De hecho, Vista está lleno de nuevas funciones de seguridad (mdash; mdash); que incluyen firewall integrado, funciones anti-spyware integradas, cifrado del controlador BitLocker y UAC (control de cuentas de usuario) — y mdash; Las características finalmente beneficiarán a los usuarios. Para los usuarios empresariales, necesitan capacidades multiplataforma, potencia de procesamiento centralizada y fiabilidad absoluta. Estas nuevas características parecen ser solo unas pocas decoraciones decorativas. Ya sea para negocios o personal, echemos un vistazo más de cerca a las características de seguridad de Vista. La tecnología de cifrado de unidad de disco duro de BitLocker
eWEEK Labs también está interesada en la función potencial de BitLocker para la empresa, ya que encripta todo el contenido controlado por el sistema: el sistema operativo y los archivos de datos.
BitLocker intenta proporcionar una experiencia que esté perfectamente cerca del usuario final. Idealmente, la clave descifrada se almacena en un chip en la placa base y puede descifrar el controlador de hardware en el inicio. Los administradores pueden configurar BitLocker para que requiera un código de verificación ingresado por el usuario como una clave incrustada. Una vez que el controlador se carga automáticamente, evita que los robos de datos tomen ataques sin conexión de otros controladores de arranque en lugar de uno en línea. Ataque violento.
Las empresas que planean usar BitLocker deben estar preparadas para comenzar a usar Vista: los controladores de hardware del sistema deben particionarse de tal manera que la administración de arranque y las imágenes de arranque se deban almacenar por separado del sistema operativo, las aplicaciones y los datos. En una partición distinta del archivo. Aunque es posible asignar otra partición a través de un proyecto de instalación existente, el proceso no es sencillo. Al mismo tiempo, el administrador debe asegurarse de que el BIOS de la computadora esté listo para Vista. Al mismo tiempo, debe tener un chip TPM (administración de plataforma confiable) en la placa base, o puede admitir el acceso a la memoria USB en el caso de un arranque previo.
Sin embargo, en las primeras etapas del desarrollo actual de Vista, el nivel necesario de soporte proporcionado por los fabricantes de hardware sigue siendo indispensable. Por ejemplo, aunque el controlador TPM de Vista no tiene marca, aún no podemos actualizar para que este controlador se instale correctamente en nuestro Lenovo ThinkPad T60. Necesitamos realizar una nueva revisión del BIOS, luego ubicar e instalar manualmente el controlador. De acuerdo con los ingenieros de Microsoft, el chip TPM del T60 no puede describir la identidad del dispositivo, lo que permite que se reconozca a Vista, por lo que el controlador no se puede instalar automáticamente.
Una vez que el chip TPM esté finalmente disponible, podemos comenzar el proceso de encriptación con la compresión de configuración de BitLocker, que nos requerirá que almacenemos la clave de encriptación antes de iniciar la verificación del sistema para asegurarnos de que BitLocker comenzará a funcionar. Esta compresión reiniciará la máquina, probará si la clave se descifrará y luego comenzará a cifrar toda la partición.
Descubrimos que el proceso de cifrado del disco es en realidad muy lento, y una partición de 30 GB tarda más de una hora. Además, dado que la clave de cifrado debe crearse en una máquina después de otra, lleva mucho tiempo y esfuerzo del administrador habilitar muchas computadoras portátiles a través de BitLocker.
De acuerdo con la documentación, el administrador primero debe cerrar BitLocker para descifrar la partición al iniciar una actualización de BIOS. Los cambios simples en el BIOS se pueden hacer con BitLocker deshabilitado temporalmente, aunque encontramos algunos cambios en — — por ejemplo, cambiando el orden de inicio de la partición, este paso no es necesario. Notamos que cuando el CD de instalación de Vista aún estaba en la unidad de CD-ROM y comenzamos a utilizar la computadora que probamos, tuvimos que ingresar manualmente la clave de recuperación para iniciar el sistema, incluso si elegimos no iniciar la unidad de CD-ROM.
Al cambiar rápidamente la configuración de la Política de grupo, también podemos aprovechar BitLocker sin el chip TPM, simplemente conecte una unidad flash USB a la computadora en el inicio para proporcionar la clave de descifrado. La BIOS debe poder acceder a esta clave para funcionar. Algunas cosas que no podemos hacer en la ThinkPad T60 se pueden personalizar a través del procesador AMD Athlon 64 3500+ y una placa base Abit. La computadora lo hace.
