有声,盗墓笔记第二季,旷世神医

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

Windows7安全性：幫助保護(hù)您的操作系統(tǒng)的提示和技巧

對(duì)于保護(hù)計(jì)算機(jī)的安全，有幾個(gè)顯而易見(jiàn)的基本步驟：保持計(jì)算機(jī)使用最新操作系統(tǒng)和應(yīng)用程序更新，確保安裝了最新的反間諜軟件和防病毒軟件，使用復(fù)雜密碼并定期更改。在本文中，我將介紹這些基本策略以外的一些安全提示，幫助您更好地利用 Windows 7 的安全功能。

創(chuàng)新互聯(lián)堅(jiān)持“要么做到，要么別承諾”的工作理念，服務(wù)領(lǐng)域包括：成都做網(wǎng)站、網(wǎng)站設(shè)計(jì)、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣等服務(wù)，滿足客戶于互聯(lián)網(wǎng)時(shí)代的樟樹網(wǎng)站設(shè)計(jì)、移動(dòng)媒體設(shè)計(jì)的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴！

準(zhǔn)備 BitLocker

Windows 7 中最顯著的安全性改進(jìn)之一是 BitLocker，這是在 Windows Vista 中首次引入的硬盤加密和啟動(dòng)環(huán)境完整性保護(hù)技術(shù)。.Windows 7 企業(yè)版和旗艦版中包含 BitLocker。該技術(shù)可確保只要便攜式計(jì)算機(jī)在被盜或丟失時(shí)處于關(guān)閉狀態(tài)，未授權(quán)用戶就無(wú)法從失蹤的便攜式計(jì)算機(jī)的硬盤驅(qū)動(dòng)器恢復(fù)數(shù)據(jù)。

然而，BitLocker 也帶來(lái)了一個(gè)難題，即在出現(xiàn)鎖定受保護(hù)卷的硬件故障后的數(shù)據(jù)恢復(fù)問(wèn)題。因此，雖然 BitLocker 可提供出色的保護(hù)，但是很多 IT 專業(yè)人員仍然覺(jué)得有問(wèn)題，因?yàn)樗麄兺挥性诒仨殘?zhí)行恢復(fù)操作時(shí)才會(huì)注意到它。

數(shù)據(jù)恢復(fù)需要訪問(wèn)與鎖定卷關(guān)聯(lián)的 BitLocker 密鑰或密碼。盡管對(duì)于較少數(shù)量的計(jì)算機(jī)，跟蹤這些內(nèi)容比較簡(jiǎn)單，但是對(duì)于數(shù)百臺(tái)計(jì)算機(jī)則困難得多。

組策略可幫助 IT 專業(yè)人員配置 BitLocker，使其僅在恢復(fù)密鑰和密碼成功備份到 Active Directory 時(shí)才能激活。通過(guò)改進(jìn) Windows Server 2008 R2 中的 Active Directory 用戶和計(jì)算機(jī)控制臺(tái)和運(yùn)行 Windows 7 的計(jì)算機(jī)的遠(yuǎn)程服務(wù)器管理工具，已大大簡(jiǎn)化了對(duì)這些恢復(fù)數(shù)據(jù)的提取。查找恢復(fù)密碼和密鑰也比使用 Windows Vista 中的工具要簡(jiǎn)單許多。

可以從 BitLocker 恢復(fù)選項(xiàng)卡訪問(wèn) BitLocker 恢復(fù)密鑰和密碼，而不必下載、安裝和配置專用工具。在 Active Directory 用戶和計(jì)算機(jī)中查看計(jì)算機(jī)帳戶屬性時(shí)可看到這些信息。確保備份 BitLocker 密鑰和密碼的過(guò)程包含三個(gè)步驟：

1. 在 BitLocker 保護(hù)的系統(tǒng)的計(jì)算機(jī)帳戶組策略中，導(dǎo)航到“計(jì)算機(jī)配置”|“Windows 設(shè)置”|“管理模板”|“Windows 組件”|“BitLocker 驅(qū)動(dòng)器加密”。

