6292課程：安裝和配置Windows7第六講：加固Win7桌面安全課程概覽Windows7安全管理概述使用本地組策略加固Win7客戶端安全使用EFS和Bitlocker加密數(shù)據(jù)配置應(yīng)用程序限制配置用戶賬戶控制（UAC）配置WindowsFirewall配置IE8的安全設(shè)置配置WindowsDefenderWindows7安全管理概述Windows7中的安全功能什么是操作中心？Windows7中的安全功能EncryptingFileSystem(EFS)üWindowsBitLocker?andBitLockerToGo?üWindowsAppLocker?üUserAccountControlüWindowsFirewallwithAdvancedSecurityüWindowsDefender?üWindows7操作中心ü什么是Windows操作中心？選擇您需要檢查的用戶警報(bào)項(xiàng)目操作中心是一個(gè)您可以在此查看有關(guān)系統(tǒng)信息和診斷解決有關(guān)系統(tǒng)問題的中心點(diǎn)和問題的集中處理中心使用本地組策略加固Win7安全什么是組策略組策略對(duì)象是如何應(yīng)用的多個(gè)本地組策略如何協(xié)同工作什么是組策略？組策略使得IT管理員能夠執(zhí)行自動(dòng)化的一到多的用戶和計(jì)算機(jī)的管理任務(wù)使用組策略執(zhí)行如下任務(wù)：應(yīng)用標(biāo)準(zhǔn)配置部署軟件強(qiáng)制安全設(shè)置執(zhí)行一個(gè)一致的桌面環(huán)境本地組策略使用在本地應(yīng)用，即在本地運(yùn)行的本地用戶和域用戶以及本地計(jì)算機(jī)產(chǎn)生影響組策略對(duì)象如何應(yīng)用？組策略對(duì)象分為計(jì)算機(jī)對(duì)象和用戶對(duì)象，他們都是間隔固定的時(shí)間進(jìn)行應(yīng)用，計(jì)算機(jī)對(duì)象在啟動(dòng)時(shí)應(yīng)用，用戶對(duì)象在登錄時(shí)應(yīng)用。組策略處理流程：1.LocalGPOs2.Site-levelGPOs3.DomainGPOs4.OUGPOs使用EFS和Bitlocker加密數(shù)據(jù)什么是EFS？什么是Bitlocker？Bitlocker需求Bitlocker模式Bitlocker組策略選項(xiàng)配置Bitlocker配置BitlockertoGo解密Bitlocker鎖定的驅(qū)動(dòng)器WhatIsEFS?加密文件系統(tǒng)（EFS）是Windows文件系統(tǒng)內(nèi)置的文件級(jí)別的加密工具透明的文件的加密和解密的方式需要適當(dāng)?shù)募用苊荑€（對(duì)稱的）來讀取加密數(shù)據(jù)每個(gè)用戶必有一個(gè)公鑰和私鑰對(duì)，用于保護(hù)對(duì)稱密鑰用戶的公鑰和私鑰:可以是自我產(chǎn)生的也可以是從證書頒發(fā)機(jī)構(gòu)頒發(fā)的是使用用戶的密碼進(jìn)行保護(hù)的允許其他用戶的證書訪問加密的文件支持在智能卡上存儲(chǔ)私鑰ü加密文件系統(tǒng)密鑰更新向?qū)Ж剐翬FS組策略設(shè)置ü支持系統(tǒng)頁面的加密ü支持AIS256位加密üWindows7中的EFS新功能支持每個(gè)用戶的脫機(jī)文件加密ü什么是BitLocker?WindowsBitlocker驅(qū)動(dòng)器加密位于計(jì)算機(jī)操作系統(tǒng)中的操作系統(tǒng)卷和數(shù)據(jù)卷的中的數(shù)據(jù)ü提供離線數(shù)據(jù)保護(hù)ü保護(hù)安裝在加密卷上的所有其他應(yīng)用程序ü包括系統(tǒng)的完整性驗(yàn)證ü驗(yàn)證計(jì)算機(jī)啟動(dòng)早期的組件的完整性和啟動(dòng)配置文件的完整性ü保證了啟動(dòng)過程的完整性üBitLocker需求加密和解密密鑰：硬件需求：BitLocker需要下列條件之一:有可信賴平臺(tái)模塊（TPM）V1.2版本或以上的計(jì)算機(jī)（硬件）一個(gè)可移動(dòng)的USB存儲(chǔ)設(shè)備有足夠的空間使得Bitlocker能創(chuàng)建兩個(gè)分區(qū)有一個(gè)兼容TPM模塊的BIOS和支持USB引導(dǎo)啟動(dòng)模式的BIOSBitLocker模式Windows7支持兩種Bitlocker的操作模式：TPMmodeNon-TPMmodeTPMmode鎖定正常的計(jì)算機(jī)啟動(dòng)過程，直到用戶選擇提供一個(gè)個(gè)人密碼（PIN）或插入一個(gè)包含Bitlocker啟動(dòng)密鑰的USB驅(qū)動(dòng)器才能夠繼續(xù)進(jìn)行加密的磁盤必須位于原來的計(jì)算機(jī)TPM模式執(zhí)行系統(tǒng)引導(dǎo)組件的完整性驗(yàn)證

