Windows7桌面安全

第六章Windows7桌面安全概述•Windows7中安全管理概述•使用本地组策略加强Windows7安全•使用EFS和BitLocker实现数据安全•配置应用程序限制•配置用户账户控制•配置WindowsFirewall•配置InternetExplorer8中的安全设置•配置WindowsDefender•WhatIsActionCenter?•Demonstration:ConfiguringActionCenterSettingsLesson1:Windows7中安全管理概述•Windows7关键安全功能Windows7关键安全功能EncryptingFileSystem(EFS)WindowsBitLocker™andBitLockerToGo™WindowsAppLocker™UserAccountControlWindowsFirewallwithAdvancedSecurityWindowsDefender™Windows7ActionCenter什么是操作中心?SelecttheitemsthatyouwantcheckedforuseralertsActionCenterisacentrallocationforviewingmessagesaboutyoursystemandthestartingpointfordiagnosingandsolvingissueswithyoursystemDemo:配置操作中心设置Inthisdemonstration,youwillseehowto:•ChangeActionCenterSettings•ChangeUserControlSettings•ViewArchivedMessages10minLesson2:使用本地组策略加强Windows7安全•什么是组策略?•组策略对象如何被执行?•多本地组策略如何工作•Demo:创建多本地组策略•Demo:配置本地安全策略设置什么是组策略?组策略可以使IT管理员实现对用户和计算机一对多的管理使用组策略:•执行标准化配置•部署软件•强制安全设置•强制桌面环境的一致性本地组策略影响登录到该计算机的本地或域用户组策略对象如何被执行?计算机设置在启动时和到策略更新周期时执行，用户设置在用户登录或到策略更新周期时执行组策略处理顺序:1.LocalGPOs2.Site-levelGPOs3.DomainGPOs4.OUGPOs多本地组策略如何工作多本地组策略允许管理员应用不同的本地策略到本地的用户.本地组策略对象可以应用到3个级别的用户:1.本地组策略对象应用到本地计算机和所有用户.2.管理员组和非管理员组，只包含用户设置.3.指定的用户，最后被执行，仅包含用户设置，应用到指定的用户.Demo:创建多本地组策略Inthisdemonstration,youwillseehowto:•Createacustommanagementconsole•ConfiguretheLocalComputerPolicy•ConfiguretheLocalComputerAdministratorsPolicy•ConfiguretheLocalComputerNon-AdministratorsPolicy•Testmultiplelocalgrouppolicies10minDemo:配置本地安全策略设置Inthisdemonstration,youwillseehowtoreviewthelocalsecuritygrouppolicysettings10minLesson3:使用EFS和BitLocker实现数据安全•什么是EFS?•Demo:使用EFS加密和解密文件和文件夹•什么是BitLocker?•BitLocker需求•BitLocker模式•BitLocker组策略设置•配置BitLocker•配置BitLockertoGo•恢复BitLocker加密驱动器什么是EFS?EncryptingFileSystem(EFS)isthebuilt-infileencryptiontoolforWindowsfilesystems.•Enablestransparentfileencryptionanddecryption•Requirestheappropriatecryptographic(symmetric)keytoreadtheencrypteddata•Eachusermusthaveapublicandprivatekeypairthatisusedtoprotectthesymmetrickey•Auser’spublicandprivatekeys:•Caneitherbeself-generatedorissuedfromaCertificateAuthority•Areprotectedbytheuser’spassword•Allowsfilestobesharedwithotherusercertificates支持将私钥存储到智能卡上EncryptingFileSystemRekeyingwizard新的EFS组策略设置加密系统页面文件支持AIS256位加密Windows7中EFS新功能基于每用户的脱机文件加密Demo:使用EFS加密和解密文件和文件夹Inthisdemonstration,youwillseehowto:•Encryptfilesandfolders•Confirmthefilesandfoldershavebeenencrypted•Decryptfilesandfolders•Confirmthefilesandfoldershavebeendecrypted10min什么是BitLocker？