auxiliar de almacenamiento empresarial: cifrado de unidad
Es razonable decir que BitLocker (cifrado de unidad) no es una característica nueva, ha aparecido en Windows Vista. Pero en Windows 7, su atención es en realidad mayor que en Windows Vista, por lo que aún merece mucha atención de los usuarios empresariales que no están interesados en él. BitLocker es un componente que proporciona cifrado de datos a nivel de disco. Para comprender BitLocker, debe comprender su EFS (Sistema de archivos de cifrado) predecesor. Como todos sabemos, NTFS es el sistema de archivos estándar para Windows NT y sistemas operativos posteriores, admite metadatos y utiliza estructuras de datos avanzadas para mejorar el rendimiento, la confiabilidad y la utilización del espacio en disco, y proporciona varias extensiones adicionales, como EFS. . EFS está disponible en Windows 2000 /XP /Server 2003 para ayudar a los usuarios a realizar operaciones de cifrado en archivos y carpetas almacenados en volúmenes de disco NTFS. Si los archivos en el disco duro se han cifrado mediante EFS, incluso si el pirata informático puede acceder a los archivos en el disco duro, los archivos no están disponibles porque no hay una clave desencriptada.
Por supuesto, EFS no es invencible. Las particiones de sistema activas NTFS por debajo de 1.5GB y las particiones de arranque superiores a 50GB no pueden ser cifradas por EFS. Puede usar la herramienta BitLocker para protegerla. Los usuarios de EFS pueden cifrar selectivamente algunos archivos o carpetas importantes, pero BitLocker cifra incondicionalmente todas las carpetas de toda la unidad. BitLocker puede compensar algunas de las deficiencias de EFS y puede usarse para acceso no autorizado. Control
De forma predeterminada, el sistema operativo Windows no activa la función BitLocker. Para cifrar una unidad con Windows instalado con BitLocker, la computadora debe tener dos particiones: la partición del sistema (que contiene los archivos necesarios para iniciar la computadora) y la partición del sistema operativo (incluida Windows), la partición del sistema operativo estará cifrada y la partición del sistema Permanecerá sin cifrar para que pueda iniciar su computadora. Si la computadora no tiene una partición del sistema, BitLocker crea automáticamente una partición del sistema con 200 MB de espacio libre en el disco en Windows 7. El sistema no asignará una letra de unidad a la partición del sistema y el sistema no mostrará la carpeta. Partición del sistema. Al cifrar una unidad (unidad del sistema operativo) con Windows instalado, BitLocker almacena sus propias claves de cifrado y descifrado en un dispositivo de hardware que no sea el disco duro, por lo que debe tener uno de los siguientes dispositivos de hardware: Trusted Cualquier computadora de plataforma (TPM) (una computadora con un microchip especial que admita funciones de seguridad avanzadas); un disco duro extraíble o una unidad flash USB.
En la partición donde se encuentra el sistema operativo que inicia la función BitLocker, esta función puede monitorear una serie de errores de disco, cambios en la BIOS, cambios en el archivo de configuración de inicio, etc. Si estas funciones se modifican de manera anormal, BitLocker bloqueará automáticamente el disco. Vivir El administrador del sistema puede desbloquear la unidad con una clave preestablecida. Esto puede ser útil para prevenir la pérdida de datos, prevenir el robo o prevenir la piratería. Y, BitLocker puede bloquear dispositivos de almacenamiento portátiles que otros pueden ver fácilmente, como unidades USB o unidades de disco duro extraíbles.
Butler de aplicaciones empresariales: AppLocker
AppLocker (Política de control de aplicaciones) es una nueva función de seguridad agregada a Windows 7, que se puede configurar fácilmente con los administradores de AppLocker. Por ejemplo, todos los usuarios pueden usar el ejecutable QQ.exe antes de que se realice la administración de AppLocker, y el usuario restringido no puede usar el programa después de configurar la política de control de la aplicación correspondiente.
