加固Win7桌面安全課件

6292課程：安裝和配置Windows7第六講：加固Win7桌面安全6292課程：第六講：1課程概覽Windows7安全管理概述使用本地組策略加固Win7客戶端安全使用EFS和Bitlocker加密數(shù)據(jù)配置應用程序限制配置用戶賬戶控制（UAC）配置WindowsFirewall配置IE8的安全設置配置WindowsDefender課程概覽Windows7安全管理概述2Windows7安全管理概述Windows7中的安全功能什么是操作中心？Windows7安全管理概述Windows7中的安全功能3Windows7中的安全功能EncryptingFileSystem(EFS)üWindowsBitLocker?andBitLockerToGo?üWindowsAppLocker?üUserAccountControlüWindowsFirewallwithAdvancedSecurityüWindowsDefender?üWindows7操作中心üWindows7中的安全功能EncryptingFile4什么是Windows操作中心？選擇您需要檢查的用戶警報項目操作中心是一個您可以在此查看有關系統(tǒng)信息和診斷解決有關系統(tǒng)問題的中心點和問題的集中處理中心什么是Windows操作中心？選擇您需要檢查的用戶警報項目5使用本地組策略加固Win7安全什么是組策略組策略對象是如何應用的多個本地組策略如何協(xié)同工作使用本地組策略加固Win7安全什么是組策略6什么是組策略？組策略使得IT管理員能夠執(zhí)行自動化的一到多的用戶和計算機的管理任務使用組策略執(zhí)行如下任務：應用標準配置部署軟件強制安全設置執(zhí)行一個一致的桌面環(huán)境本地組策略使用在本地應用，即在本地運行的本地用戶和域用戶以及本地計算機產(chǎn)生影響什么是組策略？組策略使得IT管理員能夠執(zhí)行自動化的一到多的用7組策略對象如何應用？組策略對象分為計算機對象和用戶對象，他們都是間隔固定的時間進行應用，計算機對象在啟動時應用，用戶對象在登錄時應用。組策略處理流程：1.LocalGPOs2.Site-levelGPOs3.DomainGPOs4.OUGPOs組策略對象如何應用？組策略對象分為計算機對象和用戶對象，他們8使用EFS和Bitlocker加密數(shù)據(jù)什么是EFS？什么是Bitlocker？Bitlocker需求Bitlocker模式Bitlocker組策略選項配置Bitlocker配置BitlockertoGo解密Bitlocker鎖定的驅動器使用EFS和Bitlocker加密數(shù)據(jù)什么是EFS？9WhatIsEFS?加密文件系統(tǒng)（EFS）是Windows文件系統(tǒng)內置的文件級別的加密工具透明的文件的加密和解密的方式需要適當?shù)募用苊荑€（對稱的）來讀取加密數(shù)據(jù)每個用戶必有一個公鑰和私鑰對，用于保護對稱密鑰用戶的公鑰和私鑰:可以是自我產(chǎn)生的也可以是從證書頒發(fā)機構頒發(fā)的是使用用戶的密碼進行保護的允許其他用戶的證書訪問加密的文件支持在智能卡上存儲私鑰ü加密文件系統(tǒng)密鑰更新向導ü新EFS組策略設置ü支持系統(tǒng)頁面的加密ü支持AIS256位加密üWindows7中的EFS新功能支持每個用戶的脫機文件加密üWhatIsEFS?加密文件系統(tǒng)（EFS）是Window10什么是BitLocker?WindowsBitlocker驅動器加密位于計算機操作系統(tǒng)中的操作系統(tǒng)卷和數(shù)據(jù)卷的中的數(shù)據(jù)ü提供離線數(shù)據(jù)保護ü保護安裝在加密卷上的所有其他應用程序ü包括系統(tǒng)的完整性驗證ü驗證計算機啟動早期的組件的完整性和啟動配置文件的完整性ü保證了啟動過程的完整性ü什么是BitLocker?WindowsBitlocker11BitLocker需求加密和解密密鑰：硬件需求：BitLocker需要下列條件之一:有可信賴平臺模塊（TPM）V1.2版本或以上的計算機（硬件）一個可移動的USB存儲設備有足夠的空間使得Bitlocker能創(chuàng)建兩個分區(qū)有一個兼容TPM模塊的BIOS和支持USB引導啟動模式的BIOSBitLocker需求12BitLocker模式Windows7支持兩種Bitlocker的操作模式：TPMmodeNon-TPMmodeTPMmode鎖定正常的計算機啟動過程，直到用戶選擇提供一個個人密碼（PIN）或插入一個包含Bitlocker啟動密鑰的USB驅動器才能夠繼續(xù)進行加密的磁盤必須位于原來的計算機TPM模式執(zhí)行系統(tǒng)引導組件的完整性驗證