如果其中的任何組件發(fā)生了改變，驅(qū)動(dòng)器將被鎖定，系統(tǒng)將阻止對(duì)其的訪問和解密嘗試Non-TPMmode使用組策略來允許Bitlocker在沒有TPM時(shí)工作和TPM模式鎖定啟動(dòng)的過程相似，但是Bitlocker的啟動(dòng)密鑰存儲(chǔ)在USB驅(qū)動(dòng)器上

計(jì)算機(jī)的BIOS必須要能夠從USB引導(dǎo)

提供有限的認(rèn)證功能無法在此模式下執(zhí)行系統(tǒng)組件的完整性檢查移動(dòng)數(shù)據(jù)存儲(chǔ)的設(shè)置組策略提供了如下的Bitlocker方面的設(shè)置將Bitlocker的備份轉(zhuǎn)向ADDS服務(wù)在控制面板上配置恢復(fù)文件夾啟動(dòng)控制面板的高級(jí)設(shè)置配置加密方法防止重啟動(dòng)時(shí)的內(nèi)存溢出配置用于存儲(chǔ)Bitlocker密鑰的方式Bitlocker的組策略設(shè)定固定的數(shù)據(jù)驅(qū)動(dòng)器的設(shè)定Bitlocker驅(qū)動(dòng)器加密的本地組策略設(shè)置系統(tǒng)驅(qū)動(dòng)器的設(shè)置激活一個(gè)計(jì)算機(jī)啟動(dòng)向?qū)砑せ頑itlocker引導(dǎo)功能：

驗(yàn)證系統(tǒng)要求如果不存在第二分區(qū)就進(jìn)行創(chuàng)建的操作配置允許使用怎樣的方式訪問Bitlocker加密的驅(qū)動(dòng)器：

USB

UserfunctionkeystoenterthePassphrase

Nokey三種方式來激活BitLocker:

FromSystemandSettingsinControlPanel

Right-clickthevolumetobeencryptedinWindowsExplorerandselecttheTurnonBitLockermenuoptionUsethecommand-linetooltitledmanage-bde.wsf通過Windows資源管理器啟動(dòng)Bitlocker通過控制面板啟動(dòng)Bitlocker配置BitLocker管理一個(gè)由BitlockertoGo加密的驅(qū)動(dòng)器選擇如何存儲(chǔ)你的恢復(fù)密鑰管理一個(gè)由BitlockertoGo加密的驅(qū)動(dòng)器通過在USB驅(qū)動(dòng)器上右鍵點(diǎn)擊該驅(qū)動(dòng)器激活便攜設(shè)備的BitlockertoGo功能選擇以下的設(shè)置之一解鎖由BitlockertoGo加密的驅(qū)動(dòng)器:使用密碼或還原密碼解鎖使用智能卡解鎖總是自動(dòng)解鎖在此計(jì)算機(jī)上的這個(gè)設(shè)備配置BitLockerToGo選擇如何解鎖驅(qū)動(dòng)器——通過密碼還是通過智能卡驅(qū)動(dòng)器加密解鎖Bitlocker鎖定的驅(qū)動(dòng)器當(dāng)激活了Bitlocker加密的計(jì)算機(jī)啟動(dòng)時(shí)：

BitLocker檢查操作系統(tǒng)的安全狀況

如果發(fā)現(xiàn)了情況的變化：

BitLocker進(jìn)入恢復(fù)模式，保持系統(tǒng)驅(qū)動(dòng)器的鎖定

用戶必須輸入正確的恢復(fù)密碼才能夠繼續(xù)Bitlocker的恢復(fù)密碼是：在恢復(fù)模式下一個(gè)48位的用于解鎖系統(tǒng)的數(shù)字密碼每個(gè)密碼針對(duì)一個(gè)專有的Bitlocker加密可存儲(chǔ)在活動(dòng)目錄中如果存儲(chǔ)在活動(dòng)目錄中，可以通過使用驅(qū)動(dòng)器標(biāo)簽或是計(jì)算機(jī)的密碼進(jìn)行搜索配置應(yīng)用程序限制什么是ApplockerApplocker規(guī)則什么是軟件限制策略什么是Applocker？AppLocker的優(yōu)點(diǎn)控制用戶如何訪問和運(yùn)行所有類型的應(yīng)用程序

確保用戶僅能運(yùn)行經(jīng)過批準(zhǔn)的，許可的軟件Applocker是Windows7的一個(gè)全新的安全功能，它能夠使得IT認(rèn)識(shí)指定究竟什么東西能夠在用戶的桌面上運(yùn)行Applocker規(guī)則Applocker的默認(rèn)規(guī)則是：所有用戶都能夠默認(rèn)運(yùn)行ProgramFiles目錄中的文件所有用戶都能夠運(yùn)行Windows操作系統(tǒng)簽署的所有文件Administrators組的成員能夠運(yùn)行所有的文件在創(chuàng)建后續(xù)規(guī)則前創(chuàng)建默認(rèn)的Applocker規(guī)則，然后手動(dòng)創(chuàng)建新的規(guī)則或者為某個(gè)特定文件夾自動(dòng)生成規(guī)則創(chuàng)建自定義規(guī)則在本地安全策略中通過使用Applocker向?qū)?chuàng)建規(guī)則ü您可以配置可執(zhí)行規(guī)則，Windows安裝程序規(guī)則，腳本規(guī)則ü您可以指定一個(gè)文件夾，將規(guī)則應(yīng)用于其中的包含.exe的所有應(yīng)用程序ü您可以為.exe文件創(chuàng)建規(guī)則例外ü您可以創(chuàng)建一個(gè)基于應(yīng)用程序的數(shù)字簽名的規(guī)則ü您可以手動(dòng)創(chuàng)建一個(gè)自定義規(guī)則給特定的可執(zhí)行文件ü什么是涌軟件限舟制策略Applocker在功能上取代了之前版本的SRPüSRP管理單元和SRP規(guī)則在Windows7中是兼容的üApplocker的規(guī)則和SRP的規(guī)則是完全分開的üApplocker的組策略和SRP的組策略是完全分開的ü如果在GPO中已經(jīng)有Applocker定義了規(guī)則，則只有這些規(guī)則適用ü最好將SRP的定義和Applocker的定義放在不同的GPO中以便功能的互操作性ü軟件限制策略(SRP)允許管理員確定哪些程序可以運(yùn)行

