Condividi tramite


Windows 7

Protezione in Windows 7

Steve Riley

 

Panoramica:

  • Semplificare l'accesso rete corpnet con DirectAccess
  • Crittografare l'unità rimovibile anche con il nuovo BitLocker
  • Gestire l'accesso alle applicazioni con AppLocker
  • Proteggere il danneggiamento e lo spoofing con DNSSEC DNS

Contenuti

DirectAccess
BitLocker e BitLocker To Go
AppLocker
DNSSEC
Ulteriori miglioramenti
Il presente Windows da

Come è stato posizionato i ritocchi in questo articolo, il giorno che molti di noi hanno stato attesa infine ricevuti: Windows 7 è stata rilasciata per la produzione. Trascorso un ampio di utilizzando il candidato beta e release come il sistema operativo di produzione e le offerte di Windows 7 le modifiche e miglioramenti sia gradita. Ora vorrei fornita una panoramica di alcune funzionalità preferite di protezione della.

DirectAccess

Se si è come ogni appassionato a cui è stata soddisfatta, lavoro non termina quando scorrere uscita lo sportello di ufficio. Perché si ritiene che datori di lavoro la maggior parte delle fornire laptop anziché computer desktop? Poiché conosce che è possibile utilizzare gratuitamente! Ecco come cui recuperare l'investimento in hardware più costosi. Impostare alcuni VPN server, pubblicare le istruzioni accedere alla rete aziendale e si otterrà molto più la produttività di personale.

O, in modo che passa il pensiero. VPN richiedono quasi sempre passaggi aggiuntivi per ottenere nella rete corpnet, a volte molto complessa procedura. È necessario eseguire intorno token hardware a perdere. Gli script di accesso Pokey trascinare illimitata. Il traffico Internet ottiene backhauled tramite rete corpnet, rallentando la velocità di risposta. Se è stato tempo dopo l'ultima connessione, è possibile che venga computer visualizzato di diversi megabyte di aggiornamenti software. Se è la sola cosa fastidiosa secondaria per eseguire, ad esempio completare una nota spese, verrà probabilmente inserirlo. Se solo un modo per eliminare le operazioni di connessione VPN distinte, pertanto è Impossibile utilizzare il computer a casa o in soggiorno l'aeroporto esattamente come in ufficio, anche sono stati che sarebbe interessante.

Insieme con Windows Server 2008 R2, DirectAccess in Windows 7 assegna esattamente tale esperienza. Dal punto di vista di un utente, la differenza tra la rete corpnet e Internet verrà. Ad esempio, si supponga che se sei in ufficio è passare a http://expenses per completare una nota spese. Con DirectAccess attivata la rete, la stessa procedura esatta da seguire in qualsiasi punto è possibile trovare una connessione a Internet: Immettere semplicemente http://expenses nel browser. Nessun ulteriore procedura, non re-training, nessuna chiamata di help desk per risolvere balky software del client VPN di accesso. DirectAccess consente di connettere i computer alla rete corpnet e a Internet nello stesso momento. Questa operazione rimuove il semplice tra l'utente e le applicazioni, rendendo ancora più semplice per poter accedere ai dati.

Esistono due protocolli di comunicazione che rendono questo possibile: IPsec e IPv6. Un'associazione di protezione modalità di IPsec ESP (Encapsulating Security Payload) trasporto (non un tunnel, nonostante l'utilizzo improprio continua della frase "tunnel IPsec") autentica e crittografa le comunicazioni tra il client e server di destinazione. Autenticazione bidirezionale attenua man-in-the-middle: utilizzando i certificati X.509 emessi emessi da autorità che attendibili di entrambi i lati, il client esegue l'autenticazione al server e il server autentica il client. Advanced Encryption Standard (AES) crittografia garantisce la riservatezza dei dati, in modo che qualsiasi intercettati durante le comunicazioni non ha significato per il eavesdropper.

