Compartilhar via

  • Artigo

Windows 7

Uma segurança excelente no Windows 7

Steve Riley

 

Visão geral:

  • Mais fácil acesso a rede corporativa com DirectAccess
  • Criptografar unidades removíveis mesmo com o BitLocker novo
  • Gerenciar o acesso a aplicativos com AppLocker
  • Proteger contra DNS envenenamento e falsificação com DNSSEC

Conteúdo

DirectAccess
BitLocker e BitLocker To Go
AppLocker
DNSSEC
Aprimoramentos de mais
Este é o Windows que quiser

Como para inserir os toques neste artigo, o dia que muitos de nós tem sido aguardando finalmente chegou: Windows 7 foi lançado para fabricação. Eu gasto uma boa dose de tempo usando o candidato beta e versão como meu sistema operacional de produção e tenha gostado de ofertas de Windows 7 alterações e melhorias. Agora gostaria de levá-lo em um tour de alguns dos meus recursos favoritos de segurança.

DirectAccess

Se você estiver como todos os outro geek que tenha atendido, trabalho não termina quando você movimentar fora a porta do seu escritório. Por que você acha que fornecem empregadores a maioria dos laptops em vez de áreas de trabalho? Porque eles sabem que trabalhará gratuitamente! Isso é como eles recuperará o investimento em hardware mais cara. Configurar a VPN alguns servidores, publique instruções sobre como acessar a rede corporativa e você terá muito mais produtividade fora de sua equipe.

Ou então, o pensamento vai. VPNs quase sempre exigem etapas adicionais para acessar a rede corporativa, às vezes muito complicadas etapas. Você precisará executar ao redor de tokens de hardware fácil perder. Scripts de logon pokey arraste para sempre. Tráfego de Internet obtém backhauled por meio de sua rede corporativa, diminuindo a capacidade de resposta. Se ele é um pouco desde a última conexão, seu computador pode receber vários megabytes de atualizações de software. Assim, se você tiver apenas uma coisa irritante secundária para fazer — digamos concluir um relatório de despesas — você provavelmente irá colocá-lo. Se apenas houvesse uma forma para eliminar as etapas de conexão VPN separadas, portanto, você pode usar seu computador em casa ou de descanso aeroporto exatamente como faria no trabalho, também, que seria interessante.

Juntamente com o Windows Server 2008 R2, DirectAccess no Windows 7 oferece exatamente essa experiência. Da perspectiva de um usuário, a diferença entre a rede corporativa e a Internet evaporates. Por exemplo, suponha que quando você estiver no escritório você navegar para http://expenses para concluir um relatório de despesas. Com DirectAccess habilitado em sua rede, você poderia seguir o procedimento mesmo exato em qualquer lugar, você encontrará uma conexão com a Internet: Basta inserir http://expenses no seu navegador. Não extra logon etapas, não re-training, chamadas não-técnico para solucionar problemas de software de cliente VPN balky. DirectAccess permite que você conectar computadores à sua rede corporativa e a Internet ao mesmo tempo. Isso remove o conflito entre você e seus aplicativos, tornando ainda mais fácil de obter seus dados.

Há dois protocolos de comunicações que tornam isso possível: IPsec e IPv6. Uma associação de segurança de modo de transporte de carga de segurança de encapsulamento (ESP) IPsec (não um encapsulamento, apesar do mal uso contínuo a frase "Encapsulamento IPsec") autentica e criptografa as comunicações entre o cliente e o servidor de destino. Autenticação bidirecional atenua os ataques de interceptação: usando certificados X.509 emitido emitidos por autoridades de que confiar em ambos os lados, o cliente autentica para o servidor e o servidor autentica para o cliente. Avançadas padrão de criptografia (AES) criptografia fornece confidencialidade, de modo que nada interceptadas durante as comunicações é inútil para o interceptador.

