课程名称安全设置

联想Vista培训资料学员手册：IE7.0Lenovoconfidential1TechCenter-SOT课程名称：安全设置课程介绍：通过本课程学习，学员将了解VistaSecurity提供的新功能，及相关设置。课程重点：1、安全中心2、WINDOWS防火墙3、WINDOWSUPDATE4、WINDOWSDEFENDER5、家长控制一、SECURITY----安全中心_______________________________________2二、FIREWALL---防火墙__________________________________________5三、高级安全windows防火墙______________________________________9四、自动更新___________________________________________________28五、WINDOWSDEFENDER______________________________________33六、Internet安全设置____________________________________________46七、用户帐户___________________________________________________47八、家长控制___________________________________________________56联想Vista培训资料学员手册：IE7.0Lenovoconfidential2TechCenter-SOT一、SECURITY----安全中心打开控制面板-安全，我们可以看到VISTA安全所涉及到的信息，包含以下几方面内容：安全中心WINDOWS防火墙WINDOWSUPDATEWINDOWSDEFENDERINTERNET选项家长控制bitlocker驱动器加密（ULTIMATE）联想Vista培训资料学员手册：IE7.0Lenovoconfidential3TechCenter-SOT安全中心Windows安全中心可通过检查计算机上几个安全基础的状态（包括防火墙设置、自动更新、反恶意软件设置、Internet安全设置和用户帐户控制设置）帮助增强计算机的安全性。如果Windows检测到这些安全基础中的任何一个存在问题（例如，防病毒程序已过期），则安全中心将显示一个通知，并且将在通知区域中放置一个图标。单击通知或双击安全中心图标便可打开安全中心，并获取有关如何解决该问题的信息。联想Vista培训资料学员手册：IE7.0Lenovoconfidential4TechCenter-SOT联想Vista培训资料学员手册：IE7.0Lenovoconfidential5TechCenter-SOT二、FIREWALL---防火墙防火墙即可以是软件也可以是硬件，它能够检查来自Internet或网络的信息，然后根据防火墙设置阻止或允许这些信息通过计算机。防火墙有助于防止黑客或恶意软件（如蠕虫）通过网络或Internet访问计算机；防火墙还有助于阻止计算机向其他计算机发送恶意软件。Windows会检查计算机是否已受到软件防火墙的保护。如果防火墙处于关闭状态，则安全中心将显示一个通知，并且在通知区域中放置一个安全中心图标。点击安全中心中左侧的防火墙打开如下图画面打开或关闭Windows防火墙的方法单击“启用或关闭Windows防火墙”。如果系统提示输入管理员密码或进行确认，请键入密码或提供确认。单击启用（推荐）或关闭（不推荐）然后单击确定。如果希望防火墙阻止所有程序，包括“例外”选项卡上选择的程序，则选中“阻止所有传入连接”复选框，该项需要启用防火墙。如下图联想Vista培训资料学员手册：IE7.0Lenovoconfidential6TechCenter-SOT启用（推荐）默认情况下已选中该设置。当Windows防火墙处于打开状态时，大部分程序都被阻止通过防火墙进行通信。如果想要解除阻止某一程序，可以将其添加到“例外”列表（位于“例外”选项卡上）。例如，在将即时消息程序添加至“例外”列表之前，可能无法使用即时消息发送照片。阻止所有传入连接此设置将阻止所有主动连接用户计算机的尝试。当需要为计算机提供最大程度的保护时（例如，当用户连接到旅馆或机场的公用网络时，或者当计算机蠕虫正在Internet上扩散时），可以使用该设置。如果使用此设置，Windows防火墙在阻止程序时将不会通知用户，并且将会忽略“例外”列表中的程序。如果选择“阻止所有接入连接”，仍然可以查看大多数网页，发送和接收电子邮件，以及发送和接收即时消息。关闭（不推荐）避免使用此设置，除非计算机上运行了其他防火墙。关闭Windows防火墙可能会使计算机（以及网络，如果有）更容易受到黑客和恶意软件（如蠕虫）的侵害。联想Vista培训资料学员手册：IE7.0Lenovoconfidential7TechCenter-SOT注意如果某些防火墙设置不可用，并且计算机已连接到域，则可能是系统管理员正在通过组策略控制这些设置。“例外”选项卡“例外”是一种指令，告知Windows防火墙暂时打开端口，以便允许某个程序或服务通过该端口传递一些特定的信息，然后再关闭。这些指令称为“例外”，因为通常情况下，防火墙会阻止所有未经请求就发送信息的尝试在例外中我们可以通过添加程序或添加端口功能允许某程序或使用某端口的程序通过防火墙。联想Vista培训资料学员手册：IE7.0Lenovoconfidential8TechCenter-SOT高级选项卡在高级选项中我们可以选择对某个网络连接使用或不使用防火墙联想Vista培训资料学员手册：IE7.0Lenovoconfidential9TechCenter-SOT三、高级安全windows防火墙打开高级安全的Windows防火墙方法：单击打开管理工具。如果系统提示用户输入管理员密码或进行确认，请键入密码或提供确认。