Windows và bảo mật không phải lúc nào cũng tương thích với nhau. Trước đây, yêu cầu của Microsoft là giúp hệ điều hành của mình trở nên dễ quản lý ngay cả với những người sử dụng "thông thường nhất", điều này có nghĩa là phải hy sinh những biện pháp bảo vệ thích hợp đối với sự xâm nhập và nhiễm Virus. Lỗi do sâu mạng nổi tiếng của Windows XP gần đây chính là một ví dụ; Microsoft đã bật tường lửa cho hệ điều hành của mình nhưng trước đây, nó vẫn được mặc định là tắt.

Với tất cả các lỗi của Vista, dù xét về thực tế hay nhận thức thì nó vẫn đánh dấu một bước đi to lớn trong công cuộc bảo mật của Windows. Windows 7 đã tiếp tục cải tiến từ những thành tựu ấy, bổ sung những tính năng mới và nâng cấp nhiều tính năng khác - rõ ràng là hầu hết hệ thống User Account Control đã tỏ ra quá phiền toái ở Vista đến nỗi người dùng phải tắt đi dẫn đến lỗi xâm nhập do họ muốn đổi lấy sự bớt phiền hà.  UAC đã được sửa chữa trong Windows 7 nhằm giảm bớt lỗi xâm nhập và nhạy bén hơn với những cấu thành của một mối nguy hiểm thực sự, và vì thế mà nó tỏ ra hiệu quả hơn.

Các tính năng bảo mật khác không nổi bật lắm, đặc biệt là những tính năng được các nhà doanh nghiệp ứng dụng để bảo vệ không chỉ một máy tính mà cả toàn bộ hệ thống. Trong số những tính năng mới quan trọng nhất có: DirectAccess, thay thế cho VPN cho các máy tính sử dụng mạng Windows; Windows Biometric Framework giúp chuẩn hoá các dấu vân tay được sử dụng bới các máy quét và các ứng dụng sinh trắc học; và AppLocker được cải tiến từ Software Restriction Policies phiên bản trước đó của Windows nhằm hạn chế những phần mềm có thể chạy trên một máy.

Đặc biệt nhất là BitLocker To Go giúp mở rộng mã hoá của BitLocker cho cả  các ổ cắm ngoài và các thiết lập tường lửa để mức độ bảo vệ phù hợp hơn với vị trí mà người sử dụng kết nối với Internet.

Trong một sản phẩm điển hình của Microsoft, những tính năng này thường có sẵn và ít được hướng dẫn. Chúng ta hãy thử tìm hiểu các tính năng này để biết liệu chúng có thể làm gì giúp Windows bảo vệ được máy tính và mạng của mình.

Hãy lưu ý rằng có một vài tính năng có sẵn ở tất cả các phiên bản của Windows 7 nhưng một số khác lại yêu cầu phải là phiên bản Enterprise hay Ultimate. Ngoài ra, bạn cũng sẽ không thể thực hiện được đầy đủ một số tính năng cho tới khi bạn nâng cấp tất cả máy người dùng của bạn lên Windows 7, ví dụ như ít nhất là một tính năng - DirectAccess - đòi hỏi những yêu cầu mà hầu hết các công ty vẫn chưa đáp ứng được ngay. Tuy nhiên, những tính năng này sẽ hoạt động song song với công nghệ cũ đối với những người vẫn sử dụng các phiên bản trước đây của Windows.

Do đó, nếu bạn chưa tận dụng được hết tất cả các tính năng bảo mật mới ngay lập tức thì hãy bắt đầu ngay từ bây giờ.

Nhiều thiết lập cho tường lửa hoạt động

Windows 7 đưa ra nhiều cải tiến tuy nhỏ nhưng quan trọng hơn nhiều so với Vista trong những thiết lập tường lửa. Vista cho phép người sử dụng thiết lập những tường lửa khác nhau cho kết nối cộng đồng, cá nhân hay kết nối miền. Mạng cá nhân có thể chính là mạng Wifi của bạn, ngoài việc những quyền từ khóa của WEP và WPA đúng, bạn không cần phải có bất kỳ một thông tin quan trọng nào để đăng nhập nhưng bạn có thể tin tưởng hơn mạng cộng đồng như mạng ở quán cà phê nào đó. Một mạng Domain đòi hỏi phải xác thực mật khẩu, vân tay, thẻ thông minh hay phải kết hợp một số yếu tố để có thể đăng nhập.

