本W(wǎng)indows 7讀取或者寫入信息。你也可以在加密驅(qū)動(dòng)安裝一個(gè)讀取應(yīng)用程序來允許vista和XP系統(tǒng)的只讀訪問。

通過使用管理政策僅允許BitLocker To Go驅(qū)動(dòng)被寫入以防止用戶將數(shù)據(jù)保存在不安全設(shè)備上可以為企業(yè)環(huán)境增強(qiáng)安全性。Windows Server的用戶也可以使用Active Directory保存一個(gè)恢復(fù)密碼，以便恢復(fù)丟失或者忘記的密碼。#p#

AppLocker

控制哪些應(yīng)用程序用戶可以安裝或者運(yùn)行是有效維持用戶系統(tǒng)穩(wěn)定性、抵御惡意軟件和保護(hù)網(wǎng)絡(luò)完整性(以防被帶寬要求高的應(yīng)用程序占用，如BitTorrent)的方法

在之前windows版本中，這是由軟件限制政策功能處理的，這些政策可以用于防止特定軟件的運(yùn)行，根據(jù)軟件在文件系統(tǒng)的位置或者軟件無法與已知可信應(yīng)用程序的加密哈希匹配來判斷。

軟件限制政策在部署和維護(hù)方面可能是一個(gè)麻煩。有些程序需要安裝在典型路徑的外部，因此需要生成新的路徑規(guī)則?；诠５恼咛峁?qiáng)大的安全性，但當(dāng)程序更新后，政策也可能失效。程序編碼的任何更改，甚至是漏洞修復(fù)或安全更新，都會(huì)改變哈希，并且會(huì)阻止程序運(yùn)行。因此，IT管理人員必須保持和更新哈希規(guī)則列表，并自動(dòng)覆蓋程序更新的能力。

Windows 7企業(yè)版和旗艦版(以及Windows Server 2008 R2)中的AppLocker增加了新的更加靈活的控制軟件的方法：發(fā)布者規(guī)則。發(fā)布者規(guī)則依賴于程序簽名證書的信息，這也是越來越多應(yīng)用程序增加的信息。

該信息比文件路徑或者哈希數(shù)據(jù)更加詳細(xì)，它可以讓管理員創(chuàng)建復(fù)雜的規(guī)則，例如僅允許來自某特定發(fā)布者的軟件，特定名稱、特定文件名稱和/或特定版本。舉例來說，可以創(chuàng)建一條規(guī)則允許任何來自Adobe的程序運(yùn)行，或者僅允許Photoshop運(yùn)行，或者只有最新版本的Photoshop運(yùn)行。

AppLocker規(guī)則可以適用于任何可執(zhí)行、腳本、安裝程序或者系統(tǒng)庫(kù)，讓用戶有足夠的回旋余地，比如安裝必要的軟件或升級(jí)而不需要管理員權(quán)限，并且能夠避免使用未經(jīng)授權(quán)的軟件。

此外，AppLocker規(guī)則可以被寫入以用于特定用戶或用戶組，企業(yè)會(huì)計(jì)部門和圖形涉及部門可能有不同的軟件需求，但對(duì)于AppLocker，就能夠?yàn)槊拷M根據(jù)各自獨(dú)特的限制和要求來設(shè)置規(guī)則。

真正節(jié)省時(shí)間的是從可信參考計(jì)算機(jī)自動(dòng)生成規(guī)則的能力，策略可以使用windows的組策略設(shè)置在網(wǎng)絡(luò)范圍內(nèi)運(yùn)用。

值得注意的是，AppLocker僅適用于運(yùn)行Windows 7企業(yè)版或者旗艦版的用戶。如果你的用戶使用的是較舊版本的windows，你將需要使用軟件限制策略。隨著越來越多的用戶升級(jí)到Windows 7系統(tǒng)，你可以淘汰掉軟件限制策略，轉(zhuǎn)投AppLocker。#p#

