盡可能快速還原一般服務。
盡可能降低事件對業務的影響。
確保事件與服務要求的處理一致且不漏掉任何內容。
直接支援最需要資源的地方。
提供資訊以支援要最佳化的程序、要減少事件的數目,以及要執行的管理規劃。
2011年3月16日 星期三
功能: 身分和存取管理
身分和存取管理是一項核心基礎結構最佳化功能,也是在基礎結構最佳化模型中實作多項功能的基礎。下表列出在身分和存取管理中移至標準化層級的高層級挑戰、適用解決方案,以及優點。
| 挑戰 | 解決方案 | 優點 |
| 使用者持續收到驗證提示,無法登入 要管理的使用者識別儲存過多 存取資源缺乏一致性 未獲授權存取機密資訊的風險 無法實作遵循政府法規 (沙賓法案、HIPAA 等) 新進員工必須等待才能存取關鍵系統,導致生產力降低 IT 挑戰 提高 有關密碼重設及存取要求的支援工程師成本 缺乏集中化管理的識別、無法清楚掌握身分識別生命週期 孤立帳戶引發安全性風險 不同系統採用不同的身份識別,沒有中央識別儲存機制 | 專案 實作用戶端驗證的主要目錄服務 實作具備目錄服務觀念的用戶端 | 業務效益 透過簡化的登入程序提高使用者生產力 管理較少的身分識別儲存,降低管理成本 進展至實作法規遵循 降低使用者帳戶管理成本 IT 優勢 降低支援工程師的工作量 減少數位身分識別 集中化管理身分識別 提高安全性 |
功能: 身分和存取管理
Windows Server 2008 R2 中 Windows 安全性稽核的新功能
Windows Server® 2008 R2 和 Windows® 7 中有許多稽核增強功能,可增加安全性稽核記錄的詳細資料等級,並簡化稽核原則的部署與管理。這些增強功能包括:
- 全域物件存取稽核。在 Windows Server 2008 R2 和 Windows 7 中,系統管理員可以針對檔案系統或登錄,定義全電腦的系統存取控制清單 (SACL)。指定的 SACL 便可自動套用至該類型的每個單一物件。這對於確認電腦上的所有關鍵檔案、資料夾及登錄設定是否已受到保護,以及識別系統資源何時發生問題來說非常有用。
- 「存取原因」報告。這份存取控制項目 (ACE) 清單可提供權限,以做為要允許或拒絕存取物件的決策基礎。這對於記錄權限 (例如,群組成員資格) 以允許或防止發生特殊可稽核事件,非常有用。
- 進階稽核原則設定。有 53 個新設定可用來替代 [本機原則\稽核原則] 底下的 9 個基本稽核設定,讓系統管理員更具體地將目標鎖定在想要稽核的活動類型,並去除會讓稽核記錄難以管理與辨認的不必要稽核活動。
智慧卡的新功能
智慧卡的新功能
Windows 7 具有智慧卡相關隨插即用的增強支援,以及美國國家標準與技術局 (National Institute of Standards and Technology,NIST) 的個人識別身分驗證 (PIV) 標準。
這表示 Windows 7 的使用者可以透過 Windows Update 使用來自已發佈驅動程式之廠商的智慧卡,而不需要特殊的中介軟體。這些驅動程式的下載方式與 Windows 中其他裝置的驅動程式相同。
將符合 PIV 標準的智慧卡插入智慧卡讀取裝置時,Windows 會嘗試從 Windows Update 下載驅動程式。如果 Windows Update 沒有適當的驅動程式,則會將 Windows 7 所附符合 PIV 標準的迷你驅動程式用於智慧卡。
誰需要使用智慧卡?
想要增強組織電腦 (特別是遠端使用者所用的可攜式電腦) 之安全性的網路系統管理員,將著重於智慧卡隨插即用 PIV 支援可以達成簡化的部署和使用案例。使用者則著重於以安全的方式使用智慧卡來執行重要的商業工作。
AppLocker
AppLocker 可用於下列案例:
- 協助防止惡意軟體 (惡意程式碼) 和不支援的應用程式影響環境中的電腦。
- 防止使用者安裝及使用未經授權的應用程式。
- 實作應用程式控制原則,滿足組織的安全性原則或規範需求。
Windows Server 2008 和 Windows Server 2008 R2 的安全性技術的詳細資訊
- 授權管理員
授權管理員是 Microsoft Management Console (MMC) 嵌入式管理單元,有助於提供資源存取的有效控制。- Windows BitLocker 磁碟機加密
BitLocker 可讓您加密所有儲存在 Windows 作業系統磁碟區和已設定資料磁碟區上的資料,還可以使用信賴平台模組 (TPM) 協助確保早期啟動元件的完整性。- …
BranchCache摘要與資源
BranchCache
分公司的使用者利用 WAN 連線到伺服器使用網路應用程式時,經常感到效能不佳。例如,分公司使用者可能需要花費數秒甚至數分鐘,才能開啟總公司伺服器上共用資料夾中的大型檔案。同樣地,嘗試在網頁瀏覽器中觀賞視訊的使用者,也可能需要很長的時間等待視訊載入完成。
BranchCache 經過專門的設計,希望讓分公司使用者能有像是直接連線到總公司的使用經驗。使用 BranchCache,從網頁伺服器或檔案伺服器 (稱為內容伺服器) 下載資料的第一個用戶端,會在分公司網路上快取複本。後續用戶端在經過內容伺服器驗證和授權之後,就可以從分公司內下載本機快取的內容複本。
BranchCache 專門設計用來和現有網路與安全性基礎結構搭配使用,可支援 IPv4、IPv6 以及端對端加密方法,例如 SSL 與 IPsec。BranchCache 可確保提供最新的內容版本,並可讓用戶端在擷取分公司內的內容之前,先透過內容伺服器取得授權。
2008 年「電腦犯罪與安全性研究」報告有百分之四十二的回應者,在前一年失竊筆記型電腦或行動裝置
在「電腦安全協會」 2008 年「電腦犯罪與安全性研究」報告中指出,有百分之四十二的回應者,在前一年失竊筆記型電腦或行動裝置。遺失機密企業資料的嚴重後果,包含品牌聲譽損失、訴訟、法規的處分,及可能的刑事訴訟。現在是加密您行動資料的時間,不管是存放在筆記型電腦或卸除式磁碟機,因為未加密資料的風險實在太大,無法讓人忽略。
Windows 7 BitLocker
BitLocker 磁碟區加密」(簡稱為 BitLocker) 幫助防禦開啟另一個作業系統或執行軟體駭客工具的竊取者破壞 Windows 7 檔案及系統的保護,或離線檢視存放在保護磁碟上的檔案。Windows 7 BitLocker 與 Windows Vista BitLocker 有許多共有的核心優點:
- 協助防止未授權的使用者在遺失、遭竊或淘汰的電腦上破壞 Windows 檔案及系統的保護。這包含作業系統磁碟區及固定資料磁碟區。
- 初期開機元件的完整性檢查可協助確保系統沒有被篡改,而且加密的磁碟機位於原始的電腦上。
- 在電腦開機或從休眠繼續之前,要求使用者提供啟動 PIN 或包含金鑰處理資料的 USB 快閃磁碟機,以對抗冷開機攻擊。
- 當使用者忘記他們的 PIN 或是遺失存放金鑰處理資料的 USB 快閃磁碟機時,「Active Directory(R) 網域服務」整合可以遠端保護修復金鑰以協助保護現場復原。
- 簡單、有效率的硬碟復原程序,包含將含有作業系統磁碟區的受保護硬碟移動到另一台電腦或更換電腦主機板。
Windows 7 AppLocker 執行概觀
AppLocker 是 Windows 7 企業版 及 Windows 7 旗艦版 中提供的新技術。此外,AppLocker 可以在 Windows Server 2008 R2 Standard、Windows Server 2008 R2 Enterprise、Windows Server 2008 R2 Datacenter 及 Itanium 型系統的 Windows Server 2008 R2 中使用。
Windows 7 AppLocker
AppLocker 提供的不只是安全性保護,還有操作方面及符合規範的優點,其方法是,讓系統管理員:
- 防止未授權的軟體在您的桌上型電腦環境下執行 (如果該軟體不在允許清單中)
- 防止易受攻擊且未經授權的應用程式在您的桌上型電腦環境下執行,包含惡意軟體
- 禁止使用者執行非必要性消耗網路頻寬,或任何可能影響企業運算環境的應用程式
- 防止使用者執行使他們桌上型電腦環境不穩定且增加支援人員支援成本的應用程式
- 針對有效的桌面設定管理,提供更多選擇
- 允許使用者根據原則執行核准的應用程式和軟體更新,同時保留只有具有系統管理認證的使用者可以安裝或執行應用程式和軟體更新的需求
- 協助確保桌上型電腦環境符合企業原則及業界法規
Windows 7 摘要
Windows 7 是專為降低成本與提升 IT 部門生產力所設計,可以提升自動化程度並提供相關工具讓您快速地排除並解決問題。Windows PowerShell 2.0 是內建於 Windows 7 的企業等級指令碼引擎,能夠讓 IT 專業人員自動處理大部分的系統管理工作。IT 專業人員甚至可以自動處理群組原則物件的建立與設定工作,並針對具有複雜群組原則結構的組織簡化其原則定義。