As VPNs tradicionais usam IPsec, muito;é a adição de IPv6 que torna DirectAccess Romance e interessantes. Eliminar o VPN requer melhor conectividade de ponta a ponta que o IPv4, com sua grande quantidade de conversores de endereço de rede e intervalos de endereço sobrepostos, capaz de. IPv6 configura um endereço exclusivo, que pode ser roteado em cada cliente e segregates tráfego de rede corporativa de tráfego de Internet normal. IPv6 é necessária para DirectAccess, por isso, sua rede corporativa deve dar suporte a IPv6. Isso não é tão desanimadora uma tarefa como você pode pensar em: Muitos dos seus servidores provavelmente já tem ou podem ser configurados para executar o IPv6, e qualquer rede engrenagem feita na metade da última-década oferece suporte a IPv6. Tecnologias de transição de protocolo podem ajudar, como protocolo de endereçamento de encapsulamento automático Intra-site (ISATAP) e conversão/protocolo NAT (NAT-PORTUGAL) na borda da sua rede corporativa.

Um cliente configurado com DirectAccess sempre está conectado à sua rede corporativa, mas provavelmente não pelo IPv6 nativo;o cliente é provavelmente protegido por um NAT IPv4 e a Internet propriamente dito é ainda principalmente IPv4. Windows 7 oferece suporte a 6to4 e Teredo — transição tecnologias encapsulam tráfego IPv6 em IPv4. E, na ocasião rara quando nenhum desses protocolos funciona, DirectAccess volta ao IP-HTTPS, um novo protocolo que encapsula IPv6 dentro HTTPS sobre IPv4. (Sim, o esquema para ativar o HTTP para o protocolo final ignorar universal atingiu seu nadir!)

Aplicativos não precisam qualquer modificação ou tratamento especial para trabalhar sobre DirectAccess. A diretiva de grupo atribui aos clientes uma tabela de diretiva de resolução do nome (NRPT) que contém dois bits de informações: sufixo DNS interna a rede corporativa e os endereços dos servidores DNS de IPv6 Resolvendo o namespace (consulte do Figura 1). Suponha que seu sufixo DNS interno é inside.example.com e endereço do servidor DNS do IPv6 é FEDC:BA98:7654:3210::1. Quando você navega para http://expenses, resolução do seu computador anexa o sufixo DNS e tenta resolver expenses.inside.example.com. Porque isso coincide com a entrada de sufixo DNS no NRPT, o resolvedor envia a solicitação para FEDC:BA98:7654:3210::1. Respostas DNS com o endereço IPv6 do servidor despesas;DirectAccess segue as etapas necessárias (nativa, transição, IP-HTTPS) para você se conectar ao servidor. Se o computador está associado a um domínio e se o servidor requer autenticação, as credenciais de domínio que logon com autenticará você para o servidor sem avisar. Suponha que em outra janela do navegador que você estiver navegando para um site público da Internet;como o sufixo DNS não estiver na NRPT do computador, o resolvedor realiza uma pesquisa normal do IPv4 (usando os servidores DNS configurados na interface de rede) e se conecta ao site completamente independente da DirectAccess.

figure1.gif

Figura 1 diretiva de resolução de nome de configuração para DirectAccess. (Clique na imagem para uma visão ampliada)

Reserve um tempo e pensar sobre as implicações de rede corporativa sempre no acesso. Claro, como um usuário, ele é addictive em vez disso e torna simples para concluir esse relatório de despesas (quase). No entanto, eu sei meu público: Os administradores e dudes de segurança. O que poderia significa ter todos os seus clientes conectados para a rede corporativa o tempo todo, importando aonde estejam? Será menciono alguns:

  • Manutenção de configuração com diretiva de grupo
  • Atualizando contínua com Windows Server Update Services (WSUS) ou o System Center Configuration Manager (SCCM)
  • Verificação de integridade e correções com a NAP
  • Proteção com o firewall do Windows e a Forefront Client Security ou outros administrado centralmente anti-malware

Parece muito o que você fazer na sua rede de corporativa, direito? Exatamente. DirectAccess estende sua rede corporativa em toda a Internet ao permitindo que você manter seus computadores segura e bem gerenciada. Comprovadamente é o bit mais interessante da tecnologia de rede que já vi em muito tempo e definitivamente faz atualizações atraentes.

