• Artikel

Windows 7

Einzigartige Sicherheit unter Windows 7

Steve Riley

 

Kurz zusammengefasst:

  • Einfacher Corpnet Zugriff mit DirectAccess
  • Auch austauschbare Laufwerke mit der neuen BitLocker verschlüsselt
  • Verwalten des Zugriffs auf Anwendungen mit AppLocker
  • Schutz vor DNS poisoning und mit DNSSEC-spoofing

Inhalt

DirectAccess
BitLocker und BitLocker To Go
AppLocker
DNSSEC
Weitere Verbesserungen
Dies ist der gewünschten Windows

Nach dem Platzieren von der letzten Note in diesem Artikel eingegangen der Tag, dem viele von uns zum Schluss gewartet haben: Windows 7 wurde zur Produktion freigegeben. Verbracht hat viel Zeit mit meinem Produktions-Betriebssystem unter die Beta- und Release Candidate, und die Änderungen und Verbesserungen Windows 7-Angebote Freude. Jetzt möchte ich Sie auf einen Überblick über Meine Favoriten-Sicherheitsfeatures nutzen.

DirectAccess

Wenn Sie wie jede andere Freak ich erfüllt haben, endet nicht arbeiten, wenn Sie außerhalb der Tür von Ihrem Büro durchlaufen. Warum? die meisten Arbeitgeber Laptops statt Desktops bieten Da Sie wissen, arbeiten Sie kostenlos! Wie Sie die Investitionen in teurere Hardware recoup ist. Richten Sie einige VPN-Server, veröffentlichen Anweisungen für das Unternehmensnetzwerk zugreifen und erhalten Sie einer ganzen Menge mehr Produktivität aus Ihrer Mitarbeiter.

Oder das denken so wechselt. VPNs ist fast immer zusätzliche Schritte zu auf Corpnet, manchmal sehr kompliziert Schritte erforderlich. Um einfache verlieren Hardwaretoken ausführen müssen. Pokey Anmeldeskripts ziehen auf ewig. Internetverkehr ruft zurückgeleitet über Ihre Corpnet, Reaktionsfähigkeit verringern. Wenn es eine Weile seit der letzten Verbindung ist, erhalten der Computer möglicherweise mehrere Megabyte von Softwareupdates. Ja, wenn Sie nur eine geringfügige lästig Sache dazu haben – sagen eine Spesenabrechnung abgeschlossen – müssen Sie diese wahrscheinlich deaktiviert setzen. Wenn nur eine Möglichkeit, die separaten VPN-Verbindung Schritte zu beseitigen, so dass Sie Ihren Computer zu Hause oder in der Flughafens verwenden konnte genau wie bei der Arbeit, gut sind, wäre, cool.

Zusammen mit Windows Server 2008 R2 Ihnen DirectAccess in 7 exakt die Erfahrungen. Evaporates aus der Sicht eines Benutzers die Differenz zwischen dem Corpnet und dem Internet. Beispielsweise angenommen, wenn Sie im Büro sind, navigieren Sie zu http://expenses führen Sie eine Spesenabrechnung. Mit DirectAccess in Ihrem Netzwerk aktiviert, Sie würden gehen genau dieselbe überall finden Sie eine Verbindung mit dem Internet: Geben Sie http://expenses einfach in Ihrem Browser. Keine zusätzlichen anmelden Schritte, die keine re-training, keine Anrufe beim Helpdesk balky VPN-Clientsoftware zu beheben. DirectAccess können Sie Computer mit dem Corpnet und dem Internet zur gleichen Zeit zu verbinden. Reibungsloses zwischen Ihnen und Ihren Anwendungen erleichtert es auch auf Ihre Daten erhalten Sie entfernt.

Es gibt zwei Kommunikationsprotokolle, die dies ermöglichen: IPSec- und IPv6. Eine IPSec-ESP (Encapsulating Security PAYLOAD) Transport-Modus-Sicherheitszuordnung (keinen Tunnel, trotz der Fortsetzung Missbrauch des Ausdrucks "IPsec Tunnel") authentifiziert und verschlüsselt die Kommunikation zwischen dem Client und dem Zielserver. Bidirektionale Authentifizierung verringert Man-in-the-Middle-Angriffe: mithilfe von x. 509-Zertifikaten ausgegeben ausgestellt Zertifizierungsstellen beide Seiten vertrauen der Client an den Server authentifiziert und der Server an den Client authentifiziert. Advanced Encryption Standard (AES) ermöglicht die Verschlüsselung Vertraulichkeit so, dass alles, was während der Kommunikation abgefangen, die Lauschern ist ohne Bedeutung.

