• Article

Windows 7

Une super sécurité dans Windows 7

Steve Riley

 

Vue d'ensemble :

  • Faciliter l'accès réseau d'entreprise avec DirectAccess
  • Crypter les lecteurs amovibles même avec le nouveau BitLocker
  • Gérer l'accès aux applications avec AppLocker
  • Protection contre les DNS empoisonnement et usurpation d'identité avec DNSSEC

Sommaire

DirectAccess
BitLocker et BitLocker To Go
AppLocker
DNSSEC
Plusieurs améliorations
Il s'agit Windows souhaitées

Comme vous placez les touches de finition dans cet article, le jour que beaucoup d'entre nous ont été attendre enfin arrivé : Windows 7 a été publié pour production. J'ai passé beaucoup de fois en utilisant la version bêta et release comme mon système d'exploitation de production et que vous avez apprécié les offres de Windows 7 modifications et améliorations. Maintenant j'aimerais vous guideront une visite guidée des fonctionnalités de sécurité Favoris de mon.

DirectAccess

Si vous êtes comme chaque geek j'ai rencontré, travail n'est pas lorsque le se parcours arrière la porte de votre bureau. Pourquoi croyez-vous que la plupart des employeurs fournissent des ordinateurs portables au lieu de postes de travail ? Comme ils sauront vous travaillerez gratuitement ! Voilà comment ils recoup l'investissement en matériel plus onéreux. Configurer certains VPN serveurs, publier les instructions accéder au réseau d'entreprise, et vous obtiendrez beaucoup davantage de productivité de votre équipe.

Ou alors la réflexion. VPN nécessitent presque toujours des étapes supplémentaires pour obtenir sur le réseau d'entreprise, suit parfois très compliquée. Vous devez transporter jetons matériels faciles à perdre. Scripts d'ouverture de session pokey faire glisser sur éternité. Le trafic Internet obtient backhauled via votre réseau d'entreprise, ralentit le temps de réponse. Si elle est restée longtemps depuis votre dernière connexion, votre ordinateur peut recevoir plusieurs mégaoctets de mises à jour de logiciels. Donc si vous avez une seule chose ennuyeux secondaire à faire, dites terminer une note de frais, vous allez probablement placer. Si seulement il existait un moyen de élimine les étapes de connexion VPN distinctes, que vous pouvez utiliser votre ordinateur à domicile ou dans la salle d'attente aéroport exactement comme vous faites au travail, ainsi, ce serait pratique.

Avec Windows Server 2008 R2 DirectAccess dans Windows 7 vous donne exactement cette expérience. Du point de vue d'un utilisateur, la différence entre le réseau d'entreprise et Internet evaporates. Par exemple, supposons que lorsque vous êtes dans le bureau vous atteindre http://expenses pour terminer une note de frais. Avec DirectAccess activé sur votre réseau, vous devez suivre la procédure même exacte n'importe où vous pouvez trouver une connexion Internet : Entrez simplement http://expenses dans votre navigateur. Aucun supplémentaire ouvrir une session étapes, aucune ne re-training, aucun appel de support technique à dépanner balky logiciel de client VPN. DirectAccess permet de connecter des ordinateurs à votre réseau d'entreprise et Internet en même temps. Cette opération supprime le problème entre vous et vos applications, facilitant encore pour pouvoir accéder à vos données.

Il existe deux protocoles de communication qui permettent cela : IPsec et IPv6. Une association de sécurité de mode transport IPsec ESP (Encapsulating Security Payload) (pas un tunnel, malgré une mauvaise utilisation continue de l'expression «tunnel IPsec») authentifie et crypte les communications entre le client et le serveur de destination. Authentification bidirectionnelle atténue les attaques man-in-the-middle : utilisation de certificats X.509 émis émis par les autorités de que confiance de deux côtés, le client authentifie sur le serveur et le serveur authentifie le client. Advanced Encryption Standard (AES) cryptage assure la confidentialité afin que tout interceptées au cours des communications est sans importance à la personne malveillante.