2. 現(xiàn)在，如果計(jì)算機(jī)只有一個(gè)存儲(chǔ)驅(qū)動(dòng)器，請(qǐng)導(dǎo)航到“操作系統(tǒng)驅(qū)動(dòng)器”節(jié)點(diǎn)并編輯“選擇如何才能恢復(fù)受 BitLocker 保護(hù)的操作系統(tǒng)驅(qū)動(dòng)器”策略。如果計(jì)算機(jī)有多個(gè)存儲(chǔ)驅(qū)動(dòng)器，則還應(yīng)轉(zhuǎn)到“固定數(shù)據(jù)驅(qū)動(dòng)器”節(jié)點(diǎn)并編輯“選擇如何才能恢復(fù)受 BitLocker 保護(hù)的固定數(shù)據(jù)驅(qū)動(dòng)器”策略。請(qǐng)注意，雖然可以將其配置為相同的設(shè)置，但是這些策略應(yīng)用于不同的驅(qū)動(dòng)器。

3. 若要配置 BitLocker 以便在 BitLocker 保護(hù)激活時(shí)可以將密碼和密鑰備份到 Active Directory，請(qǐng)確保啟用以下設(shè)置：

為操作系統(tǒng)驅(qū)動(dòng)器將 BitLocker 恢復(fù)信息保存到 AD DS 中（或在適當(dāng)時(shí)候?yàn)楣潭〝?shù)據(jù)驅(qū)動(dòng)器）

在為操作系統(tǒng)驅(qū)動(dòng)器將恢復(fù)信息存儲(chǔ)到 AD DS 之前禁止啟用 BitLocker（或在適當(dāng)時(shí)候?yàn)楣潭〝?shù)據(jù)驅(qū)動(dòng)器）

僅當(dāng)應(yīng)用策略后才會(huì)備份受保護(hù)卷的密鑰和密碼。在實(shí)現(xiàn)策略前針對(duì) BitLocker 保護(hù)配置的卷不會(huì)自動(dòng)將其密鑰和密碼存儲(chǔ)在 Active Directory 中。必須在這些計(jì)算機(jī)上禁用并重新啟用 BitLocker，才能確保這些恢復(fù)信息存儲(chǔ)到 AD DS 數(shù)據(jù)庫(kù)中。

配置數(shù)據(jù)恢復(fù)代理程序

如果需要恢復(fù)受 BitLocker 保護(hù)的卷而不輸入特定計(jì)算機(jī)帳戶的唯一密碼或 PIN，還可以選擇使用另一種方法，即數(shù)據(jù)恢復(fù)代理程序 (DRA)。這是一種與用戶帳戶關(guān)聯(lián)的特殊類型的證書，可用于恢復(fù)加密數(shù)據(jù)。

BitLocker 數(shù)據(jù)恢復(fù)代理程序通過(guò)在“添加數(shù)據(jù)恢復(fù)代理程序”向?qū)Вㄎ覍⒑?jiǎn)要討論一下該向?qū)В┲芯庉嫿M策略并指定 DRA 證書來(lái)進(jìn)行配置。不過(guò)，若要使用該向?qū)?，必須在可訪問(wèn)的文件系統(tǒng)上提供 DRA 證書，或在 Active Directory 中發(fā)布該證書。承載 Active Directory 證書服務(wù)角色的計(jì)算機(jī)可以頒發(fā)這些證書。

必須恢復(fù)數(shù)據(jù)時(shí)，在本地安裝 DRA 證書的用戶帳戶將無(wú)法解除對(duì)受 BitLocker 保護(hù)的卷的鎖定。通過(guò)導(dǎo)航到“計(jì)算機(jī)配置”|“Windows 設(shè)置”|“安全設(shè)置”|“公鑰策略”節(jié)點(diǎn)，右鍵單擊“BitLocker 驅(qū)動(dòng)器加密”，然后選擇“添加數(shù)據(jù)恢復(fù)代理程序”選項(xiàng)，可以訪問(wèn)“添加數(shù)據(jù)恢復(fù)代理程序”向?qū)А?/p>

若要通過(guò) DRA 使用 BitLocker，還必須在“選擇如何才能恢復(fù)受 BitLocker 保護(hù)的操作系統(tǒng)驅(qū)動(dòng)器”策略中（適當(dāng)時(shí)候還要在固定數(shù)據(jù)驅(qū)動(dòng)器策略中）選中“啟用數(shù)據(jù)恢復(fù)代理程序”復(fù)選框?？梢允褂?DRA 和 Active Directory 密鑰/密碼備份來(lái)恢復(fù)受 BitLocker 保護(hù)的相同卷。