Herkömmliche VPNs verwenden IPsec zu;Es ist das Hinzufügen von IPv6, der DirectAccess Novel und interessante macht. Eliminiert die VPN-erfordert eine bessere End-to-End-Konnektivität als IPv4, mit der Fülle von NATs und überlappende Adressbereiche kann. IPv6 eine global eindeutige routingfähige Adresse auf jedem Client konfiguriert und segregates Corpnet Datenverkehr vom normalen Datenverkehr im Internet. IPv6 ist für DirectAccess, erforderlich, damit Ihre Corpnet IPv6 unterstützen muss. Dies ist nicht als schwierige eine Aufgabe, wie Sie vielleicht denken: viele Ihrer Server wahrscheinlich bereits besitzen oder können so konfiguriert werden, dass IPv6 ausgeführt, und alle Netzwerke Ausrüstung in den letzten Hälfte Jahrzehnt vorgenommenen unterstützt IPv6. Protokoll Übergangstechnologien können z. B. Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) und NAT-Protokoll Netzwerkadressübersetzung (NAT-PT) am Rand der Corpnet.

Einem Client mit DirectAccess ist immer Ihre Corpnet, aber wahrscheinlich nicht über systemeigenen IPv6; verbunden.der Client ist wahrscheinlich hinter einer IPv4-NAT und das Internet selbst ist weiterhin größtenteils IPv4. Windows 7 unterstützt IPv6-zu-IPv4- und Teredo – Übergang Technologien, die IPv6-Datenverkehr innerhalb von IPv4 zu kapseln. Und auf die selten Anlass Wenn keines dieser Protokolle funktioniert, DirectAccess fällt zurück zu IP-HTTPS, ein neues Protokoll, das IPv6-in HTTPS über IPv4 kapselt. (Ja, hat das Schema zum Umwandeln von HTTP in das endgültige universelle umgehen-Protokoll die Nadir erreicht!)

Anwendungen müssen keine Änderungen oder spezielle Behandlung über DirectAccess funktioniert. Gruppenrichtlinien weist eine Auflösung Richtlinie Namenstabelle (NRPT) enthält zwei Informationsbits zu Clients: Die Corpnet interne DNS-Suffix und die Adressen der IPv6-DNS-Server Auflösen des Namespaces (siehe Abbildung 1). Angenommen, Ihr interner DNS-Suffix ist inside.example.com und der IPv6-DNS-Server Adresse FEDC:BA98:7654:3210::1. Wenn Sie zu http://expenses durchsuchen, wird Ihres Computers Konfliktlöser fügt das DNS-Suffix und versucht, expenses.inside.example.com zu beheben. Da dies den DNS-Suffix-Eintrag in der NRPT entspricht, sendet der Auflösungsdienst die Anforderung an FEDC:BA98:7654:3210::1. DNS antwortet mit der IPv6-Adresse des Servers Ausgaben;DirectAccess folgt die erforderlichen Schritte (systemeigenes Format, Übergang, IP-HTTPS) Verbindung mit dem Server hergestellt werden. Wenn Ihr Computer Domäne beigetreten ist und der Server Authentifizierung erfordert, werden die Domänenanmeldeinformationen mit angemeldet Sie für den Server ohne authentifizieren. Genommen Sie an, in einem anderen Browserfenster, das Sie zu einer öffentlichen Website; navigieren sindDa das DNS-Suffix des Computers NRPT nicht, wird der Resolver führt einen normalen IPv4-Lookup (mit auf der Netzwerkschnittstelle konfigurierten DNS-Server) und ruft die Website vollständig unabhängig von DirectAccess.

figure1.gif

Abbildung 1 Einstellung namens Auflösung Richtlinie für DirectAccess. (Zum Vergrößern auf das Bild klicken)

Dauern Sie einen Moment, und überlegen Sie, die Auswirkungen von immer im Corpnet Zugriff. Sicher ein Benutzer, sondern addictive ist, und macht es (nahezu) einfach, um die Spesenabrechnung abzuschließen. Ich weiß jedoch mein Publikum: Administratoren und Sicherheit Dudes. Was konnte es bedeutet, damit alle Ihre Clients immer, unabhängig davon, wo Sie sind mit dem Corpnet verbunden? Ich werde ein paar erwähnen:

