בעל עסק: האם לעבור לוינדוס 7?

מסך התקנת Windows 7

תכונת ה-AppLocker של חלונות 7 מציעה יכולות שליטה ביישומים המאפשרות למנהלי רשת ליצור רשימת אפליקציות המורשות לפעול", אמר מקדונלד בהרצאה שהעביר בכנס האבטחה וניהול הסיכונים של גרטנר בשבוע שעבר. סוג האבטחה הזה, הנקרא בדרך כלל whitlisting, מציע טכניקת נעילת מערכת אפשרית, אך חשוב לשים לב לכך שמספר היישומים שעובדי ארגון זקוקים לו נוטה לגדול, "וניהול ועדכון הרשימה לאורך זמן הופכת למעמסה מעיקה", הסביר מקדונלד, תוך שהוא מציין כי כיום קיימות מספר חברות בשוק השליטה ביישומים, בהן Bit9, CoreTrace ומק'אפי.

BitLocker, יכולת הצפנת הדיסק של מיקרוסופט להגנה על מידע ועל קבצי מערכת תהיה תכונת אבטחה נוספת שעסקים ירצו לבדוק, אומר מקדונלד. תוך שהוא קורא לה "טובה אך לא נהדרת". מקדונלד הוסיף כי חסרונותיה של ביטלוקר הם שאין לה אחזור מפתח בשירות עצמי, אין לה Windows single sign-on ואין לה תמיכה לכרטיס חכם ככונן האתחול. הוא הצביע גם על כך ש"הרשיון מגביל את התכונה והיא לא יכולה להיות בשימוש היכן שיש וירטואליזציה של המערכת". נוסף על כך, חסרה תמיכה למכשירים שאינם פועלים באמצעות מערכת ההפעלה חלונות או חלונות-מובייל, "זו עוד אחת מאותן טכנולוגיות טובות, אך לא נהדרות," קבע מקדונלד, אשר המליץ לחברות לבדוק גם מוצרים מתחרים, בהם Safeboot של מק'אפי, Ultimaco של Sophos, Credant Technologies או PGP ו-GuardianEdge, שאת שתיהן רוכשת סימנטק. המחירים לתוכנות הצפנה שכאלה צנחו ממחיר של 75-90 דולר לפני כ-5 שנים, לכדי 10-15 דולר כיום. הצפנה היא משהו "שחברת האנטיוירוס זורקת לחבילה כדי לפתות לקוחות". מקדונלד הוסיף כי ביטלוקר של חלונות 7 טרם קיבל את אישור הממשל הפדרלי בארה"ב לתוכנית FIPS 140, אבל הוא צפוי לקבל אותו בקרוב.

בקרי אבטחה אחרים בחלונות 7 מתאפיינים ביתרונות וחסרונות משלהם, המשיך מקדונלד. בקרי חשבונות המשתמשים, לדוגמא, אשר מגבילים את יכולות היישומים או המשתמשים לערוך שינויים לא מורשים במערכת, שופרו במטרה לצמצם למינימום את ההתראות. החיסרון הוא שכעת לא מונעים הבקרים התקנת תוכנות, כך ששליטה ביישומים עדיין נדרשת. גם כאן קיימים מוצרי צד שלישיף בהם BeyondTrust, Avecto, Viewfinity, ScriptLogic ו-Altiris של סימנטק.

תכונת אבטחה נוספת של חלונות 7 היא מה שמכונה DirectAccess, "תוכנת VPN שתמיד פועלת ומשתמשת ב-IPv6 כדי ליצור כתובת ייחודית לכל עמדת עבודה בעולם", הסביר מקדונלד. אבל תמיכה בערוץ IPSec שכזה עשויה להיות בעייתית משלל סיבות, במיוחד אם לארגון אין רשת Ipv6 פנימית. היתרון, עם זאת, הוא שלא יהיה צורך לפרוש תוכנת VPN נוספת. בעוד שהוא חש כי מטרות ה-DirectAccess חיוביות במהותן, מקדונלד ציין כי הוא אינו ממליץ על הפעלת התכונה בפרישה ראשונית של חלונות 7, משום הסיבוכיות הזו אותה רצוי להבין לעומק.

אקספלורר 8 כלול בחלונות 7 והוא ללא ספק צעד בכיוון הנכון בתור דפדפן מוגן, הוסיף מקדונלד, שממליץ על שימוש בו על פני גרסאות קודמות של אקספלורר. עם זאת, הוא הדגיש כי חומת האש (פיירוול) בחלונות 7 "אינה טובה במיוחד, היא לא תומכת ב-DPI או IDS". חומת האש היא חלק מחבילת האבטחה הבסיסית של חברות אנטיוירוס רבות, "ואם תשתמשו במיקרוסופט ככלי מיקוח, אתם עשויים להשיג עסקה טובה עם אחת מהן", אמר. מנהלי IT שבוחרים לפרוש את חלונות 7 כדאי שיחליטו האם הם זקוקים לגרסת Enterprise או Ultimate. אף על פי שגרסת ה-Ultimate היא, באופן רשמי, גרסה צרכנית, היא זולה בהרבה מגרסת ה-Enterprise, כך שאם מנהל ה-IT בעסק קטן יכול לקחת בחשבון ביצוע אקטיבציה באופן ידני לכל גרסה, זה עשוי להיות שווה את המחיר כדי ללכת על Ultimate, אפילו אם היא כוללת רק 5 שנים של תמיכה ולא 10.