Windows 7 出色的安全性

项目
08/17/2016

Windows 7

Windows 7 出色的安全性

Steve Riley

概览：

更容易 DirectAccess 公司网访问
加密与新的 BitLocker 甚至可移动驱动器
管理对 AppLocker 应用程序的访问权限
防止破坏和欺骗 DNSSEC 与 DNS

内容

DirectAccess
BitLocker 和 BitLocker To Go
AppLocker
DNSSEC
更多的改进
这是您希望的 Windows

为最后的润色放这篇文章，将到达我们中的许多已被等待最后一天：发布到生产 Windows 7。我所用的一个很好大量使用我生产的操作系统在测试和发布候选的时间，并有喜欢，更改和改进的 Windows 7 提供服务。现在，我希望使您了解一些我最喜欢的安全功能。

DirectAccess

如果您像我已经满足每个其他 geek 工作不会结束时您走出您的办公室的门。为什么您认为大多数的雇主提供膝上式计算机而不是桌面？因为他们知道您将使用免费的！这是他们如何收回投资在更昂贵的硬件。设置某些 VPN 服务器，发布有关如何访问该的公司网络的说明，您将获得整个很多更多的工作效率超出您的员工。

或者，考虑这样转。 VPN 几乎总是需要额外的步骤上在公司网有时非常复杂的步骤。您需要执行很容易丢失硬件令牌周围。始终将拖动 pokey 登录脚本。 Internet 通信获取返回到您的公司网，降低响应。如果它是一段自您上次连接后的，您的计算机可能会收到几兆字节的软件更新。因此，如果您必须只有一个次要令人讨厌就 — 说完成开支报告，您可能会将其关闭。如果没有消除独立的 VPN 连接步骤，因此您可以使用您的计算机在家里或在机场休息室完全像在工作中，也可以，将为很酷。

Windows Server 2008 R2，一起 DirectAccess Windows 7 中的提供了完全的体验。从用户的角度来看，evaporates 差，公司网和 Internet。渚嬪的方式  假设当您在办公室中，定位到 http://expenses 完成开支报告。您希望与您的网络上启用 DirectAccess，执行完全相同的过程可以查找连接到 Internet 的任意位置：您的浏览器中，只需输入 http://expenses。没有额外登录不 re-training，解决 balky VPN 客户端软件没有技术支持电话的步骤。 DirectAccess 允许计算机连接到您的公司网和 Internet，在同一时间。这将删除您和让您对您的数据甚至更容易对应用程序之间，矛盾。

有两种通信协议，这可能：IPsec 和 IPv6。 IPsec 封装式安全措施负载 (ESP) 传输模式安全关联（不隧道，尽管的短语"IPsec 隧道"继续滥用）身份验证并加密客户端和目标服务器之间通信。双向身份验证降低人攻击：通过颁发机构信任的双方，使用 X.509 证书颁发机构颁发客户端进行身份验证到服务器并向客户端的服务器身份验证。高级加密标准 (AES) 加密提供保密性，以便任何截取通信的过程中没有意义，窃听者。

传统的 VPN 太；使用 IPsec，它是 IPv6 DirectAccess 文章，令人激动的。消除 VPN 要求比 IPv4，使用其大量的网络地址转换器和重叠的地址范围，是能够更好的端到端的连接。 IPv6 配置每个客户端上的一个全局唯一的、可路由的地址和隔离公司网通信，从常规的 Internet 通信。 IPv6 是必需的 DirectAccess 的因此您的公司网必须支持 IPv6。这不是为您可能认为 daunting 任务：您的服务器的许多可能已有的或可被配置为运行 IPv6，并在过去一半的十年中所做的任何网络齿轮支持 IPv6。站点内自动隧道寻址协议 (ISATAP) 和网络地址转换/协议转换 (NAT PT) 在您的公司网的边缘协议转换技术可以帮助。

客户端配置为具有 DirectAccess 总是连接您的公司网，但可能不是通过本机 IPv6 ；客户端是可能的 IPv4 NAT 后面，Internet 本身仍主要 IPv4。 Windows 7 支持 6to4 和 Teredo 转换封装在 IPv4 中的 IPv6 通信的技术。并在这些协议不工作时，极少数情况下，DirectAccess 回到 IP HTTPS，IPv4 通过封装 IPv6 HTTPS 内的一个新协议。（是，将 HTTP 到最终的通用绕过协议方案已达到其 nadir ！）