Les réseaux VPN traditionnelles utilisent IPsec, trop ;C'est l'ajout du protocole IPv6 qui livre DirectAccess et passionnantes. Élimination de la connexion VPN requiert meilleure connectivité de bout en bout pour que IPv4, avec ses panoplie de traducteurs d'adresses réseau et de plages d'adresses qui se chevauchent, celle capable de. IPv6 configure une adresse routable globalement unique sur chaque client et sépare le trafic réseau d'entreprise régulière le trafic Internet. IPv6 est nécessaire pour DirectAccess, afin que votre réseau d'entreprise doit prendre en charge IPv6. Ce n'est pas en tant que complexe une tâche que vous pensez : nombre de vos serveurs probablement déjà ont ou peuvent être configurés pour s'exécuter IPv6 et n'importe quel équipement réseau effectuée dans la moitié-décennie dernière prend en charge IPv6. Technologies de transition de protocole permettent, tels que Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) et traduction/protocole NAT (NAT-PT) sur le bord de votre réseau d'entreprise.

Un client configuré avec DirectAccess est toujours connecté à votre réseau d'entreprise, mais probablement pas sur IPv6 natif ;le client est probablement derrière un NAT IPv4 et Internet lui-même est encore essentiellement IPv4. Windows 7 prend en charge 6to4 et Teredo, transition technologies qui encapsulent le trafic IPv6 dans IPv4. Et dans les rares cas lorsque aucune de ces protocoles ne fonctionne, DirectAccess revient à IP-HTTPS, un nouveau protocole qui encapsule IPv6 à l'intérieur de HTTPS via IPv4. (Oui, le schéma à activer HTTP dans le protocole ultime contournement universel a atteint son nadir!)

Les applications ne doivent toute modification ou d'un traitement spécial pour fonctionner sur DirectAccess. La stratégie de groupe affecte aux clients une résolution de stratégie de table de noms (NRPT) qui contient deux bits d'information : suffixe DNS interne du réseau d'entreprise et les adresses des serveurs DNS IPv6 résolution de l'espace de noms (voir de la figure 1). Supposons que votre suffixe DNS interne est inside.example.com et l'adresse du serveur DNS IPv6 est FEDC:BA98:7654:3210::1. Lorsque vous accédez à http://expenses, résolution de votre ordinateur ajoute le suffixe DNS et tente de résoudre expenses.inside.example.com. Parce que cela correspond à l'entrée de suffixe DNS dans le NRPT, le programme de résolution envoie la demande à FEDC:BA98:7654:3210::1. Réponses DNS avec l'adresse IPv6 du serveur dépenses ;DirectAccess suit les étapes nécessaires (native, transition, IP-HTTPS) pour vous connecter au serveur. Si votre ordinateur est joint à un domaine et si le serveur requiert une authentification, l'informations d'identification domaine que vous ouvrez une session avec authentifiera vous sur le serveur sans demander confirmation. Supposons que dans une autre fenêtre de navigateur que vous êtes naviguer vers un site Web public ;parce que le suffixe DNS n'est pas dans NRPT l'ordinateur, le programme de résolution effectue une recherche normale IPv4 (en utilisant les serveurs DNS configurés sur l'interface réseau) et se connecte sur le site complètement indépendamment de DirectAccess.

figure1.gif

Figure 1 stratégie de résolution nom de paramètre pour DirectAccess. (Cliquez sur l'image pour l'agrandir)

Prenez un instant et considérer les implications d'accès réseau d'entreprise toujours sur. Bien sûr, un utilisateur, il est plutôt addictive et rend (presque) simple pour terminer cette note de frais. Cependant, je sais mon public : les administrateurs et sécurité dudes. Que peut signifie que tous vos clients connectés à la corpnet tout le temps, où qu'elles se trouvent ? Que je mentionnerai quelques :

  • Gestion de configuration avec la stratégie de groupe
  • Mise à jour en continu avec Windows Server Update Services (WSUS) ou System Center Configuration Manager (SCCM)
  • Vérification du fonctionnement et de correction avec NAP
  • Protection avec le pare-feu Windows et Forefront Client Security ou autres centralisée anti-malware

Ressemble beaucoup offertes sur votre réseau d'entreprise, droit ? Exactement. DirectAccess étend votre réseau d'entreprise à Internet tout en vous permettant de maintenir vos ordinateurs bien gérés et sécurisés. Il est sans doute le bit plus intéressant de technologie réseau que j'ai vu beaucoup de temps et sans aucun doute mises à jour rend très intéressants.

