Windows 7 中的絕妙安全性

發行項
08/18/2016

Windows 7

Windows 7 中的絕妙安全性

Steve Riley

綜覽：

更容易 DirectAccess corpnet 存取
加密新 BitLocker 甚至卸除式磁碟機
管理 AppLocker 應用程式的存取
防止中毒，和偽造 DNSSEC 與 DNS

內容

DirectAccess
BitLocker 與 BitLocker To Go
AppLocker
DNSSEC
更多的改良
這是您想要的視窗

如我在這份文件上將最後的修飾，多人有一直在等待最後一天到達:Windows 7 已發行製造。我所花費的 Beta 版和發行候選用作我實際執行的作業系統的時間很好的大量，並有 enjoyed 變更和改進的 Windows 7 提供。現在我想要讓您在一些我最愛的安全性功能的教學課程。

DirectAccess

如果您像我所見的每個其他 geek 工作並不會結束，當您走出辦公室的門。為何您認為？大部分的雇主提供膝上型電腦，而非桌面因為他們知道您將使用免費! 這是他們 recoup 中更昂貴的硬體投資的方式。設定某些 VPN 伺服器，發行如何存取的公司網路的指示，和得到整個許多更多的產能超出您的人員。

或者，進入思考。 VPN 幾乎都需要額外的步驟才能到在的 corpnet 有時非常 convoluted 步驟。您必須執行周圍容易遺失硬體語彙基元。拖曳 forever pokey 登入指令檔。網際網路流量取得透過降低回應速度的您 corpnet backhauled。如果它是一段自您上次連線後的，您的電腦可能會收到數個 MB 的軟體更新。如果您只有一個次要令人討厭事 — 說完成費用報表中，您可能會將它關閉。如果僅有個方法來排除個別的 VPN 連線步驟，因此您可以使用您的電腦在家中或在機場躺中完全一樣的工作，也，那就是很棒。

隨著 Windows Server 2008 R2，DirectAccess Windows 7] 中的可提供完全的經驗。從使用者的觀點來看，corpnet 與網際網路差異 evaporates。就例如假設您是在辦公室您巡覽至 http://expenses 完成費用報表。與網路上啟用 DirectAccess 中,，您可以遵循完全相同的程序您可以在任何地方找到網際網路連線：只需輸入您的瀏覽器 http://expenses。沒有額外的登入沒有 re-training，疑難排解 balky VPN 用戶端軟體沒有服務台電話的步驟。 DirectAccess 可讓您電腦連線到您 corpnet 和網際網路，在同一時間。這會移除 friction 您和您應用程式讓您取得您的資料更容易之間。

有兩個進行這的通訊協定：IPsec 和 IPv6。 IPsec 封裝安全性裝載 (ESP) 傳輸模式安全性關聯 (不是通道，儘管片語「 IPsec 通道」，繼續誤用) 驗證並加密用戶端與目的伺服器之間通訊。雙向驗證降低在中間男人攻擊：使用發行的 X.509 憑證發行的授權單位信任的兩面，向伺服器驗證用戶端，伺服器驗證用戶端。進階加密標準 (AES) 加密提供機密性，讓任何攔截在通訊期間是沒有意義，偷聽到。

傳統的 VPN 太；使用 IPsec，它是 IPv6 的讓 DirectAccess novel 和全新的加入。消除 VPN 需要更好的端對端連線，比 IPv4，使用網路位址轉譯器的重疊的位址範圍的眾多的能力。 IPv6 在每個用戶端上設定一個全域唯一的、可路由傳送的位址，並區分 corpnet 一般的網際網路傳輸流量。因此您 corpnet 必須支援 IPv6 時，需要 DirectAccess，IPv6。這不是為 daunting 工作時，您可能會認為：許多您的伺服器可能已經有，或可以設定執行 IPv6，並在最後一個半十年中所做的任何網路裝備支援 IPv6 的。可以協助例如內部網站自動通道位址處理通訊協定 (ISATAP) 和網路位址轉譯/通訊協定轉譯 (NAT 點) 的您 corpnet 邊緣通訊協定轉換技術。

您的 corpnet，但可能不是透過原生 IPv6 ； DirectAccess 以設定用戶端一直保持連線用戶端是可能的 IPv4 NAT 背後，網際網路本身仍然多半是 IPv4。 Windows 7 支援 6to4 和 Teredo，轉換封裝內 IPv4 的 IPv6 流量的技術。並在極少數的狀況，這些通訊協定都不適用時，DirectAccess 退回到 IP-新的通訊協定，透過 IPv4 封裝內 HTTPS IPv6 HTTPS。 (是，將 HTTP 到最終的通用略過通訊協定配置已到達其 nadir!)