Windows 7 同時讓使用者更有生產力。具體來說,IT 專業人員可以利用 PowerShell 來建立自訂的 Windows 疑難排解套件;此套件是專為解決其特定環境中常見的問題所設計。由於您可以擴充疑難排解功能,因此 IT 專業人員與特定業務應用程式開發人員可以設計出相關解決方案供使用者診斷問題,甚至解決內部應用程式的問題。而且透過 Windows 疑難排解平台解決本身問題的使用者,也不用致電支援中心請求協助。
至於那些仍需要支援中心協助的問題,Windows 7 則可讓 IT 專業人員快速地診斷並解決問題。任何人只要有過重現使用者所描述問題的窘境,都會感謝問題步驟收錄程式的幫忙;此程式可以記錄每一個點選動作的螢幕擷取畫面,讓您清楚知道哪些使用者動作導致該問題。資源監視器與可靠性監視器的改進項目可讓 IT 專業人員更快速地找出導致問題的程序,以及可能導致這些問題的系統變更。系統還原的更新項目可讓使用者或 IT 專業人員在啟動還原點之前,清楚了解將受到影響的應用程式和驅動程式。預設會安裝 Windows 修復環境,以便在危急情況或是無法使用 Windows 7 DVD 時得以順利存取。
Windows 7 也包含重大的「群組原則」增強功能,此工具可讓 IT 部門用來集中管理執行 Windows 的所有電腦。如果您想要透過一個管理更完善、更安全的桌面環境來限制使用者可以執行的應用程式,AppLocker 可讓您建立更彈性的規則,讓您套用至任何應用程式版本 (甚至是尚未發行的版本)。群組原則喜好設定可定義使用者預設值,讓您透過簡單的方式來建立可供使用者更新的初始設定,完全不需要修改部署映像。您也可以使用群組原則來套用 BitLocker 加密,即使是 USB 隨身碟之類的卸除式存放裝置也沒問題。最後,藉由啟用 DirectAccess,可以繼續妥善管理行動電腦、定期接收更新的群組原則設定、與伺服器同步資料檔案與接收軟體更新項目,因為每當電腦連線至網際網路時,這些電腦就會自動連入您的內部網路。
DirectAccess
對 IT 部門來說,行動電腦是一大挑戰,因為它們必須與內部網路連線才能加以管理。遠離辦公室或是出差一段時間的使用者可能無法在幾週或幾個月內連線至內部網路。如此一來,這些行動電腦將無法下載更新的群組原則設定、重要的更新項目或是反惡意程式定義。
一般而言,遠端使用者可以透過虛擬私人網路 (VPN) 連線到內部網路資源。但是,透過 VPN 來連線對使用者而言會有些麻煩,因為需要執行幾個步驟,並等候幾秒鐘 (甚至是幾分鐘) 才能通過驗證。
Windows 7 與 Windows Server 2008 R2 共同推出 DirectAccess (請參閱圖 17),這項全新的解決方案可讓使用者在遠端工作時,就像在辦公室一樣方便。DirectAccess 利用 IPv6 與 IPSec 這類的技術優勢,讓遠端電腦自動、順暢地透過網際網路存取內部網路,而無須連接到虛擬私人網路 (VPN),同時也會提供企業安全與彈性的網路基礎結構。
![dd443489.d7b14915-7741-472b-9fb2-eca8e72371da(zh-tw,WS.10)[1]](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg-c42jjyYm_62q0fwqS3jXZCVSVd_n3HO_Q2MmAvwlCwAJJg4boNVp41QPUVtjUpzNe-MUQ9uSBATw8tn9RcEY_czO2ugvLc0KIt4ssstqCuBwHDXjXTMvS__cyb9DIfzdmte3K1OrrQbf/?imgmax=800 "dd443489.d7b14915-7741-472b-9fb2-eca8e72371da(zh-tw,WS.10)[1]")
![dd443489.d7b14915-7741-472b-9fb2-eca8e72371da(zh-tw,WS.10)[1]](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgVZ2AqWnBbs5EMgBZZySxh4ezrCtHQ91Y2CHKwOy6GHEGqgGr29iz3kD7KalpQOnfa-KnhcaJVBTrzKAVs9KnNQphgOjaU_wgiO9RxK3fFJHdj4Ldsm_ZHXg23_Xt9DY7xhpVSfu5yXfbi/s1600-h/dd443489.d7b14915-7741-472b-9fb2-eca8e72371da(zh-tw,WS.10)%5B1%5D%5B12%5D.jpg "dd443489.d7b14915-7741-472b-9fb2-eca8e72371da(zh-tw,WS.10)[1]")
AppLocker、BitLocker
Windows 7 內含改良的功能與全新的技術,可協助 IT 專業人員更有效率地符合相關的法規需求:
- AppLocker 可提供彈性的發行者規則,以針對使用者可以執行的應用程式簡化其控制作業。
- 改良的稽核功能讓 IT 專業人員可以使用群組原則,設定可以稽核的檔案與登錄值。
- BitLocker 改進項目提供強制資料加密,包括卸除式存放裝置等。
PowerShell 命令以進行自動化或互動式遠端管理
在過去,為了管理遠端電腦,您需要透過「遠端桌面」來連接。一旦需要大規模 (或是自動化) 管理時,就會產生許多問題。PowerShell 2.0 推出 PowerShell 遠端處理功能,讓您執行 PowerShell 命令以進行自動化或互動式遠端管理。今日,有效率的系統管理員會透過網路執行大多數的電腦管理工作。有了 Windows 7 和 PowerShell 2.0,您可以透過標準管理通訊協定 WS-Management (WS-MAN) 在遠端電腦上執行 Cmdlet。此通訊協定讓您建立可在一或多部遠端電腦上執行的指令碼,並讓您掌控遠端 PowerShell 工作階段以便直接在該電腦上執行命令。用途包括:
- 在客服人員來電期間建立系統還原點,方便您在必要時將電腦還原至目前狀態
- 變更防火牆規則,以保護電腦不受新發現弱點的攻擊
另一個用於在遠端 Windows 7 電腦上執行 PowerShell 指令碼的選項,就是使用 GPO 中定義的登入、登出、啟動與關機指令碼。舊版 Windows 僅支援針對這些指令碼指定一個命令檔。PowerShell 所提供的彈性與威力,遠較命令檔中的可用命令更高、更強
安全需求Windows 7 支援下列功能
AppLocker™ 可讓 IT 專業人員更靈活地設定原則以供應用程式及指令碼使用者加以執行或安裝,藉此提供更安全與容易管理的桌面。 稽核功能上的改善讓 IT 專業人員得以使用群組原則,針對檔案與登錄存取設定更完整的稽核機制。 系統管理員可以要求使用者透過群組原則使用 BitLocker To Go™,對卸除式存放裝置進行加密處理。 群組原則喜好設定定義了使用者可變更的預設設定,並針對對應的網路磁碟機、排程工作與其他非群組原則感知的 Windows 元件進行集中式管理。 DirectAccess 能夠平順地讓行動電腦與內部網路連線,以便讓 IT 專業人員在使用者具有網際網路連線能力時管理這些電腦
Windows 7 保留 Windows Vista 的資料保護技術
Windows 7 保留 Windows Vista 的資料保護技術,例如加密檔案系統 (EFS)、內建的 Active Directory(R) Rights Management Service 技術,及精細的 USB 連接埠控制。除了對這些技術所增加的更新之外,Windows 7 還對常用的 BitLocker 磁碟機加密技術提供多個重大的增強功能。
BitLocker To Go
USB 快閃磁碟機及其他個人儲存裝置的普遍使用,提高了使用者對於這些裝置上資訊安全的關注。然而,某些使用者不需要完整的 BitLocker To Go™ 的資料加密功能。Windows 7 提供相容於 USB 儲存裝置之 IEEE 1667 的密碼保護及憑證驗證支援。使用者可以利用 IEEE 1667 儲存裝置的密碼保護,協助保護資料的隱密性免於隨意的揭露。
UAC
流暢化的 UAC
Windows Vista 中引進的使用者帳戶控制 (UAC) 不需要系統管理權限即可完成作業系統的部署,有助於增加安全性及改善擁有權總成本。Windows 7 以特定變更持續開發 UAC,以增強使用者體驗: 包括減少需要系統管理權限的作業系統應用程式及任務數量,以及持續以系統管理權限執行的使用者彈性同意提示行為。最後的結果讓標準使用者可以比以前執行更多工作,且所有使用者會看到較少的提示。
Windows 7 安全性-BitLocker
保護資料避免未授權的檢視: Windows 7 延伸 BitLocker™ 磁碟機加密以協助保護儲存在可攜式媒體 (例如,USB 快閃磁碟機、USB 可攜式硬碟) 上的資料,因此即使媒體遺失、遭竊或誤用,只有授權使用者可以讀取資料。
Windows® 7 和 Windows Server® 2008 R2 中,UAC 功能改善為:
增加標準使用者可以執行且不會出現提示需要系統管理員核准的工作數。 允許具有系統管理員權限的使用者在 [控制台] 中設定 UAC 經驗。 提供額外的本機安全性原則,讓本機系統管理員在 [管理員核准模式] 中變更本機系統管理員之 UAC 訊息的行為。 提供額外的本機安全性原則,讓本機系統管理員變更標準使用者之 UAC 訊息的行為。
Server 2008 R2 及 Windows 7 智慧卡的新功能
Windows 7 中的新智慧卡支援選項包含:
- 使用 BitLocker 磁碟機加密來加密磁碟機。在 Windows 7 企業版 和 Windows 7 旗艦版 作業系統中,使用者可以在開啟 BitLocker 後選擇智慧卡選項來解除磁碟機的鎖定,以選擇加密他們的卸除式媒體。在執行階段,Windows 會擷取智慧卡的正確迷你驅動程式,而且允許操作完成。
- 使用 PKINIT 通訊協定的智慧卡網域登入。在 Windows 7 中,會自動擷取智慧卡的正確迷你驅動程式,讓新的智慧卡能夠向網域進行驗證,而使用者不需要安裝或設定其他的中介軟體。
- 文件和電子郵件簽署。Windows 7 使用者可以依賴 Windows 在執行階段擷取智慧卡的正確迷你驅動程式,以簽署電子郵件或文件。此外,不需要其他軟體,即可簽署 XML 文件規格 (XPS) 文件。
- 與特定業務應用程式搭配使用。在 Windows 7 中,任何使用新一代密碼編譯 (CNG) 或 CryptoAPI 讓應用程式使用憑證的應用程式,都可以依賴 Windows 在執行階段擷取智慧卡的正確迷你驅動程式,因此不需要其他中介軟體。
Windows Server® 2008 R2 和 Windows® 7 作業系統包含的網路增強功能
新網路功能包括:
- DirectAccess,讓使用者不需要起始虛擬私人網路 (VPN) 連線的額外步驟,便可存取企業網路。
- VPN 重新連線,只要網際網路連線一還原,就自動重新建立 VPN 連線,使用者不必重新輸入認證和重新建立 VPN 連線。
- BranchCache™,可在分公司區域網路的電腦上快取廣域網路 (WAN) 中檔案和網頁伺服器的更新內容,以提升應用程式回應時間並減少 WAN 流量。
- 以 URL 為主的服務品質 (QoS),可讓您根據產生流量的來源 URL,對流量指派優先順序等級。
- 行動寬頻裝置支援,為用來存取行動寬頻網路的裝置,提供驅動程式型的模型。
- 多個作用中的防火牆設定檔,根據所連線的網路而定,分別為每張網路介面卡啟用最適合的防火牆規則。
BitLocker™ 磁碟機加密
Windows 7 建立在 Windows Vista 的安全性基礎上,為保護電腦和資料帶來更大的彈性。除了保護內部電腦硬碟之外,BitLocker™ 磁碟機加密可以加密外部 USB 磁碟機和硬碟,並且提供修復金鑰,讓資料在需要時可供存取。如需 BitLocker 的相關資訊,請參閱 Windows 7 BitLocker 執行概觀。對於要求最高等級相容性的企業,IT 專業人員可以使用新的應用程式封鎖工具,指定哪個應用程式可以在使用者的電腦上執行,提供另一種方式限制惡意軟體的風險。
讓使用者隨地都能有生產力
Windows 7 讓使用者不論本身或所需的資料位於何處,都能有生產力。因為 Windows 7 改善了效能和可靠性,讓使用者工作更快速,受到的干擾更少。他們不用在許多位置尋找資訊,因為單一搜尋就可以檢查公司內部網路上的 SharePoint 網站和電腦上的檔案。使用 DirectAccess,當行動使用者在公司外時,可以簡單安全地存取公司資源。位於分公司、連線速度又慢的使用者使用 Windows 7 中的 BranchCache™,快取經常存取的檔案和網頁,也能更具生產力。
BitLocker 與 BitLocker To Go
Windows 7 針對 BitLocker 磁碟機加密提供管理能力及部署更新,以解決持續性的資料洩漏威脅,並引進 BitLocker To Go:將 BitLocker 支援延伸到卸除式儲存裝置,以增強資料保護免於資料遭竊及曝光。透過將 BitLocker 支援延伸到 FAT 資料磁碟區,可支援大範圍的磁碟格式及裝置,包含 USB 快閃磁碟機及可攜式磁碟機。這可讓使用者部署 BitLocker 以滿足廣泛的資料保護需求。
不管帶著筆記型電腦旅行、與信任的夥伴共用大型檔案或是在家工作,BitLocker 與 BitLocker To Go 保護的裝置都可以確認只有授權使用者可以讀取資料,即使媒體遺失、遭竊或誤用。最重要的是,BitLocker 的保護對使用者來說是容易部署且直覺化的,以持續強化規範遵循狀況及資料安全性。
BitLocker To Go 也可以讓系統管理員控制在他們的環境中,利用卸除式存放裝置的方法以及他們所需要保護的強度。系統管理員可以要求在使用者想要寫入資料的任何卸除式存放裝置中必須具有資料保護;同時仍允許以唯讀模式使用未受保護的存放裝置。也可以使用要求具有適當密碼、智慧卡或網域使用者認證的原則,以利用受保護的卸除式存放裝置。最後,BitLocker To Go 在較舊的 Windows 版本上提供卸除式裝置可設定唯讀支援,讓您可以更安全地與仍執行 Windows Vista 及 Windows XP 的使用者共用檔案。
保護資料避免未授權的檢視
每年有成千上萬沒有適當安全性防護的電腦遺失、遭竊或淘汰。然而,資料洩漏不只是實體電腦的問題。USB 快閃磁碟機、電子郵件通訊、洩露的文件等等,都是讓有心人士容易取得資料的途徑。
Windows 7 保留 Windows Vista 的資料保護技術,例如加密檔案系統 (EFS)、內建的 Active Directory(R) Rights Management Service 技術,及精細的 USB 連接埠控制。除了對這些技術所增加的更新之外,Windows 7 還對常用的 BitLocker 磁碟機加密技術提供多個重大的增強功能。
AppLocker
Windows 7 利用 AppLocker 強化應用程式控制原則:一個靈活且易於管理的機制,讓 IT 精確地指定允許在桌面基礎結構執行的項目,讓使用者執行能夠提高工作效率的應用程式、安裝程式及指令碼。因此,在 IT 於組織中強制執行應用程式標準化的同時,也可以提供安全性、操作及符合規範的優點。
.jpg)
圖 3: AppLocker
AppLocker 提供簡單、強大的規則結構並引進發行者規則:以應用程式數位簽章為基礎的規則。發行者規則可以指定如應用程式版本的屬性,以建立可在應用程式更新後使用的規則。例如,組織可以建立「如果是由軟體發行者 Adobe 簽署的話,允許執行大於程式 Acrobat Reader 9.0 的所有版本」規則。現在當 Adobe 更新 Acrobat,您可以安全地部署應用程式更新,不需要建立新版應用程式的另一個規則。
AppLocker
Windows 7 利用 AppLocker 強化應用程式控制原則:一個靈活且易於管理的機制,讓 IT 精確地指定允許在桌面基礎結構執行的項目,讓使用者執行能夠提高工作效率的應用程式、安裝程式及指令碼。因此,在 IT 於組織中強制執行應用程式標準化的同時,也可以提供安全性、操作及符合規範的優點。
保護使用者及基礎結構
Windows 7 提供對抗惡意程式碼及干擾的彈性安全保護,讓使用者可以在安全、控制及生產力三者之間取得平衡。AppLocker(TM) 及 Internet Explorer(R) 8 是兩個主要技術投入的範例,提高 Windows 7 作業系統的保護以對抗惡意程式的入侵。
DirectAccess
使用 Windows 7,不在辦公室也能工作變得更簡單。DirectAccess 讓遠端使用者只要連線網際網路就可以隨時存取公司網路,不需要起始 VPN 連線的額外步驟,因此提升不在辦公室時的生產力。對 IT 專業人員而言,DirectAccess 提供更安全及彈性的公司網路基礎結構,以遠端管理及更新使用者的電腦。DirectAccess 提供「永續管理」的基礎結構以簡化 IT 的管理,讓不管是否連接網路的電腦都可以保持良好運作、受管理及更新的狀態。
使用 DirectAccess,IT 專業人員可以對使用者可以存取的網路資源進行細部控制。例如,群組原則設定可以用來管理遠端使用者存取企業應用程式。DirectAccess 也可以將網際網路流量與內部網路資源存取進行區隔,所以使用者可以存取公用網站,但不會在公司網路上產生額外的通訊流量。
最重要的是,DirectAccess 是建立在產業標準上,例如 IPv6 及 IPsec,確保您的企業通訊保持安全及受保護的狀況。
多個使用中的防火牆原則
在 Windows Vista,防火牆原則是以建立的網路連線「類型」為基礎,例如家用、工作場所、公用或網域 (是第四個,屬於隱藏類型)。然而,這可能造成 IT 專業人員的安全性阻礙,例如,當使用者透過「家用」網路連線到網際網路,然後使用虛擬私人網路存取公司網路。在此情況下,因為網路類型 (及防火牆設定) 已經根據使用者連線的第一個網路進行設定,將無法套用存取公司網路所適用的防火牆設定。