Mỗi loại đều có những lựa chọn ứng dụng và kết nối riêng cho phép thông qua tường lửa. Ví dụ, đối với mạng tại nhà hoặc của các doanh nghiệp nhỏ được đánh dấu là Private, bạn có thể cho phép chia sẻ được tệp tin và máy in, trong khi đó, mạng được đánh dấu là Public thì bạn có thể không cho phép truy cập vào các dữ liệu của bạn.

Những thiết lập tường lửa của Vista sẽ hoạt động tốt trừ khi một máy tính được đồng thời kết nối với nhiều mạng, chẳng hạn như mạng Ethrnet và một mạng không dây. Trong những trường hợp này, hệ thống sẽ mặc định một tường lửa thiết lập hạn chế nhất. Điều này có thể gây ra một số vấn đề ví dụ như khi kết nối vào một VPN thông qua mạng WiFi công cộng; Vista sẽ nhận ra những kết nối đồng thời vào cả hai mạng Public và Domain và sẽ áp dụng chế độ Public cho cả hai.

Tất cả các phiên bản của Windows 7 cho phép máy tính hoạt động nhiều thiết lập tưởng lửa cùng một lúc, duy trì việc truy cập và chức năng của mạng đáng tin cậy hơn và chặn lại những truy cập thông qua mạng kém tin cậy. Vì nhiều chức năng truy cập từ xa yêu cầu thiết lập tường lửa ít hạn chế nên người sử dụng vừa có thể sử dụng an toàn, vừa tránh được các mối nguy hiểm bên ngoài mạng công ty.

Windows Biometric Framework

Khi các thiết bị đọc dấu vân tay ngày càng trở nên phổ biến trên laptop thì việc thiết lập các tiêu chuẩn để giải quyết dữ liệu sinh trắc học cũng trở nên quan trọng. Hãy vào Windows Biometric Framework, đây là một phương pháp chuẩn để lưu trữ lại các dữ liệu dấu vân tay và truy cập vào nó thông qua một API chung.  Mặc dù chỉ có một số  nhà phát triển thích thú với các tính năng của hệ thống nhỏ này nhưng vẫn có hai điều quan trọng mà các doanh nghiệp nên biết.

Đầu tiên, nếu trước đây máy quét dấu vân tay được sử dụng để truy cập vào một máy tính nhưng không thể truy cập vào Domain tập thể (mạng tập thể hoặc mạng nhỏ) thì Windows Biometric Framework lại cho phép điều đó.

Thứ hai, người sử dụng có thể lưu trữ lên đén 10 dấu vân tay khác nhau, mỗi dấu vân tay cho một ngón tay. Mặc dù hầu hết chúng ta đều không mong mất đi một ngón tay nào nhưng việc lưu trữ tất cả 10 ngón tay trong một hệ thống sẽ là một phương án đề phòng tốt cho trường hợp bị thương tích. Chỉ cần một tai nạn nhỏ khi nấu ăn hay bị kẹp cửa thôi cũng đủ gây thương tích cho ngón tay của bạn khiến bạn không thể đăng ký chính xác với đầu đọc vân tay, và chắc chắn bạn cũng không muốn người sử dụng bị cấm truy cập vào máy tính của họ khi họ không thể chữa lành vết thương.

Bằng việc sử dụng Biometric Device có trong Control Panel của bất kỳ máy tính sử dụng Windows 7 được lắp thêm máy quét vân tay, dấu vân tay có thể được lưu lại, và nhờ đó, bạn có thể khởi động máy tính và đăng nhập miền. Bạn phải đăng nhập là một quản trị viên để có thể bổ sung hoặc quản lý dấu vân tay ở Windows 7.

BitLocker To Go

Một trong những mối đe doạ bảo mật nguy hiểm nhất mà các doanh nghiệp ngày nay đang phải đối mặt đó là việc mất đi các thiết bị di động có chứa những thông tin bí mật của công ty. BitLocker của Windows Vista đã bắt đầu giải quyết vấn đề này bằng cách cho phép các doanh nghiệp mã hoá toàn bộ ổ cứng của Laptop để nếu có bị mất hoặc đánh cắp, không ai có thể truy cập được vào thông tin đã được lưu trữ trong đó. BitLocker To Go giúp mở rộng tính năng bảo vệ này thậm chí đối với cả những ổ bên ngoài dễ bị mất dữ liệu, bao gồm cả những ổ cứng ngoài kiểu bỏ túi và các Flash USB thu nhỏ.

Có sẵn trong các phiên bản của Windows 7 Enterprise và Ultimate, BitLocker To Go rất đơn giản để sử dụng: Nhấn chuột phải vào một ổ ngoài ở Explorer và lựa chọn "Turn on BitLocker" để mở ra một cửa sổ giúp mã hoá ổ đĩa đó, chờ một chút để chạy chương trình, thế là xong. Thời gian chờ phụ thuộc vào tốc độ máy tính và ổ đĩa của bạn, nhưng với lần đầu mã hoá có thể mất đến 20 phút cho một ổ Flash 2GB và thậm chí mất cả ngày nếu là 500GB và những ổ cứng ngoài lớn hơn.

