加固Win7桌面安全

1、6292課程： 安裝和配置Windows 7第六講：加固Win 7桌面安全課程概覽Windows 7安全管理概述使用本地組策略加固Win 7客戶端安全使用EFS和Bitlocker加密數(shù)據(jù)配置應(yīng)用程序限制配置用戶賬戶控制（UAC）配置Windows Firewall配置IE 8的安全設(shè)置配置Windows DefenderWindows 7安全管理概述Windows 7中的安全功能什么是操作中心？Windows 7中的安全功能Encrypting File System (EFS)Windows BitLocker and BitLocker To GoWindows AppLockerUse

2、r Account Control Windows Firewall with Advanced SecurityWindows DefenderWindows 7操作中心什么是Windows 操作中心？選擇您需要檢查的用戶警報(bào)項(xiàng)目操作中心是一個(gè)您可以在此查看有關(guān)系統(tǒng)信息和診斷解決有關(guān)系統(tǒng)問(wèn)題的中心點(diǎn)和問(wèn)題的集中處理中心使用本地組策略加固Win 7安全什么是組策略組策略對(duì)象是如何應(yīng)用的多個(gè)本地組策略如何協(xié)同工作什么是組策略？組策略使得IT管理員能夠執(zhí)行自動(dòng)化的一到多的用戶和計(jì)算機(jī)的管理任務(wù)使用組策略執(zhí)行如下任務(wù)：應(yīng)用標(biāo)準(zhǔn)配置部署軟件強(qiáng)制安全設(shè)置執(zhí)行一個(gè)一致的桌面環(huán)境本地組策略使用在本地應(yīng)用，即

3、在本地運(yùn)行的本地用戶和域用戶以及本地計(jì)算機(jī)產(chǎn)生影響組策略對(duì)象如何應(yīng)用？組策略對(duì)象分為計(jì)算機(jī)對(duì)象和用戶對(duì)象，他們都是間隔固定的時(shí)間進(jìn)行應(yīng)用，計(jì)算機(jī)對(duì)象在啟動(dòng)時(shí)應(yīng)用，用戶對(duì)象在登錄時(shí)應(yīng)用。組策略處理流程：1. Local GPOs2. Site-level GPOs3. Domain GPOs4. OU GPOs使用EFS和Bitlocker加密數(shù)據(jù)什么是EFS？什么是Bitlocker？Bitlocker需求Bitlocker模式Bitlocker組策略選項(xiàng)配置Bitlocker配置Bitlocker to Go解密Bitlocker鎖定的驅(qū)動(dòng)器What Is EFS?加密文件系統(tǒng)（EFS）是W

4、indows 文件系統(tǒng)內(nèi)置的文件級(jí)別的加密工具透明的文件的加密和解密的方式需要適當(dāng)?shù)募用苊荑€（對(duì)稱(chēng)的）來(lái)讀取加密數(shù)據(jù)每個(gè)用戶必有一個(gè)公鑰和私鑰對(duì)，用于保護(hù)對(duì)稱(chēng)密鑰用戶的公鑰和私鑰:可以是自我產(chǎn)生的也可以是從證書(shū)頒發(fā)機(jī)構(gòu)頒發(fā)的是使用用戶的密碼進(jìn)行保護(hù)的允許其他用戶的證書(shū)訪問(wèn)加密的文件支持在智能卡上存儲(chǔ)私鑰加密文件系統(tǒng)密鑰更新向?qū)翬FS組策略設(shè)置支持系統(tǒng)頁(yè)面的加密支持AIS 256位加密Windows 7中的EFS新功能支持每個(gè)用戶的脫機(jī)文件加密什么是BitLocker?Windows Bitlocker驅(qū)動(dòng)器加密位于計(jì)算機(jī)操作系統(tǒng)中的操作系統(tǒng)卷和數(shù)據(jù)卷的中的數(shù)據(jù)提供離線數(shù)據(jù)保護(hù)保護(hù)安裝在加密卷

