Windows7 Enterprise Edition cómo almacenar nuevas características de seguridad

Enterprise Storage Helper: Drive Encryption

Es lógico que BitLocker (encriptación de unidades) ya no sea una característica nueva, ya está en Windows Vista. Aparecido Pero en Windows 7, su atención es en realidad mayor que en Windows Vista, por lo que aún merece mucha atención de los usuarios empresariales que no están interesados ​​en él. BitLocker es un componente que proporciona cifrado de datos a nivel de disco. Para comprender BitLocker, debe comprender su EFS (Sistema de archivos de cifrado) predecesor. NTFS es un sistema de archivos estándar para Windows NT y sistemas operativos posteriores que admite metadatos y utiliza estructuras de datos avanzadas para mejorar el rendimiento, la confiabilidad y la utilización del espacio en disco, y brinda varias extensiones adicionales, como EFS. . EFS se incluye con Windows 2000 /XP /Server 2003 para ayudar a los usuarios a realizar operaciones de cifrado en archivos y carpetas almacenados en volúmenes de disco NTFS. Si los archivos en el disco duro se han cifrado mediante EFS, incluso si el pirata informático puede acceder a los archivos en el disco duro, los archivos no están disponibles porque no hay una clave desencriptada.

Por supuesto, EFS no es invencible. Las particiones de sistema activas NTFS por debajo de 1.5GB y las particiones de arranque superiores a 50GB no pueden ser cifradas por EFS. Puede usar la herramienta BitLocker para protegerla. Los usuarios de EFS pueden cifrar selectivamente algunos archivos o carpetas importantes, pero BitLocker cifra incondicionalmente todas las carpetas de toda la unidad. BitLocker puede compensar algunas de las deficiencias de EFS y puede usarse para acceso no autorizado. Control

De forma predeterminada, el sistema operativo Windows no habilita la característica BitLocker. Para cifrar una unidad con Windows instalado con BitLocker, la computadora debe tener dos particiones: la partición del sistema (que contiene los archivos necesarios para iniciar la computadora) y la partición del sistema operativo (incluida Windows), la partición del sistema operativo estará cifrada y la partición del sistema Permanecerá sin cifrar para que pueda iniciar su computadora. Si la computadora no tiene una partición del sistema, BitLocker crea automáticamente una partición del sistema con 200 MB de espacio libre en el disco en Windows 7. El sistema no asignará una letra de unidad a la partición del sistema y el sistema no mostrará la carpeta. Partición del sistema. Al cifrar una unidad (unidad del sistema operativo) con Windows instalado, BitLocker almacena sus propias claves de cifrado y descifrado en un dispositivo de hardware que no sea el disco duro, por lo que debe tener uno de los siguientes dispositivos de hardware: Trusted Cualquier computadora de plataforma (TPM) (una computadora con un microchip especial que admita funciones de seguridad avanzadas); un disco duro extraíble o una unidad flash USB.

En la partición del sistema operativo donde está habilitado BitLocker, esta función puede monitorear una serie de errores de disco, cambios en la BIOS, cambios en el archivo de configuración de inicio, etc. Si estas funciones se modifican de manera anormal, BitLocker automáticamente Este disco está bloqueado. El administrador del sistema puede desbloquear la unidad con una clave preestablecida. Esto puede ser útil para prevenir la pérdida de datos, prevenir el robo o prevenir la piratería. Y, BitLocker puede bloquear dispositivos de almacenamiento portátiles que otros pueden ver fácilmente, como unidades USB o unidades de disco duro extraíbles.

Enterprise Application Manager: AppLocker

AppLocker (Política de control de aplicaciones) es una nueva función de seguridad agregada a Windows 7, que se puede configurar fácilmente con los administradores de AppLocker. Por ejemplo, todos los usuarios pueden usar el ejecutable QQ.exe antes de que se realice la administración de AppLocker, y el usuario restringido no puede usar el programa después de configurar la política de control de la aplicación correspondiente.