應用程式不需要任何修改或特殊的處理 DirectAccess 加班工時。群組原則指派給用戶端名稱解析原則資料表 (NRPT) 包含兩個位元的資訊：corpnet 的內部 DNS 尾碼和解析命名空間的 IPv6 DNS 伺服器的位址 (請參閱的圖 1])。假設您的內部 DNS 尾碼是 inside.example.com 和 IPv6 的 DNS 伺服器的位址是 FEDC:BA98:7654:3210::1。當您瀏覽至 http://expenses 時，您電腦的解決器會附加 DNS 尾碼，並嘗試解決 expenses.inside.example.com。因為這會找到 DNS 尾碼項目，在 [NRPT 解析程式會向 FEDC:BA98:7654:3210::1 要求。 IPv6 位址的費用伺服器； DNS 回覆DirectAccess 遵循您連線到該伺服器必要的步驟 (原生，轉換，IP HTTPS)。如果您的電腦加入網域，與伺服器需要驗證，以登入的網域認證將驗證您到伺服器而不提示。假設在您正在瀏覽到公用網際網路網站上；另一個瀏覽器視窗中因為 DNS 尾碼不在電腦的 NRPT，解析程式會執行一般的 IPv4 查閱 (使用網路介面上設定的 DNS 伺服器)，並連接到站台的 DirectAccess 完全獨立。

圖 1 設定名稱解析原則的 DirectAccess。(按一下影像以放大圖片)

要花點時間思考永遠開啟 corpnet 存取的影響，確定有的使用者它是不是以 addictive 並使它完成的費用報表 (幾乎) 輕鬆的。但是，我知道我對象:系統管理員和安全性 dudes。這表示將所有用戶端連接到 corpnet 一直，不論它們的位置可能？我會提到的幾個：

使用群組原則設定維護
使用 Windows 伺服器更新服務」 (WSUS) 或系統中心組態管理員] (SCCM) 的連續更新
健全狀況檢查] 和 [NAP 與補救
保護，Windows 防火牆和 Forefront 用戶端安全性或其他集中管理的防惡意程式碼

聽起來很多，像是怎麼做您 corpnet 右上嗎？完全正確。 DirectAccess 會延伸到整個網際網路的您 corpnet 時讓您可以讓您的電腦，well-managed 和安全。它可說是網路技術的最令人興奮過很長的時間和絕對讓升級引人入勝的位元。

BitLocker 與 BitLocker To Go

alright...我要執行應作者不屬於何種執行，並詢問您短暫中斷我。看的資料漏洞，時序在隱私權權限結算所 (privacyrights.org/ar/ChronDataBreaches.htm)。它會啟動追蹤在 2005 年 1 月的破壞。撰寫本文的有遺漏 breathtaking 的 263 百萬個資料錄。與 PGP Corp.Ponemon 協會 LLC 進行研究時，"的第四年年度美國資料的成本會破壞研究：評比研究的公司"、所報告的 $ 202 每筆記錄的平均修復成本。讓我們做一個小的數學應該我們吗？

263,000,000 記錄 × $ 202/記錄

$53,000,000,000

組織的 astonishing $ 53 億五個與半年中遺失! 很公平 surmise 放錯位置和竊取膝上型電腦有 costliest 曝光度之間大部分的公司圖示。若要取代設備成本會提供一些無關緊要的管理 — 大部分的曝光度是與資料修復/重建，罰金、信譽損毀和遺失的商務相關的直接或間接成本。在許多情況下簡單的降低就已經排除曝光度：加密可攜性資料。

