06加固Win7桌面安全课件.ppt

1、 6292课程：安装和配置Windows 7课程概览Windows 7安全管理概述使用本地组策略加固Win 7客户端安全使用EFS和Bitlocker加密数据配置应用程序限制配置用户账户控制（UAC）配置Windows Firewall配置IE 8的安全设置配置Windows DefenderWindows 7安全管理概述 Windows 7中的安全功能 什么是操作中心？Windows 7中的安全功能Encrypting File System(EFS)Windows BitLocker and BitLocker To GoWindows AppLockerUser Account Cont

2、rol Windows Firewall with Advanced SecurityWindows DefenderWindows 7操作中心什么是Windows 操作中心？选择您需要检查的用户警报项目操作中心是一个您可以在此查看有关系统信息和诊断解决有关系统问题的中心点和问题的集中处理中心使用本地组策略加固Win 7安全 什么是组策略 组策略对象是如何应用的 多个本地组策略如何协同工作什么是组策略？组策略使得IT管理员能够执行自动化的一到多的用户和计算机的管理任务使用组策略执行如下任务：应用标准配置部署软件强制安全设置执行一个一致的桌面环境本地组策略使用在本地应用，即在本地运行的本地用户和

3、域用户以及本地计算机产生影响组策略对象如何应用？组策略对象分为计算机对象和用户对象，他们都是间隔固定的时间进行应用，计算机对象在启动时应用，用户对象在登录时应用。组策略处理流程：1.Local GPOs2.Site-level GPOs3.Domain GPOs4.OU GPOs使用EFS和Bitlocker加密数据 什么是EFS？什么是Bitlocker？Bitlocker需求 Bitlocker模式 Bitlocker组策略选项 配置Bitlocker 配置Bitlocker to Go 解密Bitlocker锁定的驱动器What Is EFS?加密文件系统（EFS）是Windows 文件

4、系统内置的文件级别的加密工具透明的文件的加密和解密的方式需要适当的加密密钥（对称的）来读取加密数据每个用户必有一个公钥和私钥对，用于保护对称密钥用户的公钥和私钥:可以是自我产生的也可以是从证书颁发机构颁发的是使用用户的密码进行保护的允许其他用户的证书访问加密的文件支持在智能卡上存储私钥加密文件系统密钥更新向导新EFS组策略设置支持系统页面的加密支持AIS 256位加密Windows 7中的EFS新功能支持每个用户的脱机文件加密什么是BitLocker?Windows Bitlocker驱动器加密位于计算机操作系统中的操作系统卷和数据卷的中的数据提供离线数据保护保护安装在加密卷上的所有其他应用程

5、序包括系统的完整性验证验证计算机启动早期的组件的完整性和启动配置文件的完整性保证了启动过程的完整性BitLocker 需求加密和解密密钥：硬件需求：BitLocker 需要下列条件之一:有可信赖平台模块（TPM）V1.2版本或以上的计算机（硬件）一个可移动的USB存储设备 有足够的空间使得Bitlocker能创建两个分区l有一个兼容TPM模块的BIOS和支持USB引导启动模式的BIOSBitLocker 模式Windows 7支持两种Bitlocker的操作模式：TPM modeNon-TPM modeTPM mode 锁定正常的计算机启动过程，直到用户选择提供一个个人密码（PIN）或插入一个

6、包含Bitlocker启动密钥的USB驱动器才能够继续进行 加密的磁盘必须位于原来的计算机 TPM模式执行系统引导组件的完整性验证如果其中的任何组件发生了改变，驱动器将被锁定，系统将阻止对其的访问和解密尝试Non-TPM mode使用组策略来允许Bitlocker在没有TPM时工作和TPM模式锁定启动的过程相似，但是Bitlocker的启动密钥存储在USB驱动器上 计算机的BIOS必须要能够从USB引导 提供有限的认证功能 无法在此模式下执行系统组件的完整性检查移动数据存储的设置组策略提供了如下的Bitlocker方面的设置将Bitlocker的备份转向ADDS服务在控制面板上配置恢复文件夹启

7、动控制面板的高级设置配置加密方法防止重启动时的内存溢出配置用于存储Bitlocker密钥的方式Bitlocker的组策略设定固定的数据驱动器的设定Bitlocker驱动器加密的本地组策略设置系统驱动器的设置激活一个计算机启动向导来激活Bitlocker引导功能：验证系统要求 如果不存在第二分区就进行创建的操作 配置允许使用怎样的方式访问Bitlocker加密的驱动器：USB User function keys to enter the Passphrase No key三种方式来激活 BitLocker:From System and Settings in Control Panel Ri

