[精选]加固Win7桌面安全15418

单击此处编辑母版标题样式,9/14/2011,#,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,6292,课程：,安装和配置,Windows 7,第,六,讲：,加固,Win 7,桌面安全,课程概览,Windows 7,安全管理概述,使,用本地组策略加固,Win 7,客户端安全,使,用,EFS,和,Bitlocker,加,密数据,配,置应用程序限制,配,置,用,户账户控制（,UAC,）,配,置,Windows Firewall,配,置,IE 8,的安全设置,配,置,Windows Defender,Windows 7,安全管理概述,Windows 7,中的安全功能,什么是操作中心？,Windows 7,中的安全功能,Encrypting File System (EFS),Windows BitLocker,and BitLocker To Go,Windows AppLocker,User Account Control,Windows Firewall with Advanced Security,Windows Defender,Windows 7,操作中心,什么是,Windows,操作中心？,选,择您需要检查的用户警报项目,操,作中心是一个您可以在此查看有关系统信息和诊断解决有关系统问题的中心点和问题的集中处理中心,使用本地组策略加固,Win 7,安全,什么是组策略,组策,略对象是如何应用的,多,个本地组策略如何协同工作,什么是组策略？,组策,略使得,IT,管理,员能够执行自动化的一到多的用户和计算机的管理任务,使用组策略执行如下任务：,应,用标准配置,部署软件,强制安全设置,执行一个,一致,的桌面环境,本地组策略使用在本地应用，即在本地运行的本地用户和域用户以及本地计算机产生影响,组策略对象如何应用？,组策略对象分为计算机对象和用户对象，他们都是间隔固定的时间进行应用，计算机对象在启动时应用，用户对象在登录时应用。,组策,略处理流程：,1. Local GPOs,2. Site-level GPOs,3. Domain GPOs,4. OU GPOs,使用,EFS,和,Bitlocker,加密数据,什么是,EFS,？,什,么是,Bitlocker,？,Bitlocker,需求,Bitlocker,模式,Bitlocker,组,策,略选项,配,置,Bitlocker,配,置,Bitlocker to Go,解,密,Bitlocker,锁定的驱动器,What Is EFS?,加密文件系统（,EFS,）是,Windows,文件系统内置的文件级别的加密工具,透明的文件的加密和解密的方式,需要适当的加密密钥（对称的）来读取加密数据,每个用户必有一个公钥和私钥对，用于保护对称密钥,用户的公钥和私钥,:,可以是自我产生的也可以是从证书颁发机构颁发的,是使用用户的密码进行保护的,允许其他用户的证书访问加密的文件,支持在智能卡上存储私钥,加密文件系统密钥更新向导,新,EFS,组策略设置,支持系统页面的加密,支持,AIS 256,位加密,Windows 7,中的,EFS,新功能,支持每个用户的脱机文件加密,什么是,BitLocker?,Windows Bitlocker,驱动器加密位于计算机操作系统中的操作系统卷和数据卷的中的数据,提供离线数据保护,保护安装在加密卷上的所有其他应用程序,包括系统的完整性验证,验证计算机启动早期的组件的完整性和启动配置文件的完整性,保证了启动过程的完整性,BitLocker,需求,加密和解密密钥：,硬,件需求：,BitLocker,需,要下列条件之一,:,有可信赖,平,台模块（,TPM,）,V1.2,版本或以上的计算机（,硬,件）,一个可移动的,USB,存储设备,有足够的空间使得,Bitlocker,能创建两个分区,有一个兼容,TPM,模块的,BIOS,和支持,USB,引,导启动模式的,BIOS,BitLocker,模式,Windows 7,支持两种,Bitlocker,的操作模式：,TPM mode,Non-TPM,mode,TPM mode,锁定正常的计算机启动过程，直到用户选择提供一个个人密码（,PIN,）或插入一个包含,Bitlocker,启动密钥的,USB,驱动器才能够继续进行,加密的磁盘必须位于原来的计算机,TPM,模式执行系统引导组件的完整性验证,如果其中的任何组件发生了改变，驱动器将被锁定，系统将阻止对其的访问和解密尝试,Non-TPM mode,使用组策略来允许,Bitlocker,在没有,TPM,时工作,和,TPM,模式锁定启动的过程相似，但是,Bitlocker,的启动密钥存储在,USB,驱动器上,计算机的,BIOS,必须要能够从,USB,引,导,提供有限的认证功能,无,法在此模式下执行系统组件的完整性检查,移,动数据存储的设置,组策略提供了如下的,Bitlocker,方面的设置,将,Bitlocker,的备份转向,ADDS,服务,在控制面板上配置恢复文件夹,启,动控制面板的高级设置,配置加密方法,防止重启动时的内存溢出,配置用于存储,Bitlocker,密钥的,方式,Bitlocker,的组策略设定,固定的数据驱动器的设定,Bitlocker,驱动器加密的本地组策略设置,系统驱动器的设置,激活一个计算机启动向导来激活,Bitlocker,引,导功能：,验证系统要求,如果不存在第二分区就进行创建的操作,配置允许使用怎样的方式访问,Bitlocker,加密的驱动器：,USB,User