VPN tradizionale utilizzare IPsec, troppo;è l'aggiunta di IPv6 che rende DirectAccess romanzo e divertente. Eliminando la VPN richiede una migliore connettività end-to-end non IPv4, con il numero dei traduttori di indirizzi di rete e intervalli di indirizzi sovrapposti, sia in grado di. IPv6 configura un indirizzo univoco globale instradabile in tutti i client e separa il traffico di rete corpnet da regolare il traffico Internet. IPv6 è necessaria per DirectAccess, in modo che rete corpnet deve supportare IPv6. Non è come daunting un'attività come si potrebbe pensare: numerosi server di probabilmente già in avere o che può essere configurati per eseguire IPv6 e qualsiasi rete gear apportate nell'ultimo decennio di metà supporta IPv6. Tecnologie di transizione di protocollo consentono ad esempio Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) e conversione/protocollo NAT (NAT-PT) all'estremità della rete corpnet.

Un client configurato con DirectAccess è sempre connesso alla rete corpnet, ma probabilmente non su IPv6 nativo;il client è probabilmente dietro un NAT IPv4 e Internet stesso è ancora principalmente IPv4. Windows 7 supporta 6to4 e Teredo, transizione tecnologie che IPv4 il traffico IPv6 incapsulano. E in occasione di rare quando nessuno di questi protocolli funziona, DirectAccess ritorna a HTTPS IP, un nuovo protocollo che incapsula IPv6 all'interno di HTTPS su IPv4. (Sì, lo schema per trasformare HTTP nel protocollo di esclusione universale finale ha raggiunto il nadir!)

Non è necessario un trattamento speciale per l'utilizzo su DirectAccess modifiche o le applicazioni. Criteri di gruppo assegna ai client di una tabella criterio di risoluzione dei nomi (NRPT) contenente due bit di informazioni: suffisso DNS interno della rete di corpnet e gli indirizzi dei server DNS di IPv6 risolvere lo spazio dei nomi (vedere di figura 1). Si supponga che il suffisso DNS interno è inside.example.com e l'indirizzo del server DNS di IPv6 è di FEDC:BA98:7654:3210::1. Quando si passa a http://expenses, sistema di risoluzione del computer viene aggiunto il suffisso DNS e tenta di risolvere expenses.inside.example.com. Poiché questo corrisponde la voce del suffisso DNS nel NRPT, il resolver invia la richiesta per FEDC:BA98:7654:3210::1. Risposte DNS con l'indirizzo IPv6 del server spese;DirectAccess segue la procedura necessaria (nativo, transizione, IP-HTTPS) per connettersi al server si. Se il computer è aggiunto al dominio e il server richiede l'autenticazione, le credenziali di dominio che è effettuato l'accesso con verranno autenticati è il server senza chiedere conferma. Si supponga che in un'altra finestra del browser che si sta passando a un sito Internet pubblico;il suffisso DNS non è in NRPT del computer, il resolver esegue una normale ricerca IPv4 (tramite i server DNS configurati sull'interfaccia di rete) e connessione al sito completamente indipendentemente DirectAccess.

figure1.gif

Figura 1 impostazione Nome criterio di risoluzione per DirectAccess. (fare clic sull'immagine per ingrandirla)

Richiedere alcuni minuti e considerare le implicazioni di accesso di rete corpnet sempre attiva. Certo, un utente, è piuttosto addictive e rende facile (quasi) per completare tale nota spese. Tuttavia, è possibile sapere pubblico: gli amministratori e dudes di protezione. Che cosa Impossibile significa affinché tutti i client connessi alla rete corpnet tutto il tempo, indipendentemente da dove sono? Verranno citare alcuni:

  • Manutenzione della configurazione con criteri di gruppo
  • Continua l'aggiornamento con Windows Server Update Services (WSUS) o System Center Configuration Manager (SCCM)
  • Controllo di integrità e monitoraggio e aggiornamento con protezione accesso alla rete
  • Protezione con il Windows firewall e Forefront Client Security o altro amministrati centralmente antimalware

Parole molto simili operazioni in rete corpnet, a destra? Risposta esatta. DirectAccess rete corpnet viene disposto all'intera Internet consentendo di mantenere i computer ben gestiti e protetti. Probabilmente si è il bit più interessante della tecnologia di rete che visto in un lungo periodo di tempo e in modo definito aggiornamenti rende accattivanti.