8、ght-click the volume to be encrypted in Windows Explorer and select the Turn on BitLocker menu option Use the command-line tool titled manage-bde.wsf通过Windows资源管理器启动Bitlocker通过控制面板启动Bitlocker配置BitLocker管理一个由Bitlocker to Go加密的驱动器选择如何存储你的恢复密钥管理一个由Bitlocker to Go加密的驱动器 通过在USB驱动器上右键点击该驱动器激活便携设备的Bitlocke

9、r to Go功能 选择以下的设置之一解锁由Bitlocker to Go 加密的驱动器:使用密码或还原密码解锁 使用智能卡解锁 总是自动解锁在此计算机上的这个设备配置BitLocker To Go选择如何解锁驱动器通过密码还是通过智能卡驱动器加密解锁Bitlocker锁定的驱动器当激活了Bitlocker加密的计算机启动时：BitLocker 检查操作系统的安全状况 如果发现了情况的变化：BitLocker 进入恢复模式，保持系统驱动器的锁定 用户必须输入正确的恢复密码才能够继续Bitlocker的恢复密码是：在恢复模式下一个48位的用于解锁系统的数字密码每个密码针对一个专有的Bitlock

10、er加密可存储在活动目录中如果存储在活动目录中，可以通过使用驱动器标签或是计算机的密码进行搜索配置应用程序限制 什么是Applocker Applocker规则 什么是软件限制策略什么是Applocker？AppLocker的优点 控制用户如何访问和运行所有类型的应用程序 确保用户仅能运行经过批准的，许可的软件Applocker是Windows 7的一个全新的安全功能，它能够使得IT认识指定究竟什么东西能够在用户的桌面上运行Applocker规则Applocker的默认规则是：所有用户都能够默认运行Program Files目录中的文件所有用户都能够运行Windows操作系统签署的所有文件Ad

11、ministrators组的成员能够运行所有的文件在创建后续规则前创建默认的Applocker规则，然后手动创建新的规则或者为某个特定文件夹自动生成规则创建自定义规则在本地安全策略中通过使用Applocker向导创建规则您可以配置可执行规则，Windows安装程序规则，脚本规则您可以指定一个文件夹，将规则应用于其中的包含.exe的所有应用程序您可以为.exe文件创建规则例外您可以创建一个基于应用程序的数字签名的规则您可以手动创建一个自定义规则给特定的可执行文件什么是软件限制策略Applocker在功能上取代了之前版本的SRPSRP管理单元和SRP规则在Windows 7中是兼容的Applock

12、er的规则和SRP的规则是完全分开的Applocker的组策略和SRP的组策略是完全分开的如果在GPO中已经有Applocker定义了规则，则只有这些规则适用最好将SRP的定义和Applocker的定义放在不同的GPO中以便功能的互操作性软件限制策略(SRP)允许管理员确定哪些程序可以运行SRP was added in Windows XP and Windows Server 2003SRP的设计目的是帮助企业有效控制恶意代码和未知代码-无论是恶意的还是其他的SRP由一个默认的安全级别和所有应用于此组策略对象（GPO）的所有规则组成How does SRP compare to Windo

13、ws AppLocker?SRP和Applocker对比配置用户账户控制 什么是UAC UAC怎样工作的 配置UAC提醒设置什么是UAC？用户账户控制（UAC）是将现有的运行Windows的用户在运行一般任务的时候作为标准用户身份运行的安全功能如果运行某个任务需要管理员权限时，UAC会提示用户适用一个管理员账户的凭据Windows 7增加了用户能够进行配置的UAC项目UAC是如何工作的？在Windows 7中，当用户执行一个需要管理员权限才能运行的任务的时候会发生什么呢？管理员用户UAC将会提示用户确定本次任务的运行标准用户UAC将会提示具有管理员权限的用户凭据配置UAC提醒设置UAC提升的过

14、程的提示设置包含如下的内容:Always notify me Notify me only when programs try to make changes to my computer Notify me only when programs try to make changes to my computer(do not dim my desktop)Never notify配置Windows防火墙 配置基本防火墙设置 Windows高级防火墙设置 应用程序常用的端口配置网络位置打开或关闭Windows防火墙以及自定义网络位置设置添加，更改或删除允许的程序设置或修改多个配置文件的设置配