function keys to enter the Passphrase,No key,三种方式来激活,BitLocker:,From,System and Settings,in Control Panel,Right-click the volume to be encrypted in Windows Explorer and select the,Turn on BitLocker,menu option,Use the command-line tool titled,manage-bde.wsf,通过,Windows,资源管理器启动,Bitlocker,通,过控制面板启动,Bitlocker,配置,BitLocker,管理一个由,Bitlocker to Go,加密的驱动器,选择如何存储你的恢复密钥,管理一个由,Bitlocker to Go,加密的驱动器,通过在,USB,驱动器上右键点击该驱动器激活便携设备的,Bitlocker to Go,功能,选择以下的设置之一解锁由,Bitlocker to Go,加密的驱动器,:,使用密码或还原密码解锁,使用智能卡解锁,总是自动解锁在此计算机上的这个设备,配置,BitLocker To Go,选择如何解锁驱动器,通过密码还是通过智能卡,驱动器加密,解锁,Bitlocker,锁定的驱动器,当激活了,Bitlocker,加密的计算机启动时：,BitLocker,检查操作系统的安全状况,如果发现了情况的变化：,BitLocker,进入恢复模式，保持系统驱动器的锁定,用,户必须输入正确的恢复密码才能够继续,Bitlocker,的恢复密码是：,在恢复模式下一个,48,位的用于解锁系统的数字密码,每个密码针对一个专有的,Bitlocker,加密,可存储在活动目录中,如果存储在活动目录中，可以通过使用驱动器标签或是计算机的密码进行搜索,配置应用程序限制,什么是,Applocker,Applocker,规则,什,么是软件限制策略,什么是,Applocker,？,AppLocker,的优点,控制用户如何访问和运行所有类型的应用程序,确保用户仅能运行经过批准的，许可的软件,Applocker,是,Windows 7,的一个全新的安全功能，它能够使得,IT,认识指定究竟什么东西能够在用户的桌面上运行,Applocker,规则,Applocker,的默认规则是：,所有用户都能够默认运行,Program Files,目录中的文件,所有用户都能够运行,Windows,操作系统签署的所有文件,Administrators,组的成员能够运行所有的文件,在创建后续规则前创建默认的,Applocker,规则，然后手动创建新的规则或者为某个特定文件夹自动生成规则,创建自定义规则,在本地安全策略中通过使用,Applocker,向,导创建规则,您可以配置可执行规则，,Windows,安装程序规则，脚本规则,您可以指定一个文件夹，将规则应用于其中的包含,.exe,的所有应用程序,您可以为,.exe,文件创建规则例外,您可以创建一个基于应用程序的数字签名的规则,您可以手动创建一个自定义规则给特定的可执行文件,什么是软件限制策略,Applocker,在功能上取代了之前版本的,SRP,SRP,管,理单元和,SRP,规则在,Windows 7,中是兼容的,Applocker,的规则和,SRP,的规则是完全分开的,Applocker,的组策略和,SRP,的组策略是完全分开的,如果在,GPO,中已经有,Applocker,定义了规则，则只有这些规则适用,最好将,SRP,的定义和,Applocker,的定义放在不同的,GPO,中以便功能的互操作性,软件限制策略,(SRP),允许管理员确定哪些程序可以运行,SRP,was added in Windows XP and Windows Server 2003,SRP,的设计目的是帮助企业有效控制恶意代码和未知代码,-,无论是恶意的还是其他的,SRP,由一个默认的安全级别和所有应用于此组策略对象（,GPO,）的所有规则组成,How does SRP compare to Windows AppLocker?,SRP,和,Applocker,对比,配置用户账户控制,什么是,UAC,UAC,怎样工作的,配,置,UAC,提醒设置,什么是,UAC,？,用户账户控制（,UAC,）是将现有的运行,Windows,的用户在运行一般任务的时候作为标准用户身份运行的安全功能,如果运行某个任务需要管理员权限时，,UAC,会提示用户适用一个管理员账户的凭据,Windows 7,增加了用户能够进行配置的,UAC,项目,UAC,是如何工作的？,在,Windows 7,中，当用户执行一个需要管理员权限才能运行的任务的时候会发生什么呢？