应用程序不需要任何修改或通过 DirectAccess 工作的特殊处理。为组策略分配客户端名称解析策略表（NRPT）包含两位的信息：公司网的内部 DNS 后缀和解析命名空间的 IPv6 DNS 服务器的地址（参见图 1）。假设您的内部 DNS 后缀是 inside.example.com IPv6 DNS 服务器的地址并且 FEDC:BA98:7654:3210::1。浏览 http://expenses 时您的计算机的冲突解决程序附加 DNS 后缀，并尝试解决 expenses.inside.example.com。因为此匹配中该 NRPT DNS 后缀项，则冲突解决程序请求发送到 FEDC:BA98:7654:3210::1。支出服务器；的 IPv6 地址的 DNS 答复DirectAccess 遵循所必要的步骤（本机，转换，IP 的 HTTPS) 连接到服务器。如果您的计算机的加入域的并且服务器要求身份验证，您使用登录的域凭据将对进行身份验证，服务器不提示的情况下。假设您要导航到一个公共 Internet 网站；的另一个浏览器窗口中DNS 后缀不在计算机的 NRPT，冲突解决程序将执行普通 IPv4 查找（使用网络接口上配置 DNS 服务器），并连接到网站完全独立于 DirectAccess。

图 DirectAccess 1 设置名称解析策略。（单击图像可查看大图）

花一点时间，并认为有关始终启用的公司网访问的含义。确保，用户，它而不是 addictive 的并使它（几乎） painless 完成的开支报告。但是，我知道我的访问群体：管理员和安全 dudes。可能意味着什么让所有客户端连接到该公司网所有时间，无论它们在哪里？我将提到了几个：

使用组策略配置维护
连续更新的 Windows 服务器更新服务 (WSUS) 或系统中心配置管理器 (SCCM)
运行状况检查和与 NAP 的补救措施
与 Windows 防火墙和 Forefront 客户端安全的其他保护集中管理的反恶意软件

听起来很像您 corpnet 右上做什么？完全。 DirectAccess 扩展到整个 Internet 的您的公司网时使您可以保持您的计算机，管理完善和安全。就认为将最令人兴奋的位的网络技术已在较长的时间和明确使升级引人注目的查看。

BitLocker 和 BitLocker To Go

正常 … 我要做什么作者不应该操作，并要求您暂时中断我。看，顺序的数据违反隐私权限氦 (privacyrights.org/ar/ChronDataBreaches.htm）时。它启动跟踪 2005 年 1 月中的漏洞。在撰写本文的已泄漏一个 breathtaking 263，000，000 的记录。 Ponemon 协会 LLC PGP 公司进行进行研究，"的第四年美国成本的数据破坏行为研究：基准研究的公司"，该报告 $ 202 每条记录的平均恢复成本。让我们来做一个小数学计算应我们吗？

263,000,000 记录 × $ 202/记录

$53,000,000,000

组织已在五个和半年丢失一个 astonishing 53 亿美元! 到 surmise 放错了位置和被盗的便携式计算机的 costliest 的暴露之间公平的大多数公司面。则以替换设备的成本微不足道，暴露程度的大多数是直接或间接与数据恢复/重建，罚款、名誉损失和丢失的业务相关的成本。在许多情况下将有一个简单的缓解措施消除暴露程度：加密可移植的数据。

Microsoft Windows Vista，以防止离线攻击鎿嶄綔绯荤粺加密将从中运行 Windows 的驱动器卷添加 BitLocker。当存在一个受信任的平台模块 (TPM) 硬件组件时 BitLocker 还提供了完整性的启动过程通过验证方式以及每个步骤，并暂停如果任何部分出现故障的哈希检查。客户，当然，始终有自己的想法，在测试期间它们快速实现 BitLocker 还可以保护他们的数据。 Microsoft 中添加几个更多组策略对象 (GPO) 和用户界面配置 BitLocker，但它保持很困难（尤其是在已生成的计算机）上部署，而系统卷上只支持。

Windows Vista SP1 扩展 BitLocker 的支持所有允许将通过组合中的所有三种方法来保护加密密钥的硬盘卷（TPM，USB 启动密钥和用户 PIN），并包括一个工具准备现有安装所需的其他驱动器的卷。

Windows 7 简化了 BitLocker 假定它一个的功能，您需要使用由安装程序。在安装过程中自动创建必要的启动分区。启用 BitLocker 很简单：右键单击驱动器的卷然后选择 BitLocker 从菜单中（见图 2）。即使您的计算机缺少第二个分区，准备过程将重新分区您的驱动器。密钥管理和数据恢复是更容易现在，支持的一个 IT 管理数据恢复代理 (DRA)。 DRA 提供所有加密卷的管理员访问的其他密钥保护器。使用 DRA 是可选，但我强烈催促您创建一个。将其放在智能卡保持卡在该计算机房间中的一个安全的锁定和是非常明智地与您共享锁组合。