5、上的所有其他應(yīng)用程序包括系統(tǒng)的完整性驗(yàn)證驗(yàn)證計(jì)算機(jī)啟動(dòng)早期的組件的完整性和啟動(dòng)配置文件的完整性保證了啟動(dòng)過(guò)程的完整性BitLocker 需求加密和解密密鑰：硬件需求：BitLocker 需要下列條件之一:有可信賴平臺(tái)模塊（TPM） V1.2版本或以上的計(jì)算機(jī)（硬件）一個(gè)可移動(dòng)的USB存儲(chǔ)設(shè)備有足夠的空間使得Bitlocker能創(chuàng)建兩個(gè)分區(qū)有一個(gè)兼容TPM模塊的BIOS和支持USB引導(dǎo)啟動(dòng)模式的BIOSBitLocker 模式Windows 7支持兩種Bitlocker的操作模式：TPM modeNon-TPM modeTPM mode鎖定正常的計(jì)算機(jī)啟動(dòng)過(guò)程，直到用戶選擇提供一個(gè)個(gè)人密碼（PI

6、N）或插入一個(gè)包含Bitlocker啟動(dòng)密鑰的USB驅(qū)動(dòng)器才能夠繼續(xù)進(jìn)行加密的磁盤(pán)必須位于原來(lái)的計(jì)算機(jī)TPM模式執(zhí)行系統(tǒng)引導(dǎo)組件的完整性驗(yàn)證如果其中的任何組件發(fā)生了改變，驅(qū)動(dòng)器將被鎖定，系統(tǒng)將阻止對(duì)其的訪問(wèn)和解密?chē)L試Non-TPM mode使用組策略來(lái)允許Bitlocker在沒(méi)有TPM時(shí)工作和TPM模式鎖定啟動(dòng)的過(guò)程相似，但是Bitlocker的啟動(dòng)密鑰存儲(chǔ)在USB驅(qū)動(dòng)器上計(jì)算機(jī)的BIOS必須要能夠從USB引導(dǎo)提供有限的認(rèn)證功能無(wú)法在此模式下執(zhí)行系統(tǒng)組件的完整性檢查移動(dòng)數(shù)據(jù)存儲(chǔ)的設(shè)置組策略提供了如下的Bitlocker方面的設(shè)置將Bitlocker的備份轉(zhuǎn)向ADDS服務(wù)在控制面板上配置恢復(fù)文件

7、夾啟動(dòng)控制面板的高級(jí)設(shè)置配置加密方法防止重啟動(dòng)時(shí)的內(nèi)存溢出配置用于存儲(chǔ)Bitlocker密鑰的方式Bitlocker的組策略設(shè)定固定的數(shù)據(jù)驅(qū)動(dòng)器的設(shè)定Bitlocker驅(qū)動(dòng)器加密的本地組策略設(shè)置系統(tǒng)驅(qū)動(dòng)器的設(shè)置激活一個(gè)計(jì)算機(jī)啟動(dòng)向?qū)?lái)激活Bitlocker引導(dǎo)功能：驗(yàn)證系統(tǒng)要求如果不存在第二分區(qū)就進(jìn)行創(chuàng)建的操作配置允許使用怎樣的方式訪問(wèn)Bitlocker加密的驅(qū)動(dòng)器：USBUser function keys to enter the PassphraseNo key三種方式來(lái)激活 BitLocker:From System and Settings in Control PanelRight

8、-click the volume to be encrypted in Windows Explorer and select the Turn on BitLocker menu optionUse the command-line tool titled manage-bde.wsf通過(guò)Windows資源管理器啟動(dòng)Bitlocker通過(guò)控制面板啟動(dòng)Bitlocker配置BitLocker管理一個(gè)由Bitlocker to Go加密的驅(qū)動(dòng)器選擇如何存儲(chǔ)你的恢復(fù)密鑰管理一個(gè)由Bitlocker to Go加密的驅(qū)動(dòng)器通過(guò)在USB驅(qū)動(dòng)器上右鍵點(diǎn)擊該驅(qū)動(dòng)器激活便攜設(shè)備的Bitlocker to

9、Go功能選擇以下的設(shè)置之一解鎖由Bitlocker to Go 加密的驅(qū)動(dòng)器:使用密碼或還原密碼解鎖使用智能卡解鎖總是自動(dòng)解鎖在此計(jì)算機(jī)上的這個(gè)設(shè)備配置BitLocker To Go選擇如何解鎖驅(qū)動(dòng)器通過(guò)密碼還是通過(guò)智能卡驅(qū)動(dòng)器加密解鎖Bitlocker鎖定的驅(qū)動(dòng)器當(dāng)激活了Bitlocker加密的計(jì)算機(jī)啟動(dòng)時(shí)：BitLocker 檢查操作系統(tǒng)的安全狀況如果發(fā)現(xiàn)了情況的變化：BitLocker 進(jìn)入恢復(fù)模式，保持系統(tǒng)驅(qū)動(dòng)器的鎖定用戶必須輸入正確的恢復(fù)密碼才能夠繼續(xù)Bitlocker的恢復(fù)密碼是：在恢復(fù)模式下一個(gè)48位的用于解鎖系統(tǒng)的數(shù)字密碼每個(gè)密碼針對(duì)一個(gè)專(zhuān)有的Bitlocker加密可存儲(chǔ)在活動(dòng)