SRPwasaddedinWindowsXPandWindowsServer2003SRP的設(shè)計(jì)目的是幫助企業(yè)有效控制惡意代碼和未知代碼-無論是惡意的還是其他的SRP由一個(gè)默認(rèn)的安全級(jí)別和所有應(yīng)用于此組策略對(duì)象（GPO）的所有規(guī)則組成HowdoesSRPcomparetoWindowsAppLocker?SRP和Appl拋ocke限r(nóng)對(duì)比配置用樹戶賬戶考控制什么是UACUAC怎樣工在作的配置UAC提醒設(shè)療置什么是UAC？用戶賬戶加控制（UAC）是將殘現(xiàn)有的侵運(yùn)行Wind超ows的用戶在雅運(yùn)行一般飼任務(wù)的時(shí)染候作為標(biāo)料準(zhǔn)用戶身糊份運(yùn)行的波安全功能如果運(yùn)行圖某個(gè)任務(wù)面需要管理更員權(quán)限時(shí)范，UAC會(huì)提示翻用戶適測(cè)用一個(gè)芽管理員擋賬戶的簡(jiǎn)憑據(jù)Win捉dow斑s7增加了用淹戶能夠進(jìn)乞行配置的UAC項(xiàng)目UAC是如何工辣作的？在Win擋dow界s7中，當(dāng)燈用戶執(zhí)答行一個(gè)喚需要管昨理員權(quán)川限才能童運(yùn)行的站任務(wù)的累時(shí)候會(huì)鳳發(fā)生什鉆么呢？管理員用戶UAC將會(huì)提示用戶確定本次任務(wù)的運(yùn)行標(biāo)準(zhǔn)用戶

UAC將會(huì)提示具有管理員權(quán)限的用戶憑據(jù)配置UAC提醒設(shè)置UAC提升的過程的提示設(shè)置包含如下的內(nèi)容:

Alwaysnotifyme

Notifymeonlywhenprogramstrytomakechangestomycomputer

Notifymeonlywhenprogramstrytomakechangestomycomputer(donotdimmydesktop)

Nevernotify

配置Win旺dow撞s防火墻配置基閱本防火燥墻設(shè)置Win度dow櫻s高級(jí)防火粥墻設(shè)置應(yīng)用程序常浮用的端口配置網(wǎng)晉絡(luò)位置打開或關(guān)閉Wind伴ows防火墻線以及自篇定義網(wǎng)織絡(luò)位置免設(shè)置添加，超更改或絲式刪除允屋許的程覺序設(shè)置或碑修改多邊個(gè)配置卸文件的慚設(shè)置配置Wind拉ows防火墻占的通知配置Win寬dow女s防火墻的肝基本設(shè)置Wind未ows高級(jí)防火氣墻設(shè)置Wind閑ows堅(jiān)Fire稿wall盞wit驗(yàn)hAd向vanc錄edS小ecur漲ity廢filt風(fēng)ers廁inco姑ming竟and尊out圖goin彈gco京nnec玻tion珍sba拆sed事oni屬tsc拼onfi偉gura炮tion入站規(guī)務(wù)則明確吊允許或旋拒絕基榨于該端城口的信招息流通出站規(guī)則副明確允許竿或拒絕基繭于該端口憤的信息流湊通連接安失全規(guī)則傳適用于反使用IP地Sec加密網(wǎng)沖絡(luò)通信監(jiān)測(cè)界策面顯示修關(guān)于當(dāng)落前防火算墻規(guī)則愈的詳細(xì)蹈信息，憑連接安蘋全規(guī)則漆信息以曉及安全型關(guān)聯(lián)的覺相關(guān)信傳息屬性頁用戶翠配置域禽、私人睬、公共貨網(wǎng)絡(luò)的壘配置文僻件屬性襖和IPS噸ec的配置應(yīng)用程塑序常用侵的端口當(dāng)一個(gè)志應(yīng)用程樸序想與戶遠(yuǎn)程的厘另一個(gè)其應(yīng)用程陷序或主旗機(jī)建立憐通訊時(shí)蓬，它會(huì)漿創(chuàng)建一判個(gè)TCP或UDP的端口TCP/IP協(xié)議簇TCPUDPEthernetHTTPFTPSMTPDNSPOP3SNMPIPv6IPv4ARPIGMP

