經
企業存儲好幫手:驅動器加密
按理說,BitLocker(驅動器加密)已不算新功能,它在Windows Vista中便已出現。但在Windows 7中,其受關注度居然比在Windows Vista中還高,所以仍值得很多以前對它不感興趣的企業用戶關注。BitLocker是一種可提供磁盤級的數據加密能力的組件,要了解 BitLocker,就需要了解它的前輩EFS(Encrypting File System,加密檔案系統)。眾所周知,NTFS是Windows NT及之後的操作系統的標准文件系統,支持元數據,並且使用了高級數據結構,以便於改善性能、可靠性和磁盤空間利用率,並提供了若干附加擴展功能,如EFS。在Windows 2000/XP/Server 2003中都配備了EFS,它可以幫助用戶針對存儲在NTFS磁盤卷上的文件和文件夾執行加密操作。如果硬盤上的文件已經使用EFS進行了加密,即使黑客能訪問到硬盤上的文件,由於沒有解密的密鑰,文件也不可用。
當然,EFS並非天下無敵,低於1.5GB的NTFS活動系統分區與高於50GB的啟動分區不能被EFS加密,這時便可使用BitLocker 這個工具來進行保護了。使用EFS用戶可以有選擇地對一些重要的文件或文件夾進行加密,而BitLocker卻是無條件地對整個驅動器的全部文件夾加密,BitLocker可彌補EFS的一些不足,能夠很好地對非授權訪問進行控制。
在默認情況下,Windows操作系統是不啟動BitLocker功能的。若要對安裝了Windows的驅動器用BitLocker進行加密,計算機必須具有兩個分區:系統分區(包含啟動計算機所需要的文件)和操作系統分區(包含Windows),操作系統分區會被加密,而系統分區將保持未加密狀態,以便可以啟動計算機。如果計算機沒有系統分區,在Windows 7中BitLocker會自動使用200MB的可用磁盤空間創建一個系統分區,系統將不會為該系統分區分配驅動器號,並且“計算機”文件夾中也不會顯示該系統分區。在對安裝了Windows的驅動器(操作系統驅動器)加密時,BitLocker會將其自身的加密和解密密鑰存儲在硬盤之外的某個硬件設備上,因此你必須具有以下硬件設備之一:具有受信任的平台模塊 (TPM)(許多計算機中具有的一種支持高級安全功能的特殊微芯片)的計算機;可移動的硬盤或U盤。
在啟動了BitLocker功能的操作系統所在分區,該功能可對一系列的磁盤錯誤、BIOS更改、啟動配置文件的更改等進行監控,如果這些功能被異常更改,BitLocker會自動將這個磁盤鎖住。這時系統管理員便可利用預先設置的密鑰來解鎖這個驅動器。這對於防止數據丟失、防止被盜竊或防止被黑客攻擊等很有幫助作用。並且,BitLocker可以鎖定容易被他人看到重要數據的便攜式存儲設備,如U盤或移動硬盤。
企業應用小管家:AppLocker
AppLocker(應用程序控制策略)是Windows 7中新增加的一項安全功能,利用AppLocker管理員可以非常方便地進行配置。例如,QQ.exe可執行文件在沒有進行AppLocker管理前,所有用戶都可使用該程序,而在進行應用程序控制策略的相關設置後,被限制的用戶就不能使用該程序。
具體方法是,打開“開始→運行”,輸入gpedit.msc打開組策略編輯器。在左側的窗格中依次打開“計算機配置→Windows設置→安全設置→應用程序控制”,可以看到AppLocker組策略配置項——“可執行規則”、“Windows安裝程序規則”和“腳本規則”三種類型,在每一種規則上單擊鼠標右鍵都可以創建新規則,用戶可根據自己的需要創建相應的操作規則。右擊“可執行規則→創建新規則”,點“下一步”,點選“選擇”按鈕,在彈出的對話框中點“高級”,點選“立即查找”,找到想要禁用的用戶,確定後即可將限定的用戶加入規則。然後就可將被禁用的對象指向QQ.exe,最後點“創建”即可。
如要防止閃存病毒傳播,讓AutoRun.inf 文件不要運行即可。對此可選擇“腳本規則”→“創建新規則”,在彈出的窗口中選擇“權限”→“拒絕”,在“用戶或組”裡選擇“Everyone”,“下一步”在創建條件中選擇“路徑”,在“路徑”框中輸入“?:\AutoRun.inf”,繼續點“下一步”,最後點“創建”即可。
這樣用戶如能根據自己的實際情況,設置好Applocker的各種類型的默認規則,便可防止正常系統程序被病毒、木馬利用,可阻止通過非正常途徑進入電腦的惡意程序運行。
過一段時間的火爆銷售後,Windows 7及Windows Server 2008 R2正全面入駐企業計算機。為了更好地滿足企業用戶的需求,微軟在Windows 7企業版/旗艦版及Windows Server 2008 R2中引入了大量的存儲、網絡訪問、安全等功能,成為企業應用的新利器。而這類具備代表性的功能究竟有哪些呢?該如何使用呢?會給企業應用帶來什麼影響呢?
