• Artículo

Windows 7

La fabulosa seguridad de Windows 7

Steve Riley

 

Resumen:

  • Fácil acceso de red corporativa con DirectAccess
  • Cifrar unidades extraíbles incluso con la nueva BitLocker
  • Administrar el acceso a aplicaciones con AppLocker
  • Protegerse de DNS "envenenamiento" y la suplantación con DNSSEC

Contenido

DirectAccess
BitLocker y BitLocker To Go
AppLocker
DNSSEC
Mejoras más
Esto es el deseado de Windows

Como los toques finales coloca en este artículo, llegó el día que muchos de nosotros han sido esperando finalmente: Se publicó Windows 7 a fabricación. He dedicado gran cantidad de tiempo con el candidato beta y release como mi sistema operativo de producción y haya disfrutado de las ofertas de Windows 7 cambios y mejoras. Ahora me gustaría realizar en un paseo por algunos de mis características favoritas de seguridad.

DirectAccess

Si es como cada otro geek ha cumplido, trabajo no termina cuando el recorrido de fuera de la puerta de su oficina. ¿Por qué cree que la mayoría de las empresas proporcionan equipos portátiles en lugar de escritorios? Porque saben que va a trabajar de forma gratuita! Eso cómo recuperar la inversión en hardware más costoso. Configurar VPN algunos servidores, publicar instrucciones sobre cómo tener acceso a la red corporativa y obtendrá mucho más productividad fuera de su personal.

O, por lo que el pensamiento queda. VPN casi siempre requieren pasos adicionales para llegar a la red corporativa, a veces muy complicados pasos. Tiene que realizar alrededor de testigos de hardware perder. Secuencias de comandos de inicio de sesión Pokey arrastre en siempre. Tráfico de Internet obtiene backhauled a través de su red corporativa, ralentizar la capacidad de respuesta. Si ha sido un tiempo desde la última conexión, el equipo podría recibir varios megabytes de actualizaciones de software. Es así si tiene sólo una cosa molesta menor que, diga completar un informe de gastos, probablemente podrá colocarlo. Si sólo hay una manera de eliminar los pasos de conexión de VPN independientes, por lo que podría utilizar el equipo en casa o en la sala de espera aeropuerto exactamente como hace en el trabajo, también, que sería interesante.

Junto con Windows Server 2008 R2, DirectAccess en Windows 7 proporciona exactamente esa experiencia. Desde la perspectiva de un usuario, la diferencia entre la red corporativa y Internet evapora. Por ejemplo, suponga que cuando esté en la oficina vaya a http://expenses para completar un informe de gastos. Con DirectAccess habilitado en la red, que siga el procedimiento mismo exacto en cualquier lugar puede encontrar una conexión a Internet: simplemente escriba http://expenses en su explorador. Inicio de sesión sin adicional pasos, no re-training, no hay llamadas de asistencia para solucionar problemas de software de cliente VPN balky. DirectAccess le permite conectar equipos a la red corporativa e Internet al mismo tiempo. Esto quita la fricción entre usted y sus aplicaciones, lo incluso facilita a los datos.

Hay dos protocolos de comunicaciones que esto sea posible: IPsec e IPv6. Una asociación de seguridad de modo de transporte carga de seguridad encapsuladora (ESP) de IPsec (no un túnel, a pesar del mal uso continuado de la frase "Túnel IPsec") autentica y cifra las comunicaciones entre el cliente y el servidor de destino. Autenticación bidireccional mitiga los ataques de intermediario: mediante certificados X.509 emitido emitidos por entidades emisoras que confía en ambos lados, el cliente autentica al servidor, y el servidor autentica al cliente. Avanzada AES (estándar de cifrado) cifrado ofrece confidencialidad para que nada interceptados durante las comunicaciones es ininteligible para el intruso.