Windows 7 透過支援多個使用中的防火牆原則,減輕 IT 專業人員的問題來源,讓使用者的電腦取得及套用網域防火牆設定檔資訊,無論使用者電腦中是否啟用其他網路。透過這種功能 (這是企業客戶要求的重要功能之一),IT 專業人員可以藉由維護遠端用戶端及實體連線到公司網路用戶端的單一原則集,簡化連線及安全性原則。
DNSSec 支援
網域名稱系統 (DNS) 是支援許多日常網際網路活動的基本通訊協定,這些活動包含電子郵件傳遞、網頁瀏覽及即時通訊。然而,DNS 系統是在三十年之前所設計的,沒有我們今天面臨的安全問題。DNS 安全性延伸模組 (DNSSEC) 是提供今日網際網路安全服務所需的 DNS 延伸集合。Windows 7 支援 RFC 4033、4034 及 4035 所規定的 DNSSEC,讓組織信任網域名稱記錄沒有被冒用,也幫助他們免受惡意活動的攻擊。
協助在任何地方都可以安全的存取
Windows 7 提供適當的安全性控制,所以不論是否在辦公室,使用者都可以隨時隨地存取工作上所需的資訊。除了完整支援現有技術 (例如網路存取保護) 之外,Windows 7 提供更有彈性的防火牆、DNS 安全性支援,及全新的遠端存取範例。
改善的智慧卡支援
密碼驗證有眾所皆知的安全性限制;然而,部署強式驗證技術對很多組織而言仍是一項挑戰。建立在 Windows Vista 的智慧卡基礎結構發展上,Windows 7 透過隨插即用的支援使部署智慧卡更容易。支援智慧卡和智慧卡讀卡機所需的驅動程式會自動安裝,不需要系統管理權限或使用者互動,在企業中更容易部署強式的雙重要素驗證。Windows 7 也延伸 PKINIT (RFC 5349) 的平台支援以包含 ECC 智慧卡,允許 Windows 登入在智慧卡使用 Elliptic Curve-backed 憑證。
整合的指紋辨識器及登入
指紋掃描器在標準的筆記型電腦上已經愈來愈普遍,Windows 7 確定可以支援它們。設定及開始使用指紋辨識器非常簡單,而且跨不同硬體提供者使用指紋登入 Windows 也很可靠。指紋辨識器設定容易修改,所以您可以控制登入 Windows 7 的方法及管理儲存在電腦上的指紋資料。
安全強化的儲存裝置
安全強化的儲存裝置
USB 快閃磁碟機及其他個人儲存裝置的普遍使用,提高了使用者對於這些裝置上資訊安全的關注。然而,某些使用者不需要完整的 BitLocker To Go™ 的資料加密功能。Windows 7 提供相容於 USB 儲存裝置之 IEEE 1667 的密碼保護及憑證驗證支援。使用者可以利用 IEEE 1667 儲存裝置的密碼保護,協助保護資料的隱密性免於隨意的揭露。
流暢化的 UAC
Windows Vista 中引進的使用者帳戶控制 (UAC) 不需要系統管理權限即可完成作業系統的部署,有助於增加安全性及改善擁有權總成本。Windows 7 以特定變更持續開發 UAC,以增強使用者體驗: 包括減少需要系統管理權限的作業系統應用程式及任務數量,以及持續以系統管理權限執行的使用者彈性同意提示行為。最後的結果讓標準使用者可以比以前執行更多工作,且所有使用者會看到較少的提示。
增強的稽核功能
增強的稽核功能
Windows 7 提供增強的稽核功能,使得組織更容易符合他們的法規及企業規範需求。稽核增強功能從簡化稽核設定的管理方法開始著手,最終是要提供更強大的組織可見度。例如,Windows 7 更深入了解為什麼使用者可存取特定的資訊、為什麼使用者被拒絕存取特定的資訊,以及特定使用者或群組進行的所有變更。
基本的安全平台
基本的安全平台
Windows 7 建立在 Windows Vista 強大的安全基礎上,並且保留所有讓 Windows Vista 成為今日最安全的 Windows 用戶端版本的開發程序與技術。核心補充程式保護、服務強化、資料執行防止、位址空間配置隨機載入以及強制整合層級等基礎安全性功能,持續對惡意程式碼及攻擊提供強化的保護。Windows 7 使用 Microsoft 的安全性開發週期 (SDL) 再度設計及開發,並且設計支援一般條件需求以達到「評估確認等級 4」認證及符合美國「聯邦資訊處理標準 140-2」。源自 Windows Vista 的堅固安全基礎,Windows 7 在事件稽核的核心安全技術及「使用者帳戶控制」方面有顯著增強。
Windows 7 安全性增強功能
簡介
Windows 7 以 Windows Vista 的安全性為基礎,並根據客戶的意見反應進行系統強化,讓系統具有更高的使用性並更易於管理,同時包含增強的安全性,協助使用者對抗外界層出不窮的安全威脅。本文將介紹 Windows 7 中最重大的安全性增強功能,分為四節:
- 基本的安全平台: Windows 7 建立在 Windows Vista 引進的絕佳安全性增強功能上,並回應客戶意見使系統更為實用並易於管理。
- 協助在任何地方都可以安全的存取: Windows 7 提供適當的安全性控制,所以不論是否在辦公室,使用者都可以隨時隨地存取工作上所需的資訊。
- 保護使用者及基礎結構: Windows 7 提供對抗惡意程式碼及干擾的彈性安全保護,讓使用者可以在安全、控制及生產力三者之間取得平衡。
- 保護資料避免未授權的檢視: Windows 7 延伸 BitLocker™ 磁碟機加密以協助保護儲存在可攜式媒體 (例如,USB 快閃磁碟機、USB 可攜式硬碟) 上的資料,因此即使媒體遺失、遭竊或誤用,只有授權使用者可以讀取資料。
Windows Server 2008 R2 伺服器管理員的新功能
伺服器管理員有哪些功能?
最先提供於 Windows Server 2008 作業系統中的伺服器管理員,提供了單一來源,可供管理伺服器的識別與系統資訊、顯示伺服器狀態、識別伺服器角色設定或某些角色與最佳作法之協調性的問題,以及管理所有安裝於伺服器上的角色。隨著 Windows Server 2008 R2 的發行,伺服器管理員即可用於從執行 Windows Server 2008 R2 的另一部電腦或執行 Windows 7 的電腦來管理遠端電腦。
Windows Server 2008 R2 中 Windows 安全性稽核的新功能
Windows 安全性稽核的新功能
適用於: Windows Server 2008 R2
主要的變更是什麼?
Windows Server® 2008 R2 和 Windows® 7 中有許多稽核增強功能,可增加安全性稽核記錄的詳細資料等級,並簡化稽核原則的部署與管理。這些增強功能包括:
- 全域物件存取稽核。在 Windows Server 2008 R2 和 Windows 7 中,系統管理員可以針對檔案系統或登錄,定義全電腦的系統存取控制清單 (SACL)。指定的 SACL 便可自動套用至該類型的每個單一物件。這對於確認電腦上的所有關鍵檔案、資料夾及登錄設定是否已受到保護,以及識別系統資源何時發生問題來說非常有用。
- 「存取原因」報告。這份存取控制項目 (ACE) 清單可提供權限,以做為要允許或拒絕存取物件的決策基礎。這對於記錄權限 (例如,群組成員資格) 以允許或防止發生特殊可稽核事件,非常有用。
- 進階稽核原則設定。有 53 個新設定可用來替代 [本機原則\稽核原則] 底下的 9 個基本稽核設定,讓系統管理員更具體地將目標鎖定在想要稽核的活動類型,並去除會讓稽核記錄難以管理與辨認的不必要稽核活動。
Windows 7 及 Windows Server 2008 R2 使用者帳戶控制的新功能
使用者帳戶控制的新功能
推出使用者帳戶控制 (UAC) 之前,如果使用者是以系統管理員的身分登入,則該使用者會自動獲得所有系統資源的完整存取權。雖然使用者以系統管理員身分執行時可以安裝合法軟體,但也可能會有意或無意地安裝惡意程式。由系統管理員安裝的惡意程式可能會徹底危及電腦,並影響所有使用者。
在 UAC 推出後,存取控制模型便有所變更,有助於減輕惡意程式所造成的影響。當使用者嘗試啟動系統管理員工作或服務時,在使用者的完整系統管理員存取權杖可以使用之前,[使用者帳戶控制] 對話方塊會要求使用者按一下 [是] 或 [否]。如果使用者不是系統管理員,則該使用者必須提供系統管理員的認證才可執行程式。因為 UAC 要求系統管理員核准應用程式安裝,所以未經授權的應用程式無法自動安裝,也無法在未經系統管理員明確同意的情況下安裝。
在 Windows® 7 和 Windows Server® 2008 R2 中,UAC 功能改善為:
- 增加標準使用者可以執行且不會出現提示需要系統管理員核准的工作數。
- 允許具有系統管理員權限的使用者在 [控制台] 中設定 UAC 經驗。
- 提供額外的本機安全性原則,讓本機系統管理員在 [管理員核准模式] 中變更本機系統管理員之 UAC 訊息的行為。
- 提供額外的本機安全性原則,讓本機系統管理員變更標準使用者之 UAC 訊息的行為。
AppLocker 的新功能
AppLocker 有哪些功能?