BitLocker e BitLocker To Go

Alright … sto per eseguire ciò che gli autori non dovrebbero e chiesto di interrompere più brevemente. Esaminare la cronologia delle violazioni di dati alla Privacy Rights Clearinghouse (privacyrights.org/ar/ChronDataBreaches.htm). È iniziata la verifica violazioni gennaio 2005. Redazione di questo, hanno perso un breathtaking 263 milioni di record. Le Ponemon Institute LLC PGP Corporation condotto uno Studio, "il quarto Usa annualeCosto di Studio di violazione di dati: Benchmark aziendale di società", che segnala un costo di recupero medio di $ 202 per ciascun record. È opportuno fare un piccolo matematica, deve è?

263,000,000 Registra × 202 $ / registrazione

$53,000,000,000

Le organizzazioni è sono persa un sorprendente miliardi di 53 dollari in anni di cinque e mezzo! È giusto surmise di laptop rubato e spostate tra i rischi costliest la maggior parte delle società faccia. Il costo per sostituire le apparecchiature è trascurabile, la maggior parte dell'esposizione è diretti o indiretti costi relativi a dati ripristino o ricostruzione, multe, danni di reputazione e perdite economiche. In molti casi una riduzione dei rischi semplice viene eliminato l'esposizione: crittografia di dati portabili.

Microsoft ha aggiunto a Windows Vista per proteggere il sistema operativo da attacchi non in linea mediante la crittografia volume dell'unità da cui viene eseguito Windows BitLocker. Quando un componente di hardware TPM (Trusted Platform Module) è presente, BitLocker fornisce inoltre l'integrità per il processo di avvio convalidando ogni passaggio lungo il percorso e l'arresto se qualsiasi parte non riesce un controllo di hash. I clienti, naturalmente, sono sempre le proprie idee e durante il periodo beta sono rapidamente realizzati che BitLocker può anche proteggere i dati. Microsoft ha aggiunto alcuni oggetti di criteri di gruppo (GPO) più e un'interfaccia utente per la configurazione di BitLocker, ma è rimasto complessa per la distribuzione (specialmente su computer già creato) ed era supportato solo nel volume di sistema.

Supporto di BitLocker tutti i sui volumi del disco rigido, consentito chiavi di crittografia per essere protetti da tutti i tre metodi in combinazione esteso per Windows Vista SP1 (TPM, USB utente PIN e la chiave di avvio) e incluso uno strumento per preparare le installazioni esistenti con il volume di unità aggiuntive necessarie.

Windows 7 semplifica BitLocker imposta per supponendo che si tratta di una funzionalità che si desidera utilizzare. Il processo di installazione crea automaticamente la partizione di avvio necessari. Attivazione di BitLocker è semplice: Fare clic con il pulsante destro del mouse sul volume dell'unità e la selezionare l'opzione di BitLocker dal menu (vedere di figura 2). Anche se il computer non dispone la seconda partizione, il processo di preparazione verrà partizionamento del disco. Recupero di dati e di gestione chiavi è più semplice a questo punto, con il supporto per un amministrato da IT dati ripristino agente (DRA). Il DRA è un ulteriore protezione con chiave fornisce accesso di amministratore a tutti i volumi crittografati. Utilizzando il DRA è facoltativo ma fortemente invitare di crearne uno. È possibile inserirlo su una smart card, mantenere la scheda di bloccato in una cassaforte nella stanza del computer e di essere molto razionale, con cui è possibile condividere la combinazione di blocco.

figure2.gif

Nella figura 2 Attivazione di BitLocker in un'unità rimovibile. (fare clic sull'immagine per ingrandirla)

In precedenza, l'applet Pannello di controllo BitLocker, lo script della riga di comando manage-bde.wsf e il provider di Strumentazione gestione Windows (WMI) offerto non corrispondenti di set di opzioni di configurazione. In Windows 7, tutte le opzioni di BitLocker sono disponibili in tutti i tre metodi. Per i volumi non del sistema operativo, è possibile controllare lo sblocco automatico e richiedere l'autenticazione con smart card (vedere di figura 3).

figure3.gif

Nella figura 3 utilizzo di una password per sbloccare un'unità protetta da BitLocker. (fare clic sull'immagine per ingrandirla)

Perdita di dati continua a essere un incubo principale per molte organizzazioni. Che diavolo poco pratico, l'unità USB, è una causa principale (ma certamente non solo quello;dati possono esportare stesso dall'organizzazione in innumerevoli modi). Limitare l'utilizzo di USB unità o completamente la disattivazione delle porte USB risulta un starter non per la maggior parte delle aziende, la comodità è a volte una necessità.