BitLocker e BitLocker To Go

Certo … vou fazer o que os autores nunca devem fazer e pedir que você interromper me rapidamente. Dê uma olhada cronologia das violações de dados na Privacy Rights Clearinghouse (privacyrights.org/ar/ChronDataBreaches.htm). Ele começou a controlar violações em janeiro de 2005. De redação deste artigo, tem perdido uma breathtaking 263 milhões de registros. O Ponemon Institute LLC e PGP corp. realizou um estudo, "O quarto EUA anualCusto de estudo de violação de dados: Padrão de referência de estudo de empresas", que reporta um custo médio de recuperação de $ 202 por registro. Vamos fazer uma pouco matemática, deverá nós?

263,000,000 × $ 202/registro de registros

$53,000,000,000

Organizações perdeu um impressionante $ 53 bilhões em cinco e meia anos! É razoável para concluir que mal e roubadas de laptops estão entre as exposições costliest a maioria das empresas face. O custo para substituir o equipamento é insignificante — a exposição é diretos ou indiretos custos relacionados a dados recuperação/reconstrução, multas, danos de reputação e negócios perdidos. Em muitos casos uma atenuação simples seria ter eliminado a exposição: criptografia de dados portáteis.

A Microsoft adicionou BitLocker para o Windows Vista para proteger o sistema operacional contra ataques offline criptografando o volume da unidade da qual o Windows executa. Quando um componente de hardware do Trusted Platform Module (TPM) estiver presente, o BitLocker também fornece integridade para o processo de inicialização validando cada etapa percorrida e interrompendo se falhar em qualquer parte uma verificação de hash. Os clientes, claro, sempre têm suas próprias idéias e durante o período beta eles perceberam que BitLocker também pode proteger seus dados. A Microsoft adicionou algumas mais grupo Diretiva de objetos (GPOs) e uma interface de usuário para configurar o BitLocker, mas ele permanece um desafio implantar (especialmente em computadores já criados) e havia suporte para apenas no volume do sistema.

Windows Vista SP1 estendido suporte do BitLocker para todos os volumes de disco rígido, permitido chaves de criptografia para ser protegida por todos os três métodos de combinação (TPM, USB chave de inicialização e do PIN do usuário) e incluído uma ferramenta para preparar as instalações existentes com o volume da unidade adicional necessário.

Windows 7 simplifica BitLocker instalação por supondo que seja um recurso que você vai querer usar. O processo de instalação cria automaticamente a partição de inicialização necessário. Habilitando o BitLocker é fácil: Clique com o botão direito do mouse o volume da unidade e selecione a opção BitLocker a partir do menu (consulte do Figura 2). Mesmo se seu computador não possui a segunda partição, o processo de preparação será reparticionar a unidade. Recuperação de dados e gerenciamento de chave é mais fácil agora, com suporte para um administrado IT dados agente de recuperação (DRA). O DRA é um protetor de chave adicional que fornece acesso administrador para todos os volumes criptografados. Usar o DRA é opcional, mas eu altamente insistir lhe para criar um. Colocá-lo em um cartão inteligente, manter o cartão bloqueado em um cofre na sala do computador e ser muito criteriosos com quem você compartilhar a combinação de bloqueio.

figure2.gif

Figura 2 ativando o BitLocker em uma unidade removível. (Clique na imagem para uma visão ampliada)

Anteriormente, o miniaplicativo do painel de controle do BitLocker, o script de linha de comando manage-bde.wsf e o provedor WMI (Instrumentação de gerenciamento do Windows) oferecido não correspondentes conjuntos de opções de configuração. No Windows 7, todas as opções do BitLocker de estão disponíveis em todos os três métodos. Para volumes de não-OS, você pode controlar o desbloqueio automático e exigir autenticação de cartão inteligente (consulte do Figura 3).

figure3.gif

Figura 3 usando uma senha para desbloquear uma unidade protegido por BitLocker. (Clique na imagem para uma visão ampliada)

Vazamento de dados continua a ser uma grande dor de cabeça para muitas organizações. Que Diabo pouco prático, a unidade USB, é um responsável principal (mas certamente não é a única;podem exportação de dados próprio da sua organização de inúmeras maneiras). Restrição do uso de USB unidades ou desabilitar completamente as portas USB é um starter-não para a maioria das empresas — a conveniência, às vezes, é uma necessidade.