WindowsBitLocker驱动加密可以加密存储在系统卷上的操作系统和数据提供对离线数据保护的支持保护所有安装在加密卷上的应用程序数据包含系统完整性校验校验启动组件和启动配置数据tconfigurationdata抱着启动过程的完整性BitLocke需求加密和解密密钥:硬件需求:BitLocker加密需要:•计算机带有TPM（v1.2或更新）芯片•可移动USB设备•有足够的可用空间，BitLocker需要创建两个分区•BIOS兼容TPM，同时系统启动时需要USB设备支持BitLocker模式Windows7支持两种操作模式:•TPM模式•无-TPM模式TPMmode•LocksthenormalbootprocessuntiltheuseroptionallysuppliesapersonalPINand/orinsertsaUSBdrivecontainingaBitLockerstartupkey•Theencrypteddiskmustbelocatedintheoriginalcomputer•Performssystemintegrityverificationonbootcomponents•Ifanyitemschangedunexpectedly,thedriveislockedandpreventedfrombeingaccessedordecrypted无-TPM模式•使用组策略来允许BitLocker工作在无TPM模式•锁定启动过程类似于TPM模式，BitLocker启动密钥必须存储在USB设备上•计算机的BIOS必须能读取USB驱动器•提供受限的验证•不能执行BitLocker系统完整性检查SettingsforRemovableDataDrivesGroupPolicyprovidesthefollowingsettingsforBitLocker:•TurnonBitLockerbackuptoActiveDirectoryDomainServices•ConfiguretherecoveryfolderonControlPanelSetup•EnableadvancedstartupoptionsonControlPanelSetup•Configuretheencryptionmethod•Preventmemoryoverwriteonrestart•ConfigureTPMvalidationmethodusedtosealBitLockerkeysBitLocker的组策略设置SettingsforFixedDataDrivesLocalGroupPolicySettingsforBitLockerDriveEncryptionSettingsforOperatingSystemDrivesEnablingBitLockerinitiatesastart-upwizard:•Validatessystemrequirements•Createsthesecondpartitionifitdoesnotalreadyexist•Allowsyoutoconfigurehowtoaccessanencrypteddrive:•USB•UserfunctionkeystoenterthePassphrase•NokeyThreemethodstoenableBitLocker:•FromSystemandSettingsinControlPanel•Right-clickthevolumetobeencryptedinWindowsExplorerandselecttheTurnonBitLockermenuoption•Usethecommand-linetooltitledmanage-bde.wsfInitiatingBitLockerthroughWindowsExplorer通过控制台初始化BitLocker配置BitLockerManageaDriveEncryptedbyBitLockerToGoSelecthowtostoreyourrecoverykeyManageaDriveEncryptedbyBitLockerToGo•EnableBitLockerToGoDriveEncryptionbyright-clickingtheportabledevice(suchasaUSBdrive)andthenclickingTurnOnBitLocker•SelectoneofthefollowingsettingstounlockadriveencryptedwithBitLockerToGo:•UnlockwithaRecoveryPasswordorpassphrase•UnlockwithaSmartCard•Alwaysauto-unlockthisdeviceonthisPC配置BitLockerToGoSelecthowtounlockthedrive–throughapasswordorbyusingaSmartcardEncrypttheDrive恢复BitLocker加密的驱动当一台启用Bitlocker的计算机启动时:•BitLocker检查操作系统是否有安全隐患•如果检查到:•BitLocker进入到恢复模式，并保持系统分区锁定•用户必须输入正确的恢复密钥才能继续BitLocker恢复密码是:•48位数字密码用来解锁系统•UniquetoaparticularBitLockerencryption•可以被存储在ActiveDirectory•如果存储在活动目录中，通过驱动标签或计算机密码搜索它Lesson4:配置应用程序限制•什么AppLocker?•AppLocker规则•Demo:配置AppLocker规则•Demo:强制AppLocker规则•什么是软件限制策略?什么AppLocker?AppLocker的好处：•控制用户如何访问和运行所有类型的应用程序•确保用户桌面上只能运行允许的程序和许可的软件AppLocker是Windows7中的一项新安全功能，使得IT