企业Windows 7预实施安全指南

点击数: 【字体: 收藏 打印文章
 

  多年来,许多IT评论家都在抨击微软产品。而且微软推出的Windows Vista为他们提供了新的贬斥对象。这款产品的可用性和安全性能让许多用户都很恼火。因为这个原因,许多企业仍旧使用XP,而不是其后继者Windows Vista

  然而,随着最近Windows 7的发布,大多数企业计划升级的时间也越来越迫近了。Windows 2000XP Service Pack 2的官方支持早已结束,XP Service Pack 3也将于20146月结束。Windows 7自我感觉良好的安全性能是否真的会使企业更加安全呢?在这篇简短的Windows 7预实施安全指南里,我们将回答这个问题。

  即便是微软最铁杆的批评家也同意Windows 7的安全性能远远超过Windows XPVista,这是一个巨大的进步。然而,DirectAccessAppLockerBitLockerBitLocker to Go等安全性能要求更加昂贵的系统来运行,如Windows 7企业版和Windows 7旗舰版。升级到这些版本的成本要比升级到pro版本的成本高10%左右,几乎是家庭高级版的两倍。另外,需要Windows商务性能的企业要为那些电脑办理软件保障特许证(微软的软件维护项目),这个许可证每年要花3050美元。这样看来,与第三方供应商所提供的产品的安全性能相比,Windows7值得去花费那些额外的费用吗?

  有了DirectAccessWindows7个人电脑不用装配虚拟专用网络(VPN)客户端。随时在线的VPN客户端支持多重身份验证,允许管理员升级组策略设置、分发软件和反病毒程序的更新(只要有客户端与网络连接)。系统和服务的高度集成化不仅能改善端点的整体安全性能,还能很大程度上减少控制台要求用户与VPN链接的次数。不过,DirectAccess需要在Windows Server 2008 R2 上运行,如果你支持的客户不是Windows7系统的话,你还需要有另外的VPN

  AppLocker可以更容易限制用户安装的应用程序数量,但用户还可以选择其他的更为成熟的产品,例如Bit9Parity SuiteCoreTraceBouncer。许多产品提供预先生成的带有自动升级功能的应用程序白名单和黑名单,生成企业的应用程序和使用方法报告,为多个版本的Windows系统提供保护,这些服务都是AppLocker所不能提供的。

  BitLocker为电脑的硬盘驱动提供密码保护,预防信息的失窃和丢失;BitLocker To Go为可移动储存装置(如USB硬盘)提供密码保护,但不包括光驱。尽管BitLocker可以通过毁掉密码来保护数据,但却不能满足一些审计员的需求,他们需要在硬盘被处理时,看到安全覆盖的痕迹。对BitLocker To Go将装置上的所有东西加密的批评似乎站不住脚,BitLocker To Go还不是成熟的数据泄露保护产品。对大多数系统管理员来说,他们能够在企业范围内为USB上的数据提供保护是很好的事情。现代PC机的强大功能,意味着加密过程不会比昂贵的DLP产品缓慢,后者只能对敏感数据进行加密。然而,BitLocker To Go也有一个与DirectAccess类似的问题,如果不是所有的客户都使用Windows7系统的话,用户还需要另外的加密方法。使用BitLocker To Go加密过的装置虽然可以在安装了Windows XPWindows VistaPC机上使用,但此时,装置里的数据是只读数据。

  在跨平台使用方面,像TrueCrypt这样的产品可以提供非常大的灵活性。TrueCrypt是免费的,可是它不与Windows服务器政策兼容,也不具有较高的联网能力。利用 BitLocker,管理者可以建立Windows组策略来实现可移动存储装置上BitLocke的使用,并且对服务器和PC机上的硬盘进行加密。PGP的全磁盘加密是功能完整的替换加密方法,不过这种加密方法比升级到Windows7的成本还高。

  微软的Windows系统是仁者见仁、智者见智的。许多批评家指责微软的安全性能不支持最佳组合,用处单一,只能被小范围企业内的小范围人群所使用。如果用户想要自己安全基础设施的每部分都能达到最佳组合,相信没有一家供应商会支持这种做法的。如果用户有预算,这样的最佳组合打算无可厚非。然而,不同的安全控制方法和被迫停止使用的装置会带来很多额外的费用,例如附加的员工培训费用和管理费用。统一威胁管理(UTM)产品的受欢迎程度越来越高,这说明了在许多有实际经验的管理员看来,那种最佳组合的方案既不现实也不经济。

  将Windows7的安全性能发挥到最佳有以下好处:可以使操作系统和组策略的兼容性更强,同时能带来熟悉的用户界面和指令。这样一来,系统的安全配置会变得很简单,远远强于在系统中再加上第三方供应商的安全产品。这样的配置减轻了用户对多供应商关系,多产品混用知识的需求,减少了升级的次数。Windows7还称不上完美,但已经很不错了:将一款不错的安全产品合理地、正确地配置远好于去追求一款根本不存在的最佳产品。


作者: 录入者:刘娜 来源: 发布时间:2011年01月12日
相关信息
没有相关内容