加固Win7桌面安全课件

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版标题样式,*,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,6292课程：,安装和配置Windows7,讲：,加固Win7桌面安全,课程概览,Windows 7,安全管理概述,使用本地组策略加固,Win 7,客户端安全,使用,EFS,和,Bitlocker,加密数据,配置应用程序限制,配置用户账户控制（,UAC,）,配置,Windows Firewall,配置,IE 8,的安全设置,配置,Windows Defender,Windows 7安全管理概述,Windows 7中的安全功能,什么是操作中心？,Windows 7中的安全功能,Encrypting File System(EFS),Windows BitLocker and BitLocker To Go,Windows AppLocker,User Account Control,Windows Firewall with Advanced Security,Windows Defender,Windows 7,操作中心,什么是Windows 操作中心？,选择您需要检查的用户警报项目,操作中心是一个您可以在此查看有关系统信息和诊断解决有关系统问题的中心点和问题的集中处理中心,使用本地组策略加固Win 7安全,什么是组策略,组策略对象是如何应用的,多个本地组策略如何协同工作,什么是组策略？,组策略使得,IT,管理员能够执行自动化的一到多的用户和计算机的管理任务,使用组策略执行如下任务：,应,用标准配置,部署软件,强制安全设置,执行一个,一致,的桌面环境,本地组策略使用在本地应用，即在本地运行的本地用户和域用户以及本地计算机产生影响,组策略对象如何应用？,组策略对象分为计算机对象和用户对象，他们都是间隔固定的时间进行应用，计算机对象在启动时应用，用户对象在登录时应用。,组策略处理流程：,1.Local GPOs,2.Site-level GPOs,3.Domain GPOs,4.OU GPOs,使用EFS和Bitlocker加密数据,什么是EFS？,什么是Bitlocker？,Bitlocker需求,Bitlocker模式,Bitlocker组策略选项,配置Bitlocker,配置Bitlocker to Go,解密Bitlocker锁定的驱动器,What Is EFS?,加密文件系统（,EFS,）是,Windows,文件系统内置的文件级别的加密工具,透明的文件的加密和解密的方式,需要适当的加密密钥（对称的）来读取加密数据,每个用户必有一个公钥和私钥对，用于保护对称密钥,用户的公钥和私钥,:,可以是自我产生的也可以是从证书颁发机构颁发的,是使用用户的密码进行保护的,允许其他用户的证书访问加密的文件,支持在智能卡上存储私钥,加密文件系统密钥更新向导,新,EFS,组策略设置,支持系统页面的加密,支持,AIS 256,位加密,Windows 7,中的,EFS,新功能,支持每个用户的脱机文件加密,什么是BitLocker?,Windows Bitlocker,驱动器加密位于计算机操作系统中的操作系统卷和数据卷的中的数据,提供离线数据保护,保护安装在加密卷上的所有其他应用程序,包括系统的完整性验证,验证计算机启动早期的组件的完整性和启动配置文件的完整性,保证了启动过程的完整性,BitLocker 需求,加密和解密密钥：,硬件需求：,BitLocker,需要下列条件之一,:,有可信赖,平,台模块（,TPM,）,V1.2,版本或以上的计算机（,硬,件）,一个可移动的,USB,存储设备,有足够的空间使得,Bitlocker,能创建两个分区,有一个兼容,TPM,模块的,BIOS,和支持,USB,引,导启动模式的,BIOS,BitLocker 模式,Windows 7,支持两种,Bitlocker,的操作模式：,TPM mode,Non-TPM,mode,TPM mode,锁定正常的计算机启动过程，直到用户选择提供一个个人密码（,PIN,）或插入一个包含,Bitlocker,启动密钥的,USB,驱动器才能够继续进行,加密的磁盘必须位于原来的计算机,TPM,模式执行系统引导组件的完整性验证,如果其中的任何组件发生了改变，驱动器将被锁定，系统将阻止对其的访问和解密尝试,Non-TPM mode,使用组策略来允许,Bitlocker,在没有,TPM,时工作,和,TPM,模式锁定启动的过程相似，但是,Bitlocker,的启动密钥存储在,USB,驱动器上,计算机的,BIOS,必须要能够从,USB,引,导,提供有限的认证功能,无,法在此模式下执行系统组件的完整性检查,移动数据存储的设置,组策略提供了如下的,Bitlocker,方面的设置,将,Bitlocker,的备份转向,ADDS,服务,在控制面板上配置恢复文件夹,启,动控制面板的高级设置,配置加密方法,防止重启动时的内存溢出,配置用于存储,Bitlocker,密钥的,方式,Bitlocker的组策略设定,固定的数据驱动器的设定,Bitlocker,驱动器加密的本地组策略设置,系统驱动器的设置,激活一个计算机启动向导来激活,Bitlocker,引导功能：,验证系统要求,如果不存在第二分区就进行创建的操作,配置允许使用怎样的方式访问,Bitlocker,加密的驱动器：,USB,User function keys to enter the Passphrase,No key,三种方式来激活,BitLocker:,From,System and Settings,in Control Panel,Right-click the volume to be