如果其中的任何組件發(fā)生了改變，驅動器將被鎖定，系統(tǒng)將阻止對其的訪問和解密嘗試Non-TPMmode使用組策略來允許Bitlocker在沒有TPM時工作和TPM模式鎖定啟動的過程相似，但是Bitlocker的啟動密鑰存儲在USB驅動器上

計算機的BIOS必須要能夠從USB引導

提供有限的認證功能無法在此模式下執(zhí)行系統(tǒng)組件的完整性檢查BitLocker模式Windows7支持兩種Bitlo13移動數(shù)據(jù)存儲的設置組策略提供了如下的Bitlocker方面的設置將Bitlocker的備份轉向ADDS服務在控制面板上配置恢復文件夾啟動控制面板的高級設置配置加密方法防止重啟動時的內存溢出配置用于存儲Bitlocker密鑰的方式Bitlocker的組策略設定固定的數(shù)據(jù)驅動器的設定Bitlocker驅動器加密的本地組策略設置系統(tǒng)驅動器的設置移動數(shù)據(jù)存儲的設置組策略提供了如下的Bitlocker方面的14激活一個計算機啟動向導來激活Bitlocker引導功能：

驗證系統(tǒng)要求如果不存在第二分區(qū)就進行創(chuàng)建的操作配置允許使用怎樣的方式訪問Bitlocker加密的驅動器：

USB

UserfunctionkeystoenterthePassphrase

Nokey三種方式來激活BitLocker:

FromSystemandSettingsinControlPanel

Right-clickthevolumetobeencryptedinWindowsExplorerandselecttheTurnonBitLockermenuoptionUsethecommand-linetooltitledmanage-bde.wsf通過Windows資源管理器啟動Bitlocker通過控制面板啟動Bitlocker配置BitLocker激活一個計算機啟動向導來激活Bitlocker引導功能：

三15管理一個由BitlockertoGo加密的驅動器選擇如何存儲你的恢復密鑰管理一個由BitlockertoGo加密的驅動器通過在USB驅動器上右鍵點擊該驅動器激活便攜設備的BitlockertoGo功能選擇以下的設置之一解鎖由BitlockertoGo加密的驅動器:使用密碼或還原密碼解鎖使用智能卡解鎖總是自動解鎖在此計算機上的這個設備配置BitLockerToGo選擇如何解鎖驅動器——通過密碼還是通過智能卡驅動器加密管理一個由BitlockertoGo加密的驅動器選擇如何16解鎖Bitlocker鎖定的驅動器當激活了Bitlocker加密的計算機啟動時：

BitLocker檢查操作系統(tǒng)的安全狀況

如果發(fā)現(xiàn)了情況的變化：

BitLocker進入恢復模式，保持系統(tǒng)驅動器的鎖定

用戶必須輸入正確的恢復密碼才能夠繼續(xù)Bitlocker的恢復密碼是：在恢復模式下一個48位的用于解鎖系統(tǒng)的數(shù)字密碼每個密碼針對一個專有的Bitlocker加密可存儲在活動目錄中如果存儲在活動目錄中，可以通過使用驅動器標簽或是計算機的密碼進行搜索解鎖Bitlocker鎖定的驅動器當激活了Bitlocker17配置應用程序限制什么是ApplockerApplocker規(guī)則什么是軟件限制策略配置應用程序限制什么是Applocker18什么是Applocker？AppLocker的優(yōu)點控制用戶如何訪問和運行所有類型的應用程序

