[精选]加固Win7桌面安全15418.pptx

《[精选]加固Win7桌面安全15418.pptx》由会员分享，可在线阅读，更多相关《[精选]加固Win7桌面安全15418.pptx（39页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、6292课程：安装和配置Windows 7第六讲：加固Win 7桌面安全课程概览Windows 7安全管理概述使用本地组策略加固Win 7客户端安全使用EFS和Bitlocker加密数据配置应用程序限制配置用户账户控制（UAC）配置Windows Firewall配置IE 8的安全设置配置Windows DefenderWindows 7安全管理概述Windows 7中的安全功能什么是操作中心？Windows 7中的安全功能Encrypting File System(EFS)Windows BitLocker and BitLocker To GoWindows AppLockerUser

2、Account Control Windows Firewall with Advanced SecurityWindows DefenderWindows 7操作中心什么是Windows 操作中心？选择您需要检查的用户警报项目操作中心是一个您可以在此查看有关系统信息和诊断解决有关系统问题的中心点和问题的集中处理中心使用本地组策略加固Win 7安全什么是组策略组策略对象是如何应用的多个本地组策略如何协同工作什么是组策略？组策略使得IT管理员能够执行自动化的一到多的用户和计算机的管理任务使用组策略执行如下任务：应用标准配置部署软件强制安全设置执行一个一致的桌面环境本地组策略使用在本地应用，即在本

3、地运行的本地用户和域用户以及本地计算机产生影响组策略对象如何应用？组策略对象分为计算机对象和用户对象，他们都是间隔固定的时间进行应用，计算机对象在启动时应用，用户对象在登录时应用。组策略处理流程：1.Local GPOs2.Site-level GPOs3.Domain GPOs4.OU GPOs使用EFS和Bitlocker加密数据什么是EFS？什么是Bitlocker？Bitlocker需求Bitlocker模式Bitlocker组策略选项配置Bitlocker配置Bitlocker to Go解密Bitlocker锁定的驱动器What Is EFS?加密文件系统（EFS）是Windows

4、 文件系统内置的文件级别的加密工具透明的文件的加密和解密的方式需要适当的加密密钥（对称的）来读取加密数据每个用户必有一个公钥和私钥对，用于保护对称密钥用户的公钥和私钥:可以是自我产生的也可以是从证书颁发机构颁发的是使用用户的密码进行保护的允许其他用户的证书访问加密的文件支持在智能卡上存储私钥加密文件系统密钥更新向导新EFS组策略设置支持系统页面的加密支持AIS 256位加密Windows 7中的EFS新功能支持每个用户的脱机文件加密什么是BitLocker?Windows Bitlocker驱动器加密位于计算机操作系统中的操作系统卷和数据卷的中的数据提供离线数据保护保护安装在加密卷上的所有其他

5、应用程序包括系统的完整性验证验证计算机启动早期的组件的完整性和启动配置文件的完整性保证了启动过程的完整性BitLocker 需求加密和解密密钥：硬件需求：BitLocker 需要下列条件之一:有可信赖平台模块（TPM）V1.2版本或以上的计算机（硬件）一个可移动的USB存储设备有足够的空间使得Bitlocker能创建两个分区l有一个兼容TPM模块的BIOS和支持USB引导启动模式的BIOSBitLocker 模式Windows 7支持两种Bitlocker的操作模式：TPM modeNon-TPM modeTPM mode锁定正常的计算机启动过程，直到用户选择提供一个个人密码（PIN）或插入一

6、个包含Bitlocker启动密钥的USB驱动器才能够继续进行加密的磁盘必须位于原来的计算机TPM模式执行系统引导组件的完整性验证如果其中的任何组件发生了改变，驱动器将被锁定，系统将阻止对其的访问和解密尝试Non-TPM mode使用组策略来允许Bitlocker在没有TPM时工作和TPM模式锁定启动的过程相似，但是Bitlocker的启动密钥存储在USB驱动器上计算机的BIOS必须要能够从USB引导提供有限的认证功能无法在此模式下执行系统组件的完整性检查移动数据存储的设置组策略提供了如下的Bitlocker方面的设置将Bitlocker的备份转向ADDS服务在控制面板上配置恢复文件夹启动控制面

7、板的高级设置配置加密方法防止重启动时的内存溢出配置用于存储Bitlocker密钥的方式Bitlocker的组策略设定固定的数据驱动器的设定Bitlocker驱动器加密的本地组策略设置系统驱动器的设置激活一个计算机启动向导来激活Bitlocker引导功能：验证系统要求如果不存在第二分区就进行创建的操作配置允许使用怎样的方式访问Bitlocker加密的驱动器：USBUser function keys to enter the PassphraseNo key三种方式来激活 BitLocker:From System and Settings in Control PanelRight-click