Microsoft 會將 BitLocker 加入 Windows Vista，防止離線攻擊中的作業系統，藉由加密從 Windows 執行磁碟機磁碟區。當可信賴平台模組 (TPM) 硬體元件存在時 BitLocker 也提供完整性開機程序驗證每個步驟，並停止如果任何部分失敗雜湊檢查。客戶的就說一定有自己的想法，Beta 版期間他們快速實現 BitLocker 也可以保護他們的資料。 Microsoft 加入幾個更多群組原則物件 (GPO) 和使用者介面設定 BitLocker，但它不具挑戰性的部署 (特別是在已經內建的電腦) 上，只有在系統磁碟區上的支援。

Windows Vista SP1 延伸至所有的硬碟機區允許受保護的組合中的所有三個方法的加密金鑰的 BitLocker 的支援 (可信賴平台模組 (TPM)，USB 啟動金鑰和使用者 PIN)，並包含工具來準備以所需的其他磁碟機的磁碟區現有的安裝。

Windows 7 簡化 BitLocker 安裝藉由假定它您要使用的功能。安裝程序會自動建立必要的開機磁碟分割。啟用 BitLocker 很簡單：用滑鼠右鍵按一下磁碟機磁碟區，並從 [] 功能表中選取 [[BitLocker] 選項 (請參閱的圖 2])。即使您的電腦缺少第二個磁碟分割，準備程序將重新分割您的磁碟機。金鑰管理和資料修復是更容易現在，使用支援的 IT 管理資料修復代理程式 (DRA)。 DRA 是提供系統管理員存取所有的加密磁碟區的其他金鑰保護裝置。使用 DRA 是選擇性，但我強催促您建立一個。將它放在智慧卡保留卡已鎖定在安全，以在電腦室，與是非常考慮與您共用鎖定組合。

圖 2 的啟用 BitLocker 卸除式磁碟機上。(按一下影像以放大圖片)

先前，BitLocker 控制台小程式]、 [管理 bde.wsf 命令列指令碼] 和 [Windows 管理檢測 (WMI) 提供者提供的組態選項的不相符的集合。在 Windows 7，所有 BitLocker 的選項可用於所有三種方法。非作業系統的磁碟區，您可以控制自動解除鎖定並需要智慧卡驗證 (請參閱的圖 3])。

圖 3 使用密碼解除鎖定受 BitLocker 保護的磁碟機。(按一下影像以放大圖片)

資料外洩繼續對許多組織而言是主要的麻煩。該方便小魔鬼，USB 磁碟機，是主要的發生錯誤之 (但當然不是唯一一個；資料可以匯出本身從您的組織以各種方式)。限制使用 USB 磁碟機，或者完全停用 USB 連接埠是一個非-起始大部分的公司，方便有時候則需要。

BitLocker 是 Windows 7 回答這個問題：磁碟機上按一下滑鼠右鍵、選取 BitLocker、建立一個的密碼及到 BitLocker 加密而不管它的格式甚至 FAT 格式的磁碟機。這主要地址人遺失其磁碟機；的風險遺失的磁碟機永遠似乎包含重要的機密資訊，並會 purloined 偷沒有任何內容如何張貼比您的秘密 WikiLeaks 會更好的。

但是到 BitLocker 不只是一個 USB 保護裝置。它可以避免任何類型的卸除式磁碟機及其運作獨立於作業系統的 BitLocker，所以」規則的"BitLocker 不是必要的。系統管理員可以設定原則來強制所有卸除式磁碟機是唯讀，除非它們第一次使用加密 BitLocker 到之後, 成為可寫入磁碟機。另一個原則可以要求驗證 (長度和複雜性選取的密碼、智慧卡或網域) 來存取受保護的裝置。和 [DRA 行為在卸除式裝置上只是要在硬碟機磁碟區上。

使用者可以從，讀取，但不是在 Windows Vista 和 Windows XP 上寫入到受保護的裝置。 BitLocker 覆疊探索音量實體的磁碟機，其包含了 BitLocker 到讀取器和安裝指示。讀取器已經也可供下載。磁碟只受密碼保護區 (不智慧卡或網域) 是與則的讀取器可使用的圖 4] 所示。