VPN tradicionales utilizan IPsec, demasiado;es la adición de IPv6 que hace DirectAccess novela y apasionante. Eliminando la VPN requiere mejor conectividad de extremo a extremo que lo que IPv4, con su número inimaginable de traductores de direcciones de red e intervalos de direcciones superpuestos es capaz de. IPv6 se configura una dirección global única, enrutable en cada cliente y se aísla el tráfico de red corporativa desde tráfico normal de Internet. IPv6 se requiere para DirectAccess, de modo que su red corporativa debe admitir IPv6. Esto no es tan desalentadora una tarea como se podría pensar: muchos de los servidores probablemente ya tienen o pueden configurarse para ejecutarse IPv6 y cualquier red engranaje realizado en la última década mitad admite IPv6. Pueden ayudarle las tecnologías de transición de protocolo, como dentro de un sitio automático túnel direccionamiento Protocolo (ISATAP) y traducción de traducción y protocolo del direcciones de red (NAT-PT) en el borde de la red corporativa.

Un cliente configurado con DirectAccess siempre está conectado a su red corporativa, pero probablemente no sea a través de IPv6 nativo;el cliente es probable que tras un NAT IPv4 y Internet propio es todavía principalmente IPv4. Windows 7 admite 6to4 y Teredo: transición de las tecnologías que encapsulan el tráfico de IPv6 dentro de IPv4. Y en la ocasión poco habitual cuando ninguno de estos protocolos funciona, DirectAccess retrocede a HTTPS de IP, un nuevo protocolo que encapsula IPv6 dentro de HTTPS a través de IPv4. (Sí, la combinación de convertir HTTP en el protocolo de omisión universal final ha alcanzado su nadir!)

Las aplicaciones no necesitan ninguna modificación o un tratamiento especial para trabajar sobre DirectAccess. Directiva de grupo asigna a los clientes de una tabla de directiva de resolución de nombres (NRPT) que contiene dos bits de información: sufijo DNS interno de la red del corporativa y las direcciones de servidores DNS de IPv6 resolver el espacio de nombres (consulte de figura 1). Supongamos que es el sufijo DNS interno es FEDC:BA98:7654:3210::1 inside.example.com y dirección del servidor de su DNS de IPv6. Cuando explora http://expenses, resolución de su equipo anexa el sufijo DNS e intenta resolver expenses.inside.example.com. Dado que esto coincide con la entrada de sufijo DNS en el NRPT, la resolución envía la solicitud a FEDC:BA98:7654:3210::1. Respuestas DNS con la dirección IPv6 del servidor gastos;DirectAccess sigue los pasos necesarios (nativo, transición, IP HTTPS) para conectarse al servidor. Si el equipo está unido al dominio y el servidor requiere autenticación, inicia sesión con las credenciales de dominio le autenticará en el servidor sin preguntar. Supongamos que en otra ventana del explorador que está explorando un sitio público de Internet;debido a que el sufijo DNS no está en NRPT del equipo, la resolución realiza una búsqueda normal de IPv4 (mediante los servidores DNS configurados en la interfaz de red) y conecta con el sitio completamente independiente de DirectAccess.

figure1.gif

Figura 1 directiva de resolución de nombre de configuración para DirectAccess. (Haga clic en la imagen para aumentarla)

Tómese un momento y piensa las implicaciones de acceso de la red corporativa. Por supuesto, como un usuario, es bastante adictiva y resulta sencillo (prácticamente) para completar ese informe de gastos. Sin embargo, sé que mi audiencia: los administradores y dudes de seguridad. ¿Qué podría significa que todos los clientes conectados a la red corporativa todo el tiempo, independientemente de donde se encuentren? Menciono a unos cuantos:

  • Mantenimiento de la configuración con directiva de grupo
  • Actualización continua con Server Update Services (WSUS) o de System Center Configuration Manager (SCCM)
  • Comprobación del estado y de corrección con NAP
  • Protección con el firewall de Windows y Forefront Client Security o los demás administra centralmente antimalware

¿Le suena mucho que hacer en su red corporativa, derecho? Exactamente. DirectAccess extiende su red corporativa a toda la Internet al habilitar desea mantener los equipos bien administrados y segura. Posiblemente es el bit más interesante de tecnología de red que he visto en un tiempo largo y definitivamente hace actualizaciones atractivas.

