加固Win桌面安全

6292課程：安裝和配置Windows7第六講：加固Win7桌面安全課程概覽Windows7安全管理概述使用本地組策略加固Win7客戶端安全使用EFS和Bitlocker加密數(shù)據(jù)配置應(yīng)用程序限制配置用戶賬戶控制（UAC）配置WindowsFirewall配置IE8的安全設(shè)置配置WindowsDefenderWindows7安全管理概述Windows7中的安全功能什么是操作中心？Windows7中的安全功能EncryptingFileSystem(EFS)üWindowsBitLocker?andBitLockerToGo?üWindowsAppLocker?üUserAccountControlüWindowsFirewallwithAdvancedSecurityüWindowsDefender?üWindows7操作中心ü什么是Windows操作中心？選擇您需要檢查的用戶警報項目操作中心是一個您可以在此查看有關(guān)系統(tǒng)信息和診斷解決有關(guān)系統(tǒng)問題的中心點和問題的集中處理中心使用本地組策略加固Win7安全什么是組策略組策略對象是如何應(yīng)用的多個本地組策略如何協(xié)同工作什么是組策略？組策略使得IT管理員能夠執(zhí)行自動化的一到多的用戶和計算機的管理任務(wù)使用組策略執(zhí)行如下任務(wù)：應(yīng)用標(biāo)準(zhǔn)配置部署軟件強制安全設(shè)置執(zhí)行一個一致的桌面環(huán)境本地組策略使用在本地應(yīng)用，即在本地運行的本地用戶和域用戶以及本地計算機產(chǎn)生影響組策略對象如何應(yīng)用？組策略對象分為計算機對象和用戶對象，他們都是間隔固定的時間進(jìn)行應(yīng)用，計算機對象在啟動時應(yīng)用，用戶對象在登錄時應(yīng)用。組策略處理流程：1.LocalGPOs2.Site-levelGPOs3.DomainGPOs4.OUGPOs使用EFS和Bitlocker加密數(shù)據(jù)什么是EFS？什么是Bitlocker？Bitlocker需求Bitlocker模式Bitlocker組策略選項配置Bitlocker配置BitlockertoGo解密Bitlocker鎖定的驅(qū)動器WhatIsEFS?加密文件系統(tǒng)（EFS）是Windows文件系統(tǒng)內(nèi)置的文件級別的加密工具透明的文件的加密和解密的方式需要適當(dāng)?shù)募用苊荑€（對稱的）來讀取加密數(shù)據(jù)每個用戶必有一個公鑰和私鑰對，用于保護(hù)對稱密鑰用戶的公鑰和私鑰:可以是自我產(chǎn)生的也可以是從證書頒發(fā)機構(gòu)頒發(fā)的是使用用戶的密碼進(jìn)行保護(hù)的允許其他用戶的證書訪問加密的文件支持在智能卡上存儲私鑰ü加密文件系統(tǒng)密鑰更新向?qū)Ж剐翬FS組策略設(shè)置ü支持系統(tǒng)頁面的加密ü支持AIS256位加密üWindows7中的EFS新功能支持每個用戶的脫機文件加密ü什么是是BitLocker?WindowsBitlocker驅(qū)動器加密位于計算機操作系統(tǒng)中的操作系統(tǒng)卷和數(shù)據(jù)卷的中的數(shù)據(jù)ü提供離線數(shù)據(jù)保護(hù)ü保護(hù)安裝在加密卷上的所有其他應(yīng)用程序ü包括系統(tǒng)的完整性驗證ü驗證計算機啟動早期的組件的完整性和啟動配置文件的完整性ü保證了啟動過程的完整性üBitLocker需求加密和解解密密鑰鑰：硬件需求：：BitLocker需要下列條條件之一一:有可信賴賴平臺模塊（（TPM）V1.2版本或以以上的計計算機（（硬件）一個可移移動的USB存儲設(shè)備備有足夠的的空間使使得Bitlocker能創(chuàng)建兩兩個分區(qū)區(qū)有一個兼兼容TPM模塊的BIOS和支持USB引導(dǎo)啟動模模式的BIOSBitLocker模式Windows7支持兩種種Bitlocker的操作模模式：TPMmodeNon-TPMmodeTPMmode鎖定正常的計算機啟動過程，直到用戶選擇提供一個個人密碼（PIN）或插入一個包含Bitlocker啟動密鑰的USB驅(qū)動器才能夠繼續(xù)進(jìn)行加密的磁盤必須位于原來的計算機TPM模式執(zhí)行系統(tǒng)引導(dǎo)組件的完整性驗證