15、置Windows防火墙的通知配置Windows防火墙的基本设置Windows高级防火墙设置Windows Firewall with Advanced Security filters incoming and outgoing connections based on its configuration入站规则明确允许或拒绝基于该端口的信息流通出站规则明确允许或拒绝基于该端口的信息流通连接安全规则适用于使用IP Sec加密网络通信监测界面显示关于当前防火墙规则的详细信息，连接安全规则信息以及安全关联的相关信息属性页用户配置域、私人、公共网络的配置文件属性和IP Sec的配置应用程序常用的端口

16、TCP/IP 协议簇TCP UDP Ethernet HTTPFTPSMTPDNSPOP3SNMPIPv6IPv4ARPIGMP ICMPHTTPS配置IE 8的安全设置 IE 8中增强的隐私保护功能 IE 8中的SmartScreen功能 IE 8中的其他安全功能IE 8中增强的隐私保护功能InPrivate 浏览 默认的删除所有的浏览的历史记录并且不会有日志和相关的追踪在浏览时运行InPrivate 过滤 帮助监控用户访问第三方网站内容的频率增强的浏览器历史记录删除-使用户和组织能够有选择性的删除浏览器历史IE 8中的SmartScreen功能使用此链接导航远离不安全的网站，并开始从一个受

17、信任的位置浏览使用此链接无视警告，在地址栏仍然是一个红色的持续警告，标示该网站不安全配置Windows Defender 什么是恶意软件 什么是Windows Defender Windows Defender扫描选项什么是恶意软件恶意软件包括：Viruses 病毒Worms 蠕虫Trojan horses 特洛伊木马Spyware 间谍软件Adware 广告软件恶意软件导致：Poor performanceLoss of dataCompromise of private information 私人信息Reduction in end user efficiency 效率下降Unappro

18、ved computer configuration changes恶意软件是专门用来设计对计算机产生损害的一种软件什么是Windows Defender？Windows Defender是一款可以帮助防止安全威胁并检测和删除计算机中已知的安全威胁的一款软件定期执行计划的扫描提供不同级别的配置选项，高，中，低的级别配置提供可定制的选项来进行扫描的排除使用Windows自动更新来安装新的间谍软件定义Windows Defender中的扫描选项You define when to scanYou define what to scanOptionDescription扫描存档文件May incre

19、ase scanning time,but spyware likes to hide in these locationsScan e-mailScan e-mail messages and attachments扫描可移动驱动器Scan removable drives such as USB flash drives使用启发式扫描Alert you to potentially harmful behavior if it is not included in a definition file创建一个还原点If detected items are automatically rem

20、oved,this restores system settings if you want to use software you did not intend to removeScan TypeDescriptionQuick scanScan the areas of the computer that is most likely to infect be infectedFull scanScan all areas of the computerCustom scanScan specific areas of the computer only当扫描完成后，结果将显示在首页课外

21、知识了解：Windows安全软件客户端安全SCE Forefront定期包服务器安全Forefront定期包、书籍是全世界的营养品。生活里没有书籍，就好像没有阳光；智慧里没有书籍，就好像鸟儿没有翅膀莎士比亚2、书籍使人变得思想奔放。革拉特珂夫3、书籍是造就灵魂的工具雨果4、经验丰富的人读书用两只眼睛，一只眼睛看到纸面上的话，另一只眼睛看到纸的背面。歌德5、我扑在书籍上，就好像饥饿的人扑在面包上。高尔基6、书籍是巨大的力量。列宁7、书人类发出的最美妙的声音。莱文8、生活在我们这个世界里，不读书就完全不可能了解人。高尔基9、黑发不知勤学早，白首方悔读书迟。颜真卿10、书是良药，善读之可以医愚。刘向

22、11、读书破万卷，下笔如有神。杜甫12、在你渴望时，它前来给予详细指教，但是从不纠缠不休。比切13、书籍是少年的食物，它使老年人快乐，也是繁荣的装饰和危难的避难所，慰人心灵。在家庭成为快乐的种子，在外也不致成为障碍物，但在旅行之际，却是夜间的伴侣西塞罗14、过去一切时代的精华尽在书中。卡莱尔15、书籍并不是没有生命的东西，它包藏着一种生命的潜力，与作者同样地活跃。不仅如此，它还像一个宝瓶，把作者生机勃勃的智慧中最纯净的精华保存起来弥尔顿16、每一本书都是一个用黑字印在白纸上的灵魂，只要我的眼睛、我的理智接触了它，它就活起来了。高尔基17、读一本好书，就是和许多高尚的人谈话。笛卡尔18、读书之于