BitLocker y BitLocker To Go

Alright … voy a hacer lo autores no se supone que nunca deben hacer y pedirle que me interrumpir brevemente. Eche un vistazo a cronología de infracciones de datos en la administración de derechos de privacidad (privacyrights.org/ar/ChronDataBreaches.htm). Que inició el seguimiento de las infracciones en enero de 2005. Como de escribir este documento, han pérdidas un espectaculares millones de 263 registros. El Instituto Ponemon LLC y PGP corp. lleva a cabo un estudio "el cuarto EE.UU. anualCosto de estudio de infracción de datos: Comparativa de estudio de empresas ", que informa de un costo de recuperación promedio de $ 202 por registro. ¿Vamos a hacer un poco matemáticas, se debe?

263,000,000 registros × 202 $ / registro

$53,000,000,000

Las organizaciones han perdido un asombroso $ 53 millones de años de cinco y un medio! Es justo deducir que están mal y robados de equipos portátiles entre las exposiciones costliest cara la mayoría de empresas. El costo para reemplazar el equipo es insignificante, la mayor parte de la exposición es directas o indirectas costes relacionados con datos de recuperación y reconstrucción, multas reputación daños y pérdida de negocio. En muchos casos una mitigación simple podría haber eliminado la exposición: cifrado de datos portátiles.

Microsoft agregó BitLocker a Windows Vista para proteger el sistema operativo contra ataques sin conexión mediante el cifrado el volumen de unidad desde la que se ejecuta Windows. Cuando un componente de hardware de módulo de plataforma segura (TPM) está presente, BitLocker también proporciona integridad para el proceso de inicio por validar cada paso del camino y detener cualquier parte que falle una comprobación de hash. Los clientes, por supuesto, siempre tienen sus propias ideas y durante el periodo beta rápidamente producidas que BitLocker también puede proteger sus datos. Microsoft había agregado unos objetos de directiva de grupo (GPO) más y una interfaz de usuario para configurar BitLocker, pero permanece un reto implementar (especialmente en los equipos ya creados) y es compatible sólo con el volumen del sistema.

Windows Vista SP1 ampliado compatibilidad con de BitLocker todos los volúmenes de disco duro, permitida claves de cifrado para estar protegidos por los tres métodos en combinación (TPM, USB clave de inicio y NIP de usuario) y se incluye una herramienta para preparar las instalaciones existentes con el volumen de unidad adicionales necesarios.

Windows 7 simplifica BitLocker, suponiendo que es una característica que le desea utilizar la instalación. El proceso de instalación crea automáticamente la partición de arranque necesario. Habilitación de BitLocker es fácil: Haga clic con el botón secundario en el volumen de unidad y seleccione la opción de BitLocker en el menú (consulte de figura 2). Incluso si el equipo carece de la segunda partición, el proceso de preparación se crear particiones de la unidad. Clave administración y recuperación de datos es más fácil ahora, con compatibilidad para un agente de recuperación de datos administrado de TI (DRA). El DRA es un protector de clave adicional que proporciona acceso de administrador a todos los volúmenes cifrados. Utilizando el DRA es opcional pero establecimiento inflexible de tipos recomendamos crear uno. Colóquelo en una tarjeta inteligente, mantener la tarjeta bloqueado en un lugar seguro en la sala de equipo y ser muy sensato con quien comparte la combinación de bloqueo.

figure2.gif

Figura 2 habilitar BitLocker en una unidad extraíble. (Haga clic en la imagen para aumentarla)

Anteriormente, el subprograma del panel de control de BitLocker, el script de la línea de comandos manage-bde.wsf y el proveedor de Instrumental de administración de Windows (WMI) ofrecen no coincidencia de conjuntos de opciones de configuración. En Windows 7, todas las opciones de BitLocker de están disponibles en los tres métodos. Para volúmenes de OS no podrá controlar el desbloqueo automático y requiere autenticación de tarjeta inteligente (consulte de figura 3).

figure3.gif

Figura 3 con una contraseña para desbloquear una unidad protegido mediante BitLocker. (Haga clic en la imagen para aumentarla)

Pérdida de datos sigue siendo un dolor de cabeza importante para muchas organizaciones. Ese útil diablo poco, la unidad USB, es una causa principal (pero ciertamente no la única;pueden exportación de datos propio de la organización en multitud de formas). Restringir el uso de USB a unidades o deshabilitar completamente los puertos USB es que no sea el inicio para la mayoría de las compañías, la comodidad a veces es necesario.