BitLocker ir é a resposta do Windows 7 para esse problema: Clique uma unidade com o botão direito do mouse, selecione o BitLocker, criar uma senha e BitLocker ir criptografa a unidade, independentemente de seu formato, até mesmo o formato FAT. Isso aborda principalmente o risco de perder suas unidades; pessoasunidades perdidas sempre parecem conter informações confidenciais críticas e purloined por ladrões com nada melhor do que postagem seus segredos para WikiLeaks.

Mas BitLocker ir é mais do que apenas um protetor de USB. Ele protege qualquer tipo de unidade removível e funciona independentemente de BitLocker do sistema operacional, portanto, "normal"O BitLocker não é necessário. Os administradores podem configurar uma diretiva para forçar a todas as unidades removíveis para ser somente leitura, a menos que eles estiver primeiro criptografados com BitLocker para ir, após o qual as unidades de disco se tornar graváveis. Outra diretiva pode exigir autenticação (comprimento e complexidade-selecionável senha, cartão inteligente ou domínio) para acessar um dispositivo protegido. E se DRAs comportam em dispositivos removíveis exatamente como em volumes de disco rígido.

Os usuários podem ler, mas não gravar, dispositivos protegidos no Windows Vista e no Windows XP. Sobreposições BitLocker ir "volume descoberta"na unidade física, que contém as instruções do BitLocker para ir Reader e instalação. O leitor também está disponível para download. Apenas protegido por senha volumes (não o cartão inteligente ou domínio) são utilizáveis com o leitor, conforme mostrado na do Figura 4.

figure4.gif

Figura 4 O BitLocker para ir leitor permite acesso somente leitura em versões anteriores do Windows. (Clique na imagem para uma visão ampliada)

AppLocker

Você nunca trabalhou com diretivas de restrição de software (SRP)? Ou até mesmo ouvido do SRP? Disponível desde o Windows 2000, SRP permite que os administradores controlem se um computador opera no padrão-permitem ou negar padrão estado.

Negar padrão é o preferido, do curso: Você define uma coleção de software podem ser executados, nada não está na lista negado. SRP é uma maneira bastante decente para parar a propagação de malware. Também é uma forma bastante decente para criar muito trabalho para si mesmo: regras de caminho e o hash devem incluir cada .exe e .dll que compõem um aplicativo e regras de hash devem ser substituídas sempre que um aplicativo é atualizado. Descoberta e controle de cada aplicativo que uma organização são um desafio desanimador, para não mencionar o teste necessário para garantir que conjunto de regras SRP geralmente grande não causa qualquer problema inadvertido. SRP nunca recebeu muita atenção porque ele foi unfriendly para configurar e muito inflexível ser prático.

Ainda assim, o aplicativo listagem permanece um elemento importante de qualquer projeto de segurança. AppLocker aprimora SRP adicionando mais flexibilidade para as regras que você pode criar. Juntamente com o habitual allow e deny regras, você pode criar regras de exceção. Isso faz com que um padrão-negar postura muito mais fácil de definir e gerenciar. O exemplo comum é: "Permitir tudo em % WINDIR % para executar, exceto os jogos internos." Eu acho que isso tolice em vez disso, como impedir que pessoas alterem seu plano de fundo da área de trabalho para roxo — quem se importa? Com um pouco de planejamento, você pode compor uma lista decente de aplicativos de boas conhecidos usando um conjunto de regras de permitir com exceção gerenciável.