图 2 启用 BitLocker 在可移动驱动器上。（单击图像可查看大图）

以前，BitLocker 控制面板小程序、 bde.wsf 管理的命令行脚本和 Windows 管理规范 (WMI) 提供程序提供配置选项的非匹配的集。在 Windows 7，BitLocker 的选项都在所有三种方法中可用。对于非操作系统卷，您可以控制自动解除锁定并需要智能卡身份验证（请参见图 3）。

图 3 使用密码取消锁定受 BitLocker 保护的驱动器。（单击图像可查看大图）

数据泄露依然是对于许多组织的一个主要头疼。该方便的小魔鬼，在的 USB 驱动器是一个主要原因（但当然不唯一的；数据可以导出本身从组织中以各种方式）。限制使用的 USB 驱动器或完全禁用 USB 端口是一个非-初学者的大多数公司）方便地有时是一个需要。

BitLocker 是 Windows 7 的应答，此问题：右键单击一个驱动器、选择 BitLocker、创建一个的密码和定位 BitLocker 加密而不考虑它的格式甚至在 FAT 格式的驱动器。这主要地址用户丢失其驱动器; 的风险丢失的驱动器始终似乎包含机密的重要信息，并由盗窃者没有内容执行的操作比发布您的机密 WikiLeaks 更好的 purloined。

但 BitLocker 搜索多个 USB 保护器。保护任何类型的可移动驱动器和其工作独立于操作系统的 BitLocker，所以"常规"BitLocker 不是必需的。管理员可以配置要强制所有可移动驱动器是只读，除非它们第一次使用加密 BitLocker，驱动器成为可写的策略。另一个策略可以要求身份验证（可选长度和复杂性的密码、智能卡或域）来访问受保护的设备。和 DRA 行为可移动设备上就像在硬盘上的卷上。

用户可以读取，但不是写在 Windows Vista 和 Windows XP 上的将受保护的设备。 BitLocker 覆盖"发现卷"在的物理驱动器的包含 BitLocker 定位读取器和安装说明进行操作。读取器也是可用的下载的。仅受密码保护卷（不是智能卡或域）是与读取器，使用的图 4 所示。

图 4 的 BitLocker 到读者允许以前版本的 Windows 中的只读访问权限。（单击图像可查看大图）

AppLocker

您曾经过软件限制策略 (SRP) 吗？或者甚至 heard SRP 的？因为 Windows 2000 可用 SRP 允许管理员控制一台计算机中运行允许默认的还是默认拒绝状态。

默认的拒绝是首选，当然：您定义的允许运行的软件的集合，不在列表中的任何内容被拒绝。 SRP 是停止传播恶意软件的一个非常不错的方法。它还的相当不错方法来创建您自己的工作的整个很多：每个.EXE 和.DLL 组成应用程序必须包含的路径和哈希规则，并且每次更新应用程序时，必须被替换哈希规则。发现和跟踪组织使用的每个应用程序是不将指出需要确保没有导致通常大量的 SRP 规则集的任何意外故障测试一令人生畏项挑战。 SRP 永远不会收到多注意，因为它是人感不快配置和为实际太不灵活。

仍然，应用程序列表存在任何安全设计的重要元素。提高 AppLocker 了 SRP 上添加更多的灵活性，您可以创建规则。一起在通常的允许和拒绝规则，您可以创建异常规则。这使一个默认的拒绝方案特别容易定义和管理。常见的示例是："允许所有内容中除内置游戏运行 %WINDIR %。我认为这而不是有点傻，如防止用户更改其桌面的背景为紫色，用户有用？有点规划的与可以撰写不错的已知良好的应用程序使用与异常允许规则的管理设置的列表。

另一种规则类型指定允许的发布者，如图 5 的中所示。当用户运行的应用程序时, AppLocker 进行比较以您定义的应用程序的发行者的数字签名允许列表并检查您指定其他条件。这要求最少的规则比 SRP 的哈希检查：而不是较长的应用程序中的每个可执行文件的哈希规则集合，AppLocker 需要只有单个的发布者规则。发布规则，也无需允许应用程序更新时创建新规则。例如，这个规则："允许 Acrobat 读者的任何版本等于或高于 9.0 只有在它的由 Adobe 签名。下周 Adobe 当更新该的应用程序您可以按其出客户端而无需更新规则。版本号，一起可以创建规则，指定整个应用程序或特定文件的集合。在某些情况下 AppLocker 甚至可以创建规则自动（请参见图 6）。