使用 AppLocker 可讓您:
- 根據衍生自數位簽章的檔案屬性 (包括發行者、產品名稱、檔案名稱與檔案版本) 定義規則。例如,您可以根據在更新之後仍保有的發行者與檔案版本屬性建立規則,或建立以特定檔案版本為目標的規則。
AppLocker 規則會指定可執行的檔案。未納入規則中的檔案,即無法執行。
- 指派規則給安全性群組或個別使用者。
您無法指派 AppLocker 規則給網際網路區域、個別電腦或登錄路徑。
- 為 .exe 檔案建立例外。例如,您可以建立一個規則,以允許 Regedit.exe 以外的所有 Windows 處理程序執行。
- 使用僅稽核模式,可識別在原則生效時無法執行的檔案。
- 匯入及匯出規則。
服務帳戶的新功能
服務帳戶的新功能
Windows Server® 2008 R2 和 Windows® 7 中有兩種新的服務帳戶類型:受管理的服務帳戶和虛擬帳戶。受管理的服務帳戶主要用於提供已隔離出自己的網域帳戶之重要應用程式 (例如 SQL Server 和 IIS),同時讓系統管理員不需手動管理這些帳戶的服務主要名稱 (SPN) 和認證。Windows Server 2008 R2 和 Windows 7 中的虛擬帳戶是「受管理的本機帳戶」,可以使用電腦的認證來存取網路資源。
Windows Server 2008 R2 及 Windows 7 生物識別的新功能
適用於: Windows 7, Windows Server 2008 R2
為了提高方便性,Windows® 7 讓系統管理員和使用者能夠使用指紋生物識別裝置登入電腦、透過使用者帳戶控制 (UAC) 授與提高權限,以及執行指紋裝置的基本管理。系統管理員可以啟用、限制或封鎖指紋生物識別裝置的使用,以在群組原則設定中管理指紋生物識別裝置。
生物識別的新功能
有愈來愈多的電腦 (特別是可攜式電腦) 包含內嵌的指紋辨識器。指紋辨識器可用於識別和驗證 Windows 中的使用者。到目前為止,Windows 還沒有生物識別裝置或啟用生物識別之應用程式的標準支援。電腦製造商必須提供軟體,才能支援他們產品的生物識別裝置。這讓使用者更難以使用裝置,也讓系統管理員更難以管理生物識別裝置的使用。
Windows Server 2008 R2 及 Windows 7 智慧卡
適用於: Windows 7, Windows Server 2008 R2
Windows® 7 包含的新功能,可讓智慧卡更容易使用和部署,而且可以使用智慧卡來完成更多樣化的工作。所有的 Windows 7 版本都具有新的智慧卡功能。
智慧卡的新功能
Windows 7 具有智慧卡相關隨插即用的增強支援,以及美國國家標準與技術局 (National Institute of Standards and Technology,NIST) 的個人識別身分驗證 (PIV) 標準。
這表示 Windows 7 的使用者可以透過 Windows Update 使用來自已發佈驅動程式之廠商的智慧卡,而不需要特殊的中介軟體。這些驅動程式的下載方式與 Windows 中其他裝置的驅動程式相同。
將符合 PIV 標準的智慧卡插入智慧卡讀取裝置時,Windows 會嘗試從 Windows Update 下載驅動程式。如果 Windows Update 沒有適當的驅動程式,則會將 Windows 7 所附符合 PIV 標準的迷你驅動程式用於智慧卡。
誰需要使用智慧卡?
想要增強組織電腦 (特別是遠端使用者所用的可攜式電腦) 之安全性的網路系統管理員,將著重於智慧卡隨插即用 PIV 支援可以達成簡化的部署和使用案例。使用者則著重於以安全的方式使用智慧卡來執行重要的商業工作。
新增和變更功能的優點
Windows 7 中的新智慧卡支援選項包含:
- 使用 BitLocker 磁碟機加密來加密磁碟機。在 Windows 7 企業版 和 Windows 7 旗艦版 作業系統中,使用者可以在開啟 BitLocker 後選擇智慧卡選項來解除磁碟機的鎖定,以選擇加密他們的卸除式媒體。在執行階段,Windows 會擷取智慧卡的正確迷你驅動程式,而且允許操作完成。
- 使用 PKINIT 通訊協定的智慧卡網域登入。在 Windows 7 中,會自動擷取智慧卡的正確迷你驅動程式,讓新的智慧卡能夠向網域進行驗證,而使用者不需要安裝或設定其他的中介軟體。
- 文件和電子郵件簽署。Windows 7 使用者可以依賴 Windows 在執行階段擷取智慧卡的正確迷你驅動程式,以簽署電子郵件或文件。此外,不需要其他軟體,即可簽署 XML 文件規格 (XPS) 文件。
- 與特定業務應用程式搭配使用。在 Windows 7 中,任何使用新一代密碼編譯 (CNG) 或 CryptoAPI 讓應用程式使用憑證的應用程式,都可以依賴 Windows 在執行階段擷取智慧卡的正確迷你驅動程式,因此不需要其他中介軟體。
伺服器安全性原則管理
安全性原則設定
安全性原則是影響電腦上安全性之安全性設定的組合。例如,安全性原則設定可以控制誰能夠存取您的電腦、使用者被授權存取電腦上的哪些資源,以及是否要在事件日誌中記錄使用者或群組的動作。
受管理的服務帳戶與虛擬帳戶概念
受管理的服務帳戶與虛擬帳戶概念
重要網路應用程式 (例如 Exchange 和 IIS) 的其中一項安全性挑戰,就是選取適當類型的帳戶以供應用程式使用。
在本機電腦上,系統管理員可以設定應用程式以 Local Service、Network Service 或 Local System 身分執行。這些服務帳戶十分容易設定和使用,但通常在多個應用程式和服務間共用,而且不能在網域層級上進行管理。
如果您設定應用程式使用網域帳戶,則可以區隔出應用程式的權限,但是需要手動管理密碼,或是建立用來管理這些密碼的自訂解決方案。許多 SQL Server 和 IIS 應用程式都使用這個策略來增強安全性,但此策略需要額外的管理成本,也較複雜。
在這些部署中,服務系統管理員花相當多的時間進行維護工作 (例如,管理進行 Kerberos 驗證所需的服務密碼和服務主要名稱 (SPN))。此外,這些維護工作可能會干擾服務。
Windows Server 2008 R2 及 Windows 7 中有兩種新的帳戶類型 - 受管理的服務帳戶和虛擬帳戶主要用於提供已隔離出自己的帳戶之重要應用程式 (例如 SQL Server 或 IIS),同時讓系統管理員不需手動管理這些帳戶的 SPN 和認證。
Windows Server 2008 R2 及 Windows 7 中的受管理的服務帳戶是受管理的網域帳戶,可提供下列功能以簡化服務管理作業:
- 自動密碼管理。
- 簡化的 SPN 管理,包括將管理功能委派給其他系統管理員。其他自動 SPN 管理可在 Windows Server 2008 R2 網域功能等級使用。如需詳細資訊,請參閱本文件中的<使用受管理的服務帳戶與虛擬帳戶的需求>。
Windows Server 2008 R2 及 Windows 7 中的虛擬帳戶是「受管理的本機帳戶」,可提供下列功能以簡化服務管理作業:
- 不需要密碼管理。
- 在網域環境中使用電腦識別存取網路的能力。
受管理的服務帳戶
受管理的服務帳戶
更新日期: 2010年11月
適用於: Windows 7, Windows Server 2008 R2
在 Windows Server 2008 R2 和 Windows 7 中提供兩種新類型的服務帳戶,也就是受管理的服務帳戶與虛擬帳戶。受管理的服務帳戶主要用於提供已隔離出自己的帳戶之重要應用程式 (例如 SQL Server 和 IIS),同時讓系統管理員不需手動管理這些帳戶的服務主體名稱 (SPN) 和認證。Windows Server 2008 R2 及 Windows 7 中的虛擬帳戶是「受管理的本機帳戶」,可使用電腦的認證存取網路資源。
Windows BitLocker 磁碟機加密
Windows BitLocker 磁碟機加密
更新日期: 2010年5月
適用於: Windows 7, Windows Server 2008, Windows Server 2008 R2, Windows Vista
Windows BitLocker(TM) 磁碟機加密 (BitLocker) 是 Windows Server 2008 作業系統中提供的功能。BitLocker 可讓您加密儲存在 Windows 作業系統磁碟區與設定之資料磁碟區中的所有資料,而且透過可信賴平台模組 (TPM),它也可以協助確保早期啟動元件的完整性。
授權管理員的新功能
授權管理員的新功能
適用於: Windows Server 2008
在 Windows Server 2008 中,[授權管理員] 已引入數種新功能。這些包括:
- [授權管理員] 存放區可以儲存在 Microsoft SQL Server 資料庫、Active Directory 網域服務 (AD DS)、Active Directory 輕量型目錄服務 (AD LDS) 或 XML 檔案中。如需相關資訊,請參閱連線到 SQL 為基礎的授權存放。
- 現在已能支援商務規則群組 (也就是其成員資格是在執行階段由指令碼所決定的群組)。如需相關資訊,請參閱在授權存放中建立應用程式群組。
- 現在已能支援自訂物件選取器,因此,應用程式系統管理員可以針對使用 AD LDS 或 SQL 使用者帳戶的應用程式,使用授權管理員。如需使用自訂物件選取器的相關資訊,請參閱使用自訂物件選擇器選擇使用者或群組。
AppLocker:常見問題集
AppLocker 與軟體限制原則 (SRP) 有何差異?
