深层防御”方法代表了一套全方位安全哲学,帮助保护计算环境免受许多攻击手法的攻击。
桌面计算中不变的东西为数不多,而其中一个不变项就是没有什么是从来不变的。在大多数情况下,这是件好事。我们的计算环境的样貌不断变化,这是革新和创造的成果。它为我们提供了与周围世界交互、协作和连接的新方式。
然而,随着桌面计算的样貌发生变化,桌面安全的样貌也变了。随着平台的本质和数据发生变化,新威胁涌现了。IT 专业人员必须保持警惕,了解可用来帮助抵御这些威胁的做法和工具。
桌面安全的“深层防御”观点代表一套安全哲学。这种方法有助于尽可能保护计算环境免受许多不同潜在攻击手法的攻击。我们来看看几种帮助保护您的桌面环境免受不需要的软件和恶意软件侵害的方式、几种保护用户和数据移动的新技术、几种帮助 IT 专业人员管理多样化计算环境的工具。
技术精通的罪犯攻击起桌面计算机来毫不手软。不幸得很,这就意味着欺骗和强制最终用户在计算机上安装恶意软件的企图越来越有创造性。幸运的是,有许多工具可用来帮助保护用户及用户连接到的基础结构。
用户帐户控制 (UAC) 是一项首先在 Windows Vista 引入的功能。此控制帮助用户和管理员在桌面计算环境内保护对管理权限的访问。用户可以利用标准用户权限轻松操作,因此其计算机的管理功能与可能企图在用户不知情的情况下访问数据或执行任务的恶意软件隔离开来。
Windows 7 对 UAC 进行了一些重要增强。通过减少要求提升的管理功能的数量,改进了最终用户体验。Windows 7 还为经过数字签名的 Windows 可执行文件引入了自动提升,并引入了新的操作模式来对要求显式提升的事件进行更精细的控制。关于 UAC 如何保护桌面计算环境的更详细的说明,请参阅 Mark Russinovich 2009 年 7 月的文章“深入了解 Windows 7 用户帐户控制。”
AppLocker 是 Windows 7 的另一新增功能,能使管理员精确指定哪些程序能在他们的环境中运行。AppLocker 是以 Windows XP 和 Windows Vista 中引入的软件限制策略 (SRP) 为基础构建的。管理员可以允许或拒绝在其桌面安装特定应用程序。
AppLocker 通过引入基于应用程序数字签名的规则增强了超出 SRP 的体验。此功能使管理员能标识他们可能要在组织内禁止的应用程序,而不必每次都要在程序属性(例如日期戳或版本号)更改时更新规则。AppLocker 内的规则引擎还提供了很多粒度(见图 1)。这使管理员能轻松构建清楚的规则并根据需要允许例外。
图 1 配置 Windows 7 中的 AppLocker
另外,AppLocker 规则也可以与组织中的特定用户或组相关联。这可以通过验证和强制规定可以运行特定应用程序的用户来提供特定控制,以使您支持遵从性要求和安全性要求。
UAC 和 AppLocker 提供可靠的机制来控制您能在任何计算机上安装并使用哪些应用程序。添加 Forefront Client Security 可助您更进一步,它提供功能强大的防病毒和反间谍软件引擎,同时提供实时文件保护。如果恶意元素进入您的桌面计算环境,Forefront Client Security 中包含的不断更新的筛选器不仅可以帮助检测威胁,而且可以消除威胁。
数据移动
我们在过去十年中所看到的一个最显著变化,就是当初那么小的计算装置现在以实际桌面形式存在。便携式计算机、上网本和各类移动设备现在构成了计算平台的主体。用户的移动性更强,用户数据也是。这当然有它的好处,可是也带来了更高的风险。便携式计算机及其他便携设备更有可能丢失、遗忘或被盗,因而可能使保密信息落入未授权个人手中。
(责任编辑:闫小琪)