圖 4 BitLocker 到讀者可以讓先前版本的 Windows 中的唯讀存取。(按一下影像以放大圖片)

AppLocker

您以前曾使用軟體限制原則 (SRP) 吗？或甚至 heard SRP 的？因為 Windows 2000 可用 SRP 允許，系統管理員來控制是否運作中的電腦預設允許或預設拒絕狀態。

預設拒絕時，偏好，當然：您定義的允許執行的軟體集合，任何不在清單中的項目被拒絕。 SRP 是很正常停止散佈惡意程式碼的方法。這也是比較很正常方式若要建立整個許多為您自己的工作：路徑和雜湊規則必須包含每個.EXE 及.DLL 組成的應用程式，每次更新的應用程式時雜湊規則必須會被取代。探索，並追蹤每個組織使用的應用程式，是一件吃力的挑戰不到提過測試，才能確保通常大規模的 SRP 規則集不會造成任何意外的發生問題。因為它是 unfriendly 設定和要實際缺乏彈性，SRP 永遠不會收到多注意。

仍，應用程式的清單會保留任何安全性設計的重要項目。 AppLocker 改進 SRP，您可以建立的規則中加入更多的彈性。以及在一般的允許及拒絕規則，您可以建立例外規則。這樣將預設拒絕態勢更容易定義和管理。常見的範例是："允許所有項目中執行除了內建遊戲 %windir%"。我認為這而愚蠢，就像防止使用者變更他們的桌面背景為紫色，誰在乎呢？計劃的一個位元，您可以撰寫適當的已知良好應用程式使用一組管理允許-與-例外規則清單。

另一種規則類型指定允許的發行者 圖 5 所示。當使用者執行應用程式時，AppLocker 比較數位簽章應用程式的發行者，以定義您的允許清單並檢查您指定其他條件。這需要比 SRP 的雜湊檢查最少的規則：而不是很長的應用程式中的每個可執行檔的雜湊規則集合，AppLocker 必須只有一個發行者規則。發行者規則也無需建立新的規則，允許應用程式更新時。此規則對於執行個體："允許 Acrobat 讀取器的任何版本等於或高於 9.0 只有它的簽章 Adobe"。當 Adobe 更新的應用程式的下一週您可以發送它出到用戶端不必更新規則。版本的數字一起您可以建立規則，以指定整個應用程式或特定檔案的集合。在某些情況下 AppLocker 甚至可以建立規則自動 (請參閱的圖 6])。

圖 5 建立一個 AppLocker 發佈規則。(按一下影像以放大圖片)

圖 6 AppLocker 可以自動產生某些類型的規則。(按一下影像以放大圖片)

SRP 的規則只套用至電腦。 AppLocker 的規則可以也套用到使用者。這項功能可協助您滿足如這項規則的逐漸 burdensome 相容性需求："允許只有在人力資源部門執行人力資源應用程式"(不過，要更精確，規則包括 Active Directory 安全性群組 HR 中包含使用者帳戶的員工)。此規則會封鎖任何人都不會在 HR，包括系統管理員 — 但請記住惡意系統管理員仍然可以變更規則。還記得我的舊 axiom：如果您不信任您的系統管理員，，取代它們。

可能最大的改進提供 AppLocker 是它的實際項目可以信任。坦白說，SRP 不是非常強大。您可以將作業系統會是原則強制者，但您想要錯誤。在應用程式啟動時應用程式的父處理序，不作業系統檢查，SRP。如果使用者 — 是否系統管理員或不 — 有控制項父處理程序的使用者可以規避 SRP ；請參閱標記 Russinovich 的部落格項目"的規避群組原則為在有限的使用者"說明如何。以下是 blindingly 明顯的概念：為一個實際的安全性功能功能必須是安全的。 AppLocker 服務和組成核心模式驅動程式；其規則會評估的驅動程式中，現在 OS 實際上是在強制者。如果奇數原因您想要繼續使用 SRP 規則，而非 AppLocker 規則，至少它們更強：在 Windows 7 SRP API 是父處理序和手規則強制 AppLocker 服務的二進位檔案驗證略過重新設計。