軟體限制原則 (SRP) 原本是在 Windows XP 和 Windows Server 2003 中設計,以協助 IT 專業人員限制需要系統管理員存取權的應用程式數目。隨著 Windows Vista 中引進使用者帳戶控制 (UAC) 和強調標準使用者帳戶,現今較少應用程式需要系統管理員權限。因此引進 AppLocker 擴展 SRP 的原始目標,方法是讓 IT 系統管理員建立允許執行的完整應用程式清單。
AppLocker:常見問題集
何謂 AppLocker?
AppLocker 是 Windows Server 2008 R2 和 Windows 7 的新功能,提升了軟體限制原則的功能。AppLocker 所包含的新功能與延伸模組可降低系統管理負荷,並協助系統管理員控制使用者存取及使用檔案的方式,例如可執行檔案、指令碼、Windows Installer 檔案以及 DLL。使用 AppLocker 可讓您:
- 根據衍生自數位簽章的檔案屬性 (包括發行者、產品名稱、檔案名稱與檔案版本) 定義規則。例如,您可以根據在更新之後仍保有的發行者屬性建立規則,或建立以特定檔案版本為目標的規則。
- 指派規則給安全性群組或個別使用者。
- 建立規則例外。例如,您可以建立一個規則,以允許登錄編輯程式 (Regedit.exe) 以外的所有 Windows 處理程序執行。
- 在強制執行原則之前,使用僅稽核模式部署原則並了解其影響。
- 匯入及匯出規則。匯入和匯出會影響整個原則。例如,如果匯出原則,所有規則集合中的所有規則都會匯出,包括規則集合的強制設定。如果匯入原則,則會覆寫現有原則。
- 使用適用於 AppLocker 的 Windows PowerShell Cmdlet,簡化 AppLocker 規則的建立及管理。
AppLocker
AppLocker
適用於: Windows 7, Windows Server 2008 R2
AppLocker 可用於下列案例:
- 協助防止惡意軟體 (惡意程式碼) 和不支援的應用程式影響環境中的電腦。
- 防止使用者安裝及使用未經授權的應用程式。
- 實作應用程式控制原則,滿足組織的安全性原則或規範需求。
資訊安全與防護
Windows Authentication
Windows 作業系統會實作一組預設的驗證通訊協定 (包括 Negotiate、Kerberos、NTLM、傳輸層安全性/安全通訊端層 (TLS/SSL) 和 Digest) 做為可延伸架構的一部分。此外,還會將部分通訊協定合併到驗證套件。這些通訊協定和套件可以驗證使用者、電腦和服務;因此驗證處理程序可以讓授權的使用者和服務透過安全的方式存取資源。
資訊安全與防護
Windows BitLocker 磁碟機加密
BitLocker 可讓您加密所有儲存在 Windows 作業系統磁碟區和已設定資料磁碟區上的資料,還可以使用信賴平台模組 (TPM) 協助確保早期啟動元件的完整性。
Windows 網際網路名稱服務
Windows 網際網路名稱服務
適用於: Windows Server 2008, Windows Vista
Windows 網際網路名稱服務 (WINS) 提供分散式資料庫,將網路基本輸入/輸出系統 (NetBIOS) 名稱對應到 IP 位址,原先設計的目的在於解決路由環境中 NetBIOS 名稱解析時所產生的問題。
NetBIOS 名稱是舊版 Microsoft 作業系統建立網路服務的必要條件。雖然 NetBIOS 命名通訊協定可搭配 TCP/IP 以外的網路通訊協定使用,但是 WINS 是專為支援 NetBIOS over TCP/IP (NetBT) 而設計的。
簡易網路管理通訊協定
簡易網路管理通訊協定
適用於: Windows Server 2008, Windows Vista
簡易網路管理通訊協定 (SNMP) 能夠監視異質 TCP/IP 網路上各種類型的主機,並在這些主機之間溝通狀態資訊。
SNMP 的 Windows Server 2008 實作支援執行 TCP/IPv4 與 TCP/IPv6 的電腦。SNMP 支援使用以 Windows Vista 啟用的 IPv6。不過,SNMP 僅在執行 Windows Server 2008 或 Windows Vista 的電腦上才支援 IPv6。這是因為 SNMP 需要這些作業系統中可用的更新通訊協定堆疊來支援 IPv6。
服務品質
服務品質
適用於: Windows 7, Windows Server 2008, Windows Server 2008 R2, Windows Vista
Windows Server® 2008 中以原則為依據的 QoS 可讓您定義流量的優先順序、與頻寬提供者協商更佳的服務等級以及控制頻寬費用。
QoS 原則是套用到使用者登入工作階段或電腦來做為群組原則物件 (GPO) 的一部分,而此物件是連結到網域、站台或組織單位 (OU) 之類的 Active Directory 容器。
以原則為依據的 QoS 可讓您:
- 定義流量的優先順序:您可以使用特定的區別服務代碼點 (Differentiated Services Code Point,DSCP) 值 (如 RFC 2474 中的定義),設定 QoS 原則以標記輸出網路流量。
- 管理頻寬的使用:您可使用輸出流量的節流閥速率來設定 QoS 原則。QoS 元件可藉由節流將符合 QoS 原則設定的彙總傳出網路流量限制在特定速率。
網路殼層 (Netsh)
網路殼層 (Netsh)
適用於: Windows Server 2008, Windows Server 2008 R2
網路殼層 (netsh) 是命令列公用程式,在執行 Windows Server® 2008 的電腦上安裝了各種網路通訊伺服器角色與元件後,它可讓您設定及顯示其狀態。
網路存取保護 (NAP) 用戶端與動態主機設定通訊協定 (DHCP) 用戶端之類的一些用戶端技術也有提供 netsh 命令,讓您可以設定執行 Windows Vista® 的用戶端電腦。
在大部分的情形中,netsh 命令提供的功能與為每個伺服器角色或元件使用 Microsoft Management Console (MMC) 嵌入式管理單元可以使用的功能一樣。例如,使用 NPS MMC 嵌入式管理單元或 netsh nps 內容中的 netsh 命令,可以設定網路原則伺服器 (NPS)。
此外,也有針對網路技術的 netsh 命令,這些網路技術像是 Pv6、網路橋接以及遠端程序呼叫 (RPC),在 Windows 的 MMC 嵌入式管理單元並沒有提供。
2011年3月15日 星期二
ASLR 隨機記憶體編排
藉助 ASLR (Address Space Load Randomization,位址空間配置隨機化) 功能。
ASLR 以前在 Unix 系統中就有,在電腦一開機時,就可以將一些重要的系統檔案下載到不同的記憶體位置。以前駭客只要完成某一個語系作業系統的攻擊程式,就可以攻擊同一語系的電腦,對於其他語系電腦的入侵,有時候甚至也不需要多加修改即可適用。
Vista 加入 ASLR 功能,讓每個作業系統記憶體空間位置編排隨機化,「未來,Vista 很難出現蠕蟲,也很難有大規模的病毒擴散,「即使是緩衝區溢位攻擊的漏洞,也很難利用透過推論記憶體位置的手法,再次成功攻擊,」因為,「ASLR 的功能讓開發人員連除錯 (Debug) 都很難。」,「ASLR 功能讓駭客撰寫攻擊程式的難度變高,」
TPM 晶片、 BitLocker
Windows XP 作業系統中,可以搭配 TPM 晶片,做到整個磁碟的加密;但在 Vista 作業系統中,Nanika 表示,整個作業系統磁碟都可以用 BitLocker 加密。他說,至少筆記型電腦被偷了後,硬碟內已經加密的資料,不會輕易外洩。
2011年3月11日 星期五
無線網路的安全性資訊
無線網路的安全性資訊
Security information for wireless networks
無線網路技術提供方便性及機動性,但也在您的網路上帶來了安全性的風險。例如,除非執行驗證及授權機制,否則任何人只要具有相容無線網路介面卡,都可以存取網路。若不加密,就會以純文字傳送無線資料,如此一來,在無線存取點範圍內的任何人都可以偵測及接收來往於無線存取點之間傳送的所有資料。
下列安全機制可增強無線網路上的安全性:
- Windows 防火牆
- 802.11 身分確認和驗證
- 802.11 有線等位私密 (WEP) 加密
- Wi-Fi Protected Access (WPA)
- 802.1X authentication 802.1X 驗證
