06-加固Win7桌面安全

•6292课程：安装和配置Windows7第六讲：加固Win7桌面安全课程概览•Windows7安全管理概述•使用本地组策略加固Win7客户端安全•使用EFS和Bitlocker加密数据•配置应用程序限制•配置用户账户控制（UAC）•配置WindowsFirewall•配置IE8的安全设置•配置WindowsDefenderWindows7安全管理概述•Windows7中的安全功能•什么是操作中心？Windows7中的安全功能EncryptingFileSystem(EFS)üWindowsBitLocker™andBitLockerToGo™üWindowsAppLocker™üUserAccountControlüWindowsFirewallwithAdvancedSecurityüWindowsDefender™üWindows7操作中心ü什么是Windows操作中心？选择您需要检查的用户警报项目操作中心是一个您可以在此查看有关系统信息和诊断解决有关系统问题的中心点和问题的集中处理中心使用本地组策略加固Win7安全•什么是组策略•组策略对象是如何应用的•多个本地组策略如何协同工作什么是组策略？组策略使得IT管理员能够执行自动化的一到多的用户和计算机的管理任务使用组策略执行如下任务：•应用标准配置•部署软件•强制安全设置•执行一个一致的桌面环境本地组策略使用在本地应用，即在本地运行的本地用户和域用户以及本地计算机产生影响组策略对象如何应用？组策略对象分为计算机对象和用户对象，他们都是间隔固定的时间进行应用，计算机对象在启动时应用，用户对象在登录时应用。组策略处理流程：1.LocalGPOs2.Site-levelGPOs3.DomainGPOs4.OUGPOs使用EFS和Bitlocker加密数据•什么是EFS？•什么是Bitlocker？•Bitlocker需求•Bitlocker模式•Bitlocker组策略选项•配置Bitlocker•配置BitlockertoGo•解密Bitlocker锁定的驱动器WhatIsEFS?加密文件系统（EFS）是Windows文件系统内置的文件级别的加密工具•透明的文件的加密和解密的方式•需要适当的加密密钥（对称的）来读取加密数据•每个用户必有一个公钥和私钥对，用于保护对称密钥•用户的公钥和私钥:•可以是自我产生的也可以是从证书颁发机构颁发的•是使用用户的密码进行保护的•允许其他用户的证书访问加密的文件支持在智能卡上存储私钥ü加密文件系统密钥更新向导ü新EFS组策略设置ü支持系统页面的加密ü支持AIS256位加密üWindows7中的EFS新功能支持每个用户的脱机文件加密ü什么是BitLocker?WindowsBitlocker驱动器加密位于计算机操作系统中的操作系统卷和数据卷的中的数据ü提供离线数据保护ü保护安装在加密卷上的所有其他应用程序ü包括系统的完整性验证ü验证计算机启动早期的组件的完整性和启动配置文件的完整性ü保证了启动过程的完整性üBitLocker需求加密和解密密钥：硬件需求：BitLocker需要下列条件之一:•有可信赖平台模块（TPM）V1.2版本或以上的计算机（硬件）•一个可移动的USB存储设备•有足够的空间使得Bitlocker能创建两个分区有一个兼容TPM模块的BIOS和支持USB引导启动模式的BIOSBitLocker模式Windows7支持两种Bitlocker的操作模式：•TPMmode•Non-TPMmodeTPMmode•锁定正常的计算机启动过程，直到用户选择提供一个个人密码（PIN）或插入一个包含Bitlocker启动密钥的USB驱动器才能够继续进行•加密的磁盘必须位于原来的计算机•TPM模式执行系统引导组件的完整性验证•如果其中的任何组件发生了改变，驱动器将被锁定，系统将阻止对其的访问和解密尝试Non-TPMmode•使用组策略来允许Bitlocker在没有TPM时工作•和TPM模式锁定启动的过程相似，但是Bitlocker的启动密钥存储在USB驱动器上•计算机的BIOS必须要能够从USB引导•提供有限的认证功能•无法在此模式下执行系统组件的完整性检查移动数据存储的设置组策略提供了如下的Bitlocker方面的设置•将Bitlocker的备份转向ADDS服务•在控制面板上配置恢复文件夹•启动控制面板的高级设置•配置加密方法•防止重启动时的内存溢出•配置用于存储Bitlocker密钥的方式Bitlocker的组策略设定固定的数据驱动器的设定Bitlocker驱动器加密的本地组策略设置系统驱动器的设置激活一个计算机启动向导来激活Bitlocker引导功能：•验证系统要求•如果不存在第二分区就进行创建的操作•配置允许使用怎样的方式访问Bitlocker加密的驱动器：•USB•UserfunctionkeystoenterthePassphrase•Nokey三种方式来激活BitLocker:•FromSystemandSettingsinControlPanel•Right-clickthevolumetobeencryptedinWindowsExplorerandselecttheTurnonBitLockermenuoption•Usethecommand-linetooltitledmanage-bde.wsf通过Windows资源管理器启动Bitlocker通过控制面板启动Bitlocker配置BitLocker管理一个由BitlockertoGo加密的驱动器选择如何存储你的恢复密钥管理一个由BitlockertoGo加密的驱动器•通过在USB驱动器上右键点击该驱动器激活便携设备的BitlockertoGo功能•选择以下的设置之一解锁由BitlockertoGo加密的驱动器:•使用密码或还原密码解锁•使用智能卡解锁•总是自动解锁在此计算机上的这个设备配置BitLockerToGo选择如何解锁驱动器——通过密码还是通过智能卡驱动器加密解锁Bitlocker锁定的驱动器当激活了Bitlocker加密的计算机启动时：•BitLocker检查操作系统的安全状况•如果发现了情况的变化：•BitLocker进入恢复模式，保持系统驱动器的锁定•用户必须输入正确的恢复密码才能够继续Bitlocker的恢复密码是：•在恢复模式下一个48位的用于解锁系统的数字密码•每个密码针对一个专有的Bitlocker加密•可存储在活动目录中•如果存储在活动目录中，可以通过使用驱动器标签或是计算机的密码进行搜索配置应用程序限制•什么是Applocker•Applocker规则•什么是软件限制策略什么是Applocker？