DRA 恢復(fù)只能用于受 BitLocker 保護(hù)并且在執(zhí)行策略后啟用了 BitLocker 的卷。此方法相對(duì)于密碼/密鑰恢復(fù)的優(yōu)點(diǎn)在于使用 DRA 函數(shù)作為 BitLocker 主密鑰。這使您可以恢復(fù)在該策略影響下加密的任何受保護(hù)卷，而不必為要恢復(fù)的每個(gè)卷查找唯一密碼或密鑰。

BitLocker To Go

如今很多可移動(dòng)存儲(chǔ)設(shè)備的平均存儲(chǔ)容量都接近十年前大多數(shù)小型和中型部門級(jí)別文件共享的容量。這帶來(lái)了幾個(gè)難題。

首先，當(dāng)可移動(dòng)存儲(chǔ)設(shè)備丟失或被盜時(shí)，可能會(huì)破壞大量組織數(shù)據(jù)。更大的問(wèn)題可能在于，盡管用戶丟失便攜式計(jì)算機(jī)時(shí)會(huì)很快通知 IT 部門，但是丟失可能包含數(shù) GB 組織數(shù)據(jù)的 USB 存儲(chǔ)設(shè)備時(shí)，他們不會(huì)感到同樣緊張。

BitLocker To Go 是隨 Windows 7 引入的一項(xiàng)新功能，使用該功能可以通過(guò)與 BitLocker 為操作系統(tǒng)和固定驅(qū)動(dòng)器提供的方式類似的方式來(lái)保護(hù) USB 存儲(chǔ)設(shè)備。通過(guò)組策略，可以對(duì)組織中的計(jì)算機(jī)進(jìn)行限制，使這些計(jì)算機(jī)只能向受 BitLocker To Go 保護(hù)的可移動(dòng)存儲(chǔ)設(shè)備寫入數(shù)據(jù)。這樣可以確保在用戶丟失某個(gè)可移動(dòng)設(shè)備時(shí)，至少該設(shè)備上的數(shù)據(jù)是加密的，未授權(quán)的第三方無(wú)法輕易訪問(wèn)這些數(shù)據(jù)，從而增強(qiáng)了安全性。

相關(guān)的 BitLocker To Go 策略位于“計(jì)算機(jī)配置”|“管理模板”|“Windows 組件”|“BitLocker 驅(qū)動(dòng)器加密”| 組策略項(xiàng)目的“可移動(dòng)數(shù)據(jù)驅(qū)動(dòng)器”節(jié)點(diǎn)。這些策略包括：

控制對(duì)可移動(dòng)驅(qū)動(dòng)器使用 BitLocker。使用此策略可配置對(duì)可移動(dòng)驅(qū)動(dòng)器使用 BitLocker 的方式，包括普通用戶是否可以對(duì)可移動(dòng)設(shè)備啟用或禁用該功能。例如，您可能希望特定用戶將數(shù)據(jù)存儲(chǔ)在已配置了保護(hù)功能的可移動(dòng)設(shè)備上，但阻止這些用戶使用該功能配置其自己的設(shè)備。

拒絕對(duì)不受 BitLocker 保護(hù)的可移動(dòng)驅(qū)動(dòng)器的寫訪問(wèn)。使用此策略可以限制用戶，使其只能向受 BitLocker To Go 加密保護(hù)的設(shè)備寫入數(shù)據(jù)。啟用此策略后，未授權(quán)人員無(wú)法輕易訪問(wèn)寫入某個(gè)可移動(dòng)設(shè)備的數(shù)據(jù)，因?yàn)樵撛O(shè)備受加密保護(hù)。

選擇如何才能恢復(fù)受 BitLocker 保護(hù)的可移動(dòng)驅(qū)動(dòng)器。使用此策略可以配置數(shù)據(jù)恢復(fù)代理程序或在 Active Directory 中保存 BitLocker To Go 恢復(fù)信息。此策略非常重要，因?yàn)槿绻x擇實(shí)現(xiàn) BitLocker To Go 來(lái)保護(hù)可移動(dòng)設(shè)備上的數(shù)據(jù)，則您應(yīng)具有一種策略，用于在出現(xiàn)用戶忘記其 BitLocker To Go 密碼這種不可避免的情況時(shí)恢復(fù)數(shù)據(jù)。

為某個(gè)可移動(dòng)存儲(chǔ)設(shè)備配置了 BitLocker To Go 時(shí)，用戶必須在另一臺(tái)計(jì)算機(jī)上輸入密碼才能解除對(duì)該設(shè)備的鎖定。輸入密碼后，用戶便會(huì)在運(yùn)行 Windows 7 企業(yè)版或旗艦版的計(jì)算機(jī)上擁有對(duì)該設(shè)備的讀/寫訪問(wèn)權(quán)限。您還可以將 BitLocker To Go 配置為允許用戶在運(yùn)行其他 Microsoft 操作系統(tǒng)版本的計(jì)算機(jī)上對(duì)受 BitLocker To Go 保護(hù)的數(shù)據(jù)進(jìn)行只讀訪問(wèn)。