- 802.1X 驗證的 IAS 支援
資訊安全重要名詞
分散式入侵偵測
分散式入侵偵測(Distributed Intrusion Detection)是在網路各節點都裝置入侵偵測系統,並且讓各個系統互助合作,以達到最有效的偵測。分散式入侵偵測系統可能需要處理不同的稽核記錄格式,而且網路上各個節點都將提供資訊收集和分析的服務,所以必須利用網路傳送相關的稽核資料或即時資料,也因此要確保這些資料的完整性與機密性,才能阻止入侵者更改傳送的稽核資訊來掩護入侵者的行為。
蜜罐
蜜罐(Honeypots)是一種誘捕系統,目的是以調虎離山的作法引誘攻擊者,讓攻擊者遠離重要的系統。除此之外,蜜罐也會收集攻擊者的行為,並且拖延攻擊者在系統所停留的時間,讓管理者能採取適當的行動。
在線上目錄中保護您的隱私權 - Microsoft 資訊安全
在線上張貼任何資訊之前:
謹慎挑選。 從一開始就要限制您提供給網站的個人資訊量。 僅讓認識的人知道您的電子郵件地址,並避免在大型網際網路目錄列出任何資訊。
線上購物時辨明來源。 販賣折扣很低的電子產品的廠商,與其他如販賣針織用品的廠商不同。
仔細閱讀網站的隱私權聲明。 這份聲明應該要說明該公司是如何以及為何要蒐集您的資訊。 如果有什麼地方看起來不對,提供任何個人資訊前應先與該公司聯繫。
只在知名人力網站張貼履歷表。 確認您使用的網際網路人力資源網站的隱私權政策,僅允許通過驗證的招募者瀏覽您的履歷表。
避免參加抽獎或其他行銷類的活動,不論線上或離線。
脫離目錄 (然後不再進入)
找出自己被哪些目錄列出,您只要自己在線上搜尋便可知道。 到熱門搜尋引擎和線上目錄搜尋您的名字。 •
要求線上目錄移除您的名字。 若是不清楚該網站要如何申請,請用目錄網站下方的「連絡我們」連結或地址。 •
申請不列表的電話號碼,或是至少不要在電話簿列出地址。 同時,指示您的電話與網際網路服務提供者,從他們所有的目錄中移除任何現有的個人資訊。
設立特定電子郵件地址專供線上活動使用,如購物和新聞群組等等。 如此您便可依需要,將其關閉另開新地址,而不影響您的工作或私人電子郵件往來。
做記錄記下您提已供個人資訊給哪些公司,以便日後有需要時要求對方移除資訊。
網路釣魚篩選工具: 自我保護,防範網路詐騙
網路釣魚篩選工具保護您的三種方式
網路釣魚篩選工具包括多種正在申請專利的技術,專門設計為警告或禁止您進入可能有害的網站。
1.內建篩選工具:瀏覽器中的內建篩選工具可掃描您造訪的網址與網頁,尋找已知的線上網路詐騙或網路釣魚的特徵,如果您造訪的是可疑網站,則會警告您。
2.線上服務:利用遭舉報的網路釣魚網站資訊 (每小時更新),讓您免於落入網路詐騙的陷阱。 (網路詐騙網站常常在 24–48 小時內消失重現,所以每小時更新資訊對於防護網路詐騙非常重要。)
3.內建舉報可疑網站或詐騙的方式: 您可以使用網路釣魚篩選工具,提供您認為可能是網路釣魚攻擊網站的寶貴資訊。 將資訊提交給 Microsoft,並由 Microsoft 進行評估。 如果資訊一經確認,線上服務便會將此資訊增入到資料庫中,以協助保護 Internet Explorer 與 Windows Live Toolbar 的使用者社群。
安裝 ActiveX 控制項—Microsoft 資訊安全
ActiveX 控制項是一種小型軟體程式,有時候也稱為「附加元件」,適用於網際網路。 它們可藉由允許動畫提升您的瀏覽體驗,或是協助您的工作,例如安裝 Microsoft Update 上的安全性更新。
有些網站會要求您安裝 ActiveX 控制項,以便看到網站內容或是執行網站上的特定工作。 當您造訪這類網站時,Internet Explorer 會詢問您是否想要安裝 ActiveX 控制項。
2011年3月10日 星期四
2011年1月22日 星期六
預設路由 - 維基百科,自由的百科全書
動態路由選擇 Dynamic Routing
Dynamic Routing 動態路由選擇 動態路由選擇是指路由器隨著網路拓撲結構和通信流量的改變而自動調整的過程。與之相對的是靜態路由選擇,它需要路由器管理人員手工輸入路由。動態路由選擇在所有現代路由器中都使用,但必要時仍要採用編程,按規則定制路由。電腦詞典/動態路由選擇 Dynamic Routing - 實用查詢
2011年1月21日 星期五
Static routing - Wikipedia, the free encyclopedia
Static routing
From Wikipedia, the free encyclopedia
Jump to: navigation, search
Static routing is a data communication concept describing one way of configuring path selection of routers in computer networks. It is the type of routing characterized by the absence of communication between routers regarding the current topology of the network.[1] This is achieved by manually adding routes to the routing table. The opposite of static routing is dynamic routing, sometimes also referred to as adaptive routing.
In these systems, routes through a data network are described by fixed paths (statically). These routes are usually entered into the router by the system administrator. An entire network can be configured using static routes, but this type of configuration is not fault tolerant. When there is a change in the network or a failure occurs between two statically defined nodes, traffic will not be rerouted. This means that anything that wishes to take an affected path will either have to wait for the failure to be repaired or the static route to be updated by the administrator before restarting its journey. Most requests will time out (ultimately failing) before these repairs can be made. There are, however, times when static routes make sense and can even improve the performance of a network. Some of these include stub networks and default routes.
2011年1月20日 星期四
電腦詞典/交換式集線器 Switching Hubs - 實用查詢
交換式集線器 Switching Hubs
【解釋】: 交換式集線器是一個能在共享網路拓撲結構中減少競爭訪問的設備,其採用的技術是用微分段的方法來減少一個段上的節點數。在一個經微分段後的網上,一個局域網路段上的節點可能少至只有一個。這時,交換式集線器處理那些不同網路段上需進行通信的節點間的所有連接。注意這裏所述的交換技術不同於前面所討論的端口交換技術,端口交換實質上是一個管理功能,借助這個功能,管理者可使用一個管理程式而不是物理地移動集線器的電纜來把工作站在邏輯段之間進行移動。有了交換技術,LAN可被分段,類似於一個橋接器,交換式集線器處理段之間的數據傳送,但交換式集線器的吞吐率不會低於橋接器的吞吐率。最初,交換式集線器是為部門使用設計的,並且建在其自己的底板上。而最新的交換式集線器是一些模塊化單元,它們位於企業集線器之中。
MAC Table
MAC Table...
