Übersetzung vorschlagen
Andere Vorschläge:

progress indicator
Keine anderen Vorschläge
TechNet Magazine > Home > Alle Ausgaben > 2009 > TechNet Magazine Oktober 2009 >  Windows 7: Einzigartige Sicherheit unter Window...
Inhalt anzeigen:  Englisch mit deutscher ÜbersetzungInhalt anzeigen: Englisch mit deutscher Übersetzung
Dies sind maschinell übersetzte Inhalte, die von den Mitgliedern der Community bearbeitet werden können. Sie können die Übersetzung verbessern, indem Sie auf den jeweils zum Satz gehörenden Link "Bearbeiten" klicken.Mithilfe des Dropdown-Steuerelements "Inhalt anzeigen" links oben auf der Seite können Sie zudem bestimmen, ob nur der englische Originaltext, nur die deutsche Übersetzung oder beides nebeneinander angezeigt werden.
Windows 7
Groovy Security in Windows 7
Steve Riley
At a Glance:
  • Easier corpnet access with DirectAccess
  • Encrypt even removable drives with the new BitLocker
  • Manage access to applications with AppLocker
  • Protect against DNS poisoning and spoofing with DNSSEC

As I put the finishing touches on this article, the day many of us have been waiting for finally arrived: Windows 7 was released to manufacturing. I spent a good deal of time using the beta and release candidate as my production operating system and have enjoyed the changes and improvements Windows 7 offers. Now I would like to take you on a tour of some of my favorite security features.

If you're like every other geek I've met, work doesn't end when you walk out the door of your office. Why do you think most employers provide laptops rather than desktops? Because they know you'll work for free! That's how they recoup the investment in more expensive hardware. Set up some VPN servers, publish instructions for how to access the corporate network, and you'll get a whole lot more productivity out of your staff.
Or so the thinking goes. VPNs almost always require extra steps to get onto the corpnet, sometimes very convoluted steps. You have to carry around easy-to-lose hardware tokens. Pokey logon scripts drag on forever. Internet traffic gets backhauled through your corpnet, slowing responsiveness. If it's been a while since your last connection, your computer might receive several megabytes of software updates. So if you have only one minor annoying thing to do—say complete an expense report—you'll probably put it off. If only there were a way to eliminate the separate VPN connection steps, so you could use your computer at home or in the airport lounge exactly as you do at work, well, that would be cool.
Along with Windows Server 2008 R2, DirectAccess in Windows 7 gives you exactly that experience. From the perspective of a user, the difference between the corpnet and the Internet evaporates. For example, suppose when you're in the office you navigate to http://expenses to complete an expense report. With DirectAccess enabled on your network, you'd follow the exact same procedure anywhere you can find an Internet connection: simply enter http://expenses in your browser. No extra logon steps, no re-training, no help-desk calls to troubleshoot balky VPN client software. DirectAccess allows you to connect computers to your corpnet and the Internet at the same time. This removes the friction between you and your applications, making it even easier for you to get to your data.
There are two communications protocols that make this possible: IPsec and IPv6. An IPsec Encapsulating Security Payload (ESP) transport mode security association (not a tunnel, despite the continued misuse of the phrase "IPsec tunnel") authenticates and encrypts the communications between the client and the destination server. Bidirectional authentication mitigates man-in-the-middle attacks: using X.509 certificates issued by authorities both sides trust, the client authenticates to the server and the server authenticates to the client. Advanced Encryption Standard (AES) encryption provides confidentiality so that anything intercepted during communications is meaningless to the eavesdropper.
Traditional VPNs use IPsec, too; it's the addition of IPv6 that makes DirectAccess novel and exciting. Eliminating the VPN requires better end-to-end connectivity than what IPv4, with its plethora of network address translators and overlapping address ranges, is capable of. IPv6 configures a globally unique, routable address on every client and segregates corpnet traffic from regular Internet traffic. IPv6 is required for DirectAccess, so your corpnet must support IPv6. This isn't as daunting a task as you might think: many of your servers probably already have or can be configured to run IPv6, and any networking gear made in the last half-decade supports IPv6. Protocol transition technologies can help, such as Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) and Network Address Translation/Protocol Translation (NAT-PT) at the edge of your corpnet.
A client configured with DirectAccess is always connected to your corpnet, but probably not over native IPv6; the client is likely behind an IPv4 NAT and the Internet itself is still mostly IPv4. Windows 7 supports 6to4 and Teredo—transition technologies that encapsulate IPv6 traffic inside IPv4. And on the rare occasion when neither of these protocols works, DirectAccess falls back to IP-HTTPS, a new protocol that encapsulates IPv6 inside HTTPS over IPv4. (Yes, the scheme to turn HTTP into the ultimate universal bypass protocol has reached its nadir!)
Applications don't need any modification or special treatment to work over DirectAccess. Group Policy assigns to clients a name resolution policy table (NRPT) containing two bits of information: the corpnet's internal DNS suffix and the addresses of IPv6 DNS servers resolving the namespace (see Figure 1). Suppose your internal DNS suffix is inside.example.com and your IPv6 DNS server's address is FEDC:BA98:7654:3210::1. When you browse to http://expenses, your computer's resolver appends the DNS suffix and attempts to resolve expenses.inside.example.com. Because this matches the DNS suffix entry in the NRPT, the resolver sends the request to FEDC:BA98:7654:3210::1. DNS replies with the IPv6 address of the expenses server; DirectAccess follows the necessary steps (native, transition, IP-HTTPS) to connect you to the server. If your computer is domain-joined and if the server requires authentication, the domain credentials you logged on with will authenticate you to the server without prompting. Suppose in another browser window you're navigating to a public Internet Web site; because the DNS suffix isn't in the computer's NRPT, the resolver performs a normal IPv4 lookup (using the DNS servers configured on the network interface) and connects to the site completely independently of DirectAccess.
Figure 1 Setting name resolution policy for DirectAccess. (Click the image for a larger view)
Take a moment and think about the implications of always-on corpnet access. Sure, as a user, it's rather addictive, and makes it (almost) painless to complete that expense report. However, I know my audience: administrators and security dudes. What could it mean to have all your clients connected to the corpnet all the time, no matter where they are? I'll mention a few:
  • Configuration maintenance with Group Policy
  • Continuous updating with Windows Server Update Services (WSUS) or System Center Configuration Manager (SCCM)
  • Health checking and remediation with NAP
  • Protection with the Windows firewall and Forefront Client Security or other centrally administered anti-malware
Sounds a lot like what you do on your corpnet, right? Exactly. DirectAccess extends your corpnet to the entire Internet while enabling you to keep your computers well-managed and secure. It's arguably the most exciting bit of network technology I've seen in a long time and definitely makes upgrades compelling.