如果其中的任何組件發(fā)生了改變，驅(qū)動器將被鎖定，系統(tǒng)將阻止對其的訪問和解密嘗試Non-TPMmode使用組策略來允許Bitlocker在沒有TPM時工作和TPM模式鎖定啟動的過程相似，但是Bitlocker的啟動密鑰存儲在USB驅(qū)動器上

計算機的BIOS必須要能夠從USB引導(dǎo)

提供有限的認(rèn)證功能無法在此模式下執(zhí)行系統(tǒng)組件的完整性檢查移動數(shù)據(jù)存儲的設(shè)置組策略提供了如下的Bitlocker方面的設(shè)置將Bitlocker的備份轉(zhuǎn)向ADDS服務(wù)在控制面板上配置恢復(fù)文件夾啟動控制面板的高級設(shè)置配置加密方法防止重啟動時的內(nèi)存溢出配置用于存儲Bitlocker密鑰的方式Bitlocker的組策略略設(shè)定固定的數(shù)據(jù)驅(qū)動器的設(shè)定Bitlocker驅(qū)動器加密的本地組策略設(shè)置系統(tǒng)驅(qū)動器的設(shè)置激活一個計算機啟動向?qū)砑せ頑itlocker引導(dǎo)功能：

驗證系統(tǒng)要求如果不存在第二分區(qū)就進(jìn)行創(chuàng)建的操作配置允許使用怎樣的方式訪問Bitlocker加密的驅(qū)動器：

USB

UserfunctionkeystoenterthePassphrase

Nokey三種方式來激活BitLocker:

FromSystemandSettingsinControlPanel

Right-clickthevolumetobeencryptedinWindowsExplorerandselecttheTurnonBitLockermenuoptionUsethecommand-linetooltitledmanage-bde.wsf通過Windows資源管理器啟動Bitlocker通過控制面板啟動Bitlocker配置BitLocker管理一個由BitlockertoGo加密的驅(qū)動器選擇如何存儲你的恢復(fù)密鑰管理一個由BitlockertoGo加密的驅(qū)動器通過在USB驅(qū)動器上右鍵點擊該驅(qū)動器激活便攜設(shè)備的BitlockertoGo功能選擇以下的設(shè)置之一解鎖由BitlockertoGo加密的驅(qū)動器:使用密碼或還原密碼解鎖使用智能卡解鎖總是自動解鎖在此計算機上的這個設(shè)備配置BitLockerToGo選擇如何解鎖驅(qū)動器——通過密碼還是通過智能卡驅(qū)動器加密解鎖Bitlocker鎖定的驅(qū)驅(qū)動器當(dāng)激活了了Bitlocker加密的計計算機啟啟動時：：BitLocker檢查操作作系統(tǒng)的的安全狀狀況如果發(fā)現(xiàn)現(xiàn)了情況況的變化化：BitLocker進(jìn)入恢復(fù)復(fù)模式，，保持系系統(tǒng)驅(qū)動動器的鎖鎖定用戶必須輸輸入正確確的恢復(fù)復(fù)密碼才才能夠繼繼續(xù)Bitlocker的恢復(fù)密密碼是：：在恢復(fù)模模式下一一個48位的用于于解鎖系系統(tǒng)的數(shù)數(shù)字密碼碼每個密碼碼針對一一個專有有的Bitlocker加密可存儲在在活動目目錄中如果存儲儲在活動動目錄中中，可以以通過使使用驅(qū)動動器標(biāo)簽簽或是計計算機的的密碼進(jìn)進(jìn)行搜索索配置應(yīng)用用程序限限制什么是ApplockerApplocker規(guī)則什么是軟件件限制策策略什么是Applocker？AppLocker的優(yōu)點控制用戶戶如何訪訪問和運運行所有有類型的的應(yīng)用程程序確保用戶戶僅能運運行經(jīng)過過批準(zhǔn)的的，許可可的軟件件Applocker是Windows7的一個全全新的安安全功能能，它能能夠使得得IT認(rèn)識指定定究竟什什么東西西能夠在在用戶的的桌面上上運行Applocker規(guī)則Applocker的默認(rèn)規(guī)則是：所有用戶都能夠默認(rèn)運行ProgramFiles目錄中的文件所有用戶都能夠運行Windows操作系統(tǒng)簽署的所有文件Administrators組的成員能夠運行所有的文件在創(chuàng)建后續(xù)規(guī)則前創(chuàng)建默認(rèn)的Applocker規(guī)則，然后手動創(chuàng)建新的規(guī)則或者為某個特定文件夾自動生成規(guī)則創(chuàng)建自定義規(guī)則在本地安全策略中通過使用Applocker向?qū)?chuàng)建規(guī)則ü您可以配置可執(zhí)行規(guī)則，Windows安裝程序規(guī)則，腳本規(guī)則ü您可以指定一個文件夾，將規(guī)則應(yīng)用于其中的包含.exe的所有應(yīng)用程序ü您可以為.exe文件創(chuàng)建規(guī)則例外ü您可以創(chuàng)建一個基于應(yīng)用程序的數(shù)字簽名的規(guī)則ü您可以手動創(chuàng)建一個自定義規(guī)則給特定的可執(zhí)行文件ü什么是軟軟件限制制策略Applocker在功能上取代了之前版本的SRPüSRP管理單元和SRP規(guī)則在Windows7中是兼容的üApplocker的規(guī)則和SRP的規(guī)則是完全分開的üApplocker的組策略和SRP的組策略是完全分開的ü如果在GPO中已經(jīng)有Applocker定義了規(guī)則，則只有這些規(guī)則適用ü最好將SRP的定義和Applocker的定義放在不同的GPO中以便功能的互操作性ü軟件限制策略(SRP)允許管理員確定哪些程序可以運行

SRPwasaddedinWindowsXPandWindowsServer2003SRP的設(shè)計目的是幫助企業(yè)有效控制惡意代碼和未知代碼-無論是惡意的還是其他的SRP由一個默認(rèn)的安全級別和所有應(yīng)用于此組策略對象（GPO）的所有規(guī)則組成HowdoesSRPcomparetoWindowsAppLocker?SRP和Applocker對比配置用戶戶賬戶控控制什么是UACUAC怎樣工作作的配置UAC提醒設(shè)置置什么是UAC？用戶賬戶戶控制（（UAC）是將現(xiàn)現(xiàn)有的運運行Windows的用戶在在運行一一般任務(wù)務(wù)的時候候作為標(biāo)標(biāo)準(zhǔn)用戶戶身份運運行的安安全功能能如果運行行某個任任務(wù)需要要管理員員權(quán)限時時，UAC會提示用用戶適用用一個管管理員賬賬戶的憑憑據(jù)Windows7增加了用用戶能夠夠進(jìn)行配配置的UAC項目UAC是如何工工作的？？在Windows7中，當(dāng)用用戶執(zhí)行行一個需需要管理理員權(quán)限限才能運運行的任任務(wù)的時時候會發(fā)發(fā)生什么么呢？管理員用戶UAC將會提示用戶確定本次任務(wù)的運行標(biāo)準(zhǔn)用戶

