Enterprise Storage Helper:ドライブの暗号化
BitLocker(ドライブの暗号化)は新機能ではないと言うのは合理的です。WindowsVistaに登場しました。しかし、Windows 7では、その注目度は実際にはWindows Vistaよりも高いため、関心のないビジネスユーザーからはまだ多くの注目を集める必要があります。 BitLockerは、ディスクレベルのデータ暗号化を提供するコンポーネントですBitLockerを理解するには、その前身であるEFS(暗号化ファイルシステム)を理解する必要があります。 NTFSは、Windows NT以降のオペレーティングシステム用の標準ファイルシステムで、メタデータをサポートし、パフォーマンス、信頼性、およびディスク容量の利用率を向上させるために高度なデータ構造を使用します。 。 EFSはWindows 2000 /XP /Server 2003に含まれており、ユーザーはNTFSディスクボリュームに保存されているファイルやフォルダに対して暗号化操作を実行できます。ハードディスク上のファイルがEFSを使用して暗号化されている場合、ハッカーがハードディスク上のファイルにアクセスできても、復号化されたキーがないためファイルは利用できません。
もちろん、EFSは無敵ではありません1.5GB以下のNTFSアクティブシステムパーティションと50GB以上のブートパーティションはEFSで暗号化できませんので、BitLockerツールを使用して保護することができます。 EFSユーザーはいくつかの重要なファイルやフォルダーを選択的に暗号化できますが、BitLockerはドライブ全体のすべてのフォルダーを無条件に暗号化します。コントロール
既定では、WindowsオペレーティングシステムはBitLocker機能をアクティブにしません。 BitLockerがインストールされたWindowsでドライブを暗号化するには、コンピュータに2つのパーティションが必要です。システムパーティション(コンピュータの起動に必要なファイルが含まれます)とオペレーティングシステムパーティション(Windowsを含む)、オペレーティングシステムパーティションは暗号化されます。コンピュータを起動できるように、暗号化されないままになります。コンピュータにシステムパーティションがない場合、Windows 7ではBitLockerは200MBの空きディスク容量を持つシステムパーティションを自動的に作成します。システムはシステムパーティションにドライブ文字を割り当てず、システムはフォルダを表示しません。システムパーティションWindowsがインストールされているドライブ(オペレーティングシステムのドライブ)を暗号化する場合、BitLockerは独自の暗号化キーと復号化キーをハードディスク以外のハードウェアデバイスに格納するため、次のいずれかのハードウェアデバイスが必要です。任意のプラットフォームコンピュータ(TPM)(高度なセキュリティ機能をサポートする特別なマイクロチップを搭載したコンピュータ)、リムーバブルハードドライブ、またはUSBフラッシュドライブ。
BitLocker機能を起動するオペレーティングシステムが存在するパーティションでは、この機能は一連のディスクエラー、BIOSの変更、起動設定ファイルの変更などを監視できます。これらの機能が異常に変更されると、BitLockerは自動的にディスクをロックします。ライブシステム管理者はプリセットキーを使ってドライブのロックを解除できます。これはデータの損失防止、盗難防止、ハッキング防止に役立ちます。また、BitLockerは、USBドライブやリムーバブルハードドライブなど、他の人に見やすいポータブルストレージデバイスをロックできます。
Enterprise Application Butler:AppLocker
AppLocker(アプリケーション制御ポリシー)は、Windows 7に追加された新しいセキュリティ機能で、AppLocker管理者を使用して簡単に構成できます。たとえば、QL.exe実行可能ファイルはAppLocker管理が実行される前にすべてのユーザーが使用でき、制限付きユーザーは関連するアプリケーション制御ポリシーを設定した後でプログラムを使用できません。
具体的な方法は、< start→> run'を開くことで、gpedit.mscと入力してグループポリシーエディタを開きます。左側のウィンドウで[コンピュータの構成]、[Windowsの設定]、[セキュリティの設定]、[アプリケーションの管理]の順にクリックすると、AppLockerのグループポリシー構成項目 - [実行可能ルール] - [']が表示されます。 Windowsインストーラの規則とスクリプトの規則の3種類。各規則を右クリックすると新しい規則を作成でき、ユーザーは必要に応じて対応する操作規則を作成できます。 [実行可能ルールと新しいルールの作成]を右クリックし、[次へ]をクリックし、[選択]ボタンをクリックして、ポップアップダイアログボックスで[詳細設定]をクリックし、[&]をクリックします。 'を探し、無効にするユーザーを見つけたら、資格のあるユーザーをルールに追加できます。無効にしたオブジェクトをQQ.exeにポイントして、最後に[作成]をクリックします。
フラッシュウイルスの拡散を防ぐには、AutoRun.infファイルを無効にします。この場合、ポップアップウィンドウで[スクリプトの規則]、[新しい規則の作成]、[権限の選択]、[拒否]の順に選択し、[ユーザーまたはグループの中から&']を選択します。作成条件で[Everyone]、[次へ]を選択し、[パス]ボックスに「AutoRun.inf」と入力し、[次へ]をポイントします。最後のポイント'作成'
この種のユーザは、実際の状況に応じてApplockerのデフォルトのルールを設定することができます。これにより、通常のシステムプログラムがウイルスやトロイの木馬によって使用されるのを防ぐことができます。
一定期間の売上げを経て、Windows 7とWindows Server 2008 R2は企業のコンピュータに完全に統合されました。エンタープライズユーザーのニーズをより満たすために、マイクロソフトは、Windows 7 Enterprise /UltimateおよびWindows Server 2008 R2に多数のストレージ、ネットワークアクセス、セキュリティ、およびその他の機能を導入し、エンタープライズアプリケーション用の新しいツールになりました。そして、この種の典型的な機能は何ですか?それを使用する方法?エンタープライズアプリケーションにどのような影響がありますか?