BitLocker and BitLocker To Go
Alright … I'm going to do what authors are never supposed to do and ask you to interrupt me briefly. Take a look at the chronology of data breaches at the Privacy Rights Clearinghouse (privacyrights.org/ar/ChronDataBreaches.htm). It started tracking breaches in January 2005. As of this writing, a breathtaking 263 million records have leaked. The Ponemon Institute LLC and PGP Corp. conducted a study, "The Fourth Annual U.S. Cost of Data Breach Study: Benchmark Study of Companies", that reports an average recovery cost of $202 per record. Let's do a little math, shall we?
263,000,000 records × $202/record
Organizations have lost an astonishing $53 billion in five and a half years! It's fair to surmise that misplaced and stolen laptops are among the costliest exposures most companies face. The cost to replace equipment is negligible—most of the exposure is direct or indirect costs related to data recovery/reconstruction, fines, reputation damage and lost business. In many instances a simple mitigation would have eliminated the exposure: encrypting portable data.
Microsoft added BitLocker to Windows Vista to protect the operating system from offline attacks by encrypting the drive volume from which Windows runs. When a Trusted Platform Module (TPM) hardware component is present, BitLocker also provides integrity for the boot process by validating each step along the way and halting if any part fails a hash check. Customers, of course, always have their own ideas, and during the beta period they quickly realized BitLocker could also protect their data. Microsoft added a few more Group Policy Objects (GPOs) and a user interface for configuring BitLocker, but it remained challenging to deploy (especially on computers already built) and was supported only on the system volume.
Windows Vista SP1 extended BitLocker's support to all hard drive volumes, allowed encryption keys to be protected by all three methods in combination (TPM, USB startup key and user PIN), and included a tool to prepare existing installations with the necessary additional drive volume.
Windows 7 simplifies BitLocker setup by assuming it's a feature you'll want to use. The installation process automatically creates the necessary boot partition. Enabling BitLocker is easy: right-click the drive volume and select the BitLocker option from the menu (see Figure 2). Even if your computer lacks the second partition, the preparation process will repartition your drive. Key management and data recovery is easier now, with support for an IT-administered Data Recovery Agent (DRA). The DRA is an additional key protector that provides administrator access to all encrypted volumes. Using the DRA is optional but I strongly urge you to create one. Put it on a smart card, keep the card locked in a safe in the computer room, and be very judicious with whom you share the lock combination.
Figure 2 Enabling BitLocker on a removable drive. (Click the image for a larger view)
Previously, the BitLocker Control Panel applet, the manage-bde.wsf command-line script and the Windows Management Instrumentation (WMI) provider offered non-matching sets of configuration options. In Windows 7, all of BitLocker's options are available in all three methods. For non-OS volumes, you can control automatic unlocking and require smart-card authentication (see Figure 3).
Figure 3 Using a password to unlock a BitLocker-protected drive. (Click the image for a larger view)
Data leakage continues to be a major headache for many organizations. That handy little devil, the USB drive, is a major culprit (but certainly not the only one; data can export itself from your organization in myriad ways). Restricting the use of USB drives or completely disabling USB ports is a non-starter for most companies—the convenience is sometimes a necessity.
BitLocker To Go is Windows 7's answer to this problem: right-click a drive, select BitLocker, create a password, and BitLocker To Go encrypts the drive regardless of its format, even the FAT format. This primarily addresses the risk of people losing their drives; lost drives always seem to contain critical confidential information and are purloined by thieves with nothing better to do than post your secrets to WikiLeaks.
But BitLocker To Go is more than just a USB protector. It protects any type of removable drive and it works independently of the OS's BitLocker, so "regular" BitLocker isn't required. Administrators can configure a policy to force all removable drives to be read-only unless they're first encrypted with BitLocker To Go, after which the drives become writable. Another policy can require authentication (length- and complexity-selectable password, smart card or domain) to access a protected device. And DRAs behave on removable devices just like on hard-drive volumes.
Users can read from, but not write to, protected devices on Windows Vista and Windows XP. BitLocker To Go overlays a "discovery volume" on the physical drive, which contains the BitLocker To Go Reader and installation instructions. The reader is also available for download. Only password-protected volumes (not smart card or domain) are usable with the reader, as shown in Figure 4.
Figure 4 The BitLocker To Go Reader allows read-only access in prior versions of Windows. (Click the image for a larger view)

Have you ever worked with Software Restriction Policies (SRP)? Or even heard of SRP? Available since Windows 2000, SRP allows administrators to control whether a computer operates in default-allow or default-deny state.
Default-deny is preferred, of course: you define a collection of software allowed to run, anything not in the list is denied. SRP is a pretty decent way to stop the spread of malware. It's also a pretty decent way to create a whole lot of work for yourself: path and hash rules must include every .EXE and .DLL comprising an application, and hash rules must be replaced whenever an application is updated. Discovering and tracking every application an organization uses is a daunting challenge, not to mention the testing required to ensure that the usually massive set of SRP rules didn't cause any inadvertent malfunction. SRP never received much attention because it was unfriendly to configure and too inflexible to be practical.
Still, application listing remains an important element of any security design. AppLocker improves on SRP by adding more flexibility to the rules you can create. Along with the usual allow and deny rules, you can create exception rules. This makes a default-deny stance much easier to define and manage. The common example is this: "allow everything in %WINDIR% to run except the built-in games." I think this rather silly, like preventing people from changing their desktop background to purple—who cares? With a bit of planning, you can compose a decent list of known good applications using a manageable set of allow-with-exception rules.
Another rule type specifies permitted publishers, as shown in Figure 5. When a user runs an application, AppLocker compares the digital signature of the application's publisher to your defined allow list and checks other conditions you specify. This requires far fewer rules than SRP's hash-checking: rather than a lengthy collection of hash rules for every executable in the application, AppLocker needs only the single publisher rule. Publisher rules also eliminate the need to create new rules when an allowed application is updated. For instance, this rule: "allow any version of Acrobat Reader equal to or higher than 9.0 and only if it's signed by Adobe." Next week, when Adobe updates the application, you can push it out to clients without having to update the rule. Along with version numbers, you can create rules specifying entire applications or certain files or collections of files. In some instances AppLocker can even create rules automatically (see Figure 6).
Figure 5 Creating an AppLocker publishing rule. (Click the image for a larger view)
Figure 6 AppLocker can automatically generate certain types of rules. (Click the image for a larger view)
SRP's rules applied only to machines. AppLocker's rules can apply to users also. This feature helps you satisfy increasingly burdensome compliance requirements, such as this rule: "allow only those in the human resources department to execute human resources applications" (though, to be more precise, the rule includes Active Directory security groups containing user accounts of employees in HR). This rule blocks anyone not in HR, including administrators—but remember, malicious administrators can still change the rule. Recall my old axiom: if you don't trust your administrators, replace them.
Probably the biggest improvement AppLocker offers is that it's actually something you can trust. Frankly, SRP wasn't very robust. You'd think the operating system would be the policy enforcer, but you'd be wrong. During application launch the application's parent process, not the OS, checks the SRP. If the user—whether admin or not—had control of the parent process, the user could circumvent SRP; see Mark Russinovich's blog entry "Circumventing Group Policy as a Limited User" explaining how. Here's a blindingly obvious notion: to be an actual security feature, the feature has to be secure. AppLocker consists of a service and a kernel-mode driver; its rules are evaluated in the driver, so now the OS really is the enforcer. If for some odd reason you wanted to continue using SRP rules rather than AppLocker rules, at least they're stronger: in Windows 7 the SRP APIs are redesigned to bypass parent processes and hand rule enforcement and binary file verification to the AppLocker service.
The ability to test policies is critical. AppLocker's audit function (see Figure 7) shows how applications would behave if your rules were enabled. It displays a list of all affected files from which you can spot any problems that might occur before deployment. Rules can make distinctions between .EXEs, .DLLs, .MSIs and scripts. AppLocker keeps statistics of how often a rule is triggered, which is useful to know over time, especially as people's responsibilities change and they need new or different applications.
Figure 7 AppLocker’s audit mode lets you test your rules before deploying them. (Click the image for a larger view)