  • Wartung-Konfiguration mit Gruppenrichtlinien
  • Fortlaufende Aktualisierung mit Windows Server Update Services (WSUS) oder System Center Configuration Manager (SCCM)
  • Zustand zu überprüfen und Sicherheitsverbesserungen mit NAP
  • Zentral verwaltet Antimalware-Schutz mit der Windows-Firewall und Forefront Client Security oder andere

Viel Sounds, wie Sie auf Ihre Corpnet, rechts vorgehen? Genau. DirectAccess erweitert Ihre Corpnet auf dem gesamten Internet beim Aktivieren Sie Ihre Computer gut verwalteten und sicher halten. Es ist wohl das interessantesten Bit Netzwerktechnologie, die ich in eine lange Zeit und definitiv nimmt Aktualisierungen überzeugende gesehen habe.

BitLocker und BitLocker To Go

Alright … werde ich dazu, welche Autoren nie sollen führen und bitten Sie um mich kurz zu unterbrechen. Betrachten Sie die Chronologie Daten Sicherheitsverletzungen bei Privacy Rights Clearinghouse (privacyrights.org/ar/ChronDataBreaches.htm). Er gestartet Sicherheitsverletzungen im Januar 2005 überwachen. Als der Erstellung dieses Dokuments haben eine atemberaubenden 263 Millionen Datensätze Verluste auftreten. Die Ponemon Institute LLC und PGP corp. durchgeführt von eine Studie "das vierte Feld StandardKosten der Sicherheitsverletzung studieren Daten: Benchmark-Studieren der Unternehmen ", meldet, dass eine durchschnittliche Wiederherstellung Kosten 202 $ pro Datensatz. Ein wenig mathematischen tun wir dürfen wir?

263,000,000 Datensätze × $ 202 bzw.-Aufzeichnung

$53,000,000,000

Organisationen haben eine erstaunliche $ 53 Milliarden in fünf und eine halbe Jahren verloren! Es ist relativ zu vermuten, dass Verlegtes und gestohlenen Laptops zwischen costliest Gefährdungen sind die meisten Unternehmen Gesicht. Die Kosten für Geräte ersetzen kann vernachlässigt – der größte Teil der Belichtung ist direkten oder indirekten Kosten im Zusammenhang mit Daten Wiederherstellung/Rekonstruktion, Strafen Ruf Schaden und verlorene Business. In vielen Fällen würde eine einfache Abschwächung die Anfälligkeit beseitigt haben: Tragbare Daten verschlüsseln.

Microsoft hinzugefügt Windows Vista schützen das Betriebssystem offline Angriffen, indem Sie das Laufwerk aus dem Windows ausgeführt wird verschlüsseln BitLocker. Wenn eine Hardwarekomponente (TRUSTED Platform Module) vorhanden ist, bietet BitLocker Integrität auch für den Startvorgang durch Überprüfen jeder Schritt Weg und schlägt einen beliebigen Teil eine Hash-Überprüfung anhalten. Kunden haben natürlich immer Ihre eigenen Ideen und während der Betaphase Sie rasch realisiert BitLocker auch Ihre Daten schützen kann. Microsoft ein paar weitere Gruppenrichtlinienobjekte (GPOs) und eine Benutzeroberfläche zum Konfigurieren von BitLocker hinzugefügt, aber blieb Herausforderung (besonders auf Computern, die bereits erstellt) bereitstellen und wurde nur auf dem Systemvolume unterstützt.

Windows Vista SP1 Erweitert des BitLocker-Unterstützung für alle Festplatte Volumes Verschlüsselungsschlüssel geschützt werden, durch alle drei Methoden in Kombination zulässig (TPM, USB-Systemstartschlüssel und Benutzer-PIN), und ein Tool zum Vorbereiten der vorhandener Installationen mit der erforderlichen zusätzlichen Laufwerk enthalten.