BitLocker Vai è la risposta di Windows 7 a questo problema: clic con il pulsante destro del mouse su un'unità, selezionare BitLocker, creare una password e BitLocker Vai consente di crittografare l'unità indipendentemente del formato, anche il formato FAT. Questo risolve principalmente il rischio di perdere le unità; di personeunità persa sempre sembrano contenere informazioni riservate critiche e sono purloined da ladri con niente di meglio eseguire più post di segreti WikiLeaks.

Ma BitLocker Vai è semplicemente una protezione USB. Consente di proteggere qualsiasi tipo di unità rimovibili e funziona indipendentemente BitLocker del sistema operativo, in modo "normale"BitLocker non è necessario. Gli amministratori possono configurare un criterio per forzare tutte le unità rimovibili da sola lettura a meno che sta prima crittografati con BitLocker per Vai, dopo il quale le unità diventano modificabile. Un altro criterio può richiedere l'autenticazione (lunghezza e complessità selezionabile password, smart card o dominio) per accedere a una periferica protetta. E il DRA comportamento su periferiche rimovibili come sui volumi del disco rigido.

Gli utenti possono leggere ma non scrivere, dispositivi protetti in Windows Vista e Windows XP. BitLocker Vai sovrapposte "individuazione volume"l'unità fisica, che contiene le istruzioni di BitLocker per lettore portatile e l'installazione. Il lettore è inoltre disponibile per il download. Solo protetti da password volumi (non smart card o di dominio) sono utilizzabili con il lettore, come illustrato in di figura 4.

figure4.gif

Nella figura 4 di BitLocker per Vai lettura consente l'accesso e di sola lettura nelle versioni precedenti di Windows. (fare clic sull'immagine per ingrandirla)

AppLocker

Hanno mai lavorato con criteri di restrizione software (SRP)? O ascoltato anche di SRP? Disponibile a partire da Windows 2000, SRP si consente agli amministratori di controllo se opera in un computer in-consentono predefinito o rifiuto predefinito dello stato.

Rifiuto di predefinito è ovviamente preferito: si definisce un insieme di consentire l'esecuzione di software, qualsiasi elemento non presenti nell'elenco viene negato. SRP è un modo piuttosto appropriato per arrestare la diffusione di software dannoso. È anche un modo piuttosto appropriato per creare molto del lavoro per se stessi: le regole di percorso e hash devono includere ogni exe e DLL che costituiscono un'applicazione, e le regole hash devono essere sostituite ogni volta che un'applicazione viene aggiornata. Individuazione e verifica di ogni applicazione che utilizza un'organizzazione è necessario è una sfida sconfortante, per non parlare i test necessari per assicurarsi che l'insieme in genere rilevanti di regole di Security Rollup Package non qualsiasi malfunzionamento inavvertitamente. SRP ricevuto non molto attenzione perché non compatibili con per configurare e troppo poco pratico per.

Elenco di applicazioni resta un elemento importante di qualsiasi architettura di protezione. AppLocker consente di migliorare SRP aggiungendo una maggiore flessibilità le regole che è possibile creare. Con il consueto consentire e regole di negazione, creare le regole di eccezione. In questo modo un rifiuto predefinito di quanto non è molto più semplice definire e gestire. L'esempio comune è questo: "Consenti tutti gli elementi in % WINDIR % eseguire tranne i giochi incorporati". Ritengo che questo piuttosto buffi, ad esempio impedendo gli utenti di cambiare lo sfondo del desktop su viola, che prende? Con un po' di pianificazione, è possibile comporre un elenco di indici di applicazioni di buona noti utilizzando un insieme gestibile di regole di consentire con eccezione.