Curiously, IPsec is spelled with a small "sec," while DNSSEC is entirely capitalized. No one ever said standards bodies were the epitome of consistency. But I digress …
At one time I was a DNSSEC doubter. The claim is that attaching cryptographic authentication to DNS replies renders DNS poisoning impossible, thus thwarting phishing attacks. DNSSEC attempts to answer the question "Can I trust the answer I receive in response to my name resolution query?" I believed this was the wrong question. The right question was "Can I trust I'm going to the real server?" SSL already took care of this quite well, thank you: only the actual bank could get an SSL certificate for its public Web site, right? An attacker could redirect your request to his site but he can't get the SSL certificate the real bank uses to authenticate its Web server to your browser. IPsec is similar: its reliance on digital certificates for authentication ensures no one can spoof your destination.
After carefully evaluating the gentle prodding and cajoling of others, I've come to believe DNSSEC is an important addition to our defensive arsenal. True, SSL and IPsec confirm you're connected to a legitimate site—although this is of questionable value because most users have "trained" themselves to ignore warnings. They don't, however, prevent you from being denied access to a legitimate site. DNS poisoning can be a very effective denial of service attack (DoS), which can't be mitigated with SSL or IPsec. DNSSEC removes the conditions allowing such attacks: replies from DNS servers include digital signatures, which resolvers can validate. Given I'm no fan of security "features" that enable attacks (account lockout is another DoS attack vector), I've changed my mind and now favor the rapid adoption of DNSSEC throughout the Internet, starting with the root servers that attackers frequently attempt to hijack.
DNSSEC provides:
  • Origin authenticity: the reply is from the server it claims to come from
  • Data integrity: the reply hasn't been maliciously modified in transit
  • Authenticated denial of existence: an unspoofable "destination does not exist" reply
When a DNSSEC-capable server receives a query for a record in a signed zone, the server returns its digital signatures along with the reply. The resolver obtains the server's public key and validates the reply. The resolver needs to be configured with a "trust anchor" for the signed zone or its parent; DNSSEC on the Internet's root servers allow all DNSSEC-capable resolvers to have a trust anchor "rooted at the top."
The DNSSEC client in Windows 7 is a non-validating security-aware stub resolver. It acknowledges DNSSEC queries and processes DNSSEC resource records, but relies on its local DNS server to validate replies. The resolver returns the reply to the application only if validation succeeded. Communications between the client and its local DNS server are protected by SSL: the server presents its own certificate to the client for validation. DNSSEC settings are configured in the NRPT, as shown in Figure 8, and should be populated through Group Policy.
Figure 8 Confi guring name resolution policy for DNSSEC. (Click the image for a larger view)
One other important point: Historically, public certificate authorities have abdicated their responsibility to verify applications for X.509 server certificates. I've read of instances where attackers posed as legitimate representatives of real companies and successfully obtained fraudulent but trusted certificates. So in some respects SSL could be considered "broken" in that public certificates lack some trust value. The DNSSEC standards require much more stringent identification and verification before an organization can receive DNS signing certificates, which will help restore trust to online transactions.

More Improvements
While the security capabilities I've covered thus far are my favorite, I should mention a few more enhancements that improve the overall "securability" of Windows.
Multiple Active Firewall Profiles I've written in the past about third-party firewalls, with all their "scare-ifying" warnings, posing as nothing more than security theater (see "Exploring the Windows Firewall." I still believe this. The Windows Firewall is perfectly capable of protecting your computer. It had only one limitation: while three profiles are defined, only one is active at any time. In the office, your domain-joined computer automatically uses the domain profile, which allows inbound management communications. In your hotel room, your computer uses the public profile, which blocks all unsolicited inbound communications. The computer remains in this profile when you VPN into your corpnet, which makes your computer invisible to management tools. Windows 7 removes this limitation: you can separately define the public, private or domain profile on each physical or virtual network interface.
Windows Biometric Framework Fingerprint readers are everywhere—even the cheapest laptops sport the shiny swipe spot. Although the lack of built-in support in prior versions of Windows left the devices unused, PC makers delivered systems with the drivers installed anyway. The poor quality of much of this code caused a fair number of blue-screen crashes, many of which dutifully reported themselves to Microsoft.
Armed with this knowledge, Microsoft added native biometric support to the OS. Now the drivers must conform to a higher-quality level and users have more options for authenticating to their computers. I'm still convinced it's important to maintain the distinction between identity (a public declaration) and authentication (validated possession of a secret). A fingerprint is inarguably public. But there are some scenarios where fingerprint logon is superior: imagine a warehouse dock teeming with big burly guys huffing around huge crates and containers. Every so often they need to update inventory information on a computer in a rolling cart. Do you really think someone using gross motor skills most of the day can efficiently switch to the fine motor skills necessary to insert a wafer-thin smart card into its sliver of a slot while positioning it in the one correct of four possible orientations? No way. With fingerprint authentication, he doesn't have to switch muscle modes: a quick swipe on the reader logs him in. (Yes, this is a real customer scenario.)
The Windows Biometric Framework (WBF) is an extensible foundation for supporting biometric authentication. In the initial release of Windows 7, only fingerprints are supported. WBF defines several components meant to increase the reliability of biometric hardware and its associated drivers and enrollment software. When a user initially enrolls his or her fingerprints, the biometric service encrypts the representational data stream along with the user's credentials and stores this blob in a data structure called the vault. The encrypted password is assigned a GUID, which acts as a handle. Crucially, the service never reveals the user's password directly to an application but instead exposes only the handle. Depending on the capabilities of the reader, fingerprint authentication is available for local logon, domain logon and UAC authentication. Several GPOs exist for administrative control of WBF.

This Is the Windows You Want
When I re-imaged my computer with the first beta build last year, I never looked back. Windows 7 feels snappier in every regard and the overall fit and finish is impressive. With its multifaceted approach to securing access, people and data, it's a worthy addition to your infrastructure. Your road warriors definitely will thank you and—who knows—maybe you'll finally get that phone call we've so far only dreamed of: "Hey, I just wanted to tell you that everything's working. Groovy!"