BitLocker et BitLocker To Go

Correcte... Je vais faire ce que les auteurs sont jamais censé faire et vous demander de m'interrompre brièvement. Observez la chronologie de violations de données à Microsoft de droits de confidentialité (privacyrights.org/ar/ChronDataBreaches.htm). Il démarré suivi violations en janvier 2005. Comme la rédaction de cet article, un 263 millions d'enregistrements breathtaking ont une fuite. Le Ponemon Institute LLC et PGP Corp. mené une étude, «le quatrième États-Unis annuelCoût de l'étude de violation de données : Évaluation d'étude de sociétés", qui signale un coût moyen de récupération de $ 202 par enregistrement. Nous allons faire un peu mathématiques, doit nous ?

263,000,000 enregistrements × 202 $ / enregistrement

$53,000,000,000

Organisations ont perdu un milliard de 53 $ étonnant dans cinq et demi ans ! Il s'agit juste de prévoir que les ordinateurs portables déplacées et occultées incluses sont parmi les expositions costliest la plupart des sociétés face. Le coût pour remplacer l'équipement est négligeable, la plupart de l'exposition est directes ou indirectes coûts liés aux données de récupération/reconstruction, amendes, endommager la réputation et perte d'activité. Dans de nombreux cas une atténuation simple pourrait avoir éliminé l'exposition : cryptage de données portable.

Microsoft a ajouté BitLocker à Windows Vista afin de protéger le système d'exploitation contre les attaques hors connexion en cryptant le volume de lecteur à partir duquel Windows s'exécute. Lorsqu'un composant matériel module de plateforme sécurisée (TPM) est présent, BitLocker fournit également l'intégrité pour le processus d'amorçage en validant chaque étape en cours de route et arrêt de n'importe quelle partie cas une vérification de hachage. Bien sûr, de clients, ont toujours une leurs propres idées, et pendant la période bêta ils rapidement réalisé que BitLocker peut également protéger leurs données. Microsoft a ajouté quelques plusieurs objets stratégie de groupe () et une interface utilisateur pour la configuration de BitLocker, mais il reste difficile de déployer (en particulier sur des ordinateurs déjà intégrés) et était pris en charge uniquement sur le volume système.

Windows Vista SP1 étendue prise en charge de BitLocker pour tous les volumes de disque dur, autorisé des clés de cryptage être protégé par les trois méthodes conjointement (TPM, USB clé de démarrage et d'utilisateur code PIN) et un outil pour préparer les installations existantes avec le volume de lecteur supplémentaire nécessaire.

Windows 7 simplifie BitLocker en supposant qu'il est une fonction à utiliser l'installation. Le processus d'installation crée automatiquement la partition de démarrage nécessaires. L'activation de BitLocker est simple : Cliquez avec le bouton droit sur le volume de lecteur et sélectionnez l'option BitLocker à partir du menu (voir de la figure 2). Même si votre ordinateur est manquant dans la deuxième partition, le processus de préparation repartitionner votre disque. Récupération de données et de gestion de clés est plus facile à présent, avec prise en charge pour une administration informatique Agent (récupération de données). L'agent est un protecteur de clé plu fournit un accès administrateur à tous les volumes chiffrés. L'utilisation de l'agent est facultative mais vous encourageons fortement à créer un. Placer sur une carte à puce, conservez la carte verrouillée dans un coffre dans la salle informatique et être très judicieuse avec lequel vous partagez la combinaison de verrouillage.

figure2.gif

La figure 2 Activation BitLocker sur un lecteur amovible. (Cliquez sur l'image pour l'agrandir)

Auparavant, l'applet du Panneau de configuration BitLocker, le script de ligne de commande manage-bde.wsf et le fournisseur WMI (Windows Management Instrumentation) proposé non correspondante de jeux d'options de configuration. Dans Windows 7, toutes les options de BitLocker sont disponibles dans les trois méthodes. Pour les volumes non système d'exploitation, vous pouvez contrôler le déverrouillage automatique et exiger l'authentification carte à puce (voir de la figure 3).

figure3.gif

La figure 3 Utilisation d'un mot de passe pour déverrouiller un lecteur protégé par BitLocker. (Cliquez sur l'image pour l'agrandir)

Fuite de données continue à être un calvaire majeur pour de nombreuses organisations. Qui diable peu pratique, le lecteur USB, est une cause majeure (mais certainement pas le seul ;données peuvent exporter lui-même de votre organisation de multiples façons). Restriction de l'utilisation d'USB lecteurs ou complètement la désactivation des ports USB est un démarrage non pour la plupart des entreprises, la pratique est parfois nécessaire.