encrypted in Windows Explorer and select the,Turn on BitLocker,menu option,Use the command-line tool titled,manage-bde.wsf,通过,Windows,资源管理器启动,Bitlocker,通过控制面板启动,Bitlocker,配置BitLocker,管理一个由,Bitlocker to Go,加密的驱动器,选择如何存储你的恢复密钥,管理一个由,Bitlocker to Go,加密的驱动器,通过在,USB,驱动器上右键点击该驱动器激活便携设备的,Bitlocker to Go,功能,选择以下的设置之一解锁由,Bitlocker to Go,加密的驱动器,:,使用密码或还原密码解锁,使用智能卡解锁,总是自动解锁在此计算机上的这个设备,配置BitLocker To Go,选择如何解锁驱动器,通过密码还是通过智能卡,驱动器加密,解锁Bitlocker锁定的驱动器,当激活了,Bitlocker,加密的计算机启动时：,BitLocker,检查操作系统的安全状况,如果发现了情况的变化：,BitLocker,进入恢复模式，保持系统驱动器的锁定,用,户必须输入正确的恢复密码才能够继续,Bitlocker,的恢复密码是：,在恢复模式下一个,48,位的用于解锁系统的数字密码,每个密码针对一个专有的,Bitlocker,加密,可存储在活动目录中,如果存储在活动目录中，可以通过使用驱动器标签或是计算机的密码进行搜索,配置应用程序限制,什么是Applocker,Applocker规则,什么是软件限制策略,什么是Applocker？,AppLocker,的优点,控制用户如何访问和运行所有类型的应用程序,确保用户仅能运行经过批准的，许可的软件,Applocker,是,Windows 7,的一个全新的安全功能，它能够使得,IT,认识指定究竟什么东西能够在用户的桌面上运行,Applocker规则,Applocker,的默认规则是：,所有用户都能够默认运行,Program Files,目录中的文件,所有用户都能够运行,Windows,操作系统签署的所有文件,Administrators,组的成员能够运行所有的文件,在创建后续规则前创建默认的,Applocker,规则，然后手动创建新的规则或者为某个特定文件夹自动生成规则,创建自定义规则,在本地安全策略中通过使用,Applocker,向导创建规则,您可以配置可执行规则，,Windows,安装程序规则，脚本规则,您可以指定一个文件夹，将规则应用于其中的包含,.exe,的所有应用程序,您可以为,.exe,文件创建规则例外,您可以创建一个基于应用程序的数字签名的规则,您可以手动创建一个自定义规则给特定的可执行文件,什么是软件限制策略,Applocker,在功能上取代了之前版本的,SRP,SRP,管理单元和,SRP,规则在,Windows 7,中是兼容的,Applocker,的规则和,SRP,的规则是完全分开的,Applocker,的组策略和,SRP,的组策略是完全分开的,如果在,GPO,中已经有,Applocker,定义了规则，则只有这些规则适用,最好将,SRP,的定义和,Applocker,的定义放在不同的,GPO,中以便功能的互操作性,软件限制策略,(SRP),允许管理员确定哪些程序可以运行,SRP,was added in Windows XP and Windows Server 2003,SRP,的设计目的是帮助企业有效控制恶意代码和未知代码,-,无论是恶意的还是其他的,SRP,由一个默认的安全级别和所有应用于此组策略对象（,GPO,）的所有规则组成,How does SRP compare to Windows AppLocker?,SRP,和,Applocker,对比,配置用户账户控制,什么是UAC,UAC怎样工作的,配置UAC提醒设置,什么是UAC？,用户账户控制（,UAC,）是将现有的运行,Windows,的用户在运行一般任务的时候作为标准用户身份运行的安全功能,如果运行某个任务需要管理员权限时，,UAC,会提示用户适用一个管理员账户的凭据,Windows 7,增加了用户能够进行配置的,UAC,项目,UAC是如何工作的？,在,Windows 7,中，当用户执行一个需要管理员权限才能运行的任务的时候会发生什么呢？,管理员用户,UAC,将会提示用户确定本次任务的运行,标准用户,UAC,将会提示具有管理员权限的用户凭据,配置UAC提醒设置,UAC,提升的过程的提示设置包含如下的内容,:,Always,notify me,Notify me only when programs try to make changes to my computer,Notify me only when programs try to make changes to my computer(do not dim my desktop),Never notify,配置Windows防火墙,配置基本防火墙设置,Windows高级防火墙设置,应用程序常用的端口,配置网络位置,打开或关闭,Windows,防火墙以及自定义网络位置设置,添加，更改或删除允许的程序,设置或修改多个配置文件的设置,配置,Windows,防火墙的通知,配置,Windows,防火墙的基本设置,Windows高级防火墙设置,Windows Firewall with Advanced Security filters incoming and outgoing connections based on its configuration,入站规则明确允许或拒绝基于该端口的信息流通,出站规则明确允许或拒绝基于该端口的信息流通,连接安全规则适用于使用,IP Sec,