確保用戶僅能運行經(jīng)過批準的，許可的軟件Applocker是Windows7的一個全新的安全功能，它能夠使得IT認識指定究竟什么東西能夠在用戶的桌面上運行什么是Applocker？AppLocker的優(yōu)點Applo19Applocker規(guī)則Applocker的默認規(guī)則是：所有用戶都能夠默認運行ProgramFiles目錄中的文件所有用戶都能夠運行Windows操作系統(tǒng)簽署的所有文件Administrators組的成員能夠運行所有的文件在創(chuàng)建后續(xù)規(guī)則前創(chuàng)建默認的Applocker規(guī)則，然后手動創(chuàng)建新的規(guī)則或者為某個特定文件夾自動生成規(guī)則創(chuàng)建自定義規(guī)則在本地安全策略中通過使用Applocker向導創(chuàng)建規(guī)則ü您可以配置可執(zhí)行規(guī)則，Windows安裝程序規(guī)則，腳本規(guī)則ü您可以指定一個文件夾，將規(guī)則應用于其中的包含.exe的所有應用程序ü您可以為.exe文件創(chuàng)建規(guī)則例外ü您可以創(chuàng)建一個基于應用程序的數(shù)字簽名的規(guī)則ü您可以手動創(chuàng)建一個自定義規(guī)則給特定的可執(zhí)行文件üApplocker規(guī)則Applocker的默認規(guī)則是：所有用20什么是軟件限制策略Applocker在功能上取代了之前版本的SRPüSRP管理單元和SRP規(guī)則在Windows7中是兼容的üApplocker的規(guī)則和SRP的規(guī)則是完全分開的üApplocker的組策略和SRP的組策略是完全分開的ü如果在GPO中已經(jīng)有Applocker定義了規(guī)則，則只有這些規(guī)則適用ü最好將SRP的定義和Applocker的定義放在不同的GPO中以便功能的互操作性ü軟件限制策略(SRP)允許管理員確定哪些程序可以運行

SRPwasaddedinWindowsXPandWindowsServer2003SRP的設計目的是幫助企業(yè)有效控制惡意代碼和未知代碼-無論是惡意的還是其他的SRP由一個默認的安全級別和所有應用于此組策略對象（GPO）的所有規(guī)則組成HowdoesSRPcomparetoWindowsAppLocker?SRP和Applocker對比什么是軟件限制策略Applocker在功能上取代了之前版本的21配置用戶賬戶控制什么是UACUAC怎樣工作的配置UAC提醒設置配置用戶賬戶控制什么是UAC22什么是UAC？用戶賬戶控制（UAC）是將現(xiàn)有的運行Windows的用戶在運行一般任務的時候作為標準用戶身份運行的安全功能

如果運行某個任務需要管理員權限時，UAC會提示用戶適用一個管理員賬戶的憑據(jù)Windows7增加了用戶能夠進行配置的UAC項目什么是UAC？用戶賬戶控制（UAC）是將現(xiàn)有的運行Windo23UAC是如何工作的？在Windows7中，當用戶執(zhí)行一個需要管理員權限才能運行的任務的時候會發(fā)生什么呢？管理員用戶UAC將會提示用戶確定本次任務的運行標準用戶

UAC將會提示具有管理員權限的用戶憑據(jù)UAC是如何工作的？在Windows7中，當用戶執(zhí)行一個需24配置UAC提醒設置UAC提升的過程的提示設置包含如下的內容:

Alwaysnotifyme

Notifymeonlywhenprogramstrytomakechangestomycomputer

Notifymeonlywhenprogramstrytomakechangestomycomputer(donotdimmydesktop)

Nevernotify

配置UAC提醒設置UAC提升的過程的提示設置包含如下的內容25配置Windows防火墻配置基本防火墻設置Windows高級防火墻設置應用程序常用的端口配置Windows防火墻配置基本防火墻設置26配置網(wǎng)絡位置打開或關閉Windows防火墻以及自定義網(wǎng)絡位置設置添加，更改或刪除允許的程序設置或修改多個配置文件的設置配置Windows防火墻的通知配置Windows防火墻的基本設置配置網(wǎng)絡位置打開或關閉Windows防火墻以及自定義網(wǎng)絡位置27Windows高級防火墻設置WindowsFirewallwithAdvancedSecurityfiltersincomingandoutgoingconnectionsbasedonitsconfiguration入站規(guī)則明確允許或拒絕基于該端口的信息流通出站規(guī)則明確允許或拒絕基于該端口的信息流通連接安全規(guī)則適用于使用IPSec加密網(wǎng)絡通信監(jiān)測界面顯示關于當前防火墻規(guī)則的詳細信息，連接安全規(guī)則信息以及安全關聯(lián)的相關信息屬性頁用戶配置域、私人、公共網(wǎng)絡的配置文件屬性和IPSec的配置Windows高級防火墻設置WindowsFirewall28應用程序常用的端口當一個應用程序想與遠程的另一個應用程序或主機建立通訊時，它會創(chuàng)建一個TCP或UDP的端口TCP/IP協(xié)議簇TCPUDPEthernetHTTPFTPSMTPDNSPOP3SNMPIPv6IPv4ARPIGMP

ICMPHTTPS應用程序常用的端口當一個應用程序想與遠程的另一個應用程序或主29配置IE8的安全設置IE8中增強的隱私保護功能IE8中的SmartScreen功能IE8中的其他安全功能配置IE8的安全設置IE8中增強的隱私保護功能30IE8中增強的隱私保護功能InPrivate瀏覽