图 5 创建一个 AppLocker 发布规则。（单击图像可查看大图）

图 6 AppLocker 可以自动生成某些类型的规则。（单击图像可查看大图）

SRP 的规则只应用于计算机。 AppLocker 的规则可以同样适用于用户。此功能将帮助您满足如此规则的日益非常繁重的遵从性要求："允许只有在人力资源部门执行人力资源应用程序"（但是，要更精确地，规则包括 Active Directory 安全组在人力资源中包含的员工的用户帐户）。此规则将阻止任何人都不在人力资源，包括管理员），但记住恶意管理员仍可以更改该规则。记住我的旧 axiom：如果您不信任您的管理员，，替换它们。

可能 AppLocker 提供了最大的改进是它的实际内容您可以信任。坦白地说，SRP 不非常可靠。您认为鎿嶄綔绯荤粺该策略 enforcer 但您应该是错误。在应用程序启动应用程序的父进程，不在操作系统检查 SRP。如果用户 — 是否管理或不 — 有控件在父过程的用户可以绕过 SRP ；请参阅将标记 Russinovich 的网络日志项"的绕过组策略作为一个受限用户"解释如何。下面是一个 blindingly 明显的概念：为一个实际的安全功能必须是安全功能。 AppLocker 组成一个服务和内核模式驱动程序；它的规则计算该的驱动程序，现在操作系统确实是在 enforcer。如果由于某种奇怪的原因您希望继续使用 SRP 规则，而不 AppLocker 规则，至少它们更安全：Windows 7 中 SRP API 是重新设计以跳过父进程和现有规则强制 AppLocker 服务二进制文件验证。

若要测试策略是关键。 AppLocker 的审核功能（见图 7 的）显示应用程序需要的行为方式是否启用了您的规则。它显示一个列表中的所有受影响的文件的您可以发现可能会出现在部署之前的任何问题。规则可以使.EXEs、.DLL、.MSIs 和脚本之间的区别。 AppLocker 保留统计信息的触发规则时频率非常有用，尤其是以及更改人的职责所需的新的或不同的应用程序随时间，知道。

图 7 AppLocker 已经审核模式可以在部署之前测试规则。（单击图像可查看大图）

DNSSEC

IPsec curiously，拼写与一个小的"秒，"在 DNSSEC 完全大写的。没有一个曾经说标准主体已在 epitome 的一致性。但我 digress...

一次，我是一个 DNSSEC doubter。该声明是 DNS 答复附加加密的身份验证将呈现抑制不可能的因此 thwarting 仿冒攻击的 DNS。 DNSSEC 试图回答问题"可以信任出现在名称解析查询响应答案吗？"我认为这是错误的问题。正确的问题是"可以信任，我将实际的服务器吗？"已发生此完全好感谢您的关心 SSL：实际的银行可能获取 SSL 证书的公共网站，右吗？攻击者可能您请求重定向到其站点，但他不能获得实际的银行使用验证您的浏览器的 Web 服务器的 SSL 证书。 IPSec 是类似：它依赖于身份验证的数字证书可以确保没有人可以欺骗您的目标。

仔细评估温和 prodding 的其他人 cajoling 后, 我已遇到认为 DNSSEC 到我们的防御集中的重要补充。则返回 True，SSL 和 IPsec 确认您连接到一个合法的站点 — — 虽然这是可疑的值的因为大多数用户具有"培训"忽略警告本身。他们不要，但是，阻止您被拒绝对合法网站的访问权限。抑制 DNS 可以拒绝服务攻击 (DoS)，不能使用 SSL 或 IPSec 缓解非常有效。 DNSSEC 删除条件允许这种攻击：从 DNS 服务器的答复包含的数字证书的冲突解决程序可以验证。给我的安全"功能"没有风扇启用（帐户锁定是另一个 DoS 攻击向量）的攻击，我已经更改了我看来，现在支持 DNSSEC 开头根服务器的攻击者经常尝试劫持的在 Internet 中的快速采用。

DNSSEC 提供：

原始可靠性：答复是从服务器声称来自
数据完整性：该答复未被恶意修改在传输过程中
存在经过身份验证的 denial：一个 unspoofable 目标不存在"答复

DNSSEC 功能服务器接收签名区域中的记录的查询时, 服务器返回一起答复其数字签名。冲突解决程序获取服务器的公钥，并验证答复。冲突解决程序需要使用"信任标记"来配置签名区域或其父；DNSSEC Internet 的根服务器上允许所有 DNSSEC 功能冲突解决程序有一个信任标记，"根节点位于顶部。