,管理员用户,UAC,将,会提示用户确定本次任务的运行,标准用户,UAC,将会提示具有管理员权限的用户凭据,配置,UAC,提醒设置,UAC,提,升的过程的提示设置包含如下的内容,:,Always,notify me,Notify me only when programs try to make changes to my computer,Notify me only when programs try to make changes to my computer (do not dim my desktop),Never notify,配置,Windows,防火墙,配置基本防火墙设置,Windows,高级防火墙设置,应,用程序常用的端口,配置网络位置,打,开或关闭,Windows,防火墙以及自定义网络位置设置,添加，更改或删除允许的程序,设置或修改多个配置文件的设置,配置,Windows,防火墙的通知,配置,Windows,防火墙的基本设置,Windows,高级防火墙设置,Windows Firewall with Advanced Security filters incoming and outgoing connections based on its configuration,入站规则明确允许或拒绝基于该端口的信息流通,出站规则明确允许或拒绝基于该端口的信息流通,连接安全规则适用于使用,IP Sec,加密网络通信,监测界面显示关于当前防火墙规则的详细信息，连接安全规则信息以及安全关联的相关信息,属性,页用户配置域、私人、公共网络的配置文件属性和,IP Sec,的配置,应用程序常用的端口,当一个应用程序想与远程的另一个应用程序或主机建立通讯时，它会创建一个,TCP,或,UDP,的端口,TCP / IP,协议簇,TCP,UDP,Ethernet,HTTP,FTP,SMTP,DNS,POP3,SNMP,IPv6,IPv4,ARP,IGMP,ICMP,HTTPS,配置,IE 8,的安全设置,IE 8,中增强的隐私保护功能,IE 8,中的,SmartScreen,功能,IE 8,中的其他安全功能,IE 8,中增强的隐私保护功能,InPrivate,浏览,默认的删除所有的浏览的历史记录并且不会有日志和相关的追踪在浏览时运行,InPrivate,过滤,帮助监控用户访问第三方网站内容的频率,增,强的浏览器历史记录删除,-,使用户和组织能够有选择性的删除浏览器历史,IE 8,中的,SmartScreen,功能,使用此链接导航远离不安全的网站，并开始从一个受信任的位置浏览,使用此链接无视警告，在地址栏仍然是一个红色的持续警告，标示该网站不安全,配置,Windows Defender,什么是恶意软件,什,么是,Windows Defender,Windows Defender,扫描选项,什么是恶意软件,恶意软件包括：,Viruses,病毒,Worms,蠕虫,Trojan,horses,特洛伊木马,Spyware,间谍软件,Adware,广告软件,恶,意软件导致：,Poor performance,Loss of data,Compromise of private,information,私人信息,Reduction in end user,efficiency,效率下降,Unapproved computer configuration changes,恶意软件是专门用来设计对计算机产生损害的一种软件,什么是,Windows Defender,？,Windows Defender,是一款可以帮助防止安全威胁并检测和删除计算机中已知的安全威胁的一款软件,定,期执行计划的扫描,提供不同级别的配置选项，高，中，低的级别配置,提供可定制的选项来进行扫描的排除,使用,Windows,自动更新来安装新的间谍软件定义,Windows Defender,中的扫描选项,You define when to scan,You define what to scan,Option,Description,扫描存档文件,May increase scanning time, but spyware likes to hide in these locations,Scan e-mail,Scan e-mail messages and attachments,扫描可移动驱动器,Scan removable drives such as USB flash drives,使用启发式扫描,Alert you to potentially harmful behavior if it is not included in a definition file,创建一个还原点,If detected items are automatically removed, this restores system settings if you want to use software you did not intend to remove,Scan Type,Description,Quick scan,Scan the areas of the computer that is most likely to infect be infected,Full scan,Scan all areas of the computer,Custom scan,Scan specific areas of the computer only,当扫描完成后，结果将显示在首页,课外知识了解：,Windows,安全软件,客户端安全,SCE,Forefront,定,期包,服务器安全,Forefront,定期,包,下一节：,Win 7,计算机的优化和维护,9,、静夜四无邻，荒居旧业贫。