El método específico es abrir " iniciar → ejecutar ", ingrese gpedit.msc para abrir el editor de políticas del grupo. En el panel izquierdo, abra " Configuración del equipo → Configuración de Windows → Configuración de seguridad → Control de aplicaciones ", puede ver el elemento de configuración de la directiva de grupo de AppLocker — — " Reglas ejecutables ", " Tres tipos de Reglas de Windows " y " reglas de script "; haga clic con el botón derecho en cada regla para crear una nueva regla, los usuarios pueden crear reglas de acción correspondientes según sus propias necesidades. Haga clic con el botón derecho en "Reglas ejecutables y crear nueva regla", haga clic en "Siguiente", haga clic en el botón "Seleccionar", en el cuadro de diálogo emergente, haga clic en "Avanzado", haga clic en "ld" Buscar ", encuentre el usuario que desea deshabilitar y luego puede agregar usuarios calificados a la regla. Luego, puede apuntar el objeto deshabilitado a QQ.exe y, finalmente, hacer clic en " Crear "
Para evitar la propagación de virus flash, deje el archivo AutoRun.inf fuera de servicio. En este caso, puede seleccionar " reglas de script " → " crear nuevas reglas ", seleccionar " permisos " → " rechazar " en la ventana emergente, seleccione " en " usuarios o grupos "; Todos ", " Siguiente " Seleccione " ruta " en la condición de creación, ingrese "?: \\ AutoRun.inf " en la casilla " ruta ", continúe a <; Next ", y finalmente Haga clic en " Crear "
Este tipo de usuario puede configurar las reglas predeterminadas de Applocker según su situación real, lo que puede evitar que los virus y los troyanos utilicen los programas normales del sistema, y puede evitar que programas maliciosos ingresen a la computadora a través de canales anormales.
Después de un período de ventas calientes, Windows 7 y Windows Server 2008 R2 están completamente integrados en las computadoras corporativas. Con el fin de satisfacer mejor las necesidades de los usuarios empresariales, Microsoft ha introducido una gran cantidad de funciones de almacenamiento, acceso a la red, seguridad y otras funciones en Windows 7 Enterprise /Ultimate y Windows Server 2008 R2, convirtiéndose en una nueva herramienta para aplicaciones empresariales. ¿Y cuáles son las funciones típicas de este tipo? ¿Cómo usarlo? ¿Qué impacto tendrá en las aplicaciones empresariales?
Multiplicador de eficiencia empresarial: Caché de sucursales
Según Microsoft, Caché de sucursales (caché de sucursales) ) es una nueva característica de clase empresarial provista en Windows 7 y Windows Server 2008 R2. Cuando esta función se habilita por primera vez en WAN (red de área amplia), puede acceder a los datos de acuerdo con la autorización habitual, y cuando se necesita acceder nuevamente, puede estar en el departamento más cercano. Otro cliente accede al mismo contenido según el estado de autenticación. A través de este acceso cercano, se puede mejorar la utilización del ancho de banda de la red, y se puede mejorar el rendimiento de la aplicación de red de la oficina remota, y se puede reducir la ocupación del ancho de banda de la empresa.
Branch Cache tiene dos modos de trabajo: uno es Distributed Cache y el otro es Hosted Cache. El almacenamiento en caché distribuido utiliza un modelo de igual a igual, similar a la red Ad-hoc, que permite un acceso más rápido en aplicaciones más pequeñas. La memoria caché hospedada usa una arquitectura de servidor /cliente, similar al modo central de AP, que permite a los clientes de Windows 7 copiar contenido a una computadora local que ejecuta Windows Server 2008 R2, de modo que otros clientes que necesitan acceso al mismo contenido puedan estar directamente en el servidor local. Acceda a estos datos y ya no dependerá del servidor original. Para usar Branch Cache, todos los sistemas de servidor deben ser Windows Server 2008 R2, y todos los clientes deben usar Windows 7.
