Windows 7はセキュリティ機能をもたらす

さて、Windows 7になると、MicrosoftはUACの制御機能を低下させ（セキュリティへの注力を緩和していない）、エンドユーザーにとってより有益なセキュリティ機能を追加しました。システムセキュリティ管理者以下を見てみましょう。

アプリケーション制御戦略

Windows 7で導入された新しいセキュリティ機能はAppLockerです。これは、セキュリティを確保するために企業内のアプリケーションのインストールと使用を制御します。 AppLockerは、Windows Server 2008 R2と緊密に連携するために、UltimateおよびEnterpriseエディションのWindows 7にのみ含まれていることに注意してください。

AppLockerを使用すると、ファイルのデジタル署名などの属性を通じてルールを作成できます。これらの規則は、ユーザーアクセスとあらゆる種類の実行可能ファイルの使用を制御するために使用できます。もちろん、柔軟なツールとして、AppLockerを使用して例外ルールを作成できます。セキュリティチーム全体にルールを適用することも、より正確には個々のユーザー用のルールを作成することもできます。 AppLockerの役割の詳細については、Microsoft TechNet Webサイトのデモをご覧ください。

BitLockerおよびBitLocker To Go

BitLockerはWindows Vistaで導入され、デスクトップシステムへの不正アクセスを防止するセキュリティ機能としてWindows 7でも使用可能になりました。紛失/盗難にあったラップトップのデータ漏洩ご存じのとおり、BitLockerの暗号化ファイルシステム（EFS）は、ハードディスク上のハードウェアレベルの暗号化を使用して新しいレベルの機能に到達しました。これは実際のデータファイルを保護するだけでなく、一時ファイルを含むシステムファイルも含めることができます。スワップファイルやハイバネーションファイルなどのデータブロック。

Windows 7では、BitLockerの機能がさらに拡張され、新しいBitLocker To Goにより、モバイルストレージ（USBフラッシュドライブ）保護をサポートするようになりました。これは、非常に紛失しやすいUSBフラッシュドライブが、もはやデータ漏洩の危険にさらされていないことを意味します。

BitLockerおよびBitLocker To Goは、Windows 7のUltimateおよびEnterpriseエディションにのみ含まれています。 BitLockerとBitLocker To Goの詳細については、Microsoft TechNet Webサイトのデモをご覧ください。

ユーザーアカウント制御

Vistaでは、ユーザーアカウント制御はあまり一般的ではないことがよく知られていますが、Vistaでは、依然として重要なセキュリティツールです。このプロンプトは、過失によるマルウェアの実行を防ぐことができます。また、許可管理を使用して、潜在的に危険なプロセスを防ぐことができます。 Windows 7では、UACが改良され、使いやすくなりました。

たとえば、一部の種類のタスクはシステム管理者の介入なしに標準ユーザーによって承認されるようになりました。これにより、プロンプトの数を減らし、エンドユーザーの利便性を高め、システム管理者の負担を軽減できます。また、管理者からの電話を聞いて、プロのシステム管理者はUACレベルを調整したり、コントロールパネルで閉じることさえできます。さらに、ローカルシステム管理者および標準ユーザーへのUACプロンプトに対して、新しいローカルセキュリティポリシーを使用できます。

ActiveXコントロールインストールサービス

ご存知のように、ActiveXコントロールは、ユーザーにもっとインタラクティブな体験を提供するためにInternet Explorer、Office、およびWindows Media Playerで使用される自己登録COMです。 ActiveXコントロールは通常.cabファイルで配布されているので、標準アカウントのユーザーはそれらをインストールする権限を持っていません。ただし、Windows 7では、新しいActiveXコントロールインストールサービスが既定で有効になっているため、システム管理者は、グループポリシーを使用して信頼済みサイトゾーンで構成されたサイトをより簡単に展開できます。 ActiveXコントロールをインストールします。これにより、不要な電話サポートや、必要なActiveXコントロールの再パッケージ化や配布などの操作に必要な時間が削減されます。

Windows 7の新しいダイレクトアクセス機能はWindows Server 2008 R2と緊密に統合されているため、VPNを使用しないエンタープライズネットワークはエンドユーザーにとってより便利になります。直接アクセス機能が使用される限り、モバイルシステムと企業ネットワークとの間の安全な双方向接続を自動的に確立することができ、モバイルワーカーはVPNに頼ることなくインターネットを介して企業ネットワーク上の任意の場所に安全に接続できます。直接アクセスの助けを借りて、IT専門家はもはやVPN構成を提供し、維持するための追加費用を心配する必要はありません。

マルチアクションファイアウォールポリシー

VistaのWindowsファイアウォールポリシーはネットワーク接続の種類（パブリック、ホーム、および職場/ドメイン）に基づいており、一度にサポートできる接続の種類は1つだけです。残念ながら、モバイルユーザーがパブリックネットワークにアクセスしてから企業ネットワークへのVPN接続を開始する場合など、さまざまなファイアウォールポリシーが必要な場合、このような制限がさまざまな問題を引き起こす可能性があります。

このような状況に適応するために、Windows 7ファイアウォールは複数のファイアウォールポリシーを同時に有効にすることを可能にする新しい機能を提供します。これにより、どの種類の接続が使用されても適切なファイアウォールポリシーが有効になります。モバイル/リモートユーザーは安全で、適切なネットワークにアクセスできます。一方、新しい多機能ファイアウォール戦略により、セキュリティの専門家は、モバイル/リモートシステムと物理接続用に1つのシステムのみを保守できます。

他にもあります...

私はWindows 7のセキュリティの新機能に感銘を受けましたが、既存のセキュリティ機能には多くの改善があります。例えば、暗号化ファイルシステム（ＥＦＳ）アーキテクチャは、国家安全保障局によって設定されたクラスＢセキュリティ要件を満たすことを可能にする楕円曲線暗号（ＥＣＣ）モデルを組み込むように適合されてきた。

新しいECCのサポートにより、Kerberos認証モードはより強力なスマートカードログインパスワードをサポートすることもできます。 NTLM認証プロトコルはデフォルトで最低128ビットのセキュリティ暗号化ポリシーをサポートするようになりましたが、その評価を下げることもできます。