Outro tipo de regra especifica permitidos editores, como mostrado no Figura 5. Quando um usuário executa um aplicativo, AppLocker compara a assinatura digital do Editor do aplicativo para seu definido lista de permissões e verifica outras condições que você especificar. Isso requer muito menos regras de verificação de hash do SRP: em vez de uma coleção extensa de regras de hash para cada executável no aplicativo, AppLocker precisa somente a regra do publisher único. O Publisher regras também eliminam a necessidade para criar novas regras de quando um aplicativo permitido é atualizado. Por exemplo, essa regra: "permitir que qualquer versão do Acrobat Reader igual a ou maior do que 9.0 e somente se ele é assinado pelo Adobe." Próxima semana, quando o Adobe atualiza o aplicativo, você pode pressionar-para clientes sem ter que atualizar a regra. Junto com números de versão, você pode criar regras especificando aplicativos inteiros ou determinados arquivos ou coleções de arquivos. Em alguns casos AppLocker pode até mesmo criar regras automaticamente (consulte do Figura 6).

figure5.gif

Figura 5 criando uma regra de publicação AppLocker. (Clique na imagem para uma visão ampliada)

figure6.gif

Figura 6 AppLocker pode gerar automaticamente certos tipos de regras. (Clique na imagem para uma visão ampliada)

Regras do SRP aplicadas somente a máquinas. Regras do AppLocker também podem aplicar a usuários. Esse recurso ajuda a satisfazer requisitos de conformidade extenuante cada vez mais, como essa regra: "Permitir apenas aqueles no departamento de recursos humanos para executar aplicativos de recursos humanos"(Entretanto, para ser mais preciso, a regra inclui grupos de segurança do Active Directory que contém contas de usuário de funcionários de RH). Essa regra bloqueia qualquer pessoa não em HR, incluindo os administradores — mas lembre-se, os administradores mal-intencionado ainda podem alterar a regra. Lembre-se meu axioma antiga: Se você não confia seus administradores, substituí-los.

Provavelmente a maior melhoria que AppLocker oferece é que ele realmente é algo que pode confiar. Francamente, SRP não era muito eficiente. Você poderia considerar o sistema operacional seria o aplicador de diretiva, mas você poderia estar errado. Durante a inicialização do aplicativo o processo do aplicativo pai, não OS, verifica o SRP. Se o usuário — se admin ou não — tinha controle de processo pai, o usuário pode contornar SRP;Consulte entrada de blog de Mark Russinovich "do usuário de contornar grupo diretiva como um padrão" explicando como. Eis uma noção blindingly óbvia: para ser um recurso de segurança real, o recurso deve ser seguro. AppLocker consiste em um serviço e um driver de modo kernel;suas regras são avaliadas no driver, isso agora OS realmente é o aplicador. Se por algum motivo estranho você quiser continuar usando regras SRP em vez de AppLocker regras, menos eles são mais seguros: no Windows 7 as APIs do SRP são remodeladas para ignorar processos pai e imposição de regra de mão e verificação de arquivo binário para o serviço AppLocker.

A capacidade de testar diretivas é crítica. Função de auditoria do AppLocker (consulte Figura 7) mostra como aplicativos comportariam o se as regras foram ativadas. Ele exibe uma lista de todos os arquivos afetados do qual você pode identificar quaisquer problemas que podem ocorrer antes da implantação. Regras podem tornar distinções entre .EXEs, .DLLs, .MSIs e scripts. AppLocker mantém estatísticas de freqüência uma regra é acionada, que é útil saber com o passar do tempo, especialmente como alterar as responsabilidades de pessoas e precisam que aplicativos novos ou diferentes.

figure7.gif

Modo de auditoria ’s a Figura 7 AppLocker permite que você teste as regras antes de implantá-los. (Clique na imagem para uma visão ampliada)

DNSSEC

Curiously, o IPsec está escrito com um pequeno "s"enquanto inteiramente em letras maiúsculas DNSSEC. Ninguém nunca disse órgãos de padrões foram o resumo de consistência. Mas eu divagando …

Uma vez foi um doubter DNSSEC. A declaração é que anexar autenticação de criptografia a respostas DNS processa ataques de phishing impossível, portanto thwarting inviabilização de DNS. DNSSEC tenta responder à pergunta "Pode confio a resposta que recebo em resposta a minha consulta de resolução de nome?" Eu acredita-se a que essa foi a pergunta errada. A pergunta certa foi "Pode confio que vou para o servidor real?" SSL já levou cuidado este bem bastante, Obrigado: somente o banco real foi possível obter um certificado SSL para seu site público, certo? Um invasor pode redirecionar a solicitação para seu site, mas ele não é possível obter o certificado SSL que bancária real usa para autenticar seu servidor Web para seu navegador. IPsec é semelhante: a confiança em certificados digitais para autenticação garante que ninguém pode falsificar o destino.