–默認的刪除所有的瀏覽的歷史記錄并且不會有日志和相關的追蹤在瀏覽時運行üInPrivate過濾

–幫助監(jiān)控用戶訪問第三方網(wǎng)站內容的頻率ü增強的瀏覽器歷史記錄刪除-使用戶和組織能夠有選擇性的刪除瀏覽器歷史üIE8中增強的隱私保護功能InPrivate瀏覽–默31IE8中的SmartScreen功能使用此鏈接導航遠離不安全的網(wǎng)站，并開始從一個受信任的位置瀏覽使用此鏈接無視警告，在地址欄仍然是一個紅色的持續(xù)警告，標示該網(wǎng)站不安全IE8中的SmartScreen功能使用此鏈接導航遠離不安32配置WindowsDefender什么是惡意軟件什么是WindowsDefenderWindowsDefender掃描選項配置WindowsDefender什么是惡意軟件33什么是惡意軟件惡意軟件包括：Viruses病毒W(wǎng)orms蠕蟲Trojanhorses特洛伊木馬Spyware間諜軟件Adware廣告軟件惡意軟件導致：PoorperformanceLossofdataCompromiseofprivateinformation私人信息Reductioninenduserefficiency效率下降Unapprovedcomputerconfigurationchanges惡意軟件是專門用來設計對計算機產(chǎn)生損害的一種軟件什么是惡意軟件惡意軟件包括：Viruses病毒惡意軟件導致34什么是WindowsDefender？WindowsDefender是一款可以幫助防止安全威脅并檢測和刪除計算機中已知的安全威脅的一款軟件定期執(zhí)行計劃的掃描提供不同級別的配置選項，高，中，低的級別配置提供可定制的選項來進行掃描的排除使用Windows自動更新來安裝新的間諜軟件定義什么是WindowsDefender？WindowsDe35WindowsDefender中的掃描選項YoudefinewhentoscanYoudefinewhattoscanOptionDescription掃描存檔文件Mayincreasescanningtime,butspywarelikestohideintheselocationsScane-mailScane-mailmessagesandattachments掃描可移動驅動器ScanremovabledrivessuchasUSBflashdrives使用啟發(fā)式掃描Alertyoutopotentiallyharmfulbehaviorifitisnotincludedinadefinitionfile創(chuàng)建一個還原點Ifdetecteditemsareautomaticallyremoved,thisrestoressystemsettingsifyouwanttousesoftwareyoudidnotintendtoremoveScanTypeDescriptionQuickscanScantheareasofthecomputerthatismostlikelytoinfectbeinfectedFullscanScanallareasofthecomputerCustomscanScanspecificareasofthecomputeronly當掃描完成后，結果將顯示在首頁WindowsDefender中的掃描選項Youdefi36課外知識了解：Windows安全軟件客戶端安全SCEForefront定期包服務器安全Forefront定期包課外知識了解：Windows安全軟件客戶端安全服務器安全37下一節(jié)：Win7計算機的優(yōu)化和維護下一節(jié)：38、書籍是全世界的營養(yǎng)品。生活里沒有書籍，就好像沒有陽光；智慧里沒有書籍，就好像鳥兒沒有翅膀莎士比亞