Un altro tipo di regola specifica consentiti gli editori, come illustrato in figura 5. Quando un utente esegue un'applicazione, la firma digitale dell'editore dell'applicazione per la definizione di tipo AppLocker confronta elenco Consenti e controlla altre condizioni specificate. Questa operazione richiede molto meno regole di controllo hash del Security Rollup Package: anziché un lungo insieme di regole di hash per ogni file eseguibile dell'applicazione, AppLocker deve solo la regola del singolo editore. Le regole di pubblicazione eliminano anche la necessità di creare nuove regole quando si aggiorna un'applicazione consentita. Ad esempio, questa regola: "Consenti qualsiasi versione di Acrobat Reader uguale a o maggiore a 9.0 e solo se è firmato da Adobe". Settimana successiva, quando Adobe Aggiorna l'applicazione, è possibile propagare ai client senza dover aggiornare la regola. Insieme ai numeri di versione, è possibile creare regole che specificano intere applicazioni o determinati file o insiemi di file. In alcuni casi AppLocker possibile anche creare regole automaticamente (vedere di figura 6).

figure5.gif

Nella figura 5 creazione di una regola di pubblicazione AppLocker. (fare clic sull'immagine per ingrandirla)

figure6.gif

Nella figura 6 AppLocker possibile generare automaticamente alcuni tipi di regole. (fare clic sull'immagine per ingrandirla)

Regole del Security Rollup Package applicate solo ai computer. Le regole del AppLocker possono applicare a utenti anche. Questa funzionalità consente di soddisfare requisiti di conformità sempre più semplice, ad esempio questa regola: "Consenti solo quelli del reparto risorse umane per eseguire le applicazioni di risorse umane"(tuttavia, per essere più precisi, la regola include gruppi di protezione di Active Directory contenente account utente dei dipendenti in risorse UMANE). Questa regola si blocca tutti gli utenti non in risorse UMANE, inclusi gli amministratori, ma tenere presente che gli amministratori malintenzionati comunque possono modificare la regola. Richiamare l'assioma precedente: Se gli amministratori non attendibili, è necessario sostituirli.

Probabilmente il principale miglioramento che AppLocker offre è che è effettivamente qualcosa che è attendibile. Security Rollup Package non è molto affidabile. È necessario considerare il sistema operativo sarebbe enforcer il criterio, ma è necessario essere errato. Durante l'avvio dell'applicazione processo del padre dell'applicazione, il sistema operativo, controlla il Security Rollup Package. Se l'utente, se l'amministratore o non, aveva il controllo del processo padre, l'utente potrebbe aggirare SRP;vedere voce di blog di Mark Russinovich "eludere gruppo il criterio come un Limited User"che spiega come. Ecco una nozione blindingly ovvia: Per una funzionalità di protezione effettivo, la funzionalità deve essere protetto. AppLocker è costituito da un servizio e un driver in modalità kernel;le regole vengono valutate nel driver, operazione ora il sistema operativo è effettivamente il enforcer. Se si desidera continuare a utilizzare le regole SRP anziché AppLocker regole per qualche motivo dispari, almeno siano complesse: in Windows 7 le API del Security Rollup Package sono riprogettate per ignorare i processi padre e l'imposizione di regola disponibili e verifica di file binario al servizio AppLocker.

La possibilità di verificare i criteri è critica. Funzione di controllo del AppLocker (vedere figura 7) Mostra comportamento delle applicazioni se sono state abilitate le regole. Viene visualizzato un elenco di tutti i file interessati da cui è possibile identificare eventuali problemi possono verificarsi prima della distribuzione. Le regole è possono rendere distinzioni tra .EXEs, dll, .MSIs e script. AppLocker conserva statistiche della frequenza con cui viene attivata una regola, è utile sapere con il passare del tempo, soprattutto nonché modificare le responsabilità delle persone necessitano di applicazioni di nuove o diverse.

figure7.gif

Controllo modalità nella figura 7 AppLocker ’s consente di verificare le regole prima di distribuirli. (fare clic sull'immagine per ingrandirla)

DNSSEC

Curiosamente, IPsec è stato digitato con un piccolo "sec"mentre DNSSEC è completamente in maiuscolo. Nessuno mai detto corpi standard sono stati la sintesi di coerenza. Ma divagando …

Contemporaneamente è stato un doubter DNSSEC. L'attestazione è che connessione autenticazione crittografia a risposte DNS DNS danneggiamento gli attacchi di phishing Impossibile, pertanto thwarting esegue il rendering. DNSSEC tenta di rispondere alla domanda "È attendibili la risposta che viene visualizzato in risposta a una query di risoluzione del nome?" È ritenuto che questa era la domanda errata. La domanda di destra è stato "Possibile attendibili che sto per il server reale?" SSL è stata già cura di questo ben esattamente, grazie: solo la banca effettiva può ottenere un certificato SSL per il sito Web pubblico, a destra? Un utente malintenzionato potrebbe reindirizzare la richiesta del suo sito, ma è Impossibile ottenere il certificato SSL che alla banca reale viene utilizzata per autenticare il server Web al browser. IPsec è simile: la dipendenza certificati digitali per l'autenticazione garantisce che non può eseguire lo spoofing la destinazione.