Windows 7 vereinfacht BitLocker einrichten, sofern es eine Funktion, die Sie erhalten verwenden möchten. Während des Installationsvorgangs erstellt automatisch die erforderlichen Startpartition. Aktivieren von BitLocker ist einfach: Klicken Sie mit der rechten Maustaste auf das Laufwerk und im Menü die Option BitLocker (siehe Abbildung 2). Selbst wenn Ihr Computer verfügt nicht über die zweite Partition wird die Vorbereitung Laufwerk neu partitionieren. Key Management und Datenwiederherstellung ist nun einfacher mit Unterstützung für eine IT verwaltet Daten Wiederherstellungs-Agent (DRA). Der DRA ist eine zusätzliche Schlüsselprotektor, die den Administratorzugriff auf alle verschlüsselten Volumes ermöglicht. Mithilfe des DRAs ist optional aber ich dringend geraten zu erstellen. Platzieren Sie es auf einer Smartcard, behalten die Karte in einem Safe in den Computerraum gesperrt und sehr vernünftig werden mit denen Sie die Sperre Kombination freigeben.

figure2.gif

Abbildung 2 Aktivieren von BitLocker auf einem austauschbaren Laufwerk. (Zum Vergrößern auf das Bild klicken)

Die BitLocker-Systemsteuerungsoption, das Befehlszeilenskript verwalten-bde.wsf und Provider (Windows Management INSTRUMENTATION) angeboten zuvor nicht übereinstimmende Sätze von Konfigurationsoptionen. In Windows 7 sind alle Optionen des BitLocker in allen drei Methoden zur Verfügung. Für nicht-Betriebssystem-Volumes können Sie steuern, automatische entsperren und Smartcard-Authentifizierung erforderlich (siehe Abbildung 3).

figure3.gif

Abbildung 3 verwenden ein Kennwort zum Entsperren eines Laufwerks durch BitLocker geschützt. (Zum Vergrößern auf das Bild klicken)

Daten Leckage weiterhin eine wichtige Kopfschmerzen für viele Organisationen. Die praktische wenig Teufel das USB-Laufwerk ist eine wichtige Ursache (aber natürlich nicht die einzige;Daten können sich selbst von Ihrer Organisation in unzählige Möglichkeiten exportieren). Einschränken der Verwendung von USB-Laufwerke oder eine nicht-Starter für die meisten Unternehmen ist vollständig deaktivieren USB-Anschlüsse – die Bequemlichkeit ist manchmal eine Notwendigkeit.

BitLocker to go ist Windows 7-Antwort auf dieses Problem: Klicken Sie mit der rechten Maustaste auf ein Laufwerk, aktivieren Sie BitLocker, erstellen Sie ein Kennwort und unabhängig von seinem Format auch das FAT-Format verschlüsselt BitLocker zu wechseln. Diese Adressen in erster Linie das Risiko von Personen verlieren Ihre Laufwerke;verloren Laufwerke immer scheint zu kritischen vertrauliche Informationen enthalten und werden durch Diebe mit nichts dazu als Post Ihre vertraulichen Daten zu WikiLeaks besser purloined.

Aber mehr als nur eine USB-Schutzvorrichtung ist BitLocker zu wechseln. Es schützt jede Art von austauschbaren Laufwerk und es funktioniert unabhängig von dem Betriebssystem BitLocker so "normalen"BitLocker ist nicht erforderlich. Administratoren können eine Richtlinie zum Erzwingen alle Wechsellaufwerke schreibgeschützt sein, sofern Sie zuerst mit BitLocker zu wechseln, verschlüsselt sind nach dem werden die Laufwerke schreibbare konfigurieren. Eine andere Richtlinie erfordert kann Authentifizierung (Länge und Komplexität-auswählbare Kennwort, Smartcard oder Domäne), um ein geschütztes Gerät zugreifen. Und Verhalten DRAs auf Wechselmedien wie auf Festplatte Volumes.

Benutzer können gelesen, aber nicht geschrieben, geschützte Geräte unter Windows Vista und Windows XP. BitLocker to go Überlagerungen "Discovery Volume"auf dem physikalischen Laufwerk enthält die BitLocker so Go Reader und Installationsanweisungen. Der Reader ist auch für den Download verfügbar. Nur ein Kennwort geschützten Volumes (nicht Smartcard oder Domäne) sind mit dem Leser verwendbar, wie in Abbildung 4 dargestellt.

figure4.gif

Abbildung 4 die BitLocker an Go Reader unterstützt nur-Lese-Zugriff in früheren Versionen von Windows. (Zum Vergrößern auf das Bild klicken)

AppLocker

Haben Sie jemals mit Software Restriction Policies (SRP) gearbeitet? Oder sogar des SRP heard? Seit Windows 2000 verfügbar sind, ermöglicht SRP, Administratoren steuern, ob ein Computer im arbeitet als Standard zulassen oder Status standardmäßig zu verweigern.