2、書籍使人變得思想奔放。革拉特珂夫

3、書籍是造就靈魂的工具雨果

4、經(jīng)驗豐富的人讀書用兩只眼睛，一只眼睛看到紙面上的話，另一只眼睛看到紙的背面。歌德

5、我撲在書籍上，就好像饑餓的人撲在面包上。高爾基

6、書籍是巨大的力量。列寧

7、書人類發(fā)出的最美妙的聲音。萊文

8、生活在我們這個世界里，不讀書就完全不可能了解人。高爾基

9、黑發(fā)不知勤學早，白首方悔讀書遲。顏真卿

10、書是良藥，善讀之可以醫(yī)愚。劉向

11、讀書破萬卷，下筆如有神。杜甫

12、在你渴望時，它前來給予詳細指教，但是從不糾纏不休。比切

13、書籍是少年的食物，它使老年人快樂，也是繁榮的裝飾和危難的避難所，慰人心靈。在家庭成為快樂的種子，在外也不致成為障礙物，但在旅行之際，卻是夜間的伴侶西塞羅

14、過去一切時代的精華盡在書中?？ㄈR爾

15、書籍并不是沒有生命的東西，它包藏著一種生命的潛力，與作者同樣地活躍。不僅如此，它還像一個寶瓶，把作者生機勃勃的智慧中最純凈的精華保存起來彌爾頓

16、每一本書都是一個用黑字印在白紙上的靈魂，只要我的眼睛、我的理智接觸了它，它就活起來了。高爾基

17、讀一本好書，就是和許多高尚的人談話。笛卡爾

18、讀書之于頭腦，好比運動之于身體。愛迪生

19、書籍乃世人積累智慧之長明燈寇第斯

20、光陰給我們經(jīng)驗，讀書給我們知識。奧斯特洛夫斯基

21、讀書有三到，謂心到，眼到，口到。朱熹

22、書籍是青年人不可分離的生命伴侶和導師。高爾基

23、和書籍生活在一起，永遠不會嘆氣。羅曼羅蘭

24、書籍是最好的朋友。當生活中遇到任何困難的時候，你都可以向它求助，它永遠不會背棄你都德

25、書籍通過心靈觀察世界的窗口。住宅里沒有書，猶如房間沒有窗戶。威爾遜

26、讀一本好書，象交了一個益友。臧克家

27、讀萬卷書，行萬里路。劉彝

15)時間一天天過去，有時覺得它漫長難熬，有時卻又感到那么短促;有時愉快幸福，有時又悲傷惆悵。一天與一天不同，一日和一日有別，仿佛一晝夜之間也有春夏秋冬之分。;;阿;巴巴耶娃16)世界上最快而又最慢，最長而又最短，最平凡而又最珍貴，最容易被人忽視，而又最令人后悔的就是時間。;;高爾基17)在人類生活中，時間剎那而過，它的本體是處于一個流動狀態(tài)中，知覺是昏鈍的，整個肉體的構成是易腐朽的，靈魂是一個疾轉之物，運氣是很難預料的，名望是缺乏見識的東西。;;馬爾庫;奧勒留18)時間就是金錢，而且對用它來計算利益的人來說，是一筆巨大的金額。;;狄更斯19)時間會刺破青春表面的彩飾，會在美人的額上掘深溝淺槽;會吃掉稀世之珍!天生麗質，什么都逃不過他那橫掃的鐮刀。;;莎士比亞20)浪費別人的時間等于是謀財害命，浪費自己的時間等于是慢性自殺。;;列寧關于描寫時間的名人名言1)時間是衡量事業(yè)的標準。;;培根2)生命是短促的，然而盡管如此，人們還是有時間講究禮儀。;;愛獻生3)歷史孕育了真理，它能和時間抗衡，把遺聞舊事保藏下來。它是往昔的跡象，當代的鑒戒，后世的教訓。;;塞萬提斯4)時間是由分秒積成的，善于利用零星時間的人，才會做出更大的成績來。;;華羅庚5)時間是人類發(fā)展的空間。;;馬克思6)在無限的時間的河流里，人生僅僅是微小又微小的波浪。;;郭小川7)重復言說多半是一種時間上的損失。;;培根8)開誠布公與否和友情的深淺，不應該用時間的長短來衡量。;;巴爾扎克9)真正的敏捷是一件很有價值的事。因為時間是衡量事業(yè)的標準，如金錢是衡量貨物的標準。;;弗;培根10)正當利用時間!你要理解什么，不要舍近求遠。;;歌德11)人的全部本領無非是耐心和時間的混合物。;;巴爾扎克12)生命的長短以時間來計算，生命的價值以貢獻來計算。;;裴多菲13)敢于浪費哪怕一個鐘頭時間的人，說明他還不懂得珍惜生命的全部價值。;;達爾文14)有了朋友，生命才顯出它全部的價值;一個人活著是為了朋友;保持自己生命的完整，不受時間侵蝕，也是為了朋友。友誼要像愛情一樣才溫暖人心，愛情要像友誼一樣才牢不可破。;;穆爾;約翰15)從不浪費時間的人，沒有工夫抱怨時間不夠。;;杰弗遜16)不善于利用時間的人，總是首先抱怨沒有時間，因為他把時間都耗費在穿吃睡和聊天上，去考慮該做什么，而只是什么也不去做。;;拉布呂耶爾17)時間給勤勞者留下串串的果實，而給懶漢只留下一頭白發(fā)和空空的雙手。;;高爾基18)在時間的大鐘上，只有兩個字;;現(xiàn)在。;;莎士比亞19)好事總是需要時間，不付出大量的心血和勞動是做不成大事的。想吃核桃，就是得首先咬開堅硬的果殼。;;格里美爾斯豪森20)合理安排時間，就等于節(jié)約時間。──培根描寫時間的名人名言推薦1)不管饕餮的時間怎樣吞噬著一切，我們要在這一息尚存的時候，努力博取我們的聲譽，使時間的鐮刀不能傷害我們。;;莎士比亞2)少壯不努力