BitLocker à atteindre est la réponse de Windows 7 à ce problème : Cliquez avec le bouton droit sur un lecteur, sélectionnez BitLocker, créer un mot de passe et BitLocker pour atteindre crypte le lecteur indépendamment de son, même le format FAT. Cela traite principalement le risque de perdre leurs lecteurs, de personneslecteurs perdues toujours semblent contenir critiques des informations confidentielles et purloined par les pirates avec rien de mieux faire à valider votre secrets WikiLeaks.

Mais BitLocker À atteindre est plus qu'un protecteur de type USB. Il protège tout type de lecteur amovible et il fonctionne indépendamment de BitLocker du système d'exploitation, donc "Normal"BitLocker n'est pas nécessaire. Les administrateurs peuvent configurer une stratégie pour forcer tous les lecteurs amovibles soient en lecture seule à moins qu'ils vous tout d'abord chiffrés avec BitLocker À atteindre, après lequel les lecteurs sont accessibles en écriture. Une autre stratégie peut nécessiter l'authentification (sélectionnable longueur et complexité par mot de passe, carte à puce ou domaine) à un périphérique protégé. Et s'agents comportent des périphériques amovibles comme sur les volumes de disque dur.

Les utilisateurs peuvent lire à partir de, mais non écrire, périphériques protégés dans Windows Vista et Windows XP. Superpositions BitLocker pour atteindre un «volume découverte»sur le lecteur physique, qui contient les instructions de BitLocker pour lecture Go et d'installation. Le lecteur est également disponible pour téléchargement. Protégé par mot de passe volumes que (pas carte à puce ou domaine) sont utilisables avec le lecteur, comme indiqué dans de la figure 4.

figure4.gif

La figure 4 le BitLocker À OK lecteur autorise un accès en lecture seule dans les versions antérieures de Windows. (Cliquez sur l'image pour l'agrandir)

AppLocker

Avez vous déjà travaillé avec des stratégies (restriction logicielle) ? Ou même heard du SRP ? Disponible depuis Windows 2000, SRP permet aux administrateurs de contrôler si un ordinateur fonctionne en autoriser par défaut ou par défaut-refuser de l'état.

Refuser par défaut est recommandée, bien entendu : vous définissez un ensemble de logiciels autorisés à s'exécuter, pas dans la liste sont refusé. SRP est un moyen relativement correcte pour arrêter la propagation des logiciels malveillants. C'est également un moyen relativement correcte pour créer beaucoup de travail pour vous : les règles de chemin d'accès et de hachage doivent inclure chaque .exe et .dll comprenant une application et les règles de hachage doivent être remplacés chaque fois qu'une application est mise à jour. Découvrir et de suivi de chaque application qu'utilise une organisation sont un défi complexe, ne pas de mentionner les tests nécessaires pour garantir que généralement très gros ensemble de règles SRP n'a pas entraîner un dysfonctionnement par inadvertance. SRP jamais reçu bien attention parce qu'il était hostiles à configurer et trop rigide pratique.

Cependant, la liste application reste un élément important de n'importe quelle conception de sécurité. AppLocker améliore SRP en ajoutant plus de souplesse aux règles que vous pouvez créer. Avec l'habituel autorise et refuser les règles, vous pouvez créer des règles exception. Cela permet un refus par défaut de position beaucoup plus facile de définir et gérer. Exemple courant est : "Autoriser tout dans %windir% pour exécuter les jeux intégrés à l'exception." Je pense que cela plutôt amusantes à empêcher des personnes de modifier leur arrière-plan du bureau au violet, qui respecte ? Avec un peu de planification, vous pouvez créer une liste correcte des applications bien connues utilisant un jeu gérable de règles Autoriser avec exception.