23、头脑，好比运动之于身体。爱迪生19、书籍乃世人积累智慧之长明灯寇第斯20、光阴给我们经验，读书给我们知识。奥斯特洛夫斯基21、读书有三到，谓心到，眼到，口到。朱熹22、书籍是青年人不可分离的生命伴侣和导师。高尔基23、和书籍生活在一起，永远不会叹气。罗曼罗兰24、书籍是最好的朋友。当生活中遇到任何困难的时候，你都可以向它求助，它永远不会背弃你都德25、书籍通过心灵观察世界的窗口。住宅里没有书，犹如房间没有窗户。威尔逊26、读一本好书，象交了一个益友。臧克家27、读万卷书，行万里路。刘彝15)时间一天天过去，有时觉得它漫长难熬，有时却又感到那么短促;有时愉快幸福，有时又悲伤惆怅。一天与一天不同，

24、一日和一日有别，仿佛一昼夜之间也有春夏秋冬之分。;阿;巴巴耶娃16)世界上最快而又最慢，最长而又最短，最平凡而又最珍贵，最容易被人忽视，而又最令人后悔的就是时间。;高尔基17)在人类生活中，时间刹那而过，它的本体是处于一个流动状态中，知觉是昏钝的，整个肉体的构成是易腐朽的，灵魂是一个疾转之物，运气是很难预料的，名望是缺乏见识的东西。;马尔库;奥勒留18)时间就是金钱，而且对用它来计算利益的人来说，是一笔巨大的金额。;狄更斯19)时间会刺破青春表面的彩饰，会在美人的额上掘深沟浅槽;会吃掉稀世之珍!天生丽质，什么都逃不过他那横扫的镰刀。;莎士比亚20)浪费别人的时间等于是谋财害命，浪费自己的时间等

25、于是慢性自杀。;列宁关于描写时间的名人名言1)时间是衡量事业的标准。;培根2)生命是短促的，然而尽管如此，人们还是有时间讲究礼仪。;爱献生3)历史孕育了真理，它能和时间抗衡，把遗闻旧事保藏下来。它是往昔的迹象，当代的鉴戒，后世的教训。;塞万提斯4)时间是由分秒积成的，善于利用零星时间的人，才会做出更大的成绩来。;华罗庚5)时间是人类发展的空间。;马克思6)在无限的时间的河流里，人生仅仅是微小又微小的波浪。;郭小川7)重复言说多半是一种时间上的损失。;培根8)开诚布公与否和友情的深浅，不应该用时间的长短来衡量。;巴尔扎克9)真正的敏捷是一件很有价值的事。因为时间是衡量事业的标准，如金钱是衡量货物

26、的标准。;弗;培根10)正当利用时间!你要理解什么，不要舍近求远。;歌德11)人的全部本领无非是耐心和时间的混合物。;巴尔扎克12)生命的长短以时间来计算，生命的价值以贡献来计算。;裴多菲13)敢于浪费哪怕一个钟头时间的人，说明他还不懂得珍惜生命的全部价值。;达尔文14)有了朋友，生命才显出它全部的价值;一个人活着是为了朋友;保持自己生命的完整，不受时间侵蚀，也是为了朋友。友谊要像爱情一样才温暖人心，爱情要像友谊一样才牢不可破。;穆尔;约翰15)从不浪费时间的人，没有工夫抱怨时间不够。;杰弗逊16)不善于利用时间的人，总是首先抱怨没有时间，因为他把时间都耗费在穿吃睡和聊天上，去考虑该做什么，而

27、只是什么也不去做。;拉布吕耶尔17)时间给勤劳者留下串串的果实，而给懒汉只留下一头白发和空空的双手。;高尔基18)在时间的大钟上，只有两个字;现在。;莎士比亚19)好事总是需要时间，不付出大量的心血和劳动是做不成大事的。想吃核桃，就是得首先咬开坚硬的果壳。;格里美尔斯豪森20)合理安排时间，就等于节约时间。培根描写时间的名人名言推荐1)不管饕餮的时间怎样吞噬着一切，我们要在这一息尚存的时候，努力博取我们的声誉，使时间的镰刀不能伤害我们。;莎士比亚2)少壮不努力，老大徒伤悲。;长歌行3)实际上，没有一种社会形态能够阻止社会所支配的劳动时间以这处或那种方式调整生产。;马克思4)我们若要生活，就该为