Standardmäßig verweigern ist natürlich, bevorzugte: definieren eine Auflistung von Software, die ausgeführt werden dürfen, ist etwas nicht in der Liste verweigert. SRP ist eine ziemlich gute Möglichkeit, um die Verbreitung von Malware zu beenden. Es gibt auch eine ziemlich gute Möglichkeit, viel Arbeit für Sie selbst erstellen: Pfad und den Hash Regeln müssen Sie alle .exe und .dll umfasst eine Anwendung integrieren und Hashregeln müssen ersetzt werden, wenn eine Anwendung aktualisiert wird. Entdecken und verfolgen jede Anwendung in einer Organisation verwendet ist eine schwierige Herausforderung, ganz zu schweigen der Tests erforderlich, um sicherzustellen, dass normalerweise umfangreichen Satz von Regeln SRP unbeabsichtigten Fehlfunktion führen nicht. SRP empfangen nie viel Aufmerksamkeit, weil unfreundliche konfigurieren und zu unflexibel praktische werden konnte.

Dennoch bleibt Anwendung Auflistung ein wichtiges Element der Entwurf der Sicherheit. AppLocker verbessert auf SRP durch mehr Flexibilität die von Ihnen erstellten können Regeln hinzufügen. Zusammen mit der üblichen zulassen und Verweigern von Regeln, können Sie Regeln für die Ausnahme erstellen. Dadurch eine Standard-verweigern Abwehr viel einfacher zu definieren und verwalten. Das allgemeine Beispiel ist dies: "lassen Sie alles in %windir% außer integrierte Spiele ausführen." Meiner Meinung nach diesem ziemlich alberne wie verhindern Ihren Desktophintergrund ändern zu Violett – wer interessiert? Mit ein bisschen planen können Sie eine gute Liste der bekannten guten Anwendungen mithilfe einer verwaltbaren Reihe von Regeln ermöglichen mit Ausnahme erstellen.

Einem anderen Regeltyp gibt zugelassene Herausgeber, wie in Abbildung 5. Wenn ein Benutzer eine Anwendung ausgeführt wird, vergleicht die AppLocker die digitale Signatur des Herausgebers der Anwendung zu Ihren definierten Zulassungsliste und anderen Bedingungen überprüft. Dies erfordert viel weniger Regeln als Hash des SRP-Überprüfung: Anstatt eine umfangreiche Zusammenstellung von Hashregeln für jede ausführbare Datei in der Anwendung benötigt AppLocker nur die einzelnen Herausgeber-Regel. Publisher Regeln einsparen auch müssen neue Regeln erstellen, wenn eine zugelassene Anwendung aktualisiert wird. Z. B. diese Regel: "lassen Sie eine beliebige Version von Acrobat Reader gleich oder größer als 9.0 und nur, wenn es von Adobe signiert ist" Nächste Woche, wenn Adobe die Anwendung aktualisiert können Sie es an Clients übertragen ohne aktualisieren die Regel. Zusammen mit Versionsnummern können Sie ganze Anwendungen oder bestimmte Dateien oder Sammlungen von Dateien angeben Regeln erstellen. In einigen Fällen AppLocker kann auch Regeln erstellen automatisch (siehe Abbildung 6).

figure5.gif

Abbildung 5 Erstellen einer Veröffentlichungsregel für AppLocker. (Zum Vergrößern auf das Bild klicken)

figure6.gif

Abbildung 6 AppLocker kann automatisch bestimmte Typen von Regeln generieren. (Zum Vergrößern auf das Bild klicken)

Des SRP Regeln nur auf Computer angewendet. AppLocker des Regeln können auch auf Benutzer anwenden. Dieses Feature können Sie die zunehmend aufwändige Kompatibilitätsanforderungen, z. B. diese Regel erfüllen: "lassen Sie nur die in der Abteilung Personalwesen Personalwesen Anwendungen ausführen"(allerdings umfasst um genauer zu sein, die Regel Active Directory-Sicherheitsgruppen, Benutzerkonten der Mitarbeiter im PERSONALWESEN enthält). Diese Regel blockiert Benutzer nicht in HR, einschließlich Administratoren – jedoch leider böswillige Administratoren immer noch die Regel ändern können. Erinnern Sie meine alten Grundsatz: Wenn Sie Ihren Administratoren nicht vertrauen, ersetzen Sie Sie.