Un autre type de règle indique autorisés d'éditeurs, comme indiqué dans figure 5. Lorsqu'un utilisateur exécute une application, lors AppLocker compare la signature numérique de éditeur l'application à votre défini de liste verte et vérifie les autres conditions que vous spécifiez. Cela nécessite beaucoup moins les règles de vérification de hachage du SRP : au lieu d'une collection longue de règles de hachage pour chaque fichier exécutable de l'application, AppLocker doit uniquement la règle seul éditeur. Règles de Publisher éliminent également la nécessité de créer de nouvelles règles lorsqu'une application autorisée est mis à jour. Par exemple, cette règle : "Autoriser n'importe quelle version d'Acrobat Reader égal à ou supérieur à 9.0 et uniquement s'il est signé par Adobe." Semaine prochaine, lorsque Adobe met à jour l'application, vous pouvez pousser il aux clients sans avoir à mettre à jour de la règle. Ainsi que numéros de version, vous pouvez créer règles spécifiant des applications ou certains fichiers ou des collections de fichiers. Dans certains cas AppLocker pouvez même créer des règles automatiquement (voir de la figure 6).

figure5.gif

La figure 5 Création d'une règle de publication AppLocker. (Cliquez sur l'image pour l'agrandir)

figure6.gif

La figure 6 AppLocker peut générer automatiquement certains types de règles. (Cliquez sur l'image pour l'agrandir)

Règles du SRP appliqués uniquement aux ordinateurs. Les règles de AppLocker peuvent s'appliquer également aux utilisateurs. Cette fonctionnalité vous permet de satisfaire aux exigences conformité plus en plus lourdes, telles que cette règle : "n'autoriser que ceux du service ressources humaines pour exécuter des applications de ressources humaines"(Cependant, pour être plus précis, la règle inclut les groupes de sécurité Active Directory contenant les comptes des employés dans Ressources humaines). Cette règle bloque tout le monde pas dans Ressources humaines, y compris les administrateurs, mais n'oubliez pas, les administrateurs malveillants peuvent varier toujours la règle. Rappeler mon ancien axiom : Si vous ne faites confiance à vos administrateurs, les remplacer.

L'amélioration des plus grande que AppLocker offre est probablement que c'est effectivement quelque chose que vous pouvez faire confiance. Franchement, SRP n'était pas très robuste. Vous devez considérer le système d'exploitation serait l'enforcer stratégie, mais vous seriez incorrect. Lors de l'application lancement processus parent de l'application, pas le système d'exploitation vérifie le SRP. Si l'utilisateur — Si admin ou non, contrôle de processus parent, l'utilisateur peut contourner SRP ;Voir entrée de blog de Mark Russinovich "de la contourner groupe de stratégie comme un Limited User"expliquer comment. Voici une notion blindingly évidente : Pour être une fonctionnalité de sécurité, la fonctionnalité doit être sécurisé. AppLocker se compose d'un service et d'un pilote en mode noyau ;les règles sont évaluées dans le pilote, le système d'exploitation est vraiment l'enforcer. Si pour une raison étrange que vous souhaitez continuer à utiliser les règles SRP plutôt que AppLocker règles, au moins ils sont plus fortes : dans Windows 7 les API SRP sont redéfinis afin d'ignorer le processus parent et mise en œuvre main règle Vérification des fichiers binaires du service AppLocker.

La possibilité de tester les stratégies est critique. Fonction d'audit de AppLocker (voir figure 7) affiche comportement d'applications si vos règles ont été activées. Il affiche une liste des tous les fichiers concernés à partir de laquelle ton direct des problèmes peuvent survenir avant déploiement. Les règles permettent distinctions entre les extensions .exe, .dll, .MSIs et scripts. AppLocker conserve les statistiques de la fréquence à laquelle une règle est déclenchée, qui est utiles de savoir au fil du temps, surtout que responsabilités de personnes changent et ils doivent applications nouveau ou différentes.

figure7.gif

Le mode d'audit ’s AppLocker figure 7 vous permet de tester vos règles avant de les déployer. (Cliquez sur l'image pour l'agrandir)

DNSSEC

Curiously, IPsec est orthographié avec un petit «s»Bien que DNSSEC est entièrement en majuscules. Ne jamais dit organismes ont été epitome de cohérence. Mais je digress …

En même temps, j'ai un doubter DNSSEC. La déclaration est que l'attachement d'authentification cryptographique aux réponses DNS restitue DNS empoisonnement des attaques de phishing impossible, par conséquent thwarting. DNSSEC tente de répondre à la question "Peut vous de confiance la réponse que vous recevez en réponse à ma requête de résolution de nom?" J'apparaît que c'était la question incorrecte. La question de droite a été "Peut vous confiance que je vais le véritable serveur?" Déjà SSL pris en charge ce bien tout à fait, nous vous remercions : uniquement la banque réelle peut obtenir un certificat SSL pour son site Web public, droit ? Un attaquant pourrait rediriger votre demande à son site, mais il ne peut pas obtenir le certificat SSL que la véritable banque utilise pour authentifier le serveur Web à votre navigateur. IPsec est similaire : sa dépendance sur les certificats numériques pour l'authentification garantit que ne peut usurper votre destination.