Depois de avaliar cuidadosamente o prodding suaves e cajoling de outras pessoas, eu já vêm para acreditar que DNSSEC é um acréscimo importante para nosso arsenal de defesa. True, SSL e IPsec confirmar você estiver conectado a um site legítimo — Embora isso seja de valor questionável porque a maioria dos usuários têm "treinados"Se ignorar avisos. Impedir que eles não, no entanto, que você seja negado acesso a um site legítimo. Adulteração de DNS pode ser uma muito eficaz de negação de ataque de serviço (DoS), que não pode ser atenuada com SSL ou IPsec. DNSSEC remove as condições permitindo que esses ataques: respostas de servidores DNS incluem assinaturas digitais, que resolvedores podem validar. Dado sou não fã de segurança "recursos"que permitem ataques (bloqueio de conta é outro vetor de ataque de negação de serviço), mudou minha mente e favorecer a rápida adoção do DNSSEC em toda a Internet, começando com os servidores raiz que os invasores freqüentemente tentam seqüestrar agora.

DNSSEC fornece:

  • Autenticidade de origem: é a resposta do servidor alega provenientes
  • Integridade de dados: a resposta não tenha sido maliciosamente modificada em trânsito
  • Autenticado negação de existência: um unspoofable "o destino não existe"resposta

Quando um servidor compatíveis com DNSSEC recebe uma consulta para um registro em uma zona assinada, o servidor retorna suas assinaturas digitais junto com a resposta. O resolvedor obtém a chave pública do servidor e valida a resposta. O resolvedor precisa ser configurado com uma "âncora de confiança"para a zona assinada ou pai;DNSSEC em servidores de raiz da Internet permitem que todos os resolvedores compatíveis com DNSSEC com uma âncora de confiança "como raiz o topo."

O cliente DNSSEC no Windows 7 é uma não-validação compatível com segurança stub resolvedor. Ele reconhece DNSSEC consultas e processa registros de recursos DNSSEC, mas depende de seu servidor DNS local para validar respostas. O resolvedor retorna a resposta para o aplicativo apenas se validação bem-sucedida. Comunicações entre o cliente e o servidor DNS local são protegidas por SSL: o servidor apresenta seu próprio certificado para o cliente para validação. Configurações do DNSSEC são configuradas no NRPT, conforme mostrado no do Figura 8 e devem ser preenchidas por meio da diretiva de grupo.

figure8.gif

Figura 8 Confi guring nome resolução diretiva para DNSSEC. (Clique na imagem para uma visão ampliada)

Um outro ponto importante: Historicamente, autoridades de certificação pública tem abdicated sua responsabilidade para verificar aplicativos para certificados de servidor X.509. Li de instâncias onde os invasores apresentado como representantes legítimos das empresas reais e obtidas com êxito certificados fraudulentos mas confiáveis. Portanto, em alguns aspectos SSL poderia ser considerado "desfeitos"em que os certificados públicos não têm algum valor de confiança. Os padrões do DNSSEC exigem muito mais rigorosa identificação e verificação antes de uma organização pode receber certificados de assinatura DNS, que ajudam a restaurar a relação de confiança para as transações on-line.

Aprimoramentos de mais

Enquanto os recursos de segurança que abordei até aqui são meu favorito, Devo mencionar alguns outros aprimoramentos que aumentam a geral "segurabilidade"do Windows.