Steve Riley is an evangelist and strategist for cloud computing at one of the world's foremost providers. He specializes in enterprise requirements for security, availability, reliability, and integration. You can reach him at stvrly@gmail.com.

Windows 7
Einzigartige Sicherheit unter Windows 7
Steve Riley
Kurz zusammengefasst:
  • Einfacher Zugriff auf das Firmennetzwerk mit DirectAccess
  • Auch Wechsellaufwerke mit BitLocker verschlüsseln
  • Verwaltung der Zugriffe auf Applikationen mit AppLocker
  • Schutz vor DNS-Poisoning und Spoofing-Attacken mit DNSSEC

Als ich die letzten Anpassungen an diesem Artikel vorgenommen habe, ist der Tag eingetreten, auf den viele von uns gewartet haben: Windows 7 wurde zur Produktion freigegeben. Ich habe viel Zeit damit verbracht, die Beta- und Release Candidates als mein Produktionsbetriebssystem zu verwenden und habe mich über die Änderungen und Verbesserungen in Windows 7 gefreut. Nun möchte ich Sie mitnehmen und einige meiner favorisierten Sicherheitsfeatures vorstellen.

Wenn Sie wie jede andere Freak ich erfüllt haben, endet nicht arbeiten, wenn Sie außerhalb der Tür von Ihrem Büro durchlaufen. Warum? die meisten Arbeitgeber Laptops statt Desktops bieten Da Sie wissen, arbeiten Sie kostenlos! Wie Sie die Investitionen in teurere Hardware recoup ist. Richten Sie einige VPN-Server, veröffentlichen Anweisungen für das Unternehmensnetzwerk zugreifen und erhalten Sie einer ganzen Menge mehr Produktivität aus Ihrer Mitarbeiter.
Oder das denken so wechselt. VPNs ist fast immer zusätzliche Schritte zu auf Corpnet, manchmal sehr kompliziert Schritte erforderlich. Um einfache verlieren Hardwaretoken ausführen müssen. Pokey Anmeldeskripts ziehen auf ewig. Internetverkehr ruft zurückgeleitet über Ihre Corpnet, Reaktionsfähigkeit verringern. Wenn es eine Weile seit der letzten Verbindung ist, erhalten der Computer möglicherweise mehrere Megabyte von Softwareupdates. Ja, wenn Sie nur eine geringfügige lästig Sache dazu haben – sagen eine Spesenabrechnung abgeschlossen – müssen Sie diese wahrscheinlich deaktiviert setzen. Wenn nur eine Möglichkeit, die separaten VPN-Verbindung Schritte zu beseitigen, so dass Sie Ihren Computer zu Hause oder in der Flughafens verwenden konnte genau wie bei der Arbeit, gut sind, wäre, cool.
Zusammen mit Windows Server 2008 R2 Ihnen DirectAccess in 7 exakt die Erfahrungen. Evaporates aus der Sicht eines Benutzers die Differenz zwischen dem Corpnet und dem Internet. Beispielsweise angenommen, wenn Sie im Büro sind, navigieren Sie zu http://expenses führen Sie eine Spesenabrechnung. Mit DirectAccess in Ihrem Netzwerk aktiviert, Sie würden gehen genau dieselbe überall finden Sie eine Verbindung mit dem Internet: Geben Sie http://expenses einfach in Ihrem Browser. Keine zusätzlichen anmelden Schritte, die keine re-training, keine Anrufe beim Helpdesk balky VPN-Clientsoftware zu beheben. DirectAccess können Sie Computer mit dem Corpnet und dem Internet zur gleichen Zeit zu verbinden. Reibungsloses zwischen Ihnen und Ihren Anwendungen erleichtert es auch auf Ihre Daten erhalten Sie entfernt.
Es gibt zwei Kommunikationsprotokolle, die dies ermöglichen: IPSec- und IPv6. Eine IPSec-ESP (Encapsulating Security PAYLOAD) Transport-Modus-Sicherheitszuordnung (keinen Tunnel, trotz der Fortsetzung Missbrauch des Ausdrucks "IPsec Tunnel") authentifiziert und verschlüsselt die Kommunikation zwischen dem Client und dem Zielserver. Bidirektionale Authentifizierung verringert Man-in-the-Middle-Angriffe: mithilfe von x. 509-Zertifikaten ausgegeben ausgestellt Zertifizierungsstellen beide Seiten vertrauen der Client an den Server authentifiziert und der Server an den Client authentifiziert. Advanced Encryption Standard (AES) ermöglicht die Verschlüsselung Vertraulichkeit so, dass alles, was während der Kommunikation abgefangen, die Lauschern ist ohne Bedeutung.
Herkömmliche VPNs verwenden IPsec zu;Es ist das Hinzufügen von IPv6, der DirectAccess Novel und interessante macht. Eliminiert die VPN-erfordert eine bessere End-to-End-Konnektivität als IPv4, mit der Fülle von NATs und überlappende Adressbereiche kann. IPv6 eine global eindeutige routingfähige Adresse auf jedem Client konfiguriert und segregates Corpnet Datenverkehr vom normalen Datenverkehr im Internet. IPv6 ist für DirectAccess, erforderlich, damit Ihre Corpnet IPv6 unterstützen muss. Dies ist nicht als schwierige eine Aufgabe, wie Sie vielleicht denken: viele Ihrer Server wahrscheinlich bereits besitzen oder können so konfiguriert werden, dass IPv6 ausgeführt, und alle Netzwerke Ausrüstung in den letzten Hälfte Jahrzehnt vorgenommenen unterstützt IPv6. Protokoll Übergangstechnologien können z. B. Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) und NAT-Protokoll Netzwerkadressübersetzung (NAT-PT) am Rand der Corpnet.
Einem Client mit DirectAccess ist immer Ihre Corpnet, aber wahrscheinlich nicht über systemeigenen IPv6; verbunden.der Client ist wahrscheinlich hinter einer IPv4-NAT und das Internet selbst ist weiterhin größtenteils IPv4. Windows 7 unterstützt IPv6-zu-IPv4- und Teredo – Übergang Technologien, die IPv6-Datenverkehr innerhalb von IPv4 zu kapseln. Und auf die selten Anlass Wenn keines dieser Protokolle funktioniert, DirectAccess fällt zurück zu IP-HTTPS, ein neues Protokoll, das IPv6-in HTTPS über IPv4 kapselt. (Ja, hat das Schema zum Umwandeln von HTTP in das endgültige universelle umgehen-Protokoll die Nadir erreicht!)
Anwendungen müssen keine Änderungen oder spezielle Behandlung über DirectAccess funktioniert. Gruppenrichtlinien weist eine Auflösung Richtlinie Namenstabelle (NRPT) enthält zwei Informationsbits zu Clients: Die Corpnet interne DNS-Suffix und die Adressen der IPv6-DNS-Server Auflösen des Namespaces (siehe Abbildung 1). Angenommen, Ihr interner DNS-Suffix ist inside.example.com und der IPv6-DNS-Server Adresse FEDC:BA98:7654:3210::1. Wenn Sie zu http://expenses durchsuchen, wird Ihres Computers Konfliktlöser fügt das DNS-Suffix und versucht, expenses.inside.example.com zu beheben. Da dies den DNS-Suffix-Eintrag in der NRPT entspricht, sendet der Auflösungsdienst die Anforderung an FEDC:BA98:7654:3210::1. DNS antwortet mit der IPv6-Adresse des Servers Ausgaben;DirectAccess folgt die erforderlichen Schritte (systemeigenes Format, Übergang, IP-HTTPS) Verbindung mit dem Server hergestellt werden. Wenn Ihr Computer Domäne beigetreten ist und der Server Authentifizierung erfordert, werden die Domänenanmeldeinformationen mit angemeldet Sie für den Server ohne authentifizieren. Genommen Sie an, in einem anderen Browserfenster, das Sie zu einer öffentlichen Website; navigieren sindDa das DNS-Suffix des Computers NRPT nicht, wird der Resolver führt einen normalen IPv4-Lookup (mit auf der Netzwerkschnittstelle konfigurierten DNS-Server) und ruft die Website vollständig unabhängig von DirectAccess.
Abbildung 1 Einstellung namens Auflösung Richtlinie für DirectAccess. (Zum Vergrößern auf das Bild klicken)
Dauern Sie einen Moment, und überlegen Sie, die Auswirkungen von immer im Corpnet Zugriff. Sicher ein Benutzer, sondern addictive ist, und macht es (nahezu) einfach, um die Spesenabrechnung abzuschließen. Ich weiß jedoch mein Publikum: Administratoren und Sicherheit Dudes. Was konnte es bedeutet, damit alle Ihre Clients immer, unabhängig davon, wo Sie sind mit dem Corpnet verbunden? Ich werde ein paar erwähnen:
  • Wartung-Konfiguration mit Gruppenrichtlinien
  • Fortlaufende Aktualisierung mit Windows Server Update Services (WSUS) oder System Center Configuration Manager (SCCM)
  • Zustand zu überprüfen und Sicherheitsverbesserungen mit NAP
  • Zentral verwaltet Antimalware-Schutz mit der Windows-Firewall und Forefront Client Security oder andere
Viel Sounds, wie Sie auf Ihre Corpnet, rechts vorgehen? Genau. DirectAccess erweitert Ihre Corpnet auf dem gesamten Internet beim Aktivieren Sie Ihre Computer gut verwalteten und sicher halten. Es ist wohl das interessantesten Bit Netzwerktechnologie, die ich in eine lange Zeit und definitiv nimmt Aktualisierungen überzeugende gesehen habe.