BitLocker ir es la respuesta de Windows 7 a este problema: Haga clic con el botón secundario en una unidad, seleccione BitLocker, crear una contraseña y BitLocker ir cifra la unidad independientemente de su formato, incluso el formato FAT. Esto soluciona principalmente el riesgo de perder sus unidades; de personasunidades pierden siempre parecen contener información confidencial fundamental y purloined por ladrones con mucho mejor hacer sus secretos que posterior a WikiLeaks nada.

Pero BitLocker ir es algo más que un protector de USB. Protege cualquier tipo de unidad extraíble y funciona independientemente de que BitLocker del sistema operativo, por lo tanto, "normal"BitLocker no es necesario. Los administradores pueden configurar una directiva para forzar todas las unidades extraíbles para ser de sólo lectura a menos que está primero cifrados con BitLocker para ir tras el cual las unidades se convierten en modificables. Otra directiva puede requerir autenticación (seleccionable para la longitud y complejidad contraseña, tarjeta inteligente o dominio) tener acceso a un dispositivo protegido. Y comportarse de DRA en dispositivos extraíbles como en volúmenes de disco duro.

Los usuarios pueden leer desde, pero no escribir en dispositivos protegidos en Windows Vista y Windows XP. BitLocker ir superposiciones "descubrimiento volumen"en la unidad física que contiene las instrucciones de BitLocker para ir del lector e instalación. El lector también está disponible para descarga. Sólo protegidas con contraseña volúmenes (no tarjeta inteligente o dominio) son utilizables con el lector, como se muestra en de figura 4.

figure4.gif

de la figura 4 el BitLocker para lector ir permite el acceso de sólo lectura de versiones anteriores de Windows. (Haga clic en la imagen para aumentarla)

AppLocker

¿Ha trabajado nunca con directivas de restricción de software (SRP)? ¿O incluso escuchado de SRP? Disponible desde Windows 2000, SRP permite a los administradores controlar si un equipo funciona en permiten predeterminada o estado de denegar predeterminada.

Denegar predeterminada es preferible, por supuesto: definir una colección de software que permite la ejecución, algo no de la lista denegado. SRP es una forma bastante decente para detener la propagación de software malintencionado. También es una manera bastante decente para crear mucho trabajo para usted: las reglas de ruta de acceso y hash deben incluir cada .exe y .dll que componen una aplicación y las reglas hash deben reemplazarse cuando se actualiza una aplicación. Descubrir y seguimiento cada aplicación que utiliza una organización es un desafío desalentadora, no a mencionar las pruebas necesarias para garantizar que el conjunto normalmente enorme de las reglas SRP no causar cualquier error de funcionamiento involuntaria. SRP nunca recibido mucha atención porque era hostiles para configurar y rígida resultar práctico.

Lista de la aplicación permanece un elemento importante de cualquier diseño de seguridad. AppLocker mejora SRP al agregar más flexibilidad a las reglas que se pueden crear. Junto con el habitual permite y denegar reglas, puede crear reglas de excepción. Esto hace que una postura mucho más fácil definir y administrar de denegar predeterminada. El ejemplo común es: "permitir todo en % WINDIR % para ejecutar excepto los juegos integrados." ¿creo que esto en su lugar una tontería, como impedir que personas cambiar su fondo del escritorio a púrpura, a quién le importa? Con un poco de planificación, se puede componer una lista decente de aplicaciones buena conocidas mediante un conjunto administrable de las reglas Permitir con la excepción.