10、目錄中如果存儲(chǔ)在活動(dòng)目錄中，可以通過(guò)使用驅(qū)動(dòng)器標(biāo)簽或是計(jì)算機(jī)的密碼進(jìn)行搜索配置應(yīng)用程序限制什么是ApplockerApplocker規(guī)則什么是軟件限制策略什么是Applocker？AppLocker的優(yōu)點(diǎn)控制用戶如何訪問(wèn)和運(yùn)行所有類(lèi)型的應(yīng)用程序確保用戶僅能運(yùn)行經(jīng)過(guò)批準(zhǔn)的，許可的軟件Applocker是Windows 7的一個(gè)全新的安全功能，它能夠使得IT認(rèn)識(shí)指定究竟什么東西能夠在用戶的桌面上運(yùn)行Applocker規(guī)則Applocker的默認(rèn)規(guī)則是：所有用戶都能夠默認(rèn)運(yùn)行Program Files目錄中的文件所有用戶都能夠運(yùn)行Windows操作系統(tǒng)簽署的所有文件Administrators組的成

11、員能夠運(yùn)行所有的文件在創(chuàng)建后續(xù)規(guī)則前創(chuàng)建默認(rèn)的Applocker規(guī)則，然后手動(dòng)創(chuàng)建新的規(guī)則或者為某個(gè)特定文件夾自動(dòng)生成規(guī)則創(chuàng)建自定義規(guī)則在本地安全策略中通過(guò)使用Applocker向?qū)?chuàng)建規(guī)則您可以配置可執(zhí)行規(guī)則，Windows安裝程序規(guī)則，腳本規(guī)則您可以指定一個(gè)文件夾，將規(guī)則應(yīng)用于其中的包含.exe的所有應(yīng)用程序您可以為.exe文件創(chuàng)建規(guī)則例外您可以創(chuàng)建一個(gè)基于應(yīng)用程序的數(shù)字簽名的規(guī)則您可以手動(dòng)創(chuàng)建一個(gè)自定義規(guī)則給特定的可執(zhí)行文件什么是軟件限制策略Applocker在功能上取代了之前版本的SRPSRP管理單元和SRP規(guī)則在Windows 7中是兼容的Applocker的規(guī)則和SRP的規(guī)則是完全

12、分開(kāi)的Applocker的組策略和SRP的組策略是完全分開(kāi)的如果在GPO中已經(jīng)有Applocker定義了規(guī)則，則只有這些規(guī)則適用最好將SRP的定義和Applocker的定義放在不同的GPO中以便功能的互操作性軟件限制策略 (SRP) 允許管理員確定哪些程序可以運(yùn)行SRP was added in Windows XP and Windows Server 2003SRP的設(shè)計(jì)目的是幫助企業(yè)有效控制惡意代碼和未知代碼-無(wú)論是惡意的還是其他的SRP由一個(gè)默認(rèn)的安全級(jí)別和所有應(yīng)用于此組策略對(duì)象（GPO）的所有規(guī)則組成How does SRP compare to Windows AppLocker?

13、SRP和Applocker對(duì)比配置用戶賬戶控制什么是UACUAC怎樣工作的配置UAC提醒設(shè)置什么是UAC？用戶賬戶控制（UAC）是將現(xiàn)有的運(yùn)行Windows的用戶在運(yùn)行一般任務(wù)的時(shí)候作為標(biāo)準(zhǔn)用戶身份運(yùn)行的安全功能如果運(yùn)行某個(gè)任務(wù)需要管理員權(quán)限時(shí)，UAC會(huì)提示用戶適用一個(gè)管理員賬戶的憑據(jù)Windows 7增加了用戶能夠進(jìn)行配置的UAC項(xiàng)目UAC是如何工作的？在Windows 7中，當(dāng)用戶執(zhí)行一個(gè)需要管理員權(quán)限才能運(yùn)行的任務(wù)的時(shí)候會(huì)發(fā)生什么呢？管理員用戶UAC將會(huì)提示用戶確定本次任務(wù)的運(yùn)行標(biāo)準(zhǔn)用戶UAC將會(huì)提示具有管理員權(quán)限的用戶憑據(jù)配置UAC提醒設(shè)置UAC提升的過(guò)程的提示設(shè)置包含如下的內(nèi)容 :A