BitLocker und BitLocker To Go
Alright … werde ich dazu, welche Autoren nie sollen führen und bitten Sie um mich kurz zu unterbrechen. Betrachten Sie die Chronologie Daten Sicherheitsverletzungen bei Privacy Rights Clearinghouse (privacyrights.org/ar/ChronDataBreaches.htm). Er gestartet Sicherheitsverletzungen im Januar 2005 überwachen. Als der Erstellung dieses Dokuments haben eine atemberaubenden 263 Millionen Datensätze Verluste auftreten. Die Ponemon Institute LLC und PGP corp. durchgeführt von eine Studie " das vierte Feld StandardKosten der Sicherheitsverletzung studieren Daten: Benchmark-Studieren der Unternehmen ", meldet, dass eine durchschnittliche Wiederherstellung Kosten 202 $ pro Datensatz. Ein wenig mathematischen tun wir dürfen wir?
263,000,000 Datensätze × $ 202 bzw.-Aufzeichnung
Organisationen haben eine erstaunliche $ 53 Milliarden in fünf und eine halbe Jahren verloren! Es ist relativ zu vermuten, dass Verlegtes und gestohlenen Laptops zwischen costliest Gefährdungen sind die meisten Unternehmen Gesicht. Die Kosten für Geräte ersetzen kann vernachlässigt – der größte Teil der Belichtung ist direkten oder indirekten Kosten im Zusammenhang mit Daten Wiederherstellung/Rekonstruktion, Strafen Ruf Schaden und verlorene Business. In vielen Fällen würde eine einfache Abschwächung die Anfälligkeit beseitigt haben: Tragbare Daten verschlüsseln.
Microsoft hinzugefügt Windows Vista schützen das Betriebssystem offline Angriffen, indem Sie das Laufwerk aus dem Windows ausgeführt wird verschlüsseln BitLocker. Wenn eine Hardwarekomponente (TRUSTED Platform Module) vorhanden ist, bietet BitLocker Integrität auch für den Startvorgang durch Überprüfen jeder Schritt Weg und schlägt einen beliebigen Teil eine Hash-Überprüfung anhalten. Kunden haben natürlich immer Ihre eigenen Ideen und während der Betaphase Sie rasch realisiert BitLocker auch Ihre Daten schützen kann. Microsoft ein paar weitere Gruppenrichtlinienobjekte (GPOs) und eine Benutzeroberfläche zum Konfigurieren von BitLocker hinzugefügt, aber blieb Herausforderung (besonders auf Computern, die bereits erstellt) bereitstellen und wurde nur auf dem Systemvolume unterstützt.
Windows Vista SP1 Erweitert des BitLocker-Unterstützung für alle Festplatte Volumes Verschlüsselungsschlüssel geschützt werden, durch alle drei Methoden in Kombination zulässig (TPM, USB-Systemstartschlüssel und Benutzer-PIN), und ein Tool zum Vorbereiten der vorhandener Installationen mit der erforderlichen zusätzlichen Laufwerk enthalten.
Windows 7 vereinfacht BitLocker einrichten, sofern es eine Funktion, die Sie erhalten verwenden möchten. Während des Installationsvorgangs erstellt automatisch die erforderlichen Startpartition. Aktivieren von BitLocker ist einfach: Klicken Sie mit der rechten Maustaste auf das Laufwerk und im Menü die Option BitLocker (siehe Abbildung 2). Selbst wenn Ihr Computer verfügt nicht über die zweite Partition wird die Vorbereitung Laufwerk neu partitionieren. Key Management und Datenwiederherstellung ist nun einfacher mit Unterstützung für eine IT verwaltet Daten Wiederherstellungs-Agent (DRA). Der DRA ist eine zusätzliche Schlüsselprotektor, die den Administratorzugriff auf alle verschlüsselten Volumes ermöglicht. Mithilfe des DRAs ist optional aber ich dringend geraten zu erstellen. Platzieren Sie es auf einer Smartcard, behalten die Karte in einem Safe in den Computerraum gesperrt und sehr vernünftig werden mit denen Sie die Sperre Kombination freigeben.
Abbildung 2 Aktivieren von BitLocker auf einem austauschbaren Laufwerk. (Zum Vergrößern auf das Bild klicken)
Die BitLocker-Systemsteuerungsoption, das Befehlszeilenskript verwalten-bde.wsf und Provider (Windows Management INSTRUMENTATION) angeboten zuvor nicht übereinstimmende Sätze von Konfigurationsoptionen. In Windows 7 sind alle Optionen des BitLocker in allen drei Methoden zur Verfügung. Für nicht-Betriebssystem-Volumes können Sie steuern, automatische entsperren und Smartcard-Authentifizierung erforderlich (siehe Abbildung 3).
Abbildung 3 verwenden ein Kennwort zum Entsperren eines Laufwerks durch BitLocker geschützt. (Zum Vergrößern auf das Bild klicken)
Daten Leckage weiterhin eine wichtige Kopfschmerzen für viele Organisationen. Die praktische wenig Teufel das USB-Laufwerk ist eine wichtige Ursache (aber natürlich nicht die einzige;Daten können sich selbst von Ihrer Organisation in unzählige Möglichkeiten exportieren). Einschränken der Verwendung von USB-Laufwerke oder eine nicht-Starter für die meisten Unternehmen ist vollständig deaktivieren USB-Anschlüsse – die Bequemlichkeit ist manchmal eine Notwendigkeit.
BitLocker to go ist Windows 7-Antwort auf dieses Problem: Klicken Sie mit der rechten Maustaste auf ein Laufwerk, aktivieren Sie BitLocker, erstellen Sie ein Kennwort und unabhängig von seinem Format auch das FAT-Format verschlüsselt BitLocker zu wechseln. Diese Adressen in erster Linie das Risiko von Personen verlieren Ihre Laufwerke;verloren Laufwerke immer scheint zu kritischen vertrauliche Informationen enthalten und werden durch Diebe mit nichts dazu als Post Ihre vertraulichen Daten zu WikiLeaks besser purloined.
Aber mehr als nur eine USB-Schutzvorrichtung ist BitLocker zu wechseln. Es schützt jede Art von austauschbaren Laufwerk und es funktioniert unabhängig von dem Betriebssystem BitLocker so "normalen"BitLocker ist nicht erforderlich. Administratoren können eine Richtlinie zum Erzwingen alle Wechsellaufwerke schreibgeschützt sein, sofern Sie zuerst mit BitLocker zu wechseln, verschlüsselt sind nach dem werden die Laufwerke schreibbare konfigurieren. Eine andere Richtlinie erfordert kann Authentifizierung (Länge und Komplexität-auswählbare Kennwort, Smartcard oder Domäne), um ein geschütztes Gerät zugreifen. Und Verhalten DRAs auf Wechselmedien wie auf Festplatte Volumes.
Benutzer können gelesen, aber nicht geschrieben, geschützte Geräte unter Windows Vista und Windows XP. BitLocker to go Überlagerungen "Discovery Volume"auf dem physikalischen Laufwerk enthält die BitLocker so Go Reader und Installationsanweisungen. Der Reader ist auch für den Download verfügbar. Nur ein Kennwort geschützten Volumes (nicht Smartcard oder Domäne) sind mit dem Leser verwendbar, wie in Abbildung 4 dargestellt.
Abbildung 4 die BitLocker an Go Reader unterstützt nur-Lese-Zugriff in früheren Versionen von Windows. (Zum Vergrößern auf das Bild klicken)

