Windows7企业版存储安全新功效详解[Windows安全]

　　经过一段时间的火爆贩卖后,Windows 7及Windows Server 2008 R2正全面入驻企业计算机.为了更好地满意企业用户的需求,微软在Windows 7企业版/旗舰版及Windows Server 2008 R2中引入了大量的存储、网络拜候、安全等功效,成为企业利用的新利器.而这类具有代表性的功效毕竟有哪些呢?该若何利用呢?会给企业利用带来什么影响呢?

　　企业效率倍增器:分支缓存

　　据微软介绍,Branch Cache(分支缓存)是Windows 7及Windows Server 2008 R2中供应的企业级新功效,启用该功效,在WAN(广域网)中初次拜候时可像普通一样按照受权拜候数据,而需求再次拜候时,则可在就近部门的另一客户端按照考证情况拜候相同的内容.通过这种就近拜候,可提高网络的带宽操纵率,同时提高远程办公网络利用的性能,削减对企业网络带宽的占用.

　　Branch Cache有两种工作情势:一种为分布式缓存(Distributed Cache),另一种为托管式缓存(Hosted Cache).分布式缓存利用点对点情势,近似于Ad-hoc网络,它能在较小的利用范围内得到更快的拜候速度.托管式缓存采取服务器/客户端架构,近似于AP中央情势,Windows 7客户端可将内容复制到运行Windows Server 2008 R2的本地计算机,这样其他需求拜候一样内容的客户端就可以在本地服务器中直接拜候该数据,不再依靠最初的服务器.要利用Branch Cache,全部服务器系统都必须为Windows Server 2008 R2,全部客户端都必须采取Windows 7.

　　用户可以利用组战略设置或Netsh号令行脚本实用程序来管理Branch Cache客户端.可以利用此中任一工具在Branch Cache客户端上履行下列配置任务:启用Branch Cache(默许情形下它处于禁用状况);挑选分布式缓存情势或托管式缓存情势;指定客户端计算机的缓存的大小(利用分布式缓存情势),默许情形下 Branch Cache最多为该缓存利用硬盘驱动器的5%;指定托管缓存的位置(利用托管缓存情势).对此,在利用该设置时,Windows系统给出了具体直观的设置阐明,大家按照阐明就可以完成设置.

　　按照微软的测试,从企业远程服务器上下载一个3MB的文件,第一次用了47秒,而第二次只用了2秒,从中可见Branch Cache(分支缓存)功效的效率,它对大中型企业构架分支办公室很有效处.通过紧缩、消除冗余、传输优化、缓存和内容分发的结合加快利用,可为企业供应一个易于整合分支服务器、整合存储和备份底子设备的途径,同时确保终究用户的高性能利用.

　　企业拜候新保安:DirectAccess

　　DirectAccess(直接拜候)一样是Windows 7及Windows Server 2008 R2中供应的企业利用新功效.通过该功效,外网的用户可以在不需求成立VPN(虚拟专用网络,VPN的核心就是操纵大众网络成立虚拟私有网)衔接的情形下,高速、安全地从Internet直接拜候公司防火墙后的资源.

　　DirectAccess功效是怎么实现的呢?为了实现该功效,DirectAccess操纵了IPv6技术的一些特点.众所周知,在IPv6 发展早期,若何让众多的部分性的纯IPv6网络“穿越”传统的IPv4骨干网络实现互通呢?为此呈现了IPv6“隧道”技术,在IPv6网络与IPv4网络间的隧道进口处,路由器将IPv6的数据分组封装入IPv4中,在隧道的出口处再将IPv6分组取出转发给目的节点,这样就可以将近似于孤岛的IPv6网络衔接起来.

　　而DirectAccess恰是操纵了该技术,它在开启后,可在客户端成立一个通向DirectAccess服务器的并可在普通的IPv4网络上工作的IPv6隧道衔接,这样管理人员便可在用户登录之前对相关计算机举行管理,DirectAccess服务器在这个历程中主要承当内外网信息传送的角色(即网关).而为了得到杰出的加密和认证,DirectAccess还操纵了IPv4中可选的、IPv6中必备的IPsec(Internet Protocol Security)协议族,以IP Packet(小包)为单位对信息举行暗号化的方法,来对传输途中的信息包举行加密或避免遭到篡改,从而保证安全通信.

　　据微软介绍,利用DirectAccess,企业用户在远程未登录的情形下,也能通过互联网对计算机举行管理,且具有很强的安全性.通过该功效可为移动办公人员供应高效的工作环境,比方公司员工正在表面举行客户服务,或在一个外部会议上想查找相关的内部资料,便可通过能上网的笔记本电脑在不需求成立VPN衔接的情形下,高速、安全地直接拜候公司防火墙后的资源.