ICMPHTTPS配置IE8的安全飛設(shè)置IE撿8中增強(qiáng)士的隱私疲保護(hù)功告能IE捉8中的Sma宴rtS疑cre隸en功能IE8中的其披他安全溫功能IE8中增強(qiáng)軌的隱私奏保護(hù)功除能InPrivate瀏覽

–默認(rèn)的刪除所有的瀏覽的歷史記錄并且不會(huì)有日志和相關(guān)的追蹤在瀏覽時(shí)運(yùn)行üInPrivate過濾

–幫助監(jiān)控用戶訪問第三方網(wǎng)站內(nèi)容的頻率ü增強(qiáng)的瀏覽器歷史記錄刪除-使用戶和組織能夠有選擇性的刪除瀏覽器歷史üIE8中的Smar育tScr饒een功能使用此鏈接導(dǎo)航遠(yuǎn)離不安全的網(wǎng)站，并開始從一個(gè)受信任的位置瀏覽使用此鏈接無視警告，在地址欄仍然是一個(gè)紅色的持續(xù)警告，標(biāo)示該網(wǎng)站不安全配置Wind廚ows處Defe復(fù)nder什么是共惡意軟豎件什么是Wind筑ows晃Defe令nderWind萬ows諷Defe妹nder掃描選是項(xiàng)什么是貨惡意軟壺件惡意軟件包括：Viruses病毒W(wǎng)orms蠕蟲Trojanhorses特洛伊木馬Spyware間諜軟件Adware廣告軟件惡意軟件導(dǎo)致：PoorperformanceLossofdataCompromiseofprivateinformation私人信息Reductioninenduserefficiency效率下降Unapprovedcomputerconfigurationchanges惡意軟件施是專門用訪來設(shè)計(jì)對(duì)旗計(jì)算機(jī)產(chǎn)朋生損害的雙一種軟件什么是Win庫dow洲sD殺efe盜nde秤r？Wind方ows傾Defe膠nder是一款可巷以幫助防搖止安全威痛脅并檢測(cè)紛和刪除計(jì)效算機(jī)中已爽知的安全親威脅的一矛款軟件定期執(zhí)行計(jì)劃的掃描提供不同級(jí)別的配置選項(xiàng)，高，中，低的級(jí)別配置提供可定制的選項(xiàng)來進(jìn)行掃描的排除使用Windows自動(dòng)更新來安裝新的間諜軟件定義Win脊dow址sD懸efe亂nde拖r中的掃果描選項(xiàng)You女de望fin杏ew蓮hen能to投sc透anYou臟defi視new澇hat窄tos幟canOptionDescription掃描存檔文件Mayincreasescanningtime,butspywarelikestohideintheselocationsScane-mailScane-mailmessagesandattachments掃描可移動(dòng)驅(qū)動(dòng)器ScanremovabledrivessuchasUSBflashdrives使用啟發(fā)式掃描Alertyoutopotentiallyharmfulbehaviorifitisnotincludedinadefinitionfile創(chuàng)建一個(gè)還原點(diǎn)Ifdetecteditemsareautomaticallyremoved,thisrestoressystemsettingsifyouwanttousesoftwareyoudidnotintendtoremoveScanTypeDescriptionQuickscanScantheareasofthecomputerthatismostlikelytoinfectbeinfectedFullscanScanallareasofthecomputerCustomscanScanspecificareasofthecomputeronly當(dāng)掃描完糾成后，結(jié)尊果將顯示色在首頁課外知鑒識(shí)了解撐：Win單dow樸s安全軟件客戶端丙安全SCEFore娘fron匹t定期包服務(wù)器安專全For伐efr粱ont定期包下一節(jié)擾：Win濫7計(jì)算機(jī)的瘦優(yōu)化和維珠護(hù)9、靜夜四嘴無鄰，荒汗居舊業(yè)貧襖。。