28、自己建造一种充满感受思索和行动的时钟，用它来代替这个枯燥单调以愁闷来扼杀心灵，带有责备意味和冷冷地滴答着的时间。;高尔基5)在老年时，会有许多闲暇的时间，去计算那过去的日子，把我们手里永久丢失了的东西，在心里爱抚着。;泰戈尔6)在历史急剧转变的关头，往往连先进的政党也会在相当的一段时间内不能理解新的局势而复旧的口号，这些口号在昨天是正确要在已成的事业中逗留着！要在已成的事业中逗留着！-巴斯德（法国）巴斯德（法国）我从不想未来，它来得太快。我从不想未来，它来得太快。-爱因斯坦（美国）爱因斯坦（美国）等你们六十岁的时候，你们就会珍惜由你们支配的每一个钟头了。等你们六十岁的时候，你们就会珍惜由你们支

29、配的每一个钟头了。-爱因斯坦（美国）爱因斯坦（美国）世界上，宇宙中，有多少难解的谜啊世界上，宇宙中，有多少难解的谜啊还是抓紧时间工作吧！还是抓紧时间工作吧！-爱因斯坦（美国）爱因斯坦（美国）即使上帝也无法改变过去。即使上帝也无法改变过去。-亚里士多德（希腊）亚里士多德（希腊）最有希望的成功者，并不是才干出众的人而是那些最善于利用每一时机去发掘开拓的人。最有希望的成功者，并不是才干出众的人而是那些最善于利用每一时机去发掘开拓的人。-苏格拉底（希腊）苏格拉底（希腊）当许多人在一条路上徘徊不前时，他们不得不让开一条大路，让那珍惜时间的人赶到他们的前面当许多人在一条路上徘徊不前时，他们不得不让开一条大

30、路，让那珍惜时间的人赶到他们的前面去。去。-苏格拉底（希腊）苏格拉底（希腊）一生没有虚过，可以愉快地死，如同一天没有虚过，可以安眠！一生没有虚过，可以愉快地死，如同一天没有虚过，可以安眠！-达达芬奇（意大利）芬奇（意大利）希望是永远达不到的，因此，人才希望，追求希望。希望是永远达不到的，因此，人才希望，追求希望。-富兰克林（美国）富兰克林（美国）从事一项事情，先要决定志向，志向决定之后就要全力以赴毫不犹豫地去实行。从事一项事情，先要决定志向，志向决定之后就要全力以赴毫不犹豫地去实行。-富兰克林（美国）富兰克林（美国）希望是生命的源泉，失去它生命就会枯萎。希望是生命的源泉，失去它生命就会枯萎。-

31、富兰克林（美国）富兰克林（美国）以希望为生的人，将绝食而死。以希望为生的人，将绝食而死。-富兰克林（美国）富兰克林（美国）每个人都有一不的理想，这种理想决定着他的努力判断的方向。就在这个意义上，我从来不把安逸和享乐看做是生活目的的本身每个人都有一不的理想，这种理想决定着他的努力判断的方向。就在这个意义上，我从来不把安逸和享乐看做是生活目的的本身-这种基础，我叫它猪栏的理想。照亮我的道路，并且不断地给我新的勇气去愉快地正视生活的理想，是善、美、真。这种基础，我叫它猪栏的理想。照亮我的道路，并且不断地给我新的勇气去愉快地正视生活的理想，是善、美、真。-爱因斯坦（美国）无论何时，不管怎样，我也绝不允

32、许自己有一点灰心丧气。爱因斯坦（美国）无论何时，不管怎样，我也绝不允许自己有一点灰心丧气。-爱迪生（美国）爱迪生（美国）对我来说，信念意味着不担心。对我来说，信念意味着不担心。-杜威（美国）杜威（美国）希望贯穿一切，临死也不会抛弃我们。希望贯穿一切，临死也不会抛弃我们。-波普（美国）波普（美国）希望永远在人的胸膛汹涌。人要经常感觉不是现在幸福，而是就要幸福了。希望永远在人的胸膛汹涌。人要经常感觉不是现在幸福，而是就要幸福了。-波普（美国）波普（美国）毫无理想而又优柔寡断是一种可悲的心理。毫无理想而又优柔寡断是一种可悲的心理。-培根（英国）培根（英国）只有知道了通往今天的路，我们才能清楚而明智地规划未来。只有知道了通往今天的路，我们才能清楚而明智地规划未来。-斯蒂文生（英国）斯蒂文生（英国）