DirectAccess

被微軟號(hào)稱是VPN“下一代”替代品的DirectAccess允許Windows 7企業(yè)版和旗艦版用戶直接連接到windows 2008 R2和未來服務(wù)器版本。用戶通常需要發(fā)起VPN連接，而DirectAccess對(duì)于最終用戶而言幾乎是透明的：當(dāng)計(jì)算機(jī)連接到網(wǎng)絡(luò)時(shí)，DirectAccess自動(dòng)創(chuàng)建到企業(yè)網(wǎng)絡(luò)的安全鏈接，而不需要用戶的任何操作，并且通過該連接自動(dòng)路由請(qǐng)求到內(nèi)部互聯(lián)網(wǎng)。

除了自動(dòng)連接外，DirectAccess還提供傳統(tǒng)VPN無法實(shí)現(xiàn)的功能。首先，它使用的是Ipsec和Ipv6互聯(lián)網(wǎng)協(xié)議來加密和路由端到端連接。VPN加密是在VPN服務(wù)器被剝離，DirectAccess可以全程都保持加密，從企業(yè)網(wǎng)絡(luò)內(nèi)的應(yīng)用程序服務(wù)器。(DirectAccess支持很多其他協(xié)議來創(chuàng)建不支持Ipsec或Ipv6網(wǎng)絡(luò)流量渠道)

因?yàn)镈irectAccess使用的是標(biāo)準(zhǔn)互聯(lián)網(wǎng)端口，它可以輕松穿越防火墻，而不需要任何額外配置，而這方面VPN用戶則常常遇到問題。

另一個(gè)優(yōu)勢(shì)：因?yàn)檫B接是自動(dòng)創(chuàng)建和維護(hù)的，管理員可以持續(xù)管理和更新DirectAccess啟用的計(jì)算機(jī)，甚至當(dāng)用戶不是直接使用企業(yè)資源時(shí)。遠(yuǎn)程用戶僅當(dāng)需要訪問網(wǎng)絡(luò)資源時(shí)往往通過VPN連接。

這意味著VPN用戶在被允許訪問企業(yè)網(wǎng)絡(luò)前必須被隔離、掃描和修復(fù)補(bǔ)丁，這個(gè)程序減慢了連接速度，限制了員工的效率，并且IT管理員只有很少的時(shí)間來管理遠(yuǎn)程計(jì)算機(jī)。而有了DirectAccess，企業(yè)網(wǎng)絡(luò)的所有計(jì)算機(jī)可以同時(shí)更新，并且不管用戶是否需要訪問企業(yè)網(wǎng)絡(luò)都會(huì)被監(jiān)控。

但請(qǐng)注意，所有公司立即轉(zhuǎn)而使用DirectAccess并不實(shí)際。該系統(tǒng)依賴于高級(jí)網(wǎng)絡(luò)基礎(chǔ)設(shè)施，包括Windows Server 2008 R2 和IPv6，這也是很多企業(yè)沒有部署的項(xiàng)目，在企業(yè)部署所有工具和技術(shù)前可能還需要幾年時(shí)間才能完全轉(zhuǎn)移到DirectAccess。 這個(gè)階段，企業(yè)仍需使用傳統(tǒng)VPN。

但是它讓我們瞥見了未來網(wǎng)絡(luò)，到“企業(yè)大本營(yíng)”的安全、永遠(yuǎn)開啟的連接能夠允許遠(yuǎn)程員工像在企業(yè)辦公室里辦公一樣方便和安全。

對(duì)于企業(yè)而言，window 7允許在安全I(xiàn)T部門和最終用戶間建立某種伙伴關(guān)系，讓員工在部署安全策略和更新網(wǎng)絡(luò)應(yīng)用的環(huán)境下工作。所有這些功能的共同宗旨就是在不犧牲可用性的情況下，實(shí)現(xiàn)真正的安全，這也體現(xiàn)了微軟似乎終于意識(shí)到這兩者并不是水火不容。