UAC將會提示具有管理員權(quán)限的用戶憑據(jù)配置UAC提醒設(shè)置置UAC提升的過程的提示設(shè)置包含如下的內(nèi)容:

Alwaysnotifyme

Notifymeonlywhenprogramstrytomakechangestomycomputer

Notifymeonlywhenprogramstrytomakechangestomycomputer(donotdimmydesktop)

Nevernotify

配置Windows防火墻配置基本本防火墻墻設(shè)置Windows高級防火火墻設(shè)置置應(yīng)用程序常常用的端端口配置網(wǎng)絡(luò)絡(luò)位置打開或關(guān)閉閉Windows防火墻以以及自定定義網(wǎng)絡(luò)絡(luò)位置設(shè)設(shè)置添加，更更改或刪刪除允許許的程序序設(shè)置或修修改多個個配置文文件的設(shè)設(shè)置配置Windows防火墻的的通知配置Windows防火墻的的基本設(shè)設(shè)置Windows高級防火火墻設(shè)置置WindowsFirewallwithAdvancedSecurityfiltersincomingandoutgoingconnectionsbasedonitsconfiguration入站規(guī)則則明確允允許或拒拒絕基于于該端口口的信息息流通出站規(guī)則則明確允允許或拒拒絕基于于該端口口的信息息流通連接安全全規(guī)則適適用于使使用IPSec加密網(wǎng)絡(luò)絡(luò)通信監(jiān)測界面面顯示關(guān)關(guān)于當(dāng)前前防火墻墻規(guī)則的的詳細(xì)信信息，連連接安全全規(guī)則信信息以及及安全關(guān)關(guān)聯(lián)的相相關(guān)信息息屬性頁用戶配配置域、、私人、、公共網(wǎng)網(wǎng)絡(luò)的配配置文件件屬性和和IPSec的配置應(yīng)用程序序常用的的端口當(dāng)一個應(yīng)應(yīng)用程序序想與遠(yuǎn)遠(yuǎn)程的另另一個應(yīng)應(yīng)用程序序或主機機建立通通訊時，，它會創(chuàng)創(chuàng)建一個個TCP或UDP的端口TCP/IP協(xié)議簇TCPUDPEthernetHTTPFTPSMTPDNSPOP3SNMPIPv6IPv4ARPIGMP

ICMPHTTPS配置IE8的安全設(shè)設(shè)置IE8中增強的的隱私保保護(hù)功能能IE8中的SmartScreen功能IE8中的其他他安全功功能IE8中增強的的隱私保保護(hù)功能能InPrivate瀏覽