企業效率倍增器:分支緩存
據微軟介紹,Branch Cache(分支緩存)是Windows 7及Windows Server 2008 R2中提供的企業級新功能,啟用該功能,在WAN(廣域網)中首次訪問時可像平常一樣根據授權訪問數據,而需要再次訪問時,則可在就近部門的另一客戶端根據驗證狀況訪問相同的內容。通過這種就近訪問,可提高網絡的帶寬利用率,同時提高遠程辦公網絡應用的性能,減少對企業網絡帶寬的占用。
Branch Cache有兩種工作模式:一種為分布式緩存(Distributed Cache),另一種為托管式緩存(Hosted Cache)。分布式緩存使用點對點模式,類似於Ad-hoc網絡,它能在較小的應用范疇內獲得更快的訪問速度。托管式緩存采用服務器/客戶端架構,類似於AP中心模式,Windows 7客戶端可將內容復制到運行Windows Server 2008 R2的本地計算機,這樣其他需要訪問同樣內容的客戶端就能在本地服務器中直接訪問該數據,不再依賴最初的服務器。要使用Branch Cache,所有服務器系統都必須為Windows Server 2008 R2,所有客戶端都必須采用Windows 7。
用戶可以使用組策略設置或Netsh命令行腳本實用程序來管理Branch Cache客戶端。可以使用其中任一工具在Branch Cache客戶端上執行下列配置任務:啟用Branch Cache(默認情況下它處於禁用狀態);選擇分布式緩存模式或托管式緩存模式;指定客戶端計算機的緩存的大小(使用分布式緩存模式),默認情況下 Branch Cache最多為該緩存使用硬盤驅動器的5%;指定托管緩存的位置(使用托管緩存模式)。對此,在使用該設置時,Windows系統給出了詳細直觀的設置說明,大家根據說明就能完成設置。
根據微軟的測試,從企業遠程服務器上下載一個3MB的文件,第一次用了47秒,而第二次只用了2秒,從中可見Branch Cache(分支緩存)功能的效率,它對大中型企業構架分支辦公室很有用處。通過壓縮、消除冗余、傳輸優化、緩存和內容分發的聯合加速應用,可為企業提供一個易於整合分支服務器、整合存儲和備份基礎設施的途徑,同時確保最終用戶的高性能應用。
企業訪問新保安:DirectAccess
DirectAccess(直接訪問)同樣是Windows 7及Windows Server 2008 R2中提供的企業應用新功能。通過該功能,外網的用戶可以在不需要建立VPN(虛擬專用網絡,VPN的核心就是利用公共網絡建立虛擬私有網)連接的情況下,高速、安全地從Internet直接訪問公司防火牆後的資源。
DirectAccess功能是怎麼實現的呢?為了實現該功能,DirectAccess利用了IPv6技術的一些特性。眾所周知,在IPv6 發展初期,如何讓眾多的局部性的純IPv6網絡“穿越”傳統的IPv4骨干網絡實現互通呢?為此出現了IPv6“隧道”技術,在IPv6網絡與IPv4網絡間的隧道入口處,路由器將IPv6的數據分組封裝入IPv4中,在隧道的出口處再將IPv6分組取出轉發給目的節點,這樣就能將類似於孤島的IPv6網絡連接起來。
而DirectAccess正是利用了該技術,它在開啟後,可在客戶端建立一個通向DirectAccess服務器的並可在普通的IPv4網絡上工作的IPv6隧道連接,這樣管理人員就可在用戶登錄之前對相關計算機進行管理,DirectAccess服務器在這個過程中主要擔當內外網信息傳遞的角色(即網關)。而為了獲得良好的加密和認證,DirectAccess還利用了IPv4中可選的、IPv6中必備的IPsec(Internet Protocol Security)協議族,以IP Packet(小包)為單位對信息進行暗號化的方式,來對傳輸途中的信息包進行加密或防止遭到竄改,從而保證安全通信。
據微軟介紹,應用DirectAccess,企業用戶在遠程未登錄的情況下,也能通過互聯網對計算機進行管理,且具備很強的安全性。通過該功能可為移動辦公人員提供高效的工作環境,例如公司員工正在外面進行客戶服務,或在一個外部會議上想查找相關的內部資料,就可通過能上網的筆記本電腦在不需要建立VPN連接的情況下,高速、安全地直接訪問公司防火牆後的資源。
