Branch Cache, Direct Access, Bitlocker to go und Co.

Windows 7: Die Funktionen für Unternehmen

22.10.2009 von Andreas Kroschel

Nicht nur Endnutzer erhalten mit Windows 7 zahlreiche neue Funktionen, auch in Unternehmen ziehen neue Features ein. Wir zeigen Ihnen, was hinter Anwendungen wie Branch Cache, Direct Access oder Applocker steckt.

Unternehmen sollten genau auswählen, welche Version sie von Windows 7 einkaufen wollen. Denn einige neue Funktionen sind nur in bestimmten Ausgaben enthalten. Die Verschlüsselungsapplikation BitLocker ist so eine Anwendung. Sie ist nur in Windows 7 Ultimate und Windows 7 Enterprise enthalten. Damit sich potentielle Käufer einen Überblick über die zusätzlichen Funktionen machen können, stellen wir die Business-Features genauer vor.

Eins allerdings schon vorweg: Viele Funktionen, etwa DirectAccess oder das neue Caching-Verfahren Branch Cache verlangen nicht nur die aktuellste Software auf dem Desktop, sondern benötigen auch die neue Version des Windows Servers. Windows Server 2008 R2 klingt zwar ähnlich wie der Vorgänger, hat allerdings die gleiche Code-Grundlage wie Windows 7.

Weitere Artikel zu Windows 7 finden Sie im entsprechenden Schwerpunkt. Darin stellen wir beispielsweise Tastenkürzel und Funktionen vor, die man unbedingt einmal ausprobieren sollte, gehen auf die Neuerungen ein oder haben alle Informationen zum Upgrade, den Kosten, Veröffentlichungsterminen und den Versionen gesammelt.

DirectAccess

DirectAccess gestattet es Mitarbeitern, sich mit ihrem Firmennetzwerk verbinden, ohne VPN verwenden zu müssen. Das spart Administrationsaufwand und auch von Benutzerseite ist es bequemer. Windows 7 nutzt dazu das Protokoll IPv6, das für Windows bereits seit XP verfügbar ist, aber auf den meisten PCs ungenutzt brachliegt, da oft weder Internet-Provider noch zwischengeschaltete Hardware wie etwa Hubs oder Router es unterstützen.

Echte IPv6-Anbieter finden sich deshalb kaum. Abhilfe erreicht man derzeit dadurch, dass man IPv6-Verbindungen durch klassische IPv4-Verbindungen tunnelt. Microsoft hat die entsprechenden Funktionen sowohl in Windows Server 2008 R2 als auch in die Business-Versionen Windows 7 so integriert, dass weder Administratoren noch Benutzer dies manuell einrichten müssen. Erst ein „ping“ oder andere Netzwerk-Tools verraten, dass ein auf diese Weise eingebundener PC eine IPv6-Adresse hat.

Zu Hause genauso angebunden wie im Firmen-LAN: DirectAccess spart das Einrichten von VPNs. (Quelle: Microsoft)

Mit den entsprechenden Betriebssystemen an beiden Enden der Leitung ist der Mitarbeiter im Home-Office dann genau so ins LAN eingebunden, als wenn er in der Firma säße. Anders als bei VPN erfolgen Internet-Zugriffe jedoch direkt, also ohne Umweg über das Firmennetz, damit ergibt sich ein Geschwindigkeitsgewinn. Administratoren können bei DirectAccess Netzwerk-Richtlinien genauso durchsetzen wie im LAN: Ist etwa der Virenscanner nicht mehr aktuell oder aus, gibt’s keinen Zugriff auf das LAN oder sensible Teilbereiche davon.

Branch Cache

Branch Cache ist ein Netzwerk-Cache für Zweigstellen. Er sorgt dafür, dass von der Firmenzentrale abgerufene Inhalte zentral zwischengespeichert werden, so dass sie ab dem zweiten Abruf am ganzen Standort in LAN-Geschwindigkeit zur Verfügung stehen, egal wie dünn die Leitung zur Zentrale ist. Das gilt nicht nur für Web-Inhalte, wie es bei jedem Proxy-Server der Fall wäre, sondern auch die normalen Netzlaufwerke. Für die Mitarbeiter ist das Verfahren vollkommen transparent, Zusatzinformationen wie etwa Benutzerrechte werden weiterhin ganz normal berücksichtigt.

Ein Cache für die ganze Außenstelle: Branchcache hilft bei langsamen Verbindungen zur Zentrale. (Quelle: Microsoft)

Bis aus den Geschwindigkeitszuwachs ergibt sich keine Änderung bei der Arbeit. Ändert ein Mitarbeiter ein Dokument auf dem Server, dauert der erste Abruf dieser Datei für den Nächsten wieder genauso lange, wie bei ersten Mal. Ein Synchronisationstool, das erst diverse Änderungen in der Zweigstelle zusammenfasst und diese dann dem Server propagiert, ist Branch Cache damit explizit nicht. In der Zentrale benötigt Branch Cache Windows Server 2008 R2, am Arbeitsplatz eine Business-Version von Windows 7.

Applocker

Mit Applocker können Administratoren festlegen, welche Software von Standard-Benutzern verwendet werden darf. Applocker ist eine Weiterentwicklung der bereits seit Windows XP verfügbaren Richtlinien für Softwareeinschränkungen. Allerdings kennt Applocker mehr Optionen und die Abstufungen sind feiner.