Après avoir soigneusement évalué prodding engager les cajoling d'autres personnes, vous avez frappé à croire que DNSSEC est un ajout important à notre arsenal de défense. Valeur est True, SSL et IPsec confirmer vous êtes connecté à un site légitime, bien que ce soit de valeur douteux, car la plupart des utilisateurs ont «formation»eux-mêmes pour ignorer les avertissements. Ils ne le faites pas, toutefois, vous empêcher de dont l'accès à un site légitime est refusé. Empoisonnement du DNS peut être un très efficace attaque par déni de service (DoS), qui ne peut pas être atténué avec SSL ou IPsec. DNSSEC supprime les conditions permettant à ces attaques : les réponses des serveurs DNS incluent des signatures numériques, les solveurs peuvent valider. Étant donné je ne suis aucun fan de sécurité «fonctionnalités»qui permettent des attaques (verrouillage de compte est un autre vecteur d'attaque DoS), vous avez modifié mon esprit et maintenant favoriser l'adoption rapide de DNSSEC sur Internet, en commençant par les serveurs racine qui les pirates tentent souvent détourner.

DNSSEC fournit :

  • Authenticité d'origine : la réponse est sur le serveur qu'il prétend provenir de
  • Intégrité des données : la réponse n'a pas été modifiée à des fins malveillantes lors du transit
  • Refus authentifié d'existence : un unspoofable "destination n'existe pas."réponse

Lorsqu'un serveur prenant en charge DNSSEC reçoit une requête pour un enregistrement dans une zone signée, le serveur renvoie ses signatures numériques ainsi que la réponse. Le résolveur Obtient la clé publique du serveur et valide la réponse. Le résolveur doit être configuré avec "une ancre de confiance"pour la zone signée ou son parent ;DNSSEC sur des serveurs racine de l'Internet autoriser tous les résolveurs compatibles DNSSEC d'avoir un ancrage de confiance «émanant du haut».

Le client DNSSEC dans Windows 7 est un non validant prenant en charge la sécurité stub résolution. Il reconnaît les requêtes DNSSEC et traite les enregistrements de ressources DNSSEC, mais il s'appuie sur son serveur DNS local pour valider les réponses. Le Solveur renvoie la réponse à l'application uniquement si la validation a réussi. Communications entre le client et son serveur DNS local sont protégées par SSL : le serveur présente son certificat propre au client pour la validation. Paramètres de DNSSEC sont configurées dans NRPT, comme dans de la figure 8 et doivent être remplis par le biais de la stratégie de groupe.

figure8.gif

La figure 8 stratégie de résolution de nom de guring configuré de DNSSEC. (Cliquez sur l'image pour l'agrandir)

Un autre point important : Historiquement, Autorités de certification publique ont abdicated leur responsabilité pour vérifier des applications pour les certificats de serveur x.509. J'ai lu d'instances où les attaquants posées comme légitimes représentants de sociétés réelles et a obtenu des certificats frauduleuses mais fiables. Par conséquent, à certains égards SSL peut être considéré «rompu»Dans ce certificats publics ne disposent pas une valeur de confiance. Les normes DNSSEC nécessitent beaucoup plus stricte identification et vérification avant une organisation peut recevoir des certificats de signature DNS, qui vous permettront de restaurer l'approbation aux transactions en ligne.

Plusieurs améliorations

Alors que les fonctionnalités de sécurité, j'ai abordé jusqu'ici sont mes favoris, vous devez mentionner quelques autres améliorations qui améliorent l'ensemble «sécurité»de Windows.