若要測試原則是很重要。 AppLocker 的稽核函式 (請參閱 圖 7) 顯示應用程式的行為是否您的規則已啟用。它會顯示的清單，您可以從所有受影響的檔案的找出可能發生在部署之前的任何問題。規則可以讓.EXEs、.DLL、.MSIs 和指令碼之間的差異。 AppLocker 保留頻率觸發規則的是經過一段時間，知道，特別是，變更人員的責任他們需要新的或不同的應用程式很有用的統計的資料。

圖 7AppLocker ’s 稽核模式可讓您在部署之前測試您的規則。(按一下影像以放大圖片)

DNSSEC

奇怪的是，IPsec 的拼字與一個小型的"數秒」雖然 DNSSEC 完全大寫。沒有人會說標準主體是 epitome 的一致性。但我 digress...

一次我是 DNSSEC doubter。宣告是將密碼編譯驗證附加到 DNS 回覆呈現 DNS 中毒不可能，因此 thwarting 網路釣魚攻擊。 DNSSEC 嘗試回答問題」可以我信任接收到我的名稱解析查詢的回應，答案嗎？」我相信這是錯誤的問題。權限的問題是「可以我信任我要實際伺服器嗎？」SSL 已經所花費的這個很嗯感謝您的處理：只有實際的銀行可以取得 SSL 憑證其公用網站，右吗？攻擊者可以重新導向至他的站台您的要求，但他無法取得實際的銀行用來驗證您的瀏覽器的 Web 伺服器的 SSL 憑證。 IPsec 是類似：它依賴數位憑證來驗證可確保沒有人可以欺騙您的目的。

仔細評估過溫和 prodding 與他人的 cajoling 之後，我已前來認為 DNSSEC 是我們的防禦性集合的重要除了。則為 True，SSL 和 IPsec 確認您已連線至合法的網站 — 雖然因為大部分使用者的動作有「訓練」，這是有問題的值的略過警告本身。他們不要，但是，阻止您合法的網站存取被拒。 DNS 中毒，可以是拒絕服務攻擊 (服務阻斷) 不能降低使用 SSL 或 IPsec 的一個非常有效。 DNSSEC 會移除允許這類攻擊的條件：DNS 伺服器的回覆會包含的解決器可以驗證的數位簽名。提供我沒有風扇的安全性」功能"讓 (帳戶鎖定是另一個的 DoS 攻擊向量) 的攻擊，已變更我現在偏好在開頭根伺服器的攻擊者經常嘗試劫持網際網路 DNSSEC 快速採用。

DNSSEC 提供：

原始授權：是從它所宣稱來自的伺服器的回覆
資料完整性：回覆沒有被已遭到惡意修改傳輸中
已驗證的拒絕存在：一個 unspoofable"不存在目的地」回覆

當 DNSSEC 能夠伺服器收到查詢的一筆記錄為帶正負號的區域中時，伺服器會傳回回覆連同其數位簽章。解析程式取得伺服器的公開金鑰，並驗證回覆。解決器必須設定的信任錨帶正負號的區域或其父代；在網際網路的根伺服器上的 DNSSEC 允許所有 DNSSEC 能夠解析程式有一個信任錨定」根本頂端」。

在 Windows 7 DNSSEC 用戶端是在非驗證安全性感知 Stub 解析程式。它會確認 DNSSEC 查詢和處理 DNSSEC 的資源記錄，但依賴驗證回覆其本機 DNS 伺服器。只有在驗證成功，解決器便會傳回回覆至應用程式。在用戶端和其本機 DNS 伺服器之間的通訊都受 SSL：伺服器會提供它自己的憑證進行驗證的用戶端。 DNSSEC 設定設定在 NRPT，]，圖 8 所示，而且應該透過 [群組原則被填入。

圖 8 的 DNSSEC Confi guring 名稱解析原則。(按一下影像以放大圖片)