Otro tipo de regla especifica permitidos editores, como se muestra en figura 5. Cuando un usuario ejecuta una aplicación, AppLocker compara la firma digital del Editor de la aplicación para su definido de lista de admitidos y comprueba otras condiciones que especifique. Esto requiere mucho menos reglas de comprobación de hash del SRP: en lugar de una colección larga de las reglas de hash para cada archivo ejecutable de la aplicación, AppLocker necesita sólo la regla sola editorial. Las reglas de Publisher eliminan también la necesidad de crear nuevas reglas cuando se actualiza una aplicación permitida. Por ejemplo, esta regla: "permitir que cualquier versión de Acrobat Reader igual a o mayor que 9.0 y sólo si está firmado por Adobe." Próxima semana, cuando Adobe actualiza la aplicación, puede insertar se a los clientes sin tener que actualizar la regla. Junto con números de versión, puede crear reglas que especifican aplicaciones completas o determinados archivos o colecciones de archivos. En algunos casos AppLocker puede incluso crear reglas automáticamente (consulte de figura 6).

figure5.gif

Figura 5 crear una regla de publicación AppLocker. (Haga clic en la imagen para aumentarla)

figure6.gif

Figura 6 AppLocker puede generar automáticamente determinados tipos de reglas. (Haga clic en la imagen para aumentarla)

Reglas del SRP se aplican sólo a equipos. Las reglas del AppLocker pueden aplicar también a los usuarios. Esta característica le ayuda a satisfacer requisitos cada vez más pesada de cumplimiento, como esta regla: "Permitir sólo los del departamento de recursos humanos para ejecutar aplicaciones de recursos humanos"(sin embargo, para ser más precisos, la regla incluye grupos de seguridad de Active Directory que contiene cuentas de usuario de empleados en recursos humanos). Esta regla cualquiera bloques no en recursos humanos, incluidos los administradores, pero recuerde que los administradores malintencionados todavía pueden cambiar la regla. Recordar mi axioma antiguo: Si no confía en los administradores, reemplácelos.

Probablemente la mayor mejora que AppLocker ofrece es que es realmente algo que puede confiar. Francamente, SRP no era muy eficaz. Se debería considerar el sistema operativo sería el ejecutor de directiva, pero podría ser incorrecto. Durante el inicio de la aplicación proceso primario de la aplicación, no, el sistema operativo, comprueba el SRP. Si el usuario, si administración o no, tenía control del proceso principal, el usuario podría eludir SRP;Consulte entrada de blog de Mark Russinovich "de burlar grupo directiva como un Limited User"Explica cómo. Ésta es una noción blindingly obvia: para que sea una característica de seguridad real, la característica tiene que ser segura. AppLocker consta de un servicio y un controlador en modo núcleo;sus reglas se evalúan en el controlador lo ahora el sistema operativo es realmente el ejecutor. Si por algún extraño motivo deseara seguir utilizando las reglas SRP en lugar de las reglas de AppLocker, al menos son más seguras: en Windows 7 las API de SRP son rediseñadas para omitir principal procesos y cumplimiento de la regla de mano y comprobación de archivo binario al servicio AppLocker.

La capacidad para probar directivas es fundamental. Función de auditoría del AppLocker (consulte figura 7) muestra cómo se comportaría aplicaciones si se han habilitado las reglas. Muestra una lista de todos los archivos afectados desde el que puede detectar los problemas que pueden producirse antes de la implementación. Reglas para hacer distinciones entre .exe, .dll, .MSIs y secuencias de comandos. AppLocker mantiene estadísticas de con qué frecuencia se desencadena una regla, que es útiles saber a lo largo del tiempo, especialmente mientras cambian de responsabilidades de personas y necesitan aplicaciones nuevas o diferentes.

figure7.gif

Modo de auditoría figura 7 AppLocker ’s permite probar las reglas antes de implementarlas. (Haga clic en la imagen para aumentarla)

DNSSEC

Curiosamente, IPsec está escrito con una pequeña "seg"mientras DNSSEC completamente está en mayúsculas. Nunca nadie dijo cuerpos de los estándares eran epitome de coherencia. Pero digress …

A la vez estaba un doubter DNSSEC. La notificación es que adjuntar autenticación criptográfico a las respuestas DNS procesa contaminación ataques de suplantación de identidad imposible, por lo tanto thwarting de DNS. DNSSEC intenta contestar la pregunta "Puede confiar la respuesta que aparece en respuesta a mi consulta de resolución de nombre" Cree que esto era la pregunta equivocada. La pregunta derecha era "Puede Confío que voy a servidor real?" SSL ya tardó ocupa de este bastante bueno, agradecimiento: ¿sólo el banco real puede obtener un certificado SSL para su sitio Web público, derecho? Un atacante podía redirigir la solicitud a su sitio pero no puede obtener el certificado SSL el banco real que se utiliza para autenticar su servidor Web al explorador. IPsec es similar: su dependencia de certificados digitales para la autenticación asegura que nadie puede suplantar a su destino.