エンタープライズ効率の乗数:ブランチキャッシュ
マイクロソフトによるとブランチキャッシュWAN(Wide Area Network)で初めてこの機能を有効にした場合は、通常どおり承認に従ってデータにアクセスでき、再度アクセスする必要がある場合は、最寄りの部門に所属することができます。他のクライアントは、認証ステータスに基づいて同じコンテンツにアクセスします。この近くのアクセスを通じて、ネットワークの帯域幅利用率を向上させることができ、遠隔オフィスネットワークアプリケーションの性能を向上させることができ、そして企業ネットワークの帯域幅を減少させることができる。
Branch Cacheには2つの動作モードがあります。1つは分散キャッシュ、もう1つはホスト型キャッシュです。分散キャッシングは、アドホックネットワークと同様のピアツーピアモデルを使用します。これにより、小規模なアプリケーションでより高速なアクセスが可能になります。ホステッドキャッシュは、APセントラルモードと同様のサーバー/クライアントアーキテクチャを使用します。これにより、Windows 7クライアントはWindows Server 2008 R2を実行しているローカルコンピューターにコンテンツをコピーできるため、同じコンテンツにアクセスする必要がある他のクライアントは直接ローカルサーバーに配置できます。このデータにアクセスすると、元のサーバーに依存しなくなります。 Branch Cacheを使用するには、すべてのサーバーシステムがWindows Server 2008 R2で、すべてのクライアントがWindows 7である必要があります。
ユーザーは、グループポリシー設定またはNetshコマンドラインスクリプトユーティリティを使用して、Branch Cacheクライアントを管理できます。 Branch Cacheクライアントで次の構成タスクを実行するには、これらのツールのいずれかを使用できます。Branch Cacheの有効化(デフォルトでは無効)、分散キャッシュモードまたはホスト型キャッシュモードの選択、クライアントコンピュータのキャッシュサイズの指定分散キャッシュモードを使用する)デフォルトでは、Branch Cacheはハードドライブの最大5%をキャッシュに使用し、ホスト型キャッシュの場所を指定します(ホスト型キャッシュモードを使用)。この点に関して、この設定を使用するとき、Windowsシステムは詳細で直感的なセットアップ指示を与えます、そして、あなたは指示に従ってセットアップを完了することができます。
Microsoftのテストによると、エンタープライズリモートサーバーから3MBのファイルをダウンロードするのに、1回目は47秒、2回目は2秒しかかかりませんでした。このことから、ブランチキャッシュ機能の効率がわかりました。大規模および中規模のエンタープライズアーキテクチャブランチオフィスに役立ちます。冗長性、トランスポートの最適化、キャッシュ、およびコンテンツ配信を圧縮、排除する共同アクセラレーションアプリケーションは、エンドユーザーの高性能アプリケーションを確保しながら、ブランチサーバーの統合、ストレージおよびバックアップインフラストラクチャの統合を容易にする方法を組織に提供します。
エンタープライズアクセス新しいセキュリティ:DirectAccess <ダイレクト> DirectAccessは、Windows 7およびWindows Server 2008 R2で使用可能な新しいエンタープライズアプリケーション機能でもあります。この機能により、外部ネットワークのユーザーは、VPNに接続することなく、インターネットから企業のファイアウォールのリソースに高速かつ安全に直接アクセスできます(仮想プライベートネットワーク、VPNの中核は、パブリックネットワークを使用して仮想プライベートネットワークを確立することです)。
DirectAccess機能はどのように実装されていますか?これを達成するために、DirectAccessはIPv6テクノロジのいくつかの機能を利用します。 IPv6開発の初期段階で、相互運用性を実現するために、ローカルの純粋なIPv6ネットワークを従来のIPv4バックボーンネットワークに「通過させる」方法を知っていますか。トンネルの入り口で、ルーターはIPv6データパケットをIPv4にカプセル化してから、トンネルの出口にある宛先ノードにIPv6パケットを転送して転送するので、アイランドに似たIPv6ネットワークを接続できます。
そしてDirectAccessはこの技術を利用しており、起動後、DirectAccessサーバーへのIPv6トンネル接続を確立し、クライアント上の通常のIPv4ネットワーク上で作業できるため、管理者はユーザーにログインすることができます。関連するコンピュータが管理される前は、DirectAccessサーバーは主にこのプロセスで内部および外部ネットワーク情報転送(つまりゲートウェイ)の役割を果たしていました。優れた暗号化と認証を取得するために、DirectAccessはIPv4のオプションのIPsec(インターネットプロトコルセキュリティ)プロトコルファミリも利用し、情報をIPパケット単位で暗号化します。転送中のパケットを暗号化するか、安全な通信を保証するために改ざんを防止します。
Microsoftによると、DirectAccessを使用すると、エンタープライズユーザーはリモートログインなしでインターネット経由でコンピューターを管理でき、強力なセキュリティを実現できます。たとえば、会社の従業員が社外でカスタマーサービスを行っている場合や、外部の会議で関連する内部情報を見つけたい場合は、VPN接続を設定せずにラップトップでインターネットにアクセスできます。企業ファイアウォールの内側にあるリソースへの高速で安全な直接アクセスの場合。