Anti-Spyware y Firewall
Vista también incluye programas anti-spyware para Windows Defender. En pruebas anteriores, encontramos que Windows Defender es una solución competente para detectar, eliminar y bloquear software espía, pero algunos residuos permanecerán en Vista. Windows Defender puede ser la segunda línea de defensa después de seleccionar el software antivirus /antispyware estándar de otras compañías. Debido a su falta de control centralizado de políticas, monitoreo de identidad y capacidades de retroalimentación, las compañías deben tener otras soluciones apropiadas para proporcionar la documentación y los controles necesarios en la administración de muchos ajustes.
Con la directiva de grupo de Active Directory, solo podemos controlar algunas acciones de Windows Defender: podemos deshabilitar o habilitar programas, habilitar algunas reglas de inicio de sesión y configurar las funciones de comentarios de SpyNet. No pudimos programar una exploración, cambiar el intervalo de verificación de actualización importante o indicar algún tipo de retroalimentación centralizada. La única aplicación que podemos habilitar es una computadora basada en Vista en lugar de una versión legítima de Windows, lo que hace que la instalación de Windows Defender sea como una aplicación aislada.
Es la suite de Microsoft ForeFront Client Security que está lista para proporcionar administración y comentarios a nivel empresarial. ForeFront, que salió a la venta en el segundo trimestre de 2007, tiene las mismas capacidades que Windows Defender, el software anti-spyware, y tiene el mismo motor antivirus que OneCare. La versión beta de ForeFront está actualmente disponible para descargar.
Vista es el primer sistema operativo que proporciona un firewall bidireccional integrado, y en general estamos satisfechos con esto. Mientras que el firewall en Windows XP solo puede bloquear el tráfico entrante de la red, el firewall de Vista puede monitorear y bloquear la salida, evitando así que el contenido autorizado salga de la aplicación instalada.
Ahora puede proteger tanto las conexiones entrantes como las salientes.
El panel de configuración para la configuración básica del Firewall de Windows se parece al panel de configuración del firewall en XP, aunque hay una configuración para bloquear todas las configuraciones de entrada. El nuevo botón reemplaza la funcionalidad utilizada para deshabilitar las excepciones de políticas en el pasado.
Míralo, la página con políticas anormales se parece mucho a la parte repetitiva de XP, pero las reglas de reducción del protocolo ICMC (Protocolo de mensajes de control de Internet) obviamente han desaparecido. Estas estrategias de mitigación, junto con el control de políticas para el contenido de salida, ahora existen en una nueva configuración basada en MMC (Microsoft Management Console) llamada Firewall de Windows con seguridad mejorada.
Aunque creemos que toda la herramienta de firewall integrada es altamente funcional, aún dudamos de que sea suficiente para las grandes empresas que deben continuar soportando los sistemas operativos legítimos de Windows en el futuro inmediato. Atraccion Con el fin de simplificar la administración, un bloque que se haya estandarizado para firewalls de terceros para sus plataformas de trabajo basadas en XP será reacio a implementar y administrar el firewall de Windows de Vista. En su lugar, es probable que se mantengan alejados de este firewall de Vista de terceros, sin importar cuándo esté disponible. El control de cuentas de usuario de
Vista UAC es el primer intento de Microsoft para desarrollar un sistema operativo que permita a los usuarios ejecutar con permisos locales restringidos, en lugar de una prueba del estado del administrador.
El administrador central puede especificar dos modos de UAC: se puede prohibir que los usuarios tengan acceso a todas las funciones del administrador, como instalar el software y cambiar la configuración del sistema, o pueden estar en una interfaz segura, independientemente de la del administrador. Cuando ocurre el comportamiento, todos pueden recibir advertencias.
Al ejecutar el último modo, UAC generará una gran cantidad de mensajes de advertencia, suficientes para que el usuario se sienta insensible al contenido de la información, simplemente haga clic mecánicamente en "Sí", "Sí", "Sí". Los administradores de TI lo ven como un LUA (derecho de usuario mínimo) bajo un sistema como XP o Windows 2000, por lo que probablemente no dejen que sus usuarios sufran este tipo de experiencia, pero se describirán en el primer modo. La forma de ejecutar UAC.
Microsoft aún está encantado con el salto en la visión de UAC. Reconoce que los usuarios no deben ejecutar el sistema con privilegios de administrador todo el tiempo. Pero los estándares que puede proporcionar UAC son lo que el departamento de TI debería haber abandonado hace mucho tiempo, y realmente esperan no usarlo.