Después de evaluar cuidadosamente el prodding Natura y cajoling de otros, ha llegado a creer que DNSSEC es una adición importante a nuestro arsenal defensiva. Es True, SSL y IPsec confirmar la estás conectado a un sitio legítimo, aunque se trata del valor cuestionable, la mayoría de usuarios ha "preparado"Sí para omitir las advertencias. No, sin embargo, impide que se deniega el acceso a un sitio legítimo. Envenenamiento de DNS puede ser una muy eficaz de denegación de ataques de servicio (DoS), no pueden reducirse con SSL o IPsec. DNSSEC quita las condiciones que permite a estos ataques: las respuestas de los servidores DNS incluyen firmas digitales, pueden validar que las resoluciones. Dado no estoy ventilador de seguridad "características"que permiten a los ataques (bloqueo de cuenta es otro ataque de DoS), ha cambiado de opinión y ahora favorecer la rápida adopción de DNSSEC a través de Internet, empezando por los servidores raíz que los atacantes intentan secuestrar con frecuencia.

DNSSEC proporciona:

  • Autenticidad de origen: la respuesta es desde el servidor que dice proceder
  • Integridad de los datos: la respuesta no se ha modificado malintencionadamente en tránsito
  • Autenticado denegación de existencia: un unspoofable "destino no existe"respuesta

Cuando un servidor compatible con DNSSEC recibe una consulta para un registro en una zona firmada, el servidor devuelve sus firmas digitales junto con la respuesta. La resolución, obtiene la clave pública del servidor y valida la respuesta. La resolución debe configurarse con "un delimitador de confianza"para la zona firmada o su elemento primario;DNSSEC en servidores de raíz de Internet permiten todo resoluciones compatibles con DNSSEC con un delimitador de confianza "raíz en la parte superior."

El cliente DNSSEC en Windows 7 es una no validación preparada para seguridad de código auxiliar de resolución. Confirma las consultas DNSSEC y procesa registros de recursos DNSSEC, pero depende de su servidor DNS local para validar las respuestas. La resolución devuelve la respuesta a la aplicación sólo si la validación se realizó correctamente. Las comunicaciones entre el cliente y su servidor DNS local están protegidas por SSL: el servidor presenta su propio certificado al cliente para la validación. Configuración DNSSEC se configura en NRPT, como se muestra en de figura 8 y debe rellenarse a través de la directiva de grupo.

figure8.gif

Figura 8 directiva de resolución de nombre de Actuali guring para DNSSEC. (Haga clic en la imagen para aumentarla)

Un otro punto importante: Históricamente, entidades emisoras de certificados públicas han abdicated su responsabilidad comprobar aplicaciones para los certificados de servidor x.509. He leído de instancias donde los atacantes que suponen como legítimos representantes de compañías reales y obtuvieron correctamente los certificados de confianza pero fraudulentos. Por lo tanto, en algunos aspectos SSL podría considerarse "roto"en el que los certificados pública falta algún valor de confianza. Los estándares DNSSEC requieren mucho más estricta de identificación y comprobación antes de una organización puede recibir certificados de firmas de DNS, que le ayudará a restaurar confianza a las transacciones en línea.

Mejoras más

Aunque las capacidades de seguridad que he tratado hasta ahora son mi favorito, debo mencionar unos cuantos más mejoras que mejoran la "creación de aplicaciones seguras" generalde Windows.