Dopo aver valutato con attenzione il prodding approfonditi e cajoling di altri utenti, È stato provengono ritiene che DNSSEC è un'importante aggiunta al nostro arsenale di difesa. Ha valore true, SSL e IPsec verificare si è connessi a un sito legittimo, si tratta del valore di dubbia poiché la maggior parte degli utenti sono eseguito il "Training"se stessi per ignorare gli avvisi. Non, tuttavia, impedire verrà negato l'accesso di un sito legittimo. Danneggiamento DNS può essere un molto efficace attacco denial of service (DoS), che non può essere ridotti con SSL o IPsec. DNSSEC rimuove le condizioni che consente di tali attacchi: risposte da server DNS includono le firme digitali, i resolver possono convalidare. Specificato non sono fan di protezione "funzionalità"che consentono attacchi (il blocco degli account è un altro vettore di attacco DoS), È stata modificata la mia mente e si ora Ottimizza per la rapida diffusione di DNSSEC in Internet, inizia con i server principali che spesso i pirati informatici tentano funzionamento non corretto.

DNSSEC fornisce:

  • Autenticità dell'origine: la risposta è dal server che dichiara di provenire da
  • Integrità dei dati: la risposta non è stata modificata da utenti malintenzionati in transito
  • Autenticato denial of esistenza: un unspoofable "destinazione non esiste"risposta

Quando un server compatibili con DNSSEC riceve una query per un record in una zona con firma, il server restituisce le firme digitali con la risposta. Il resolver Ottiene la chiave pubblica del server e convalida la risposta. Il sistema di risoluzione deve essere configurato con un "ancoraggio di trust"per la zona con firma o padre;DNSSEC sui server principali di Internet consentono di tutti i sistemi di risoluzione compatibili con DNSSEC affinché un ancoraggio di trust "sempre nella parte superiore."

Il client DNSSEC in Windows 7 è un non convalida compatibile con protezione stub di sistema di risoluzione dei conflitti. Riconosce le query DNSSEC ed elabora i record di risorse DNSSEC, ma si basa sul relativo server DNS locale per convalidare le risposte. Il resolver viene restituita la risposta all'applicazione solo se la convalida ha avuto esito positivo. Comunicazioni tra il client e il server DNS locale sono protetti da SSL: il server presenta il proprio certificato al client per la convalida. Le impostazioni di DNSSEC sono configurate nel NRPT, come illustrato in di figura 8 e devono essere compilate mediante i criteri di gruppo.

figure8.gif

Figura 8 Confi guring nome criterio di risoluzione per DNSSEC. (fare clic sull'immagine per ingrandirla)

Un altro punto importante: In passato, autorità di certificazione pubblica sono abdicated rispettive responsabilità nei confronti per verificare le applicazioni per i certificati del server x.509. Ho letto di istanze in cui utenti malintenzionati rappresentate come legittimi rappresentanti delle aziende reali e ha ottenuto certificati attendibili ma fraudolenti. Pertanto alcuni aspetti SSL può essere considerato "interrotta"in quale pubblica i certificati sono privi di un valore di trust. Gli standard DNSSEC richiedono molto più rigide identificazione e verifica prima di un'organizzazione può ricevere certificati di firma DNS che consentono di ripristinare l'attendibilità per le transazioni in linea.

Ulteriori miglioramenti

Mentre le funzionalità di protezione che ho trattato finora sono il mio preferito, È necessario segnalare altri miglioramenti che migliorano la "capacità di protezione" globaleprecedente di Windows.