其他重要一點：在過去，公用憑證授權單位有 abdicated 其責任，若要確認應用程式伺服器的 X.509 憑證。我已閱讀的執行個體，其中攻擊者為合法的人員的真實的公司所造成，和已成功取得詐騙但受信任的憑證。因此在某些方面 SSL 可以被視為「中斷該公用憑證中缺少某些信任值。 DNSSEC 標準需要更嚴格的識別，而且驗證之前組織可以接收 DNS 簽章憑證，將協助您將信任還原到線上交易。

更多的改良

當我到目前為止所涵蓋安全性功能我最愛的網頁時，我應該提及幾個更多的增強功能，改善整體「安全性」Windows。

多個使用中的防火牆設定檔我編寫在過去關於第三方廠商的防火牆與所有其 "scare-ifying" 偽裝成只安全性劇場的警告 (請參閱"探索防火牆"。我仍然相信這。「 Windows 防火牆都完全可以保護您的電腦。它必須只有一個限制：雖然定義的三個設定檔只能有一個是作用中在任何時間。在辦公室，加入網域的電腦會自動使用網域設定檔允許輸入的管理通訊。在您的旅館房間電腦會使用公用設定檔會封鎖所有來路不明的輸入的通訊。電腦會保留在此設定檔時您的 VPN 到您 corpnet 讓電腦看不到管理工具。 Windows 7 會移除這項限制：您可以分別定義公用、私用或網域設定檔，在每個實體或虛擬網路介面上。

Windows 生物特徵架構指紋讀取器的任何地方，甚至最便宜的膝上型電腦運動光亮偷竊特別色。雖然在先前版本的 Windows 內建支援缺乏左裝置未使用，電腦決策者會傳遞系統仍要安裝驅動程式。不良的這段程式碼的品質造成藍色螢幕當機其中有許多盡責本身向 Microsoft 報告公平數。

配備這項知識，Microsoft 加入原生的生物特徵支援作業系統。現在驅動程式必須符合一個較高品質層級，而且使用者有更多的選項，來驗證他們的電腦。我仍在 convinced 一定要保留識別 (公用宣告) 和驗證 (已驗證持有的秘密) 之間色差。 inarguably 公用指紋。但是有上司指紋登入的某些情況下：想像一下 teeming huffing 大木箱和容器的大 burly 傢伙與一個倉儲停駐。定期經常他們需要更新循環的購物車中的電腦上的庫存資訊。您真的認為？某人使用總馬達技術幾乎整天可以有效率地切換到正常的馬達技術需要時放在正確的四個可能方向圖案中插入的插槽其 sliver wafer 細的智慧卡不可能。指紋的驗證與他不需要切換跑車模式：在讀取器上的一個快速偷竊他中記錄。 (是，這是一個實際的客戶案例)。

Windows 生物特徵架構 (WBF) 是支援生物測量驗證的可延伸的基礎。在初始版的 Windows 7，支援只 fingerprints。 WBF 定義數個元件是用來增加生物特徵的硬體的可靠性和其相關聯的驅動程式和註冊軟體。當使用者一開始 enrolls 他或她 fingerprints 時，加密 representational 資料流與使用者的認證一起生物特徵的服務，並將此項目儲存在資料結構稱為儲藏室中。加密的密碼會被指派一個做為控制代碼的 GUID。 crucially，服務中永遠不會顯示直接到應用程式使用者的密碼，但而公開此控制代碼。讀取器的功能，而定指紋驗證是適用於本機登入、網域登入及 UAC 驗證。數個 GPO 存在的 WBF 系統管理控制。

這是您想要的視窗

當重新建立我影像的第一個的 Beta 版建置我的電腦最後一年時，我永遠不會討論回。 Windows 7 覺得 snappier 在每個考慮和整體大小，完成令人印象深刻。其 multifaceted 的方法來確保安全存取、人員及資料，是一個值得除了您的基礎結構。您道路戰士肯定會感謝您和，誰知道 — 可能最後得到的電話，我們已到目前為止只有 dreamed 的：「嘿，我只想要告訴您，一切的運作。 groovy!"

Steve Riley 是 evangelist 和 strategist 的定域機組計算在世界首先提供者之一。他會指定的安全性、可用性、可靠性及整合的企業需求。您可以在 stvrly@gmail.com 達到他。

共用方式為

內容

其他資源