14、lways notify meNotify me only when programs try to make changes to my computerNotify me only when programs try to make changes to my computer (do not dim my desktop)Never notify配置Windows防火墻配置基本防火墻設(shè)置Windows高級(jí)防火墻設(shè)置應(yīng)用程序常用的端口配置網(wǎng)絡(luò)位置打開(kāi)或關(guān)閉Windows防火墻以及自定義網(wǎng)絡(luò)位置設(shè)置添加，更改或刪除允許的程序設(shè)置或修改多個(gè)配置文件的設(shè)置配置Windows防火墻的通知配置Win

15、dows防火墻的基本設(shè)置Windows高級(jí)防火墻設(shè)置Windows Firewall with Advanced Security filters incoming and outgoing connections based on its configuration入站規(guī)則明確允許或拒絕基于該端口的信息流通出站規(guī)則明確允許或拒絕基于該端口的信息流通連接安全規(guī)則適用于使用IP Sec加密網(wǎng)絡(luò)通信監(jiān)測(cè)界面顯示關(guān)于當(dāng)前防火墻規(guī)則的詳細(xì)信息，連接安全規(guī)則信息以及安全關(guān)聯(lián)的相關(guān)信息屬性頁(yè)用戶配置域、私人、公共網(wǎng)絡(luò)的配置文件屬性和IP Sec的配置應(yīng)用程序常用的端口當(dāng)一個(gè)應(yīng)用程序想與遠(yuǎn)程的另一個(gè)應(yīng)用程序

16、或主機(jī)建立通訊時(shí)，它會(huì)創(chuàng)建一個(gè)TCP或UDP的端口TCP / IP 協(xié)議簇TCP UDP Ethernet HTTPFTPSMTPDNSPOP3SNMPIPv6IPv4ARPIGMP ICMPHTTPS配置IE 8的安全設(shè)置IE 8中增強(qiáng)的隱私保護(hù)功能IE 8中的SmartScreen功能IE 8中的其他安全功能IE 8中增強(qiáng)的隱私保護(hù)功能InPrivate 瀏覽 默認(rèn)的刪除所有的瀏覽的歷史記錄并且不會(huì)有日志和相關(guān)的追蹤在瀏覽時(shí)運(yùn)行InPrivate 過(guò)濾 幫助監(jiān)控用戶訪問(wèn)第三方網(wǎng)站內(nèi)容的頻率增強(qiáng)的瀏覽器歷史記錄刪除-使用戶和組織能夠有選擇性的刪除瀏覽器歷史IE 8中的SmartScreen功

17、能使用此鏈接導(dǎo)航遠(yuǎn)離不安全的網(wǎng)站，并開(kāi)始從一個(gè)受信任的位置瀏覽使用此鏈接無(wú)視警告，在地址欄仍然是一個(gè)紅色的持續(xù)警告，標(biāo)示該網(wǎng)站不安全配置Windows Defender什么是惡意軟件什么是Windows DefenderWindows Defender掃描選項(xiàng)什么是惡意軟件惡意軟件包括：Viruses 病毒W(wǎng)orms 蠕蟲(chóng)Trojan horses 特洛伊木馬Spyware 間諜軟件Adware 廣告軟件惡意軟件導(dǎo)致：Poor performanceLoss of dataCompromise of private information 私人信息Reduction in end user e

18、fficiency 效率下降Unapproved computer configuration changes惡意軟件是專(zhuān)門(mén)用來(lái)設(shè)計(jì)對(duì)計(jì)算機(jī)產(chǎn)生損害的一種軟件什么是Windows Defender？Windows Defender是一款可以幫助防止安全威脅并檢測(cè)和刪除計(jì)算機(jī)中已知的安全威脅的一款軟件定期執(zhí)行計(jì)劃的掃描提供不同級(jí)別的配置選項(xiàng)，高，中，低的級(jí)別配置提供可定制的選項(xiàng)來(lái)進(jìn)行掃描的排除使用Windows自動(dòng)更新來(lái)安裝新的間諜軟件定義Windows Defender中的掃描選項(xiàng)You define when to scanYou define what to scanOptionDescription掃描存檔文件May increase scanning time, but spyware likes to hide in these locationsScan e-mailS