Haben Sie jemals mit Software Restriction Policies (SRP) gearbeitet? Oder sogar des SRP heard? Seit Windows 2000 verfügbar sind, ermöglicht SRP, Administratoren steuern, ob ein Computer im arbeitet als Standard zulassen oder Status standardmäßig zu verweigern.
Standardmäßig verweigern ist natürlich, bevorzugte: definieren eine Auflistung von Software, die ausgeführt werden dürfen, ist etwas nicht in der Liste verweigert. SRP ist eine ziemlich gute Möglichkeit, um die Verbreitung von Malware zu beenden. Es gibt auch eine ziemlich gute Möglichkeit, viel Arbeit für Sie selbst erstellen: Pfad und den Hash Regeln müssen Sie alle .exe und .dll umfasst eine Anwendung integrieren und Hashregeln müssen ersetzt werden, wenn eine Anwendung aktualisiert wird. Entdecken und verfolgen jede Anwendung in einer Organisation verwendet ist eine schwierige Herausforderung, ganz zu schweigen der Tests erforderlich, um sicherzustellen, dass normalerweise umfangreichen Satz von Regeln SRP unbeabsichtigten Fehlfunktion führen nicht. SRP empfangen nie viel Aufmerksamkeit, weil unfreundliche konfigurieren und zu unflexibel praktische werden konnte.
Dennoch bleibt Anwendung Auflistung ein wichtiges Element der Entwurf der Sicherheit. AppLocker verbessert auf SRP durch mehr Flexibilität die von Ihnen erstellten können Regeln hinzufügen. Zusammen mit der üblichen zulassen und Verweigern von Regeln, können Sie Regeln für die Ausnahme erstellen. Dadurch eine Standard-verweigern Abwehr viel einfacher zu definieren und verwalten. Das allgemeine Beispiel ist dies: "lassen Sie alles in %windir% außer integrierte Spiele ausführen." Meiner Meinung nach diesem ziemlich alberne wie verhindern Ihren Desktophintergrund ändern zu Violett – wer interessiert? Mit ein bisschen planen können Sie eine gute Liste der bekannten guten Anwendungen mithilfe einer verwaltbaren Reihe von Regeln ermöglichen mit Ausnahme erstellen.
Einem anderen Regeltyp gibt zugelassene Herausgeber, wie in Abbildung 5. Wenn ein Benutzer eine Anwendung ausgeführt wird, vergleicht die AppLocker die digitale Signatur des Herausgebers der Anwendung zu Ihren definierten Zulassungsliste und anderen Bedingungen überprüft. Dies erfordert viel weniger Regeln als Hash des SRP-Überprüfung: Anstatt eine umfangreiche Zusammenstellung von Hashregeln für jede ausführbare Datei in der Anwendung benötigt AppLocker nur die einzelnen Herausgeber-Regel. Publisher Regeln einsparen auch müssen neue Regeln erstellen, wenn eine zugelassene Anwendung aktualisiert wird. Z. B. diese Regel: "lassen Sie eine beliebige Version von Acrobat Reader gleich oder größer als 9.0 und nur, wenn es von Adobe signiert ist" Nächste Woche, wenn Adobe die Anwendung aktualisiert können Sie es an Clients übertragen ohne aktualisieren die Regel. Zusammen mit Versionsnummern können Sie ganze Anwendungen oder bestimmte Dateien oder Sammlungen von Dateien angeben Regeln erstellen. In einigen Fällen AppLocker kann auch Regeln erstellen automatisch (siehe Abbildung 6).
Abbildung 5 Erstellen einer Veröffentlichungsregel für AppLocker. (Zum Vergrößern auf das Bild klicken)
Abbildung 6 AppLocker kann automatisch bestimmte Typen von Regeln generieren. (Zum Vergrößern auf das Bild klicken)
Des SRP Regeln nur auf Computer angewendet. AppLocker des Regeln können auch auf Benutzer anwenden. Dieses Feature können Sie die zunehmend aufwändige Kompatibilitätsanforderungen, z. B. diese Regel erfüllen: "lassen Sie nur die in der Abteilung Personalwesen Personalwesen Anwendungen ausführen"(allerdings umfasst um genauer zu sein, die Regel Active Directory-Sicherheitsgruppen, Benutzerkonten der Mitarbeiter im PERSONALWESEN enthält). Diese Regel blockiert Benutzer nicht in HR, einschließlich Administratoren – jedoch leider böswillige Administratoren immer noch die Regel ändern können. Erinnern Sie meine alten Grundsatz: Wenn Sie Ihren Administratoren nicht vertrauen, ersetzen Sie Sie.
Wahrscheinlich ist die größte Verbesserung, die AppLocker bietet, dass es tatsächlich etwas Sie vertrauen können. SRP nicht gesagt sehr robust. Sie hätten vorstellen, das Betriebssystem wäre Richtlinie erzwingt, aber Sie würden falsch. Bei Anwendungsstart prüft die Anwendung übergeordneten Prozess, nicht das Betriebssystem das SRP. Wenn der Benutzer – ob Admin oder nicht – hatte Steuerelement des übergeordneten Prozesses konnte der Benutzer SRP; umgehenfinden Sie unter Mark Russinovich Blog-Eintrag "umgangen Richtlinien als ein eingeschränkte Gruppe Benutzer"Erklärt, wie. Hier ist ein blindingly offensichtlich Konzept: Um eine tatsächliche Sicherheitsfunktion, ist die Funktion gesichert werden. AppLocker besteht aus einem Dienst und einen Kernel-Modus-Treiber;die Regeln werden in den Treiber, der ausgewertet, die jetzt das Betriebssystem tatsächlich der erzwingt ist. Wenn ungerade Gründen Sie weiterhin SRP Regeln anstatt AppLocker Regeln verwenden, sind Sie mindestens stärkere: in Windows 7 sind der SRP-APIs neu gestaltet, übergeordnete Prozesse und Hand Regel erzwingen und Binärdatei Überprüfung der AppLocker-Dienst zu umgehen.
Die Möglichkeit zum Testen von Richtlinien ist kritisch. Audit-Funktion des AppLocker zeigt (siehe Abbildung 7) Wenn Ihre Regeln aktiviert wurden Verhalten von Anwendungen würde. Es zeigt eine Liste aller betroffenen Dateien aus dem Sie Probleme erkennen können, die möglicherweise vor Bereitstellung auftreten an. Regeln können Unterschiede zwischen der .EXEs, DLLs, .MSIs und Skripts vornehmen. AppLocker speichert Statistiken, die der Häufigkeit eine Regel ausgelöst wird, nützlich ist, insbesondere, wie Personen Aufgaben ändern und Sie neue oder andere Anwendungen müssen im Laufe der Zeit zu kennen.
Abbildung 7 AppLocker ’s Überwachungsmodus können Sie Ihre Regeln vor der Bereitstellung testen. (Zum Vergrößern auf das Bild klicken)