Ổ đã được chạy BitLocker To Go có thể được giải mã bằng việc sử dụng một mật khẩu do người sử dụng lựa chọn hoặc có thể sử dụng thẻ thông minh để xác thực.   

Những ổ đĩa có thể tháo lắp được mã hoá chỉ có thể được tạo ra trên phiên bản Enterprise và Ultimate của Windows 7, nhưng ngay khi đã tạo ra chúng, bạn có thể đọc và ghi vào nó từ bất cứ một máy tính sử dụng Windows 7 nào. Bạn cũng có thể cài đặt trên các máy tính sử dụng Vista và XP một ứng dụng đọc ổ mã hoá cho phép việc truy cập dưới hình thức chỉ đọc.

Bạn có thể tăng cường an ninh trong những môi trường doanh nghiệp thông qua việc sử dụng các chính sách quản trị chỉ cho phép các ổ BitLocker To Go được ghi vào, do đó mà có thể ngăn chặn người sử dụng lưu dữ liệu vào những ổ không an toàn. Người sử dụng của Windows Server cũng có thể giữ một mật khẩu phục hồi bằng việc sử dụng Active Directory nhằm giúp các mật khẩu bị mất hoặc quên có thể được phục hồi.  

AppLocker

Việc kiểm soát người sử dụng cài đặt hoặc chạy ứng dụng gì chính là một cách rất hiệu quả để duy trì tính ổn định của hệ thống của người dùng, ngăn chặn phần mềm độc hại và bảo bệ toàn bộ mạng khỏi các ứng dụng mạng băng thông như BitTorrent.

Trong các phiên bản trước của Windows, điều này đã được xử lý bởi tính năng Software Restriction Policies. Những chính sách này có thể được áp dụng để ngăn chặn hoạt động của những phần mềm cụ thể .

Software Restriction Policies có thể rất phức tạp trong việc thực hiện và duy trì để đạt hiệu quả. Một số chương trình cần được cài đặt một cách đặc biệt, và đòi hỏi đặt ra những quy định về đường dẫn mới. Những chính sách này cho phép bảo mật tốt hơn nhưng có thể bị lỗi bất cứ khi nào có một chương trình cần được cập nhật. Bất cứ sự thay đổi nào với mã code của chương trình - thậm chí là sửa lỗi hay cập nhật bảo mật -  nó sẽ không cho chương trình đó chạy. Vậy các nhà quản lý IT phải duy trì và cập nhật một loạt những quy định rườm rà và ghi đè lên để giúp các chương trình có thể tự động cập nhật.

AppLocker có sẵn cho các Windows 7 Enterprise và Ultimate (cũng như là Windows Server 2008 R2), bổ sung thêm một phương pháp mới và linh hoạt hơn trong việc kiểm soát các phần mềm đó là: các nguyên tắc phát hành. Các nguyên tắc này phụ thuộc vào thông tin trong giấy chứng nhận chữ ký của một chương trình mà ngày nay rất nhiều ứng dụng có.

Thông tin này cụ thể hơn các đường dẫn tệp tin và dữ liệu cho phép quản trị viên tạo ra những quy định phức tạp như chỉ cho phép phần mềm của một nhà phát hành cụ thể, có tên cụ thể, với tên file cụ thể và/hoặc phiên bản cụ thể được hoạt động. Ví dụ như một quy định có thể cho phép bất cứ thứ gì của Adobe chạy, hoặc chỉ là Photoshop, hoặc chỉ là nhưng phiên bản gần đây và trong tương lai của Photoshop.

Các quy tắc của AppLocker có thể được áp dụng đối với bất cứ File thực thi, script, phần mềm cài đặt hay thư viện hệ thống nào, nó vừa mang lại cho người dùng đủ điều kiện để cài đặt một phần mềm hay cập nhật mà không cần phải được quản trị viên xác nhận, lại vừa ngăn chặn chúng khỏi việc sử dụng các phần mềm trái phép.

Hơn nữa, các quy tắc của AppLocker có thể được viết ra để áp dụng cho những người sử dụng cụ thể hay các nhóm người dùng; nhóm kế toán hay thiết kế đồ hoạ của bạn có thể cần những phần mềm rất khác nhau nhưng với AppLocker, chỉ cần một số chính sách để đáp ứng nhưng yêu cầu cụ thể của mỗi nhóm. AppLocker thậm chí có thể phân biệt những người sử dụng dùng chung một máy tính.