–默認(rèn)的刪除所有的瀏覽的歷史記錄并且不會有日志和相關(guān)的追蹤在瀏覽時運行üInPrivate過濾

–幫助監(jiān)控用戶訪問第三方網(wǎng)站內(nèi)容的頻率ü增強的瀏覽器歷史記錄刪除-使用戶和組織能夠有選擇性的刪除瀏覽器歷史üIE8中的SmartScreen功能使用此鏈接導(dǎo)航遠(yuǎn)離不安全的網(wǎng)站，并開始從一個受信任的位置瀏覽使用此鏈接無視警告，在地址欄仍然是一個紅色的持續(xù)警告，標(biāo)示該網(wǎng)站不安全配置WindowsDefender什么是惡惡意軟件件什么是WindowsDefenderWindowsDefender掃描選項項什么是惡惡意軟件件惡意軟件包括：Viruses病毒W(wǎng)orms蠕蟲Trojanhorses特洛伊木馬Spyware間諜軟件Adware廣告軟件惡意軟件導(dǎo)致：PoorperformanceLossofdataCompromiseofprivateinformation私人信息Reductioninenduserefficiency效率下降Unapprovedcomputerconfigurationchanges惡意軟件件是專門門用來設(shè)設(shè)計對計計算機產(chǎn)產(chǎn)生損害害的一種種軟件什么是WindowsDefender？WindowsDefender是一款可可以幫助助防止安安全威脅脅并檢測測和刪除除計算機機中已知知的安全全威脅的的一款軟軟件定期執(zhí)行計劃的掃描提供不同級別的配置選項，高，中，低的級別配置提供可定制的選項來進(jìn)行掃描的排除使用Windows自動更新來安裝新的間諜軟件定義WindowsDefender中的掃描描選項YoudefinewhentoscanYoudefinewhattoscanOptionDescription掃描存檔文件Mayincreasescanningtime,butspywarelikestohideintheselocationsScane-mailScane-mailmessagesandattachments掃描可移動驅(qū)動器ScanremovabledrivessuchasUSBflashdrives使用啟發(fā)式掃描Alertyoutopotentiallyharmfulbehaviorifitisnotincludedinadefinitionfile創(chuàng)建一個還原點Ifdetecteditemsareautomaticallyremoved,thisrestoressystemsettingsifyouwanttousesoftwareyoudidnotintendtoremoveScanTypeDescriptionQuickscanScantheareasofthecomputerthatismostlikelytoinfectbeinfectedFullscanScanallareasofthecomputerCustomscanScanspecificareasofthecomputeronly當(dāng)掃描完完成后，，結(jié)果將將顯示在在首頁課外知識識了解：：Windows安全軟件件客戶端安安全SCEForefront定期包服務(wù)器安安全Forefront定期包下一節(jié)：：Win7計算機的的優(yōu)化和和維護(hù)9、靜夜四無無鄰，荒居居舊業(yè)貧。。。12月-2212月-22Thursday,December8,202210、雨中黃葉樹樹，燈下白頭頭人。。09:56:2109:56:2109:5612/8/20229:56:21AM11、以我我獨沈沈久，，愧君君相見見頻。。。12月月-2209:56:2109:56Dec-2208-Dec-2212、故人人江海海別，，幾度度隔山山川。。。09:56:2109:56:2109:56Thursday,December8,202213、乍見見翻疑疑夢，，相悲悲各問問年。。。12月月-2212月月-2209:56:2109:56:21December8,202214、他鄉(xiāng)鄉(xiāng)生白白發(fā)，，舊國國見青青山。。。08十十二二月20229:56:21上上午09:56:2112月月-2215、比不了得得就不比，，得不到的的就不要。。。。十二月229:56上上午12月-2209:56December8,202216、行動出成成果，工作作出財富。。。2022/12/89:56:2109:56:2108December202217、做前，能能夠環(huán)視四四周；做時時，你只能能或者最好好沿著以腳腳為起點的的射線向前前。。9:56:21上上午9:56上上午09:56:2112月-229、沒有失敗，，只有暫時停停止成功！。。12月-2212月-22Thursday,December8,202210、很多多事情情努力力了未未必有有結(jié)果果，但但是不不努力力卻什什么改改變也也沒有有。。。09:56:2109:56:2109:5612/8/20229:56:21AM11、成功就就是日復(fù)復(fù)一日那那一點點點小小努努力的積積累。。。12月-2209:56:2109:56Dec-2208-Dec-2212、世間成事，，不求其絕對對圓滿，留一一份不足，可可得無限完美美。。09:56:2109:56:2109:56Thursday,December8,202213、不知知香積積寺，，數(shù)里里入云云峰。。。12月月-2212月月-2209:56:2109:56:21December8,202214、意志堅堅強的人人能把世世界放在在手中像像泥塊一一樣任意意揉捏。。08十十二月20229:56:21上午午09:56:2112月-2215、楚塞三湘接接，荊門九派派通。。。十二月229:56上上午12月-2209:56December8,202216、少年十五二二十時，步行行奪得胡馬騎騎。。2022/12/89:56:2109:56:2108December202217、空山新雨雨后，天氣氣晚來秋。。。9:56:21上上午9:56上上午09:56:2112月-229、楊楊柳柳散散和和風(fēng)風(fēng)，，青青山山澹澹吾吾慮慮。。。。12月月-221