双击“高级安全的Windows防火墙”。下面将对高级安全windows防火墙做一详细介绍：具有高级安全性的Windows防火墙结合了主机防火墙和IPSec（Internet协议安全）。具有高级安全性的Windows防火墙在每台运行此版本Windows的计算机上运行，并对可能穿越边界网络或源于组织内部的网络攻击提供本地保护。它还提供计算机到计算机的连接安全，使用户可以对通信要求身份验证和数据保护。具有高级安全性的Windows防火墙是一种状态防火墙，检查并筛选IP版本4(IPv4)和IP版本6(IPv6)流量的所有数据包。默认情况下阻止传入流量，除非是对主机请求（请求的流量）的响应，或者被特别允许（即创建了防火墙规则允许该流量）。通过配置具有高级安全性的Windows防火墙设置（指定端口号、应用程序名称、服务名称或其他标准）可以显式允许流量。使用具有高级安全性的Windows防火墙还可以请求或要求计算机在通信之前互相进行身份验证，并在通信时使用数据完整性或数据加密。具有高级安全性的Windows防火墙如何工作？联想Vista培训资料学员手册：IE7.0Lenovoconfidential10TechCenter-SOT具有高级安全性的Windows防火墙使用两组规则配置其如何响应传入和传出流量。防火墙规则确定允许或阻止哪种流量。连接安全规则确定如何保护此计算机和其他计算机之间的流量。通过使用防火墙配置文件（根据计算机连接的位置应用），可以应用这些规则以及其他设置。还可以监视防火墙活动和规则。防火墙规则配置防火墙规则以确定阻止还是允许流量通过具有高级安全性的Windows防火墙。传入数据包到达计算机时，具有高级安全性的Windows防火墙检查该数据包，并确定它是否符合防火墙规则中指定的标准。如果数据包与规则中的标准匹配，则具有高级安全性的Windows防火墙执行规则中指定的操作，即阻止连接或允许连接。如果数据包与规则中的标准不匹配，则具有高级安全性的Windows防火墙丢弃该数据包，并在防火墙日志文件中创建条目（如果启用了日志记录）。对规则进行配置时，可以从各种标准中进行选择：例如应用程序名称、系统服务名称、TCP端口、UDP端口、本地IP地址、远程IP地址、配置文件、接口类型（如网络适配器）、用户、用户组、计算机、计算机组、协议、ICMP类型等。规则中的标准添加在一起；添加的标准越多，具有高级安全性的Windows防火墙匹配传入流量就越精细连接安全规则可以使用连接安全规则来配置本计算机与其他计算机之间特定连接的IPSec设置。具有高级安全性的Windows防火墙使用该规则来评估网络通信，然后根据该规则中所建立的标准阻止或允许消息。在某些环境下具有高级安全性的Windows防火墙将阻止通信。如果所配置的设置要求连接安全（双向的验证），而两台计算机无法互相进行身份验证，则将阻止连接入站规则入站规则明确允许或者明确阻止与规则条件匹配的通信。例如，可以将规则配置为明确允许受IPSec保护的远程桌面通信通过防火墙，但阻止不受IPSec保护的远程桌面通信。首次安装Windows时，将阻止入站通信，若要允许通信，用户必须创建一个入站规则。在没有适用的入站规则的情况下，也可以对具有高级安全性的Windows防火墙所执行的操作（无论允许还是阻止连接）进行配置。出站规则出站规则明确允许或者明确拒绝来自与规则条件匹配的计算机的通信。例如，可以将规则配置为明确阻止出站通信通过防火墙到达某一台计算机，但允许同样的通信到达其他计算机。默认情况下允许出站通信，因此必须创建出站规则来阻止通信。无论在默认情况下是允许或是阻止连接，都可以配置默认操作。防火墙配置文件可以将防火墙规则和连接安全规则以及其他设置应用于一个或多个防火墙配置文件。然后将这些配置文件应用于计算机，这取决于连接计算机的位置。可以配置计算机何时连接到域、专用网络（例如家庭网络）或公用网络（例如Internet展台）的配置文件联想Vista培训资料学员手册：IE7.0Lenovoconfidential11TechCenter-SOT防火墙规则和连接安全规则之间如何关联防火墙规则允许通信通过防火墙，但不确保这些通信的安全。若要使用IPSec确保通信安全，可以创建连接安全规则。但是，创建连接安全规则不允许通信通过防火墙。如果防火墙默认的行为不允许该通信通过，则必须创建防火墙规则来实现此操作。连接安全规则不应用于程序或服务，它们应用于构成两个终结点的计算机之间。注意：作为最佳实践，请为防火墙规则给定一个唯一名称。唯一名称可以让使用netsh命令进行的管理更容易。配置规则因为具有高级安全性的Windows防火墙在默认情况下阻止所有非请求TCP/IP传入通信，因此可能需要对作为服务器、侦听程序或者对等端的程序或服务配置程序、端口和系统服务规则。当服务器角色或配置更改时，必须根据实际情况对程序、端口和系统服务规则进行管理。要点：防火墙规则的设置为标准（连接请求针对此标准来匹配规则）添加了逐渐增长的限制级别。例如，如果未在“程序和服务”选项卡中指定程序或服务，将允许所有与其他条件相匹配的程序和服务连接。因此，添加更详细的标准会使规则变得越来越严格，因此，匹配的可能性也就越小。联想Vista培训资料学员手册：IE7.0Lenovoconfidential12TechCenter-SOT配置程序或服务设置联想Vista培训资料学员手册：IE7.0Lenovoconfidential13TechCenter-SOT联想Vista培训资料学员手册：IE7.0Lenovoconfidential14TechCenter-SOT若要向规则列表添加程序，必须指定该程序使用的可执行(.exe)文件的完整路径。在其自己唯一的.exe文件中运行且不受服务容器主持的系统服务被视为程序，且能将其添加到规则列表。同样，作用于同系统服务且无论用户是否登录到计算机都运行的程序也被视为程序，只要该程序在其自己唯