8、 the volume to be encrypted in Windows Explorer and select the Turn on BitLocker menu optionUse the command-line tool titled manage-bde.wsf通过Windows资源管理器启动Bitlocker通过控制面板启动Bitlocker配置BitLocker管理一个由Bitlocker to Go加密的驱动器选择如何存储你的恢复密钥管理一个由Bitlocker to Go加密的驱动器通过在USB驱动器上右键点击该驱动器激活便携设备的Bitlocker to Go功能选择

9、以下的设置之一解锁由Bitlocker to Go 加密的驱动器:使用密码或还原密码解锁使用智能卡解锁总是自动解锁在此计算机上的这个设备配置BitLocker To Go选择如何解锁驱动器通过密码还是通过智能卡驱动器加密解锁Bitlocker锁定的驱动器当激活了Bitlocker加密的计算机启动时：BitLocker 检查操作系统的安全状况如果发现了情况的变化：BitLocker 进入恢复模式，保持系统驱动器的锁定用户必须输入正确的恢复密码才能够继续Bitlocker的恢复密码是：在恢复模式下一个48位的用于解锁系统的数字密码每个密码针对一个专有的Bitlocker加密可存储在活动目录中如果存

10、储在活动目录中，可以通过使用驱动器标签或是计算机的密码进行搜索配置应用程序限制什么是ApplockerApplocker规则什么是软件限制策略什么是Applocker？AppLocker的优点控制用户如何访问和运行所有类型的应用程序确保用户仅能运行经过批准的，许可的软件Applocker是Windows 7的一个全新的安全功能，它能够使得IT认识指定究竟什么东西能够在用户的桌面上运行Applocker规则Applocker的默认规则是：所有用户都能够默认运行Program Files目录中的文件所有用户都能够运行Windows操作系统签署的所有文件Administrators组的成员能够运行所

11、有的文件在创建后续规则前创建默认的Applocker规则，然后手动创建新的规则或者为某个特定文件夹自动生成规则创建自定义规则在本地安全策略中通过使用Applocker向导创建规则您可以配置可执行规则，Windows安装程序规则，脚本规则您可以指定一个文件夹，将规则应用于其中的包含.exe的所有应用程序您可以为.exe文件创建规则例外您可以创建一个基于应用程序的数字签名的规则您可以手动创建一个自定义规则给特定的可执行文件什么是软件限制策略Applocker在功能上取代了之前版本的SRPSRP管理单元和SRP规则在Windows 7中是兼容的Applocker的规则和SRP的规则是完全分开的App

12、locker的组策略和SRP的组策略是完全分开的如果在GPO中已经有Applocker定义了规则，则只有这些规则适用最好将SRP的定义和Applocker的定义放在不同的GPO中以便功能的互操作性软件限制策略(SRP)允许管理员确定哪些程序可以运行SRP was added in Windows XP and Windows Server 2003SRP的设计目的是帮助企业有效控制恶意代码和未知代码-无论是恶意的还是其他的SRP由一个默认的安全级别和所有应用于此组策略对象（GPO）的所有规则组成How does SRP compare to Windows AppLocker?SRP和Appl

13、ocker对比配置用户账户控制什么是UACUAC怎样工作的配置UAC提醒设置什么是UAC？用户账户控制（UAC）是将现有的运行Windows的用户在运行一般任务的时候作为标准用户身份运行的安全功能如果运行某个任务需要管理员权限时，UAC会提示用户适用一个管理员账户的凭据Windows 7增加了用户能够进行配置的UAC项目UAC是如何工作的？在Windows 7中，当用户执行一个需要管理员权限才能运行的任务的时候会发生什么呢？管理员用户UAC将会提示用户确定本次任务的运行标准用户UAC将会提示具有管理员权限的用户凭据配置UAC提醒设置UAC提升的过程的提示设置包含如下的内容:Always not

14、ify meNotify me only when programs try to make changes to my computerNotify me only when programs try to make changes to my computer(do not dim my desktop)Never notify配置Windows防火墙配置基本防火墙设置Windows高级防火墙设置应用程序常用的端口配置网络位置打开或关闭Windows防火墙以及自定义网络位置设置添加，更改或删除允许的程序设置或修改多个配置文件的设置配置Windows防火墙的通知配置Windows防火墙的基本

15、设置Windows高级防火墙设置Windows Firewall with Advanced Security filters incoming and outgoing connections based on its configuration入站规则明确允许或拒绝基于该端口的信息流通出站规则明确允许或拒绝基于该端口的信息流通连接安全规则适用于使用IP Sec加密网络通信监测界面显示关于当前防火墙规则的详细信息，连接安全规则信息以及安全关联的相关信息属性页用户配置域、私人、公共网络的配置文件属性和IP Sec的配置应用程序常用的端口当当一一个个应应用用程程序序想想与与远远程程的的另另一一个

16、个应应用用程程序序或或主主机机建建立立通通讯讯时时，它它会会创创建建一一个个T TC CP P或或UUDDP P的的端端口口TCP/IP 协议簇TCP UDP Ethernet HTTPFTPSMTPDNSPOP3SNMPIPv6IPv4ARPIGMP ICMPHTTPS配置IE 8的安全设置IE 8中增强的隐私保护功能IE 8中的SmartScreen功能IE 8中的其他安全功能IE 8中增强的隐私保护功能InPrivate 浏览 默认的删除所有的浏览的历史记录并且不会有日志和相关的追踪在浏览时运行InPrivate 过滤 帮助监控用户访问第三方网站内容的频率增强的浏览器历史记录删除-使用户

