桌面安全：采用“深层防御”方法

桌面计算中不变的东西为数不多，而其中一个不变项就是没有什么是从来不变的。在大多数情况下，这是件好事。我们的计算环境的样貌不断变化，这是革新和创造的成果。它为我们提供了与周围世界交互、协作和连接的新方式。

然而，随着桌面计算的样貌发生变化，桌面安全的样貌也变了。随着平台的本质和数据发生变化，新威胁涌现了。IT 专业人员必须保持警惕，了解可用来帮助抵御这些威胁的做法和工具。

桌面安全的“深层防御”观点代表一套安全哲学。这种方法有助于尽可能保护计算环境免受许多不同潜在攻击手法的攻击。我们来看看几种帮助保护您的桌面环境免受不需要的软件和恶意软件侵害的方式、几种保护用户和数据移动的新技术、几种帮助 IT 专业人员管理多样化计算环境的工具。

恶意软件

技术精通的罪犯攻击起桌面计算机来毫不手软。不幸得很，这就意味着欺骗和强制最终用户在计算机上安装恶意软件的企图越来越有创造性。幸运的是，有许多工具可用来帮助保护用户及用户连接到的基础结构。

用户帐户控制 (UAC) 是一项首先在 Windows Vista 引入的功能。此控制帮助用户和管理员在桌面计算环境内保护对管理权限的访问。用户可以利用标准用户权限轻松操作，因此其计算机的管理功能与可能企图在用户不知情的情况下访问数据或执行任务的恶意软件隔离开来。

Windows 7 对 UAC 进行了一些重要增强。通过减少要求提升的管理功能的数量，改进了最终用户体验。Windows 7 还为经过数字签名的 Windows 可执行文件引入了自动提升，并引入了新的操作模式来对要求显式提升的事件进行更精细的控制。关于 UAC 如何保护桌面计算环境的更详细的说明，请参阅 Mark Russinovich 2009 年 7 月的文章“深入了解 Windows 7 用户帐户控制。”

AppLocker 是 Windows 7 的另一新增功能，能使管理员精确指定哪些程序能在他们的环境中运行。AppLocker 是以 Windows XP 和 Windows Vista 中引入的软件限制策略 (SRP) 为基础构建的。管理员可以允许或拒绝在其桌面安装特定应用程序。

AppLocker 通过引入基于应用程序数字签名的规则增强了超出 SRP 的体验。此功能使管理员能标识他们可能要在组织内禁止的应用程序，而不必每次都要在程序属性（例如日期戳或版本号）更改时更新规则。AppLocker 内的规则引擎还提供了很多粒度（见图 1）。这使管理员能轻松构建清楚的规则并根据需要允许例外。

图 1 配置 Windows 7 中的 AppLocker

另外，AppLocker 规则也可以与组织中的特定用户或组相关联。这可以通过验证和强制规定可以运行特定应用程序的用户来提供特定控制，以使您支持遵从性要求和安全性要求。

UAC 和 AppLocker 提供可靠的机制来控制您能在任何计算机上安装并使用哪些应用程序。添加 Forefront Client Security 可助您更进一步，它提供功能强大的防病毒和反间谍软件引擎，同时提供实时文件保护。如果恶意元素进入您的桌面计算环境，Forefront Client Security 中包含的不断更新的筛选器不仅可以帮助检测威胁，而且可以消除威胁。

数据移动

我们在过去十年中所看到的一个最显著变化，就是当初那么小的计算装置现在以实际桌面形式存在。便携式计算机、上网本和各类移动设备现在构成了计算平台的主体。用户的移动性更强，用户数据也是。这当然有它的好处，可是也带来了更高的风险。便携式计算机及其他便携设备更有可能丢失、遗忘或被盗，因而可能使保密信息落入未授权个人手中。

有多种选择帮助保护您和用户的数据免于丢失或被盗。BitLocker 驱动器加密（简称 BitLocker）帮助阻止对您的便携式计算机或上网本的未经授权的访问。存储在加密驱动器（见图 2）中的文件受到保护，未经授权的用户不可访问。通过提供全卷数据加密、早期的引导组件完整性检查、要求 PIN 或 USB 闪存设备在引导时具有密钥材料的选项，用户和管理员对万一移动设备丢失或被盗后的数据完整性可以更自信。#p#

图 2 BitLocker 驱动器加密在驱动器级别锁定数据

便携式计算机和上网本丢失仅是问题的一部分。将便携式存储设备（比如 USB 闪存驱动器）放错地方也是相当普遍的。USB 闪存驱动器可以存储大量数据，而且成本非常低，对选择存储设备的人很有吸引力。这也让使用 USB 闪存驱动器存储敏感信息危机四伏。BitLocker To Go 将 BitLocker 功能扩展到可移动存储设备，可以帮助解除此忧。

随着用户移动性的增加，不仅保护存储在物理设备上的数据很重要，保护跨公共网络移动的数据也很重要。DirectAccess 是 Windows 7 中引入的一项新增功能，提高了从外部路径连接到公司网络时的安全性。

利用 Internet 协议安全 (IPsec) 和 Internet 协议版本 6 (IPv6) 之类的基于标准的技术，DirectAccess 让用户无需单独的科学连接就可以从远程位置无缝连接到公司网络。DirectAccess 还使用三重数据加密标准 (3DES) 和高级加密标准 (AES) 之类的 IPsec 加密方法来帮助确保数据在传输中得到保护。要了解更多关于 DirectAccess 和结合网络访问保护功能增强它的方式，请查看 Joseph Davies 所写的 2010 年 6 月网络专家专栏。

最后，随着更多应用程序和业务线工作转向云，Web 浏览器为联机计算提供尽可能安全的环境甚至更为重要。即将推出的 Internet Explorer 9 将构建在坚实的 Internet 安全功能基础上，同时还提供一些受欢迎的增强功能。

例如，Internet Explorer 9 将纳入一个跨站点脚本 (XSS) 筛选器来帮助检测这类日益普遍的攻击。XSS 攻击以利用恶意代码危害合法网站为目标。

如果 XSS 筛选器在 Internet Explorer 9 发现任何漏洞，就会禁用有害脚本。Internet Explorer 9 还提供一个增强的 SmartScreen 筛选器来帮助用户识别并避免访问恶意网站，恶意网站上可能包含网页仿冒攻击、恶意软件等。了解更多关于 Internet Explorer 9 的信息并下载测试版。

简化管理

作为 IT 专业人员，使部署、管理和维护安全技术与策略的工作保持尽可能容易又高效很重要。Windows 7 提供了许多工具来帮助您简化桌面安全基础结构的管理。

例如，现在为组策略提供了 Windows PowerShell cmdlet。使用此功能强大的命令行外壳和脚本语言，现在您可以更轻松地使许多组策略任务自动化，更轻松地管理这些任务。您可以创建组策略对象，定义它们与 Active Directory 容器的关联，配置基于注册表的策略设置，不一而足。这有助您确保环境中的每个桌面都符合管理员建立的安全配置。

控制软件在组织内的部署方式以防止引入潜在恶意软件是根本。ActiveX 安装程序服务帮助您利用组策略来管理 ActiveX 控件的部署。这确保您可以安装并管理这些可增强最终用户 Web 体验的丰富控件，而不会损及 UAC 之类的桌面安全控制的完整性。

恶意攻击将继续适应桌面计算革新。然而，针对安全的综合深层防御方法将有助于确保您的用户及您的关键业务数据一直受到保护。

本文地址

本文来源：微软TechNet中文站

【编辑推荐】