Wahrscheinlich ist die größte Verbesserung, die AppLocker bietet, dass es tatsächlich etwas Sie vertrauen können. SRP nicht gesagt sehr robust. Sie hätten vorstellen, das Betriebssystem wäre Richtlinie erzwingt, aber Sie würden falsch. Bei Anwendungsstart prüft die Anwendung übergeordneten Prozess, nicht das Betriebssystem das SRP. Wenn der Benutzer – ob Admin oder nicht – hatte Steuerelement des übergeordneten Prozesses konnte der Benutzer SRP; umgehenfinden Sie unter Mark Russinovich Blog-Eintrag "umgangen Richtlinien als ein eingeschränkte Gruppe Benutzer"Erklärt, wie. Hier ist ein blindingly offensichtlich Konzept: Um eine tatsächliche Sicherheitsfunktion, ist die Funktion gesichert werden. AppLocker besteht aus einem Dienst und einen Kernel-Modus-Treiber;die Regeln werden in den Treiber, der ausgewertet, die jetzt das Betriebssystem tatsächlich der erzwingt ist. Wenn ungerade Gründen Sie weiterhin SRP Regeln anstatt AppLocker Regeln verwenden, sind Sie mindestens stärkere: in Windows 7 sind der SRP-APIs neu gestaltet, übergeordnete Prozesse und Hand Regel erzwingen und Binärdatei Überprüfung der AppLocker-Dienst zu umgehen.

Die Möglichkeit zum Testen von Richtlinien ist kritisch. Audit-Funktion des AppLocker zeigt (siehe Abbildung 7) Wenn Ihre Regeln aktiviert wurden Verhalten von Anwendungen würde. Es zeigt eine Liste aller betroffenen Dateien aus dem Sie Probleme erkennen können, die möglicherweise vor Bereitstellung auftreten an. Regeln können Unterschiede zwischen der .EXEs, DLLs, .MSIs und Skripts vornehmen. AppLocker speichert Statistiken, die der Häufigkeit eine Regel ausgelöst wird, nützlich ist, insbesondere, wie Personen Aufgaben ändern und Sie neue oder andere Anwendungen müssen im Laufe der Zeit zu kennen.

figure7.gif

Abbildung 7 AppLocker ’s Überwachungsmodus können Sie Ihre Regeln vor der Bereitstellung testen. (Zum Vergrößern auf das Bild klicken)

DNSSEC

IPsec ist curiously, mit einem kleinen "s", geschrieben.während vollständig DNSSEC großgeschrieben wird. Niemand sagte jemals Standardisierungsorganisationen verkörpert der Konsistenz wurden. Aber ich digress …

Gleichzeitig war ich eine DNSSEC-Doubter. Der Anspruch ist, kryptografische Authentifizierung an DNS-Antworten anhängen DNS-poisoning unmöglich, daher thwarting Phishing-Angriffen rendert. DNSSEC versucht, die Frage "Kann die Antwort vertrauen als Antwort auf Meine Auflösung Namensabfrage wird?" Ich davon ausgegangen, das falsche Frage war. Die richtige Frage wurde "Vertrauen kann ich mit dem realen Server werde?" SSL sorgt dauerte bereits für dieses Recht gut Dank: erhalten nur die aktuelle Bank konnte ein SSL-Zertifikat für seine öffentlichen Website rechts? Angreifer konnte Ihre Anforderung zu seiner Site umleiten, aber er kann nicht die tatsächliche Bank, verwendet um seine Webserver, um Ihren Browser zu authentifizieren SSL-Zertifikat abgerufen. IPsec entspricht: die Abhängigkeit von digitalen Zertifikaten für die Authentifizierung gewährleistet niemand Ihr Ziel vortäuschen kann.

Nach der Auswertung sorgfältig, die Windhauch prodding und cajoling von anderen, stammen ich haben DNSSEC eine wichtige Ergänzung zu unseren defensive Arsenal ist. True, SSL und IPSec-bestätigen Sie mit einer rechtmäßigen Site verbunden sind, obwohl dies fragwürdige Wert ist, da die meisten Benutzer "geschult" habenselbst Warnungen ignoriert werden soll. Sie nicht, Sie jedoch verhindern der Zugriff auf einer rechtmäßigen Site verweigert wird. DNS poisoning kann eine sehr effektive Dienstverweigerungsangriff (DoS) sein, die mit SSL oder IPsec gemindert werden nicht möglich. DNSSEC entfernt die Bedingungen, solche Angriffe ermöglichen: Antworten von DNS-Servern gehören digitale Signaturen, welche Konfliktlöser überprüfen können. Angegebenen ich bin kein Fan von Sicherheit "Funktionen"mit denen Angriffe (Kontosperrung ist einer anderen DoS-Angriffen), ich meine Meinung geändert haben und nun bevorzugen die schnelle Akzeptanz der DNSSEC im Internet, beginnend mit den Stammservern, die Angreifer häufig versuchen, aneignen.