AppLocker的优点•控制用户如何访问和运行所有类型的应用程序•确保用户仅能运行经过批准的，许可的软件Applocker是Windows7的一个全新的安全功能，它能够使得IT认识指定究竟什么东西能够在用户的桌面上运行Applocker规则Applocker的默认规则是：所有用户都能够默认运行ProgramFiles目录中的文件所有用户都能够运行Windows操作系统签署的所有文件Administrators组的成员能够运行所有的文件在创建后续规则前创建默认的Applocker规则，然后手动创建新的规则或者为某个特定文件夹自动生成规则创建自定义规则在本地安全策略中通过使用Applocker向导创建规则ü您可以配置可执行规则，Windows安装程序规则，脚本规则ü您可以指定一个文件夹，将规则应用于其中的包含.exe的所有应用程序ü您可以为.exe文件创建规则例外ü您可以创建一个基于应用程序的数字签名的规则ü您可以手动创建一个自定义规则给特定的可执行文件ü什么是软件限制策略Applocker在功能上取代了之前版本的SRPüSRP管理单元和SRP规则在Windows7中是兼容的üApplocker的规则和SRP的规则是完全分开的üApplocker的组策略和SRP的组策略是完全分开的ü如果在GPO中已经有Applocker定义了规则，则只有这些规则适用ü最好将SRP的定义和Applocker的定义放在不同的GPO中以便功能的互操作性ü软件限制策略(SRP)允许管理员确定哪些程序可以运行•SRPwasaddedinWindowsXPandWindowsServer2003•SRP的设计目的是帮助企业有效控制恶意代码和未知代码-无论是恶意的还是其他的•SRP由一个默认的安全级别和所有应用于此组策略对象（GPO）的所有规则组成HowdoesSRPcomparetoWindowsAppLocker?SRP和Applocker对比配置用户账户控制•什么是UAC•UAC怎样工作的•配置UAC提醒设置什么是UAC？用户账户控制（UAC）是将现有的运行Windows的用户在运行一般任务的时候作为标准用户身份运行的安全功能•如果运行某个任务需要管理员权限时，UAC会提示用户适用一个管理员账户的凭据•Windows7增加了用户能够进行配置的UAC项目UAC是如何工作的？在Windows7中，当用户执行一个需要管理员权限才能运行的任务的时候会发生什么呢？管理员用户UAC将会提示用户确定本次任务的运行标准用户UAC将会提示具有管理员权限的用户凭据配置UAC提醒设置UAC提升的过程的提示设置包含如下的内容:•Alwaysnotifyme•Notifymeonlywhenprogramstrytomakechangestomycomputer•Notifymeonlywhenprogramstrytomakechangestomycomputer(donotdimmydesktop)•Nevernotify配置Windows防火墙•配置基本防火墙设置•Windows高级防火墙设置•应用程序常用的端口配置网络位置打开或关闭Windows防火墙以及自定义网络位置设置添加，更改或删除允许的程序设置或修改多个配置文件的设置配置Windows防火墙的通知配置Windows防火墙的基本设置Windows高级防火墙设置WindowsFirewallwithAdvancedSecurityfiltersincomingandoutgoingconnectionsbasedonitsconfiguration入站规则明确允许或拒绝基于该端口的信息流通出站规则明确允许或拒绝基于该端口的信息流通连接安全规则适用于使用IPSec加密网络通信监测界面显示关于当前防火墙规则的详细信息，连接安全规则信息以及安全关联的相关信息属性页用户配置域、私人、公共网络的配置文件属性和IPSec的配置应用程序常用的端口当一个应用程序想与远程的另一个应用程序或主机建立通讯时，它会创建一个TCP或UDP的端口TCP/IP协议簇TCPUDPEthernetHTTPFTPSMTPDNSPOP3SNMPIPv6IPv4ARPIGMPICMPHTTPS配置IE8的安全设置•IE8中增强的隐私保护功能•IE8中的SmartScreen功能•IE8中的其他安全功能IE8中增强的隐私保护功能InPrivate浏览–默认的删除所有的浏览的历史记录并且不会有日志和相关的追踪在浏览时运行üInPrivate过滤–帮助监控用户访问第三方网站内容的频率ü增强的浏览器历史记录删除-使用户和组织能够有选择性的删除浏览器历史üIE8中的SmartScreen功能使用此链接导航远离不安全的网站，并开始从一个受信任的位置浏览使用此链接无视警告，在地址栏仍然是一个红色的持续警告，标示该网站不安全配置WindowsDefender•什么是恶意软件•什么是WindowsDefender•WindowsDefender扫描选项什么是恶意软件恶意软件包括：•Viruses病毒•Worms蠕虫•Trojanhorses特洛伊木马•Spyware间谍软件•Adware广告软件恶意软件导致：•Poorperformance•Lossofdata•Compromise