如果您的組織準(zhǔn)備使用 BitLocker To Go，則在丟失或忘記密碼時(shí)需要某種數(shù)據(jù)恢復(fù)策略。配置 BitLocker To Go 恢復(fù)的方式與配置 BitLocker 恢復(fù)的方式類似。在這種情況下，必須設(shè)置“計(jì)算機(jī)配置”|“Windows 設(shè)置”|“管理模板”|“Windows 組件”|“BitLocker 驅(qū)動(dòng)器加密”|“可移動(dòng)數(shù)據(jù)驅(qū)動(dòng)器”|“選擇如何才能恢復(fù)受 BitLocke 保護(hù)的驅(qū)動(dòng)器”策略。

可以將 BitLocker To Go 密碼備份到 Active Directory 中，有權(quán)訪問(wèn) Active Directory 用戶和計(jì)算機(jī)控制臺(tái)的管理員和最初用于保護(hù)設(shè)備的計(jì)算機(jī)帳戶可以在其中使用這些密碼。還可以配置策略以便使用 DRA 保護(hù)數(shù)據(jù)，從而使分配了 DRA 證書的用戶可以從驅(qū)動(dòng)器恢復(fù)數(shù)據(jù)，而無(wú)需恢復(fù)各個(gè)密碼。

配置 AppLocker

不存在可以捕獲所有惡意程序的反惡意軟件實(shí)用工具。AppLocker 可以多添加一層保護(hù)。使用此技術(shù)可以創(chuàng)建一個(gè)已知安全的應(yīng)用程序列表，并限制不在該列表中的應(yīng)用程序的執(zhí)行。雖然這種保護(hù)計(jì)算機(jī)的方法對(duì)定期運(yùn)行不常用的新軟件的人來(lái)說(shuō)有點(diǎn)麻煩，但大多數(shù)組織都采用逐步進(jìn)行應(yīng)用程序更改的標(biāo)準(zhǔn)系統(tǒng)環(huán)境，因此只允許執(zhí)行顯示綠燈的應(yīng)用程序更加實(shí)用。

可以擴(kuò)展這組 AppLocker 授權(quán)規(guī)則，使其不僅包含可執(zhí)行文件，還包含腳本、DLL 和 MSI 格式的文件。除非通過(guò)規(guī)則對(duì)可執(zhí)行文件、腳本、DLL 或安裝程序授權(quán)，否則不會(huì)執(zhí)行這些項(xiàng)目。

AppLocker 采用一個(gè)自動(dòng)為授權(quán)應(yīng)用程序創(chuàng)建規(guī)則列表的向?qū)?，從而?jiǎn)化了這一過(guò)程。這是 AppLocker 相對(duì)于軟件限制策略（以前的 Windows 版本中具有類似核心功能的一項(xiàng)技術(shù)）的一個(gè)重大改進(jìn)。

AppLocker 還可以使用通過(guò)文件發(fā)行者數(shù)字簽名標(biāo)識(shí)文件的規(guī)則，因此您可以創(chuàng)建包含文件的當(dāng)前和未來(lái)版本的規(guī)則。這樣管理員在應(yīng)用軟件更新后就不必更新當(dāng)前規(guī)則了。修改后的可執(zhí)行文件、腳本、安裝程序或 DLL 仍受原始規(guī)則約束。使用軟件約束策略時(shí)不可能做到這一點(diǎn)，因?yàn)檫@些策略會(huì)強(qiáng)制管理員在軟件配置發(fā)生更改時(shí)更新規(guī)則。

若要?jiǎng)?chuàng)建可以應(yīng)用到其他計(jì)算機(jī)的 AppLocker 策略規(guī)則的引用集，請(qǐng)執(zhí)行以下步驟：

1. 使用要在環(huán)境中執(zhí)行的所有應(yīng)用程序配置運(yùn)行 Windows 7 的引用計(jì)算機(jī)。

2. 使用具有本地管理員權(quán)限的用戶帳戶登錄該計(jì)算機(jī)。

3. 通過(guò)從“搜索程序和文件”文本框中運(yùn)行 Gpedit.msc 來(lái)啟動(dòng)“本地組策略編輯器”。

5. 在標(biāo)有“包含要分析的文件的文件夾”的文本框中，輸入 c:\。在標(biāo)有“命名以識(shí)別此規(guī)則集”的文本框中，輸入“所有可執(zhí)行文件”，然后單擊“下一步”。