Più profili di Firewall Active ho scritto in precedenza sui firewall di terze parti, con tutti i "scare-ifying"gli avvisi, determinando come non più misure apparenti di protezione (vedere "introduzione di Windows Firewall." Ancora credo questo. Windows Firewall è perfettamente in grado di proteggere il computer. Aveva sola limitazione: mentre vengono definiti tre profili, solo uno è attivo in qualsiasi momento. Nella sede di computer appartenenti a un dominio utilizza automaticamente il profilo di dominio, che consente comunicazioni in ingresso di gestione. In una stanza di hotel, il computer utilizza il profilo pubblico, che blocca tutte le comunicazioni in ingresso non richieste. Il computer rimane in questo profilo quando si VPN in rete corpnet, in modo invisibile agli strumenti di Gestione computer. Windows 7 consente di rimuovere questa limitazione: è possibile definire il profilo public, private o dominio separatamente ogni interfaccia di rete fisica o virtuale.

I lettori di impronte digitali di Windows biometrico Framework sono ovunque, anche computer portatili più economico sport il campione di swipe lucido. Sebbene la mancanza di supporto incorporato nelle versioni precedenti di Windows a sinistra le periferiche non utilizzati, produttori di PC forniti sistemi con i driver installati comunque. La scarsa qualità di gran parte questo codice ha causato un notevole numero di arresti anomali di schermo blu, molti dei quali stessi segnalati diligentemente a Microsoft.

Dotati di questa conoscenza, Microsoft ha aggiunto supporto biometrico nativo al sistema operativo. Ora il driver deve essere conforme un livello di alta qualità e gli utenti più opzioni per l'autenticazione al proprio computer. Comunque sono indotto che è importante mantenere la distinzione tra identità (una dichiarazione pubblica) e autenticazione (convalidato possesso di un segreto). Un'impronta digitale è inarguably pubblica. Ma esistono alcuni scenari in cui è preferibile accesso impronte digitali: Si supponga un alloggiamento di espansione warehouse teeming con grande guys burly huffing colli enorme e contenitori. Così tanto spesso è necessario aggiornare le informazioni di inventario in un computer in un carrello in sequenza. Si ritiene realtà che un utente utilizzando di competenze motorizzate lorde la maggior parte del giorno in modo efficiente per passare alle competenze motorizzate fine necessarie per inserire una smart card sottile-wafer la parte di uno slot durante il posizionamento in uno corretto dei possibili e quattro gli orientamenti? Alcun modo. Con l'autenticazione tramite impronte digitali, non dispone di passare muscle modalità: una rapida swipe nel lettore Registra lui in. (Sì, questo è uno scenario reale cliente).

Windows biometrico Framework (WBF) è una base estendibile per supportare l'autenticazione biometrica. Nella versione iniziale di Windows 7, sono supportati solo fingerprints. WBF definisce diversi componenti che lo scopo di aumentare l'affidabilità dell'hardware biometrico e i relativi driver e software di registrazione. Quando un utente viene inizialmente Registra fingerprints proprio, il servizio di biometrico Crittografa il flusso di dati representational insieme con le credenziali dell'utente e memorizza il blob in una struttura di dati denominata dello scantinato. La password crittografata viene assegnata un GUID, che funge da un punto di manipolazione. Concetto, il servizio non rivela la password dell'utente direttamente a un'applicazione, ma invece espone solo l'handle. In base alle funzionalità del lettore, l'autenticazione tramite impronte digitali è disponibile per accesso locale, accesso al dominio e l'autenticazione di UAC. Diversi GPO esiste per il controllo amministrativo di WBF.

Il presente Windows da

Se ricostruzione dell'immagine del computer con la build beta prima dell'ultimo anno, mai eseguito nuovamente. Windows 7 ritiene snappier in ogni tenere conto e le dimensioni globali e di fine è impressionante. Con l'approccio articolato alla protezione di accesso, utenti e i dati, si tratta di un'aggiunta di rilievo per l'infrastruttura. Warrior la strada sarà ringraziamento in modo definito e, che è in grado, forse si otterrà infine tale chiamata telefonica è stato finora solo dreamed di: "Salve, solo volevo indicare che tutto il lavoro. Groovy!"

Steve Riley è evangelist e strategie per l'elaborazione di uno dei provider principale del mondo di area. Si è specializzato nei requisiti dell'organizzazione per la protezione, affidabilità, disponibilità e integrazione. È possibile contattarlo all' stvrly@gmail.com di.