Vários perfis de Firewall Active escrita no passado sobre firewalls de terceiros, com todos os seu "scare-ifying"avisos, apresentando como nada mais do que teatro da segurança (consulte "Explorando o Firewall do Windows." Ainda acredito que isso. O Firewall do Windows é perfeitamente capaz de proteger seu computador. Ele tinha apenas uma limitação: Embora três perfis forem definidas, somente uma é ativa a qualquer momento. No escritório, o computador associado a um domínio usa automaticamente o perfil do domínio, que permite comunicações de entrada de gerenciamento. No seu quarto de hotel, seu computador usa o perfil público, que bloqueia todas as comunicações de entrada não solicitadas. O computador permanecer neste perfil quando você VPN em sua rede corporativa, o que torna seu computador invisível para ferramentas de gerenciamento. Windows 7 remove essa limitação: Você pode definir separadamente o perfil público, particular ou domínio em cada interface de rede físico ou virtual.

Windows biométrica Framework Fingerprint leitores são em qualquer lugar — até mesmo os laptops mais barato Esporte o ponto de swipe brilhantes. Embora a falta de suporte interno em versões anteriores do Windows à esquerda os dispositivos não utilizados, os tomadores de PC entregues sistemas com os drivers instalados assim mesmo. A qualidade ruim de muita esse código causou um número razoável de falhas de tela azul, muitos dos quais relatados próprios obedientemente à Microsoft.

Armado com esse conhecimento, a Microsoft adicionou suporte biométrico nativo para o sistema operacional. Agora os drivers devem obedecer a um nível de qualidade superior e os usuários têm mais opções para autenticar em seus computadores. Eu ainda estou convencido é importante manter a distinção entre identidades (uma declaração pública) e autenticação (validado posse de um segredo). Uma impressão digital é inarguably pública. Mas há alguns cenários onde logon impressão digital é superior: Imagine uma doca de depósito teeming com grande equipe burly huffing em torno engradados enormes e recipientes. Vez com tanta freqüência eles precisam atualizar informações de estoque em um computador em um carrinho sem interrupção. Você realmente acha alguém usando habilidades motoras brutas maior parte do dia com eficiência pode alternar para as habilidades motoras necessárias para inserir um cartão fino wafer em seu sliver de um slot de enquanto posicionando-a em um correto de quatro possíveis orientações bem? De jeito nenhum. Com a autenticação de impressão digital, ele não precisa alternar modos muscle: um rápido swipe na leitora registra-lo no. (Sim, esse é um cenário de cliente real.)

Windows biométrica Framework (WBF) é uma base extensível para oferecer suporte a autenticação biométrica. Na versão inicial do Windows 7, impressões somente são suportados. WBF define vários componentes para aumentar a confiabilidade do hardware biométrico e seus drivers correspondentes e software de registro. Quando um usuário registra inicialmente impressões dele, o serviço biométrico criptografa o fluxo de dados de representações juntamente com credenciais do usuário e armazena esse blob em uma estrutura de dados chamada o cofre. A senha criptografada é atribuída um GUID, que atua como um identificador. Crucially, o serviço nunca revela a senha do usuário diretamente a um aplicativo, mas em vez disso expõe apenas o identificador. Dependendo dos recursos do leitor, a autenticação de impressão digital está disponível para logon local, domínio logon e autenticação de UAC. Vários GPOs existem para o controle administrativo de WBF.

Este é o Windows que quiser

Quando eu re-imaged meu computador com a primeira compilação beta no ano passado, eu nunca parecia novamente. Windows 7 sentir snappier em cada relação e o ajuste geral e término é impressionante. Com sua abordagem multifaceted à proteção de acesso, pessoas e dados, é uma pena adição à sua infra-estrutura. Seus warriors estrada definitivamente serão Obrigado e — quem sabe — talvez você finalmente terá que telefonema nós até você dreamed somente de: "Ei, simplesmente queria dizer que tudo está funcionando. Groovy"!

Steve Riley é um divulgador e strategist nuvem computação em um dos provedores principal do mundo. Ele é especialista em empresa requisitos de segurança, disponibilidade, confiabilidade e integração. Você pode entrar em de stvrly@gmail.com.