17、和组织能够有选择性的删除浏览器历史IE 8中的SmartScreen功能使用此链接导航远离不安全的网站，并开始从一个受信任的位置浏览使用此链接无视警告，在地址栏仍然是一个红色的持续警告，标示该网站不安全配置Windows Defender什么是恶意软件什么是Windows DefenderWindows Defender扫描选项什么是恶意软件恶意软件包括：Viruses 病毒Worms 蠕虫Trojan horses 特洛伊木马Spyware 间谍软件Adware 广告软件恶意软件导致：Poor performanceLoss of dataCompromise of private info

18、rmation 私人信息Reduction in end user efficiency 效率下降Unapproved computer configuration changes恶意软件是专门用来设计对计算机产生损害的一种软件什么是Windows Defender？Windows Defender是一款可以帮助防止安全威胁并检测和删除计算机中已知的安全威胁的一款软件定期执行计划的扫描提供不同级别的配置选项，高，中，低的级别配置提供可定制的选项来进行扫描的排除使用Windows自动更新来安装新的间谍软件定义Windows Defender中的扫描选项You define when to sca

19、nYou define what to scanOptionDescription扫描存档文件May increase scanning time,but spyware likes to hide in these locationsScan e-mailScan e-mail messages and attachments扫描可移动驱动器Scan removable drives such as USB flash drives使用启发式扫描Alert you to potentially harmful behavior if it is not included in a defin

20、ition file创建一个还原点If detected items are automatically removed,this restores system settings if you want to use software you did not intend to removeScan TypeDescriptionQuick scanScan the areas of the computer that is most likely to infect be infectedFull scanScan all areas of the computerCustom scanS

21、can specific areas of the computer only当扫描完成后，结果将显示在首页课外知识了解：Windows安全软件客户端安全SCE Forefront定期包服务器安全Forefront定期包下一节：Win 7计算机的优化和维护9、静夜四无邻，荒居旧业贫。5月-235月-23Monday,May 15,202310、雨中黄叶树，灯下白头人。13:18:3913:18:3913:185/15/2023 1:18:39 PM11、以我独沈久，愧君相见频。5月-2313:18:3913:18May-2315-May-2312、故人江海别，几度隔山川。13:18:3913:

22、18:3913:18Monday,May 15,202313、乍见翻疑梦，相悲各问年。5月-235月-2313:18:3913:18:39May 15,202314、他乡生白发，旧国见青山。15 五月 20231:18:39 下午13:18:395月-2315、比不了得就不比，得不到的就不要。五月 231:18 下午5月-2313:18May 15,202316、行动出成果，工作出财富。2023/5/15 13:18:3913:18:3915 May 202317、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。1:18:39 下午1:18 下午13:18:395月-239、

23、没有失败，只有暂时停止成功！。5月-235月-23Monday,May 15,202310、很多事情努力了未必有结果，但是不努力却什么改变也没有。13:18:3913:18:3913:185/15/2023 1:18:39 PM11、成功就是日复一日那一点点小小努力的积累。5月-2313:18:3913:18May-2315-May-2312、世间成事，不求其绝对圆满，留一份不足，可得无限完美。13:18:3913:18:3913:18Monday,May 15,202313、不知香积寺，数里入云峰。5月-235月-2313:18:3913:18:39May 15,202314、意志坚强的人能

24、把世界放在手中像泥块一样任意揉捏。15 五月 20231:18:39 下午13:18:395月-2315、楚塞三湘接，荆门九派通。五月 231:18 下午5月-2313:18May 15,202316、少年十五二十时，步行夺得胡马骑。2023/5/15 13:18:3913:18:3915 May 202317、空山新雨后，天气晚来秋。1:18:39 下午1:18 下午13:18:395月-239、杨柳散和风，青山澹吾虑。5月-235月-23Monday,May 15,202310、阅读一切好书如同和过去最杰出的人谈话。13:18:3913:18:3913:185/15/2023 1:18:3

25、9 PM11、越是没有本领的就越加自命不凡。5月-2313:18:3913:18May-2315-May-2312、越是无能的人，越喜欢挑剔别人的错儿。13:18:3913:18:3913:18Monday,May 15,202313、知人者智，自知者明。胜人者有力，自胜者强。5月-235月-2313:18:3913:18:39May 15,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。15 五月 20231:18:39 下午13:18:395月-2315、最具挑战性的挑战莫过于提升自我。五月 231:18 下午5月-2313:18May 15,202316、业余生活要有意义，不要越轨。2023/5/15 13:18:3913:18:3915 May 202317、一个人即使已登上顶峰，也仍要自强不息。1:18:39 下午1:18 下午13:18:395月-23MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