Với chế độ tiết kiệm thời gian chính là khả năng tự động tạo ra các quy tắc từ một máy tính nguồn tin cậy. Các chính sách đó có thể được đưa ra và áp dụng toàn cầu thông qua mạng sử dụng thiết lập Group Policy của Windows.

Quan trọng là cần phải lưu ý rằng các quy định của AppLocker chỉ dành cho những người sử dụng có máy tính đang chạy bản Windows 7 Enterprise hay Ultimate. Nếu một số người sử dụng của bạn dùng phiên bản cũ của Windows, bạn sẽ phải lưu lại Software Restriction Policies này cho họ. .

DirectAccess

Microsoft đã quảng cáo đây là bản thay thể đời tiếp theo cho VPN, DirectAccess cho phép người sử dụng Windows 7 Enterprise và Ultimate kết nối trực tiếp với Windows 2008 R2 và các máy chủ trong tương lai. Khi máy tính kết nối với Internet, DirectAccess sẽ tự động tạo ra một kết nối an toàn cho mạng tập thể mà người dùng không cần phải làm gì, và tự động phát lệnh cho mạng nội bộ thông qua kết nối đó.

DirectAccess đưa ra những cải tiến hơn VPN truyền thống thông qua kết nối tự động. Đầu tiên, nó sử dụng giao thức Internet IPsec và IPv6 để mã hoá và tạo ra kết nối từ các thiết bị đầu cuối. Nơi mã hoá VPN chính là ở máy chủ VPN, DirectAccess có thể duy trì việc mã hoá tất cả con đường ra vào ứng dụng này trong mạng tập thể. (DirectAccess hỗ trợ một số các giao thức khác để tạo ra đường nối cho các lưu lượng truyền qua mạng không hỗ trợ IPv6 và IPsec.)

Và bởi vì DirectAccess sử dụng cổng Internet tiêu chuẩn nên nó dễ dàng vượt qua các tưởng lửa mà không cần có cấu hình bổ sung, đây chính là một số vấn đề mà nhiều người dùng VPN gặp phải.

Một ích lợi khác đó là bởi vì kết nối được tạo ra và duy trì tự động nên những quản trị viên có thể liên tục quản lý và cập nhật các máy tính sử dụng DirectAccess của mình, ngay cả khi người sử dụng không trực tiếp sử dụng nguồn tập thể. Người sử dụng từ xa kết nối thông qua VPN chỉ khi họ cần phải truy cập vào nguồn mạng.

Điều này có nghĩa là người sử dụng VPN phải được kiểm tra, quét và sửa lỗi trước khi họ có thể được phép truy cập vào mạng công ty, qua trình này có thể làm chậm lại kết nối và hạn chế hiệu suất làm việc, cũng như cho phép các quản trị viên IT chỉ một chút thời gian để quản lý máy tính từ xa của họ. Với DirectAccess, các máy tính có thể được cập nhật cùng lúc với phần còn lại của mạng công ty và có thể được theo dõi bất kể người dùng có cần truy cập vào mạng công ty hay không.

Tuy nhiên, cần lưu ý rằng không phải công ty nào cũng có thể thực hiện được việc chuyển sang DirectAccess ngay lập tức. Hệ thống này phụ thuộc vào cơ sở hạ tầng mạng cao cấp - bao gồm Windows Server 2008 R2 và IPv6 - mà nhiều doanh nghiệp vẫn chưa triển khai hoặc chưa nâng cấp lên, do đó mà sẽ tốn rất nhiều thời gian trước khi nhiều công ty có được đầy đủ công cụ và kỹ thuật để chuyển toàn bộ lên DirectAccess. Trong khi chờ đến ngày đó, công ty buộc phải chạy song song với VPN truyền thống.

Nhưng nó giúp chúng ta có một cái nhìn mới về hệ thống mạng tương lai - một kết nối an toàn và ổn định sẽ cho phép những nhân viên ở xa làm việc như họ đang ngồi ngay trong văn phòng của mình.

Đối với các doanh nghiệp, Windows 7 cho phép sự hợp tác giữa bộ phận bảo mật IT và người dùng, giúp các nhân viên có thể làm việc với các chính sách về bảo mật được áp dụng và cập nhật.Tất cả những tính năng này đều hứa hẹn sẽ mang lại sự thuận tiện trong sử dụng mà không tốn phí cho việc bảo đảm an ninh, điều này đã khiến cho Microsoft nhận ra rằng Microsoft và bảo mật không nhất thiết phải tương thích với nhau.