El método específico es abrir " iniciar → ejecutar ", ingrese gpedit.msc para abrir el editor de políticas del grupo. En el panel izquierdo, abra " Configuración del equipo → Configuración de Windows → Configuración de seguridad → Control de aplicaciones ", puede ver el elemento de configuración de la directiva de grupo de AppLocker — — " Reglas ejecutables ", " Tres tipos de Reglas de Windows " y " reglas de script "; haga clic con el botón derecho en cada regla para crear una nueva regla, los usuarios pueden crear reglas de acción correspondientes según sus propias necesidades. Haga clic con el botón derecho en "Reglas ejecutables ↠ Crear nueva regla", haga clic en "Siguiente", haga clic en el botón "Seleccionar", en el cuadro de diálogo emergente, haga clic en "Avanzado", haga clic en "&" Buscar ", encuentre el usuario que desea deshabilitar y luego puede agregar usuarios calificados a la regla. Luego, puede apuntar el objeto deshabilitado a QQ.exe y, finalmente, hacer clic en " Crear "

Para evitar la propagación de virus flash, deje el archivo AutoRun.inf fuera de servicio. En este caso, puede seleccionar " reglas de script " → " crear nuevas reglas ", seleccionar " permisos " → " rechazar " en la ventana emergente, seleccione " en " usuarios o grupos " Todos ", " Siguiente " Seleccione " path " en los criterios de creación, ingrese "?: \\ AutoRun.inf " en la casilla " path ", continúe a <; Next ", y finalmente Haga clic en " Crear "

Estos usuarios pueden establecer varias reglas predeterminadas de Applocker según su situación real, lo que puede evitar que los virus y los troyanos utilicen los programas normales del sistema, y ​​puede evitar que los programas maliciosos ingresen a la computadora a través de canales anormales. Corre

Después de un período de ventas calientes, Windows 7 y Windows Server 2008 R2 están completamente integrados en las computadoras corporativas. Con el fin de satisfacer mejor las necesidades de los usuarios empresariales, Microsoft ha introducido una gran cantidad de funciones de almacenamiento, acceso a la red, seguridad y otras funciones en Windows 7 Enterprise /Ultimate y Windows Server 2008 R2, convirtiéndose en una nueva herramienta para aplicaciones empresariales. ¿Y cuáles son las funciones típicas de este tipo? ¿Cómo usarlo? ¿Qué impacto tendrá en las aplicaciones empresariales?

Multiplicador de la eficiencia de la empresa: caché de sucursal

Según Microsoft Branch Cache es una nueva característica de clase empresarial provista en Windows 7 y Windows Server 2008 R2. Cuando esta función se habilita por primera vez en WAN (red de área amplia), puede acceder a los datos de acuerdo con la autorización como de costumbre y debe accederse nuevamente. , se puede acceder al mismo contenido de acuerdo con el estado de verificación de otro cliente en el departamento más cercano. A través de este acceso cercano, se puede mejorar la utilización del ancho de banda de la red, se puede mejorar el rendimiento de la aplicación de red de la oficina remota y se puede reducir el ancho de banda de la red empresarial.

Branch Cache tiene dos modos de trabajo: uno es Distributed Cache y el otro es Hosted Cache. El almacenamiento en caché distribuido utiliza un modelo de igual a igual, similar a la red Ad-hoc, que permite un acceso más rápido en aplicaciones más pequeñas. La memoria caché hospedada usa una arquitectura de servidor /cliente, similar al modo central de AP, que permite a los clientes de Windows 7 copiar contenido a una computadora local que ejecuta Windows Server 2008 R2, de modo que otros clientes que necesitan acceso al mismo contenido puedan estar directamente en el servidor local. Acceda a estos datos y ya no dependerá del servidor original. Para usar Branch Cache, todos los sistemas de servidor deben ser Windows Server 2008 R2, y todos los clientes deben ser Windows 7.