IPsec ist curiously, mit einem kleinen "s", geschrieben.während vollständig DNSSEC großgeschrieben wird. Niemand sagte jemals Standardisierungsorganisationen verkörpert der Konsistenz wurden. Aber ich digress …
Gleichzeitig war ich eine DNSSEC-Doubter. Der Anspruch ist, kryptografische Authentifizierung an DNS-Antworten anhängen DNS-poisoning unmöglich, daher thwarting Phishing-Angriffen rendert. DNSSEC versucht, die Frage "Kann die Antwort vertrauen als Antwort auf Meine Auflösung Namensabfrage wird?" Ich davon ausgegangen, das falsche Frage war. Die richtige Frage wurde "Vertrauen kann ich mit dem realen Server werde?" SSL sorgt dauerte bereits für dieses Recht gut Dank: erhalten nur die aktuelle Bank konnte ein SSL-Zertifikat für seine öffentlichen Website rechts? Angreifer konnte Ihre Anforderung zu seiner Site umleiten, aber er kann nicht die tatsächliche Bank, verwendet um seine Webserver, um Ihren Browser zu authentifizieren SSL-Zertifikat abgerufen. IPsec entspricht: die Abhängigkeit von digitalen Zertifikaten für die Authentifizierung gewährleistet niemand Ihr Ziel vortäuschen kann.
Nach der Auswertung sorgfältig, die Windhauch prodding und cajoling von anderen, stammen ich haben DNSSEC eine wichtige Ergänzung zu unseren defensive Arsenal ist. True, SSL und IPSec-bestätigen Sie mit einer rechtmäßigen Site verbunden sind, obwohl dies fragwürdige Wert ist, da die meisten Benutzer "geschult" habenselbst Warnungen ignoriert werden soll. Sie nicht, Sie jedoch verhindern der Zugriff auf einer rechtmäßigen Site verweigert wird. DNS poisoning kann eine sehr effektive Dienstverweigerungsangriff (DoS) sein, die mit SSL oder IPsec gemindert werden nicht möglich. DNSSEC entfernt die Bedingungen, solche Angriffe ermöglichen: Antworten von DNS-Servern gehören digitale Signaturen, welche Konfliktlöser überprüfen können. Angegebenen ich bin kein Fan von Sicherheit "Funktionen"mit denen Angriffe (Kontosperrung ist einer anderen DoS-Angriffen), ich meine Meinung geändert haben und nun bevorzugen die schnelle Akzeptanz der DNSSEC im Internet, beginnend mit den Stammservern, die Angreifer häufig versuchen, aneignen.
DNSSEC bietet:
  • Ursprung Authentizität: Die Antwort ist vom Server zu stammen vorgibt
  • Datenintegrität: Die Antwort noch nicht in böswilliger Absicht in während der Übertragung geändert.
  • Authentifizierte Dienstverweigerung vorhanden ist: ein unspoofable "Ziel ist nicht vorhanden"Antwort
Wenn ein DNSSEC-fähigen Server eine Abfrage für einen Datensatz in einer signierten Zone empfängt, gibt der Server die digitalen Signaturen zusammen mit der Antwort zurück. Der Resolver öffentlichen Schlüssel des Servers abgerufen und überprüft die Antwort. Der Konfliktlöser muss mit "Vertrauensanker" konfiguriert werdender signierte Zone oder übergeordneten;DNSSEC auf Stammserver im Internet zu ermöglichen alle DNSSEC-fähigen Konfliktlöser damit eine Vertrauensanker "Stamm am oberen."
Der DNSSEC-Client in Windows 7 ist eine ohne Überprüfung Sicherheit-fähigen stub Resolver. Er bestätigt DNSSEC-Abfragen und verarbeitet DNSSEC-Ressourceneinträge, aber stützt sich auf den lokalen DNS-Server zum Antworten zu überprüfen. Der Resolver gibt die Antwort an die Anwendung nur, wenn Validierung erfolgreich zurück. Kommunikation zwischen dem Client und den lokalen DNS-Server werden durch SSL geschützt: der Server sendet einen eigenen Zertifikat an dem Client für die Validierung. DNSSEC-Einstellungen in der NRPT konfiguriert sind, wie in acht dargestellt und sollte über Gruppenrichtlinien aufgefüllt.
Abbildung 8 Confi Guring namens Auflösung Richtlinie für DNSSEC. (Zum Vergrößern auf das Bild klicken)
Ein anderer wichtiger Punkt: In der Vergangenheit haben öffentlichen Zertifizierungsstellen Ihrer Verantwortung, um Anwendungen für x. 509-Serverzertifikate überprüfen abdicated. Ich habe Instanzen gelesen, wobei Angreifer als legitime Vertretern der tatsächlichen Unternehmen gestellt und erfolgreich abgerufen betrügerische aber vertrauenswürdige Zertifikate. So kann in einigen Fällen SSL "unterbrochen" betrachtet werdenfehlen Sie in der öffentlichen Zertifikate einige Vertrauensstellung-Wert. Die DNSSEC-Standards erfordern wesentlich strengere Kennung und Überprüfung vor einer Organisation kann DNS-Signatur Zertifikate, die hilft das Vertrauen in online-Buchungen wiederherstellen empfangen.