Windows 7 中的 DNSSEC 客户端是一个非的验证支持安全的存根冲突解决程序。它确认 DNSSEC 查询处理 DNSSEC 资源的记录，但依赖于其本地的 DNS 服务器来验证答复。冲突解决程序答复应用程序仅当才返回验证成功。客户端和其本地的 DNS 服务器之间的通信受 SSL：服务器将自己的证书出示给客户端进行验证。 DNSSEC 设置如图 8 中，中所示，NRPT 中, 配置，并应通过组策略进行填充。

图 8 DNSSEC 为 Confi guring 名称解析策略。（单击图像可查看大图）

其他重要一点：过去，公共证书颁发机构具有 abdicated 验证应用程序服务器的 X.509 证书的责任。我已阅读的实例，攻击者作为合法代表的真实的公司带来成功地获取欺骗性，但受信任的证书。因此在某些方面 SSL 可以被视为"损坏"该公用证书中缺少某些信任值。 DNSSEC 标准要求更严格的标识，并且验证之前组织可以收到将帮助您还原到联机交易记录的信任的 DNS 签名证书。

更多的改进

而了到目前为止涉及安全功能是我最喜欢，我提到提高整体"安全性"的几个更多增强功能Windows。

多个活动的防火墙配置文件我编写了过去有关的所有其"scare-ifying"的第三方防火墙伪装成只不过安全性表演的警告（请参见"浏览 Windows 防火墙"。我仍然相信这。在 Windows 防火墙是完全能够保护您的计算机。它必须只有一个限制：而定义的三个配置文件在任何时候只有一个处于活动状态。在办公室，加入域的计算机会自动使用域配置允许管理入站的通信。在您的旅馆房间里计算机使用公共配置文件，阻止所有未经请求的入站的通信。计算机保持在此配置文件时您 VPN 到您公司网使您的计算机的管理工具不可见。 Windows 7 中删除此限制：可以分别在每个物理网络或虚拟网络接口上定义公共、私有或域配置文件。

Windows 生物特征框架指纹读取器的任何位置 — — 即使便宜的便携式计算机 sport 光泽偷窃点。尽管缺少的以前版本的 Windows 中的内置支持保留未使用设备，PC 制造商仍要安装驱动程序包含已传递系统。此代码的很多较差质量导致蓝屏崩溃，其中的许多 dutifully 报告本身给 Microsoft 公平数。

Microsoft 这一知识能够了解添加到操作系统的生物特征的本机支持。现在椹卞姩绋嬪簭必须符合一个高质量级别，并且重用户有更多选项可用于对他们的计算机进行身份验证。我仍被相信一定要维护标识（公用声明）和身份验证（验证所有权的一个秘密）区分。一个指纹是 inarguably 公共的。但有一些方案中指纹登录上级：假设 teeming huffing 巨大 crates 和容器的大 burly 专家与一个仓库停靠。因此通常都需要更新一个滚动购物车中在计算机上的库存信息。您真的认为有人使用大多数在一天中的总电动机技能可以有效地切换到正常时中的正确，一种可能的四个方向将其插入到其 sliver 在时隙的 wafer-细线条智能卡所需的电动机技能吗？决不。他不能使用指纹的身份验证必须 muscle 模式切换：读取器上的一个快速偷窃登录他。（是，这是一个实际客户方案）。

Windows 生物特征框架（WBF）是一个可扩展的基础支持生物测量学身份验证。在 Windows 7 殑初始鐗堟湰支持仅指纹。 WBF 定义打算增加生物特征的硬件的可靠性和其相关的驱动程序注册软件的多个组件。当用户最初注册他或她的指纹时，生物特征的服务加密 representational 数据流一起用户的凭据，并将此 Blob 存储一个称为该隔间的数据结构。一个 GUID 作为句柄已分配了加密的密码。 crucially，服务永远不会显示直接向应用程序的用户的密码，但而公开只有该句柄。根据不是读取器的功能，指纹身份验证是可用于本地登录、登录域和 UAC 身份验证。多个 GPO 存在 WBF 的管理控制权。

这是您希望的 Windows

当我 re-imaged 我与第一个测试版生成的计算机上一年时，我永远不会查找回。 Windows 7 认为在每个考虑和总体拟合 snappier，令人印象深刻完成。访问、用户和数据保护其 multifaceted 方法的基础结构的一个值得除了。您旅途战士明确将感谢您和 — 谁知道，也许您最后将得到我们了到目前为止只 dreamed 的电话："嗨，我只被想要告诉您所有的工作。 groovy ！"

Steve Riley 是 evangelist 和 strategist 云世界上最重要的提供程序的一个计算的。他专门负责安全性、可用性、可靠性和集成的企业要求。他可以在 stvrly@gmail.com 来访问。

内容

其他资源