這個table是Switch在轉送frame參考的表
記錄著某個MAC
從哪個VLAN、Port學到的
並且是Dynamic(Switch自動學到)
或是Static(User從Static MAC Forwarding設定)
2011年1月17日 星期一
Hardware Redundancy
Hardware Redundancy 硬體冗餘
The architecture of a Sun Cluster hardware system is designed so that no SPOF can make a cluster unavailable. Redundant high-speed interconnects, storage system connections, and public networks ensure that cluster connectivity does not experience single failures.
hint:
利用多餘硬體 (Hardware Redundancy)、多餘軟體 (Software Redundancy)、多餘時間 (Time Redundancy) 或是多餘資訊 (Information Redundancy) 設計出來的容錯系統,可稱之為高可用度系統。
Layer 2 Switch
Layer 2 Switch顧名思義,即是在區域網路通訊傳輸中僅以第二層(MAC層)的資訊來作為傳輸與資料交換之依據,通常此類交換器先以學習的方式(Learning) 在每一個port 紀錄該區段的MAC Address再根據MAC層封包中的目的地位址(Destination Address,DA)傳送該封包至目的地的port (或區段),其他port (或區段)將不會收到該封包,若目的地位址仍然在該(或區段),則封包將不會被傳送。
Layer 2 的Switch由於只判斷第二層的資訊故其處理效能佳,且其有效隔絕區段間非往來封包(及獨享頻寬),大大提昇網路的傳輸效能,且因技術與ASIC晶片的功能日益強化,目前較高檔的Layer 2 Switch 每個port 均可達到Wiring Speed 的傳輸率(Ethernet 為14880pps,Fast Ethernet 為148800pps)。
Layer 3 Switch
Layer 3 Switch 又稱為IP Switch 或Switch Router, 意即其工作於第三層網路層的通信協定(如IP),並藉由解析第三層表頭(Header)將封包傳至目的地,有別於傳統的路由器以軟體的方式來執行路由運算與傳送,Layer 3 Switch是以硬體的方式(通常由專屬ASIC構成)來加速路由運算與封包傳送率並結合Layer 2 的彈性設定,因此其效能通常可達每秒數百萬封包(Million packet per second)的傳送率,並具備數十個至上百個以上的高速乙太網路(Fast Ethernet)連接埠,或數個至數十個超高速乙太網路(Gigabit Ethernet)連接埠之容量。
傳統路由器通常可處理Multiprotocal 多重協定路由運算(如IP,IPX AppleTalk,DEC Net...etc)但Layer 3 Switch 通常只處理IP 及IPX,此乃為簡化設計,降低路由運算與軟體的複雜性以提昇效能,並配合網路協定發展的單純化(多重協定慢慢簡化至IP一種協定)趨勢所致。
2011年1月16日 星期日
WEP
有線等效加密(Wired Equivalent Privacy),又稱無線加密協議(Wireless Encryption Protocol),簡稱WEP,是個保護無線網路(Wi-Fi)信息安全的體制。因為無線網路是用無線電把訊息傳播出去,它特別容易被竊聽。WEP 的設計是要提供和傳統有線的區域網路相當的機密性,而依此命名的。不過密碼分析學家已經找出 WEP 好幾個弱點,因此在2003年被實現大部分 IEEE 802.11i 標準的 Wi-Fi Protected Access (WPA) 淘汰,又在2004年由實現完整 IEEE 802.11i 標準的 WPA2 所取代。WEP 雖然有些弱點,但也足以嚇阻非專業人士的窺探了
WPA
Wi-Fi 保護存取規格 ( Wi-Fi Protected Access, WPA)
由Wi-Fi聯盟與IEEE聯手推出的Wi-Fi強化版安全規格,用以取代既有但安全性較差的WEP標準。Wi-Fi產品目前多採用所謂的WEP加密機制來提供無線上網的安全性
Leased line 專線
Leased line 專線電腦詞典/Leased line 專線 - 實用查詢
【解釋】: 專線,通過專線提供給用戶接入公共網路的橋樑。一般的專線有電話專線、分組網專線、DDN專線、ISDN專線、幀中繼專線。
Loopback
The term loopback (sometimes spelled loop-back) is generally used to describe methods or procedures of routing electronic signals, digital data streams, or other flows of items, from their originating facility quickly back to the same source entity without intentional processing or modification. This is primarily intended as a means of testing the transmission or transportation infrastructure.Loopback - Wikipedia, the free encyclopedia
Private IPv6 addresses
The concept of private networks and special address reservation for such networks has been carried over to the next generation of the Internet Protocol, IPv6.Private network - Wikipedia, the free encyclopedia
The address block fc00::/7 has been reserved by IANA as described in RFC 4193. These addresses are called Unique Local Addresses (ULA). They are defined as being unicast in character and contain a 40-bit random number in the routing prefix to prevent collisions when two private networks are interconnected. Despite being inherently local in usage, the IPv6 address scope of unique local addresses is global(cf. IPv6 addresses, section "IPv6 Address Scopes").
A former standard proposed the use of so-called "site-local" addresses in the fec0::/10 range, but due to major concerns about scalability and the poor definition of what constitutes a site, its use has been deprecated since September 2004 by RFC 3879.
Private IPv4 address spaces
The Internet Engineering Task Force (IETF) has directed the Internet Assigned Numbers Authority (IANA) to reserve the following IPv4 address ranges for private networks, as published in RFC 1918:Private network - Wikipedia, the free encyclopedia
RFC1918 name
IP address range
number of addresses
classful description
largest CIDR block (subnet mask)
host id size
24-bit block
10.0.0.0 – 10.255.255.255
16,777,216
single class A
10.0.0.0/8 (255.0.0.0)
24 bits
20-bit block
172.16.0.0 – 172.31.255.255
1,048,576
16 contiguous class Bs
172.16.0.0/12 (255.240.0.0)
20 bits
16-bit block
192.168.0.0 – 192.168.255.255
65,536
256 contiguous class Cs
192.168.0.0/16 (255.255.0.0)
16 bits
Classful addressing is obsolete and has not been used in the Internet since the implementation of Classless Inter-Domain Routing (CIDR) starting in 1993. For example, while 10.0.0.0/8 was a single class A network, it is common for organizations to divide it into smaller /16 or /24 networks.
Skills Measured
Skills Being MeasuredThis exam measures your ability to accomplish the technical tasks listed below.The percentages indicate the relative weight of each major topic area on the exam.Networking Fundamentals
Understanding Network Infrastructures
Understanding Network Hardware
- Understand the concepts of Internet, intranet, and extranet.
- This objective may include but is not limited to: VPN, security zones, firewalls.
- Understand local area networks (LANs).
- This objective may include but is not limited to: perimeter networks; addressing; reserved address ranges for local use (including local loopback ip), VLANs; wired LAN and wireless LAN
- Understand wide area networks (WANs).
- This objective may include but is not limited to: leased lines, dial-up, ISDN, VPN, T1, T3, E1, E3, DSL, Cable, , etc. and their characteristics (speed, availability). Item idea: Map T1, etc to a LAN or WAN
- Understand wireless networking.
- This objective may include but is not limited to: Types of wireless networking standards and their characteristics (802.11A,B,G,N including different Ghz ranges), types of network security (WPA/WEP/802.1X etc.), point-to-point (P2P) wireless, wireless bridging
- Understand network topologies and access methods.
Understanding Protocols and Services
- Understand switches.
- This objective may include but is not limited to: transmission speed; number and type of ports; number of uplinks; speed of uplinks; managed or unmanaged switches; VLAN capabilities; Layer 2 and Layer 3 switches,, security options; hardware redundancy; support; backplane speed; switching types, mac table;understanding capabilities of hubs vs. switches
- Understand routers.
- This objective may include but is not limited to: transmission speed considerations, directly connected routes, static routing, dynamic routing (routing protocols), default routes; routing table and how it selects best route(s); routing table memory, NAT, software routing in Windows Server
- Understand media types.
- This objective may include but is not limited to: cable types and their characteristics, including media segment length and speed; fibre optic; twisted pair shielded or nonshielded; catxx cabling, wireless; ; susceptibility to external interference (machinery, power cables, etc); susceptibility to electricity (lightning), susceptibility to interception,.
- Understand the OSI model.
- This objective may include but is not limited to: OSI model; TCP model; examples of devices, protocols, applications and which OSI/TCP layer they belong to; TCP and UDP; well-known ports for most used purposes (not necessarily Internet); packets and frames
- Understand IPv4.
- This objective may include but is not limited to: subnetting; IPconfig; why use IPv6; addressing; ipv4toipv6 tunneling protocols to ensure backwards compatibility; dual ip stack; subnetmask; gateway; ports; packets; reserved address ranges for local use (including local loopback ip)
- Understand IPv6.
- This objective may include but is not limited to: subnetting; IPconfig; why use IPv6; addressing; ipv4toipv6 tunneling protocols to ensure backwards compatibility; dual ip stack; subnetmask; gateway; ports; packets; reserved address ranges for local use (including local loopback ip)
- Understand names resolution.
- This objective may include but is not limited to: DNS, WINS, steps in the name resolution process
- Understand networking services.
- This objective may include but is not limited to: DHCP, remote access
- Understand TCP/IP.
- This objective may include but is not limited to: tools, such as ping; tracert; pathping; Telnet; IPconfig; netstat, reserved address ranges for local use (including local loopback ip); protocols
Overview
This exam is designed to provide candidates with an assessment of their knowledge of fundamental networking concepts. It can also serve as a stepping stone to the Microsoft Certified Technology Specialist exams.Networking Fundamentals
訂閱:
文章 (Atom)