Varios perfiles de Firewall Directory que he escrito en el pasado sobre firewalls de terceros, con todas su "scare-ifying"advertencias, que supone como nada más que dramatización de seguridad (consulte "explorar el Firewall de Windows". Todavía Creo que esto. El Firewall de Windows es perfectamente capaz de proteger su equipo. Tenía sólo una limitación: mientras se definen tres perfiles, sólo una es activa en cualquier momento. En la oficina, equipo unido al dominio utiliza automáticamente el perfil de dominio, que permite a las comunicaciones entrantes de administración. En la habitación de hotel, el equipo utiliza el perfil público, que bloquea todas las comunicaciones entrantes no solicitadas. El equipo permanece en este perfil al que VPN en su red corporativa, lo que hace invisible para herramientas de administración de equipo. Windows 7 quita esta limitación: Puede definir el perfil público, privado o dominio por separado en cada interfaz de red físico o virtual.

Los lectores de huella de de Framework biométricos de Windows son siempre, incluso los equipos portátiles más baratos deporte la zona de atacar brillante. Aunque la falta de compatibilidad integrada en versiones anteriores de Windows deja que los dispositivos no utilizados, los responsables de equipo entregan sistemas con los controladores instalados de todos modos. La calidad deficiente de gran parte de este código produce una gran cantidad de bloqueos de la pantalla azul, muchos de los cuales dutifully propios informan a Microsoft.

Armado con este conocimiento, Microsoft agregó compatibilidad nativa con biométrico para el sistema operativo. Ahora deben cumplir los controladores de un nivel de calidad superior y los usuarios tienen más opciones para autenticar a sus equipos. Todavía estoy convencido es importante mantener la distinción entre identidades (una declaración pública) y autenticación (validada posesión de un secreto). Una huella dactilar es inarguably pública. Pero hay algunos escenarios donde es superior inicio de sesión de huella digital: Imagine un muelle de almacén numerosísimo con grandes chicos burly huffing alrededor cajones enormes y contenedores. Cada tan a menudo necesitan actualizar información de inventario en un equipo de un carro de la sucesiva. ¿Realmente cree que alguien que utiliza la mayor parte del día de habilidades motrices brutas eficaz puede pasar a las habilidades motrices bien necesarias para insertar una tarjeta inteligente ligero wafer en su sliver de una ranura mientras lo coloca en la correcta de cuatro orientaciones posibles? Ninguna forma. Con autenticación de huellas dactilares, no tiene que cambiar los modos de músculo: un rápido atacar en el lector le registra en. (Sí, esto es un escenario de cliente real.)

Windows biométrico Framework (WBF) es una base extensible para admitir autenticación biométrica. En el lanzamiento inicial de Windows 7, se admiten sólo las huellas de dedos. WBF define varios componentes pensados para incrementar la confiabilidad del hardware biométrico sus controladores asociados y y software de inscripción. Cuando un usuario inscribe inicialmente su huellas dactilares, el servicio biométrico cifra la secuencia de datos representational junto con las credenciales del usuario y almacena este blob en una estructura de datos denominada la cámara. La contraseña cifrada se asigna un GUID, que actúa como un identificador. Crucial, el servicio nunca revela la contraseña del usuario directamente a una aplicación, pero expone en su lugar sólo el identificador. Dependiendo de las capacidades del lector, autenticación de huellas dactilares está disponible para inicio de sesión local, inicio de sesión y autenticación de UAC. Existen varios GPO para el control administrativo de WBF.

Esto es el deseado de Windows

Cuando Restaurar mi equipo con la primera compilación beta último año, nunca busqué volver. Windows 7 piensa snappier en cada relación y el ajuste global y de fin es impresionante. Con su enfoque de múltiples facetas para proteger el acceso, personas y datos, es una adición a su infraestructura merece la pena. Sus warriors carretera definitivamente gracias y, quién sabe, quizá finalmente obtendrá esa llamada de teléfono que hasta ahora ha soñado sólo de: "Hola, simplemente deseaba informarle de que todo está trabajando. Estupendo!"

Steve Riley es un evangelista y estratega de nube informática en uno de los proveedores más importantes del mundo. Está especializado en requisitos de empresa para integración, confiabilidad, disponibilidad y seguridad. Puede ponerse en stvrly@gmail.com de.