Los usuarios pueden administrar el cliente de Branch Cache usando la configuración de la Política de grupo o la utilidad de script de línea de comandos Netsh. Puede usar cualquiera de estas herramientas para realizar las siguientes tareas de configuración en el cliente de Branch Cache: habilitar Branch Cache (está desactivado de manera predeterminada); seleccione el modo de caché distribuida o el modo de caché hospedada; especifique el tamaño de la caché del equipo cliente ( Usar el modo de caché distribuido) De forma predeterminada, Branch Cache usa hasta el 5% del disco duro para el caché; especifica la ubicación del caché hospedado (usando el modo de caché hospedado). En este sentido, al usar esta configuración, el sistema de Windows proporciona instrucciones de configuración detalladas e intuitivas, y puede completar la configuración de acuerdo con las instrucciones.

Según la prueba de Microsoft, la descarga de un archivo de 3 MB desde un servidor remoto empresarial tomó 47 segundos por primera vez, y solo 2 segundos por segunda vez. Desde aquí, puede ver la función Branch Cache. Eficiencia, es útil para sucursales de arquitectura de empresas grandes y medianas. Una aplicación de aceleración conjunta que comprime, elimina la redundancia, la optimización del transporte, el almacenamiento en caché y la distribución de contenido proporciona a las organizaciones una forma fácil de consolidar los servidores de sucursal, consolidar el almacenamiento y la infraestructura de respaldo al tiempo que garantiza las aplicaciones de alto rendimiento para el usuario final.

Enterprise Access New Security: DirectAccess

DirectAccess es también una nueva función de aplicación empresarial disponible en Windows 7 y Windows Server 2008 R2. A través de esta función, los usuarios de la red externa pueden acceder directamente a los recursos del firewall de la empresa desde Internet a alta velocidad y de forma segura sin conectarse a una VPN (red privada virtual, el núcleo de la VPN es utilizar la red pública para establecer una red privada virtual).

¿Cómo se implementa la función DirectAccess? Para lograr esto, DirectAccess aprovecha algunas de las características de la tecnología IPv6. Como todos sabemos, en la etapa inicial del desarrollo de IPv6, ¿cómo hacer que una gran cantidad de redes IPv6 puras locales "viajen a través" de la red troncal IPv4 tradicional para lograr la interoperabilidad? Por esta razón, la tecnología de "túnel" de IPv6 surgió entre las redes IPv6 y las redes IPv4. En la entrada del túnel, el enrutador encapsula el paquete de datos IPv6 en IPv4, y luego envía y reenvía el paquete IPv6 al nodo de destino en la salida del túnel, de modo que se pueda conectar una red IPv6 similar a una isla.

DirectAccess está utilizando esta tecnología. Después de activarse, puede establecer una conexión de túnel IPv6 con el servidor de DirectAccess y trabajar en una red IPv4 normal en el cliente, para que el administrador pueda La computadora relacionada se administra antes de que el usuario inicie sesión. El servidor de DirectAccess cumple principalmente la función de transmisión de información de la red interna y externa (es decir, la puerta de enlace) en este proceso. Para obtener un buen cifrado y autenticación, DirectAccess también utiliza la familia de protocolos IPsec (Internet Protocol Security) opcional en IPv4, y cifra la información en unidades de paquetes IP. Cifre los paquetes en tránsito o evite la manipulación para garantizar una comunicación segura.

Según Microsoft, mediante DirectAccess, los usuarios empresariales pueden administrar computadoras a través de Internet sin inicio de sesión remoto y tener una seguridad sólida. Esta función proporciona un entorno de trabajo eficiente para los trabajadores móviles. Por ejemplo, si un empleado de la empresa está haciendo servicio de atención al cliente en el exterior o si desea encontrar información interna relevante en una reunión externa, puede usar una computadora portátil con acceso a Internet sin configurar una conexión VPN. En el caso de alta velocidad, acceso directo seguro a los recursos detrás del firewall corporativo.