DNSSEC bietet:

  • Ursprung Authentizität: Die Antwort ist vom Server zu stammen vorgibt
  • Datenintegrität: Die Antwort noch nicht in böswilliger Absicht in während der Übertragung geändert.
  • Authentifizierte Dienstverweigerung vorhanden ist: ein unspoofable "Ziel ist nicht vorhanden"Antwort

Wenn ein DNSSEC-fähigen Server eine Abfrage für einen Datensatz in einer signierten Zone empfängt, gibt der Server die digitalen Signaturen zusammen mit der Antwort zurück. Der Resolver öffentlichen Schlüssel des Servers abgerufen und überprüft die Antwort. Der Konfliktlöser muss mit "Vertrauensanker" konfiguriert werdender signierte Zone oder übergeordneten;DNSSEC auf Stammserver im Internet zu ermöglichen alle DNSSEC-fähigen Konfliktlöser damit eine Vertrauensanker "Stamm am oberen."

Der DNSSEC-Client in Windows 7 ist eine ohne Überprüfung Sicherheit-fähigen stub Resolver. Er bestätigt DNSSEC-Abfragen und verarbeitet DNSSEC-Ressourceneinträge, aber stützt sich auf den lokalen DNS-Server zum Antworten zu überprüfen. Der Resolver gibt die Antwort an die Anwendung nur, wenn Validierung erfolgreich zurück. Kommunikation zwischen dem Client und den lokalen DNS-Server werden durch SSL geschützt: der Server sendet einen eigenen Zertifikat an dem Client für die Validierung. DNSSEC-Einstellungen in der NRPT konfiguriert sind, wie in acht dargestellt und sollte über Gruppenrichtlinien aufgefüllt.

figure8.gif

Abbildung 8 Confi Guring namens Auflösung Richtlinie für DNSSEC. (Zum Vergrößern auf das Bild klicken)

Ein anderer wichtiger Punkt: In der Vergangenheit haben öffentlichen Zertifizierungsstellen Ihrer Verantwortung, um Anwendungen für x. 509-Serverzertifikate überprüfen abdicated. Ich habe Instanzen gelesen, wobei Angreifer als legitime Vertretern der tatsächlichen Unternehmen gestellt und erfolgreich abgerufen betrügerische aber vertrauenswürdige Zertifikate. So kann in einigen Fällen SSL "unterbrochen" betrachtet werdenfehlen Sie in der öffentlichen Zertifikate einige Vertrauensstellung-Wert. Die DNSSEC-Standards erfordern wesentlich strengere Kennung und Überprüfung vor einer Organisation kann DNS-Signatur Zertifikate, die hilft das Vertrauen in online-Buchungen wiederherstellen empfangen.

Weitere Verbesserungen

Während die Sicherheitsfunktionen, die ich bisher beschrieben habe meine Favoriten sind, sollte ein paar weitere Verbesserungen erwähnt, die insgesamt "Sicherheitsunterstützung" verbessernvon Windows.

Mehrere Active Firewall Profile ich über Firewalls von Drittanbietern, mit all Ihren "Scare-Ifying" in der Vergangenheit geschrieben habenWarnungen, die sich als nichts anderes als Sicherheitstheater ausgibt (Siehe "Durchsuchen der Windows-Firewall." Meiner Meinung nach weiterhin diese. Die Windows-Firewall kann durchaus Schutz Ihres Computers. Es mussten nur eine Einschränkung: während drei Profile definiert sind, ist nur zu einem beliebigen Zeitpunkt aktiv. Im Büro verwendet Ihre Domäne beigetretenen Computer automatisch das Domänenprofil, das Verwaltung von eingehenden Kommunikation ermöglicht. Im Hotelzimmer verwendet Ihr Computer das öffentliche Profil, das alle unerwünschte eingehende Kommunikation blockiert. Der Computer verbleibt in diesem Profil, wenn Sie VPN in Ihre Corpnet, wodurch den Computer für Verwaltungstools unsichtbar. Windows 7 wird diese Einschränkung entfernt: Sie können das Profil Public, Private oder Domäne separat auf jeder Schnittstelle physischen oder virtuellen Netzwerk definieren.