Weitere Verbesserungen
Während die Sicherheitsfunktionen, die ich bisher beschrieben habe meine Favoriten sind, sollte ein paar weitere Verbesserungen erwähnt, die insgesamt "Sicherheitsunterstützung" verbessernvon Windows.
Mehrere Active Firewall Profile ich über Firewalls von Drittanbietern, mit all Ihren "Scare-Ifying" in der Vergangenheit geschrieben habenWarnungen, die sich als nichts anderes als Sicherheitstheater ausgibt (Siehe "Durchsuchen der Windows-Firewall." Meiner Meinung nach weiterhin diese. Die Windows-Firewall kann durchaus Schutz Ihres Computers. Es mussten nur eine Einschränkung: während drei Profile definiert sind, ist nur zu einem beliebigen Zeitpunkt aktiv. Im Büro verwendet Ihre Domäne beigetretenen Computer automatisch das Domänenprofil, das Verwaltung von eingehenden Kommunikation ermöglicht. Im Hotelzimmer verwendet Ihr Computer das öffentliche Profil, das alle unerwünschte eingehende Kommunikation blockiert. Der Computer verbleibt in diesem Profil, wenn Sie VPN in Ihre Corpnet, wodurch den Computer für Verwaltungstools unsichtbar. Windows 7 wird diese Einschränkung entfernt: Sie können das Profil Public, Private oder Domäne separat auf jeder Schnittstelle physischen oder virtuellen Netzwerk definieren.
Windows biometrische Framework Fingerprint Reader sind überall – sogar die kostengünstigste Laptops Sportarten glänzend Swipe Spotfarben. Obwohl der Mangel an integrierten Unterstützung in früheren Versionen von Windows die Geräte nicht verwendeter links, übermittelt PC Entscheidungsträger Systeme mit den Treibern trotzdem installiert. Die schlechte Qualität der Großteil dieser Code verursacht eine ausreichende Anzahl von Bluescreen-stürzt ab, von die viele selbst entsprechende an Microsoft gemeldet.
Mit diesem wissen ausgestattet, fügte Microsoft biometrische systemeigene Unterstützung für das Betriebssystem. Jetzt müssen die Treiber zu einer Ebene höherer Qualität entsprechen und Benutzer haben weitere Optionen für die Authentifizierung auf Ihren Computern. Ich bin immer noch davon überzeugt wichtig die Unterscheidung zwischen Identität (eine öffentliche Deklaration) und Authentifizierung (überprüfte Besitz eines geheimen Schlüssels) beibehalten. Ein Fingerabdruck ist inarguably öffentlich. Aber es gibt einige Szenarios, in dem Fingerabdruck Anmeldung überlegen ist: genommen Sie an, ein Lagerort Dock mit großer burly Guys um großer Crates und Containern huffing teeming. Mal so oft müssen Sie Informationen auf einem Computer in einer parallelen Einkaufswagen Lager aktualisieren. Wirklich glauben Sie jemand Brutto motorische Fähigkeiten der Großteil der Tag der Ordnung motorischen Fähigkeiten erforderlich, die Sliver einen Slot eine Smartcard Wafer thin einfügen, beim Positionieren Sie es in der richtigen von vier möglichen Ausrichtungen effizient wechseln kann? Keine Möglichkeit. Fingerabdruck-Authentifizierung muss er keinen PS-Modi zu wechseln: eine schnelle Swipe der Reader meldet ihn. (Ja, dies ist eine echte Kundenszenario.)
Windows biometrische Framework (WBF) ist eine erweiterbare Grundlage für biometrische Authentifizierung unterstützen. In der ersten Version von Windows 7 werden nur Fingerabdrücke unterstützt. WBF definiert mehrere Komponenten sollen die Zuverlässigkeit der biometrische Hardware und seinen zugeordneten Treiber und Registrierungs-Software zu erhöhen. Wenn ein Benutzer zunächst seine Fingerabdrücke registriert, wird der biometrische Dienst verschlüsselt den Datenstream aussagekräftige zusammen mit den Anmeldeinformationen des Benutzers und speichert diese Blob in eine Datenstruktur für den Tresorraum fest. Das verschlüsselte Kennwort ist eine GUID zugewiesen als Handle fungiert. Crucially, der Dienst nie offenbart Kennwort des Benutzers direkt an eine Anwendung jedoch stattdessen stellt nur das Handle. Je nach den Funktionen des Readers ist Fingerabdruckauthentifizierung für lokale Anmeldung, Domänenanmeldung und UAC Authentifizierung verfügbar. Für die Verwaltung von WBF sind mehrere Gruppenrichtlinienobjekte vorhanden.

Dies ist das Windows, das Sie wollen
Nachdem ich meinen Computer mit dem ersten Beta Build neu aufgesetzt habe, habe ich niemals zurückgeschaut. Windows 7 fühlt sich in jeder Beziehung flotter an und der Gesamteindruck ist beeindruckend. Mit seinen Ansätzen Zugänge, User und Daten zu schützen, ist es eine wertwolle Ergänzung in Ihrer Infrastruktur. Ihre Reisende definitiv werden Dank und – kennt – vielleicht erhalten Sie schließlich, dass wir bisher nur von dreamed haben Anruf: „ hey, wollte ich nur Ihnen mitteilen, die alles funktioniert. Groovy!"

Steve Riley ist ein Evangelist und Strategieexperte für Cloud Computing bei einem der weltweit bekanntesten Provider. Er spezialisiert sich auf Geschäftsanforderungen im Bereich Sicherheit, Verfügbarkeit, Zuverlässigkeit und Integration. Sie erreichen ihn unter stvrly@gmail.com.

Page view tracker