Plusieurs profils de pare-feu Active j'ai écrit dans le passé sur les pare-feu tiers, avec toutes leur "scare-ifying"avertissements, poser que rien de plus que comédie sécuritaire (voir «présentation du pare-feu Windows». Je pense toujours ce. Le pare-feu Windows est parfaitement capable de protéger votre ordinateur. Il n'avait qu'une seule restriction : tandis que les trois profils sont définis, une seule est active à tout moment. Dans le bureau, votre ordinateur joint à un domaine utilise automatiquement le profil de domaine, qui autorise les communications entrantes gestion. Dans votre chambre d'hôtel, votre ordinateur utilise le profil public, ce qui bloque toutes les communications entrantes non sollicitées. L'ordinateur demeure dans ce profil lorsque vous VPN dans votre réseau d'entreprise, ce qui rend votre ordinateur invisible aux outils de gestion. Windows 7 supprime cette limitation : Vous pouvez définir séparément le profil public, privé ou du domaine sur chaque interface de réseau physique ou virtuel.

Windows Biometric Framework par empreinte digitale lecteurs sont partout, même les ordinateurs portables moins chers comportent l'endroit magnétiques brillant. Bien que l'absence de prise en charge intégrée dans les versions antérieures de Windows gauche les périphériques inutilisés, fabricants de PC remis systèmes avec les pilotes installés quand même. La qualité médiocre de grande partie de ce code a provoqué un certain nombre de blocages écran bleu, dont un grand nombre se signalés eux-mêmes à Microsoft.

Grâce à cette base de connaissances, Microsoft a ajouté prise en charge biométrique native pour le système d'exploitation. Maintenant les pilotes doivent être conformes à un niveau haute qualité et utilisateurs disposez plus d'options pour s'authentifier sur leurs ordinateurs. Je suis toujours convaincu qu'il est important de maintenir la distinction entre identités (une déclaration publique) et authentification (validée possession d'un secret). Une empreinte digitale est inarguably publique. Mais il existe certains scénarios où l'ouverture de session par empreinte digitale est supérieur : Imaginez une station d'accueil du magasin teeming avec grands guys burly huffing crates énormes et conteneurs. Ils doivent régulièrement mettre à jour l'inventaire sur un ordinateur dans un panier propagée. Pensez-vous réellement une personne utilisant bruts compétences moteurs la plupart de la journée pouvez passer efficacement les compétences moteurs précis nécessaires pour insérer une carte à puce léger plaquettes son sliver d'un emplacement lors de la position dans une correcte des quatre orientations possibles ? Aucun moyen. Avec l'authentification par empreinte digitale, il ne doit pas basculer entre les modes sous-groupe : un magnétiques rapide sur le lecteur de journaux lui dans. (Oui, c'est un scénario client réel.)

WBF (Framework Biometric Windows) est une base extensible de prise en charge l'authentification biométrique. Dans la version initiale de Windows 7, empreintes seulement sont pris en charge. WBF définit plusieurs composants destinés à améliorer la fiabilité du matériel biométrique ses pilotes associés et et logiciels d'inscription. Lorsqu'un utilisateur inscrit initialement empreintes de son, le service biométrique crypte le flux de données représentation ainsi que les informations d'identification de l'utilisateur et stocke ce blob dans une structure de données appelée la chambre forte. Le mot de passe crypté est affecté un GUID, qui agit comme un handle. Crucially, le service ne révèle mot de passe de l'utilisateur directement à une application, mais au lieu de cela expose uniquement le handle. Selon les fonctionnalités du lecteur, l'authentification par empreinte digitale est disponible pour d'ouverture de session locale, domaine d'ouverture de session et authentification de UAC. Plusieurs objets de stratégie de groupe existent pour le contrôle administratif de WBF.

Il s'agit Windows souhaitées

Lorsque je remise en image mon ordinateur avec la première version bêta année dernière, je jamais recherché retour. Windows 7 semble snappier dans chaque tenir compte et l'adéquation globale et de fin est impressionnant. Avec son approche multifaceted sécurisation des accès, les personnes et les données, il est un complément peut être présenté à votre infrastructure. Votre fantassins définitivement seront Merci et, qui sait, peut-être vous obtiendrez enfin cet appel téléphonique nous avons dreamed jusqu'ici uniquement de : «Bonjour, je voulais juste vous tout fonctionne. Permettent!»

Steve Riley est un spécialiste et stratège en pour nuage informatique à un des fournisseurs principale préoccupation du monde. Il se spécialise dans entreprise spécifications de sécurité, disponibilité, fiabilité et l'intégration. Vous pouvez le contacter à stvrly@gmail.com.