　　企业存储好辅佐:驱动器加密

　　按理说,BitLocker(驱动器加密)已不算新功效,它在Windows Vista中便已呈现.但在Windows 7中,其受关注度竟然比在Windows Vista中还高,所以仍值得很多从前对它不感爱好的企业用户关注.BitLocker是一种可供应磁盘级的数据加密本领的组件,要理解 BitLocker,就需求理解它的前辈EFS(Encrypting File System,加密档案系统).众所周知,NTFS是Windows NT及之后的操作系统的尺度文件系统,支持元数据,并且利用了高级数据构造,以便于改进性能、坚固性和磁盘空间操纵率,并供应了若干附加扩大功效,如EFS.在Windows 2000/XP/Server 2003中都装备了EFS,它可以帮忙用户针对存储在NTFS磁盘卷上的文件和文件夹履行加密操作.假如硬盘上的文件已经利用EFS举行了加密,即便黑客能拜候到硬盘上的文件,由于没有解密的密钥,文件也不可用.

　　当然,EFS并非天下无敌,低于1.5GB的NTFS活动系统分区与高于50GB的启动分区不能被EFS加密,这时便可以利用BitLocker 这个工具来举行保护了.利用EFS用户可以有挑选地对一些重要的文件或文件夹举行加密,而BitLocker倒是无条件地对整个驱动器的全部文件夹加密,BitLocker可补偿EFS的一些不足,可以很好地对非受权拜候举行掌握.

　　在默许情形下,Windows操作系统是不启动BitLocker功效的.若要对安装了Windows的驱动器用BitLocker举行加密,计算机必须具有两个分区:系统分区(包含启动计算机所需求的文件)和操作系统分区(包含Windows),操作系统分区会被加密,而系统分区将保持未加密状况,以便可以启动计算机.假如计算机没有系统分区,在Windows 7中BitLocker会自动利用200MB的可用磁盘空间成立一个系统分区,系统将不会为该系统分辨别配驱动器号,并且“计算机”文件夹中也不会显示该系统分区.在对安装了Windows的驱动器(操作系统驱动器)加密时,BitLocker会将其自身的加密和解密密钥存储在硬盘之外的某个硬件设备上,因此你必须具有以下硬件设备之一:具有受信任的平台模块 (TPM)(很多计算机中具有的一种支持高级安全功效的特别微芯片)的计算机;可移动的硬盘或U盘.

　　在启动了BitLocker功效的操作系统所在分区,该功效可对一系列的磁盘错误、BIOS更改、启动配置文件的更改等举行监控,假如这些功效被非常更改,BitLocker会自动将这个磁盘锁住.这时系统管理员便可操纵预先设置的密钥来解锁这个驱动器.这关于避免数据丧失、避免被盗窃或避免被黑客攻击等很有帮忙作用.并且,BitLocker可以锁定简单被他人看到重要数据的便携式存储设备,如U盘或移动硬盘.

　　企业利用小管家:AppLocker

　　AppLocker(利用程序掌握战略)是Windows 7中新增添的一项安全功效,操纵AppLocker管理员可以非常便利地举行配置.比方,QQ.exe可履行文件在没有举行AppLocker管理前,全部用户都可以利用该程序,而在举行利用程序掌握战略的相关设置后,被限制的用户就不能利用该程序.

　　具体办法是,翻开“开始→运行”,输入gpedit.msc翻开组战略编辑器.在左侧的窗格中顺次翻开“计算机配置→Windows设置→安全设置→利用程序掌握”,可以看到AppLocker组战略配置项——“可履行法则”、“Windows安装程序法则”和“脚本法则”三种范例,在每一种法则上单击鼠标右键都可以成立新法则,用户可按照自己的需求成立呼应的操作法则.右击“可履行法则→成立新法则”,点“下一步”,点选“挑选”按钮,在弹出的对话框中点“高级”,点选“当即查找”,找到想要禁用的用户,肯定后便可将限定的用户加入法则.然后便可将被禁用的对象指向QQ.exe,最后点“成立”便可.

　　如要避免闪存病毒传达,让AutoRun.inf 文件不要运行便可.对此可挑选“脚本法则”→“成立新法则”,在弹出的窗口中挑选“权限”→“回绝”,在“用户或组”里挑选“Everyone”,“下一步”在成立条件中挑选“途径”,在“途径”框中输入“?:\AutoRun.inf”,持续点“下一步”,最后点“成立”便可.

　　这样用户如能按照自己的实际情形,设置好Applocker的各种范例的默许法则,便可避免正常系统程序被病毒、木马操纵,可禁止通过非正常途径进入电脑的恶意程序运行.