6. 在“規(guī)則選擇項(xiàng)”頁(yè)上，選擇“為經(jīng)過(guò)數(shù)字簽名的文件創(chuàng)建發(fā)布者規(guī)則”，如果文件未經(jīng)過(guò)簽名，則還需選擇“文件哈希: 規(guī)則是使用文件哈希創(chuàng)建的”。確保未選中選項(xiàng)“通過(guò)對(duì)類似文件進(jìn)行分組來(lái)減少規(guī)則數(shù)”，然后單擊“下一步”。

7. 規(guī)則生成需要一段時(shí)間。生成規(guī)則后，單擊“創(chuàng)建”。當(dāng)提示是否要?jiǎng)?chuàng)建默認(rèn)規(guī)則時(shí)，單擊“否”。不必創(chuàng)建默認(rèn)規(guī)則，因?yàn)橥ㄟ^(guò)為引用計(jì)算機(jī)上的所有可執(zhí)行文件創(chuàng)建規(guī)則，您已經(jīng)創(chuàng)建了等效的更全面的默認(rèn)規(guī)則。

8. 如果計(jì)算機(jī)將應(yīng)用程序存儲(chǔ)在多個(gè)卷上，請(qǐng)重復(fù)步驟 5 到 7，運(yùn)行自動(dòng)生成可執(zhí)行規(guī)則向?qū)r(shí)輸入相應(yīng)的驅(qū)動(dòng)器號(hào)。

9. 生成規(guī)則后，您便可以采用 XML 格式導(dǎo)出允許的應(yīng)用程序列表，方法是右鍵單擊 AppLocker 節(jié)點(diǎn)，然后單擊“導(dǎo)出策略”。還可以將這些規(guī)則導(dǎo)入其他組策略對(duì)象，如應(yīng)用于您組織中的便攜式計(jì)算機(jī)的那些對(duì)象。通過(guò)策略應(yīng)用這些規(guī)則，可以限制應(yīng)用程序的執(zhí)行，從而僅允許執(zhí)行引用計(jì)算機(jī)上存在的應(yīng)用程序。

10. 配置 AppLocker 時(shí)，需要確保通過(guò)服務(wù)控制臺(tái)啟用應(yīng)用程序標(biāo)識(shí)服務(wù)，并確保通過(guò)策略執(zhí)行可強(qiáng)制執(zhí)行規(guī)則。如果禁用此服務(wù)，則不會(huì)應(yīng)用 AppLocker 策略。雖然可以在組策略中配置服務(wù)啟動(dòng)狀態(tài)，但是您必須限制哪些用戶具有本地管理員訪問(wèn)權(quán)限，從而使其無(wú)法繞過(guò) AppLocker。通過(guò)右鍵單擊“計(jì)算機(jī)配置”|“Windows 設(shè)置”|“安全設(shè)置”|“應(yīng)用程序控制策略”|“AppLocker”節(jié)點(diǎn)，然后單擊“策略”，可啟用可執(zhí)行規(guī)則的強(qiáng)制執(zhí)行。啟用“可執(zhí)行規(guī)則”下的“已配置”選項(xiàng)，然后確保選擇了“強(qiáng)制規(guī)則”。

希望這可幫助您學(xué)習(xí)如何實(shí)現(xiàn)和恢復(fù) BitLocker、使用 BitLocker To Go 以及配置 AppLocker 策略。使用這些技術(shù)以及常規(guī)維護(hù)任務(wù)（如確保保持計(jì)算機(jī)使用最新的更新、防病毒軟件和反間諜軟件程序）將增強(qiáng)您組織中運(yùn)行 Windows 7 的計(jì)算機(jī)的安全性。

本文地址

本文來(lái)源：微軟TechNet中文站

本文標(biāo)題：Windows7安全性：幫助保護(hù)您的操作系統(tǒng)的提示和技巧
轉(zhuǎn)載注明：http://m.fisionsoft.com.cn/article/cohcigg.html

新聞中心

準(zhǔn)備 BitLocker

配置數(shù)據(jù)恢復(fù)代理程序

BitLocker To Go

配置 AppLocker

其他資訊