Windows biometrische Framework Fingerprint Reader sind überall – sogar die kostengünstigste Laptops Sportarten glänzend Swipe Spotfarben. Obwohl der Mangel an integrierten Unterstützung in früheren Versionen von Windows die Geräte nicht verwendeter links, übermittelt PC Entscheidungsträger Systeme mit den Treibern trotzdem installiert. Die schlechte Qualität der Großteil dieser Code verursacht eine ausreichende Anzahl von Bluescreen-stürzt ab, von die viele selbst entsprechende an Microsoft gemeldet.

Mit diesem wissen ausgestattet, fügte Microsoft biometrische systemeigene Unterstützung für das Betriebssystem. Jetzt müssen die Treiber zu einer Ebene höherer Qualität entsprechen und Benutzer haben weitere Optionen für die Authentifizierung auf Ihren Computern. Ich bin immer noch davon überzeugt wichtig die Unterscheidung zwischen Identität (eine öffentliche Deklaration) und Authentifizierung (überprüfte Besitz eines geheimen Schlüssels) beibehalten. Ein Fingerabdruck ist inarguably öffentlich. Aber es gibt einige Szenarios, in dem Fingerabdruck Anmeldung überlegen ist: genommen Sie an, ein Lagerort Dock mit großer burly Guys um großer Crates und Containern huffing teeming. Mal so oft müssen Sie Informationen auf einem Computer in einer parallelen Einkaufswagen Lager aktualisieren. Wirklich glauben Sie jemand Brutto motorische Fähigkeiten der Großteil der Tag der Ordnung motorischen Fähigkeiten erforderlich, die Sliver einen Slot eine Smartcard Wafer thin einfügen, beim Positionieren Sie es in der richtigen von vier möglichen Ausrichtungen effizient wechseln kann? Keine Möglichkeit. Fingerabdruck-Authentifizierung muss er keinen PS-Modi zu wechseln: eine schnelle Swipe der Reader meldet ihn. (Ja, dies ist eine echte Kundenszenario.)

Windows biometrische Framework (WBF) ist eine erweiterbare Grundlage für biometrische Authentifizierung unterstützen. In der ersten Version von Windows 7 werden nur Fingerabdrücke unterstützt. WBF definiert mehrere Komponenten sollen die Zuverlässigkeit der biometrische Hardware und seinen zugeordneten Treiber und Registrierungs-Software zu erhöhen. Wenn ein Benutzer zunächst seine Fingerabdrücke registriert, wird der biometrische Dienst verschlüsselt den Datenstream aussagekräftige zusammen mit den Anmeldeinformationen des Benutzers und speichert diese Blob in eine Datenstruktur für den Tresorraum fest. Das verschlüsselte Kennwort ist eine GUID zugewiesen als Handle fungiert. Crucially, der Dienst nie offenbart Kennwort des Benutzers direkt an eine Anwendung jedoch stattdessen stellt nur das Handle. Je nach den Funktionen des Readers ist Fingerabdruckauthentifizierung für lokale Anmeldung, Domänenanmeldung und UAC Authentifizierung verfügbar. Für die Verwaltung von WBF sind mehrere Gruppenrichtlinienobjekte vorhanden.

Dies ist der gewünschten Windows

Wenn ich mein Computer mit der ersten Betaversion Build Vorjahr re-imaged, wurde ich nie wieder. Windows 7 ist in jeder Bezug und die allgemeine Eignung snappier und Endtermin ist beeindruckend. Mit seiner multifaceted Ansatz zum Zugriff, Personen und Daten sichern ist es eine Geschäftswerte neben Ihrer Infrastruktur. Ihre Reisende definitiv werden Dank und – kennt – vielleicht erhalten Sie schließlich, dass wir bisher nur von dreamed haben Anruf: „ hey, wollte ich nur Ihnen mitteilen, die alles funktioniert. Groovy!"

Steve Riley ist eine Evangelist und Stratege für die Wolke, die an der Welt zumeist Anbieter computing. Er spezialisiert sich auf Enterprise-Anforderungen für Sicherheit, Verfügbarkeit, Zuverlässigkeit und Integration. Sie erreichen ihn unter stvrly@gmail.com.