,10月-24,10月-24,Tuesday, October 1, 2024,10,、雨中黄叶树，灯下白头人。,14:01:30,14:01:30,14:01,10/1/2024 2:01:30 PM,11,、以我独沈久，愧君相见频。,10月-24,14:01:30,14:01,Oct-24,01-Oct-24,12,、故人江海别，几度隔山川。,14:01:30,14:01:30,14:01,Tuesday, October 1, 2024,13,、乍见翻疑梦，相悲各问年。,10月-24,10月-24,14:01:30,14:01:30,October 1, 2024,14,、他乡生白发，旧国见青山。,01 十月 2024,2:01:30 下午,14:01:30,10月-24,15,、比不了得就不比，得不到的就不要。,。,十月 24,2:01 下午,10月-24,14:01,October 1, 2024,16,、行动出成果，工作出财富。,2024/10/1 14:01:30,14:01:30,01 October 2024,17,、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。,2:01:30 下午,2:01 下午,14:01:30,10月-24,9,、没有失败，只有暂时停止成功！。,10月-24,10月-24,Tuesday, October 1, 2024,10,、很多事情努力了未必有结果，但是不努力却什么改变也没有。,14:01:30,14:01:30,14:01,10/1/2024 2:01:30 PM,11,、成功就是日复一日那一点点小小努力的积累。,10月-24,14:01:30,14:01,Oct-24,01-Oct-24,12,、世间成事，不求其绝对圆满，留一份不足，可得无限完美。,14:01:30,14:01:30,14:01,Tuesday, October 1, 2024,13,、不知香积寺，数里入云峰。,10月-24,10月-24,14:01:30,14:01:30,October 1, 2024,14,、意志坚强的人能把世界放在手中像泥块一样任意揉捏。,01 十月 2024,2:01:30 下午,14:01:30,10月-24,15,、楚塞三湘接，荆门九派通。,。,十月 24,2:01 下午,10月-24,14:01,October 1, 2024,16,、少年十五二十时，步行夺得胡马骑。,2024/10/1 14:01:30,14:01:30,01 October 2024,17,、空山新雨后，天气晚来秋。,2:01:30 下午,2:01 下午,14:01:30,10月-24,9,、杨柳散和风，青山澹吾虑。,10月-24,10月-24,Tuesday, October 1, 2024,10,、阅读一切好书如同和过去最杰出的人谈话。,14:01:30,14:01:30,14:01,10/1/2024 2:01:30 PM,11,、越是没有本领的就越加自命不凡。,10月-24,14:01:30,14:01,Oct-24,01-Oct-24,12,、越是无能的人，越喜欢挑剔别人的错儿。,14:01:30,14:01:30,14:01,Tuesday, October 1, 2024,13,、知人者智，自知者明。胜人者有力，自胜者强。,10月-24,10月-24,14:01:30,14:01:30,October 1, 2024,14,、意志坚强的人能把世界放在手中像泥块一样任意揉捏。,01 十月 2024,2:01:30 下午,14:01:30,10月-24,15,、最具挑战性的挑战莫过于提升自我。,十月 24,2:01 下午,10月-24,14:01,October 1, 2024,16,、业余生活要有意义，不要越轨。,2024/10/1 14:01:30,14:01:30,01 October 2024,17,、一个人即使已登上顶峰，也仍要自强不息。,2:01:30 下午,2:01 下午,14:01:30,10月-24,MOMODA POWERPOINT,Lorem ipsum dolor sit amet, consectetur adipiscing elit. Fusce id urna blandit, eleifend nulla ac, fringilla purus. Nulla iaculis tempor felis ut cursus.,感谢您的下载观看,专家告诉,