Was dürfen Standard-Benutzer? Mit Applocker legen es Administratoren detailliert fest. (Quelle: Microsoft)

Administratoren können etwa zunächst alles verbieten und die Zulassungen explizit setzen (Whitelisting), angesichts der schieren Menge an vorhandener Malware ein besseres Verfahren ist als das Führen und Verwalten einer Software-Verbotsliste. Ob eine Datei ausgeführt werden darf, kann dann nach drei Kriterien festgelegt werden:

Datei-Hash, also die Prüfsumme jeder Datei. Diese muss allerdings bei jedem Update erneuert werden.
Pfadregel: Entscheidet je nach genauem Dateinamen plus Pfad, ob eine Datei ausgeführt werden kann. Kann allerdings durch Kopieren der betreffenden Datei unterlaufen werden.
Herausgeber: Entscheidet die Ausführbarkeit je nach Zertifikat einer Datei, das jede ausführbare Datei im Kontextmenü über die Registerkarte „Eigenschaften“ anzeigt. Hier sind sehr feine Abstufungen möglich: So können Sie etwa verfügen, dass alle Microsoft-Programme, die eine Windows-Komponente sind, ausgeführt werden dürfen. Das ersparet potentiellen Update-Ärger. Umgekehrt können Sie aber sogar von einer bestimmten EXE-Datei Mindest-Versionsnummern verlangen, um etwa eine Software zwar prinzipiell zu erlauben, jedoch nicht die Ausführung veralteter Versionen mit eventuell bekannten Sicherheitslücken.

Applocker kennt einen Audit-Modus: Bevor der Administrator die Regeln wirklich in Kraft setzt, kann er erst eine Weile anhand von Log-Dateien beobachten, wie sie sich auswirken würden.

XP-Modus

Der XP-Modus ist eine virtuelle Umgebung ähnlich Virtual PC oder VMWare, die zu Windows 7 inkompatiblen Programmen eine XP-Umgebung bietet. Die Virtualisierung muss allerdings durch die Hardware unterstützt werden, genauer gesagt durch den Prozessor, und im BIOS eingeschaltet sein.

Die virtualisierten Anwendungen laufen zwar in einer virtuellen Maschine, werden aber nahtlos in Windows 7 ausgeführt. Updates, Virenschutz und die ganze Palette der restlichen Schutzmaßnahmen müssen allerdings für das Windows-7-Hostsystem und die XP-Umgebung jeweils separat betrieben werden. Damit ist der XP-Modus eher als Übergangslösung zu sehen, bis sämtliche Software in einer Windows-7-kompatiblen Version besorgt werden konnte.

Einen Workshop zum Windows XP-Mode finden Sie hier bei TecChannel, außerdem nehmen wir im Artikel „Windows 7 XP Mode - Performance und Einschränkungen“ die Leistungsfähigkeit der virtuellen Maschinen unter die Lupe.

Search Federation

Search Federation ist eine Meta-Suchmaschine für den Desktop, die Inhalte unabhängig davon findet, ob sie in Ihren Dateien, Ihrer Mail oder im Web zu finden sind. Damit können Sie vom Windows-Explorer aus nach etwa Videos und Bildern im Internet suchen, ohne den Browser zu öffnen. Drittanbieter, wie etwa Youtube müssen per „Search Connector“ dafür sorgen, dass sie gefunden werden – das dazugehörige Protokoll heißt Opensearch und ist frei verfügbar. Für den Anwender verschwindet damit der Unterschied zwischen lokalen Dateien und Inhalten im LAN oder Internet.

Angriff auf die Desktop-Suchmaschinem: Search Federation findet alles, ob lokal oder im Web.

Die gefundenen Suchergebnisse bekommt er in einer Ordner-ähnlichen Ansicht präsentiert, die er speichern kann - voilà, der klassische Desktop-Ordner ist vielleicht noch nicht ganz abgelöst, wird aber in Zukunft unwichtiger werden.

Administratoren können Links im Startmenü der Anwender-PCs platzieren, die Suchanfragen enthalten, etwa auf einen Sharepoint-Server. So haben die Mitarbeiter immer Zugriff auf die aktuellste Version der Dokumente, welche die entsprechende Suche liefert.

Besserer Bitlocker

Die bereits aus Vista bekannte Festplattenverschüsselung Bitlocker schützt in Windows 7 auch USB-Geräte. Microsoft nennt die neue Funktion „Bitlocker To Go“. Für die Benutzer wird Bitlocker generell einfacher zu bedienen: Statt den Datenträger erst per versteckter Start-Partition umständlich auf Bitlocker vorbereiten zu müssen, genügt unter Windows 7 ein Klick mit der rechten Maustaste auf ein Laufwerk. Außer Ultimate-Enthusiasten werden allerdings Privatnutzer nicht viel davon haben: Bitlocker gibt es weiterhin nur in den Business-Versionen von Windows, wie das bereits bei Vista der Fall war.

Verschlüsseln per Mausklick: Bitlocker gibt’s nun auch für Wechseldatenträger

Administratoren haben die Möglichkeit, Länge und Kompliziertheit des Passwortes vorzuschreiben sowie verbindlich festzulegen, dass USB-Sticks und ähnliche Wechseldatenträger ohne Verschlüsselung gar nicht mehr benutzt werden können. Auch feinere Abstufungen sind möglich, etwa dass unverschlüsselte Datenträger zwar gelesen, aber nicht auf solche geschrieben werden kann. (mja)

Dieser Artikel basiert auf einem Beitrag unserer Schwesterzeitschrift PC-Welt.