Los usuarios pueden administrar el cliente de Branch Cache usando la configuración de la Política de grupo o la utilidad de script de línea de comandos de Netsh. Puede usar cualquiera de estas herramientas para realizar las siguientes tareas de configuración en el cliente de Branch Cache: habilitar Branch Cache (está desactivado de manera predeterminada); seleccione el modo de caché distribuida o el modo de caché hospedada; especifique el tamaño de la caché del equipo cliente ( Usar el modo de caché distribuido) De forma predeterminada, Branch Cache usa hasta el 5% del disco duro para el caché; especifica la ubicación del caché hospedado (usando el modo de caché hospedado). En este sentido, al usar esta configuración, el sistema de Windows proporciona instrucciones de configuración detalladas e intuitivas, y puede completar la configuración de acuerdo con las instrucciones.
De acuerdo con la prueba de Microsoft, la descarga de un archivo de 3 MB desde un servidor remoto empresarial tomó 47 segundos por primera vez y solo 2 segundos por segunda vez. De esta manera, la eficiencia de la función de caché de sucursal es visible. Es útil para sucursales de arquitectura de empresas grandes y medianas. Una aplicación de aceleración conjunta que comprime, elimina la redundancia, la optimización del transporte, el almacenamiento en caché y la distribución de contenido proporciona a las organizaciones una forma fácil de consolidar los servidores de sucursal, consolidar el almacenamiento y la infraestructura de respaldo al tiempo que garantiza las aplicaciones de alto rendimiento para el usuario final.
Enterprise Access New Security: DirectAccess
DirectAccess también es una nueva función de aplicación empresarial disponible en Windows 7 y Windows Server 2008 R2. Con esta función, los usuarios en la red externa pueden acceder directamente a los recursos detrás del firewall corporativo desde Internet a alta velocidad y de forma segura sin necesidad de conectarse a una VPN (red privada virtual, el núcleo de la VPN es utilizar la red pública para establecer una red privada virtual).
¿Cómo se implementa la función DirectAccess? Para lograr esto, DirectAccess aprovecha algunas de las características de la tecnología IPv6. Como todos sabemos, en la etapa inicial del desarrollo de IPv6, ¿cómo hacer que una gran cantidad de redes IPv6 puras locales “atraviesen” la red troncal tradicional de IPv4 para lograr la interoperabilidad? Por esta razón, la tecnología de “túnel” de IPv6 surgió entre las redes de IPv6 y las redes de IPv4. En la entrada del túnel, el enrutador encapsula el paquete de datos IPv6 en IPv4, y luego envía y reenvía el paquete IPv6 al nodo de destino en la salida del túnel, de modo que se pueda conectar una red IPv6 similar a una isla.
DirectAccess aprovecha esta tecnología. Cuando está activada, puede establecer una conexión de túnel IPv6 con el servidor de DirectAccess y trabajar en una red IPv4 normal en el cliente, para que el administrador pueda iniciar sesión en el usuario. Antes de que se administraran las computadoras relacionadas, el servidor de DirectAccess desempeñó principalmente el papel de transmisión de información de la red interna y externa (es decir, la puerta de enlace) en este proceso. Para obtener un buen cifrado y autenticación, DirectAccess también utiliza la familia de protocolos IPsec (Internet Protocol Security) opcional en IPv4, y cifra la información en unidades de paquetes IP. Cifre los paquetes en tránsito o evite la manipulación para garantizar una comunicación segura.
Según Microsoft, con DirectAccess, los usuarios empresariales pueden administrar computadoras a través de Internet sin inicio de sesión remoto y tener una seguridad sólida. Esta función proporciona un entorno de trabajo eficiente para los trabajadores móviles. Por ejemplo, si un empleado de la empresa está haciendo servicio de atención al cliente en el exterior o si desea encontrar información interna relevante en una reunión externa, puede usar una computadora portátil con acceso a Internet sin configurar una conexión VPN. En el caso de alta velocidad, acceso directo seguro a los recursos detrás del firewall corporativo.