4月-2褲34月-逝23Frid吹ay,躲Apri莖l28振,20樣2310、雨中黃蔽葉樹，燈帶下白頭人襖。。05:暖33:固2405:3揪3:2405:禮334/2蔽8/2奶023薄5:野33:枯24克AM11、以我獨(dú)機(jī)沈久，愧控君相見頻晌。。4月-蔽2305:3涼3:2405:3絲式3Apr習(xí)-2328-舌Apr極-2312、故人江半海別，幾光度隔山川莫。。05:3織3:2405:弱33:歸2405:肌33Frid鼠ay,掩Apri抗l28徹,20毛2313、乍見翻抄疑夢(mèng)，相杰悲各問年輪。。4月-2洪34月-千2305:促33:雖2405:魯33:頓24Apr悶il景28,挑20蔽2314、他鄉(xiāng)耐生白發(fā)辣，舊國俯見青山斬。。28簽四月論202堪35:33徹:24收上午05:3容3:244月-鋒2315、比不族了得就豪不比，座得不到脆的就不牢要。。。四月辮235:3柔3上侄午4月-讀2305:3微3Apri絹l28蠶,20臨2316、行動(dòng)狐出成果闖，工作欲出財(cái)富涂。。202灘3/4腸/28宴5:好33:鋸2405:忍33:愿2428A竟pril本202航317、做前紹，能夠捏環(huán)視四毯周；做見時(shí)，你傾只能或毅者最好岸沿著以和腳為起逆點(diǎn)的射惠線向前受。。5:3叫3:2睜4上誕午5:3百3上構(gòu)午05:3穴3:244月-2妻39、沒有失域敗，只有厘暫時(shí)停止芹成功！。4月-女234月-2杜3Fri撓day籌,A跑pri爛l2榆8,吊202杯310、很多事偷情努力了紡未必有結(jié)翼果，但是天不努力卻事什么改變思也沒有。桃。05:3料3:2405:3集3:2405:廁334/2煎8/2淚023予5:嶺33:剖24將AM11、成功就音是日復(fù)一止日那一點(diǎn)汪點(diǎn)小小努錄力的積累蛙。。4月-2顧305:肌33:李2405:恨33Apr-警2328-A火pr-2恥312、世間成醉事，不求豬其絕對(duì)圓璃滿，留一治份不足，鉆可得無限旁完美。。05:偽33:忌2405:3路3:2405:3宿3Frid亂ay,且Apri繡l28趟,20蛙2313、不知香鈴積寺，數(shù)嗓里入云峰弱。。4月-2備34月-稈2305:3勾3:2405:3防3:24Apr捉il念28,誦20秧2314、意志買堅(jiān)強(qiáng)的鮮人能把簡(jiǎn)世界放倒在手中新像泥塊狂一樣任壞意揉捏櫻。28塞四月負(fù)202列35:33餡:24掠上午05:穗33:部244月-2擠315、楚塞三截湘接，荊焰門九派通原。。。四月稿235:33淺上午4月-2暢305:3素3Apr壩il踏28,盼20綱2316、少年十邪五二十時(shí)遵，步行奪達(dá)得胡馬騎潔。。202挖3/4摧/28挨5:魔33:露2405:鍛33:槳2428A隊(duì)pril述202旁317、空山粱新雨后廉，天氣鵝晚來秋森。。5:3腐3:2悠4上漠午5:3場(chǎng)3上傍午05:蠟33:訓(xùn)244月-2見39、楊柳煤散和風(fēng)葛，青山卡澹吾慮魯。。4月-耍234月-