桌面安全培训教材

第六章Windows7桌面平安概述Windows7中平安管理概述使用本地组策略加强Windows7平安使用EFS和BitLocker实现数据平安配置应用程序限制配置用户账户控制配置WindowsFirewall配置InternetExplorer8中的平安设置配置WindowsDefenderWhatIsActionCenter?Demonstration:ConfiguringActionCenterSettingsLesson1:Windows7中平安管理概述Windows7关键平安功能Windows7关键平安功能EncryptingFileSystem(EFS)üWindowsBitLocker™andBitLockerToGo™üWindowsAppLocker™üUserAccountControlüWindowsFirewallwithAdvancedSecurityüWindowsDefender™üWindows7ActionCenterü什么是操作中心?SelecttheitemsthatyouwantcheckedforuseralertsActionCenterisacentrallocationforviewingmessagesaboutyoursystemandthestartingpointfordiagnosingandsolvingissueswithyoursystemDemo:配置操作中心设置Inthisdemonstration,youwillseehowto:

ChangeActionCenterSettingsChangeUserControlSettingsViewArchivedMessages10minLesson2:使用本地组策略加强Windows7平安什么是组策略?组策略对象如何被执行?多本地组策略如何工作Demo:创立多本地组策略Demo:配置本地平安策略设置什么是组策略?组策略可以使IT管理员实现对用户和计算机一对多的管理使用组策略:执行标准化配置部署软件强制安全设置强制桌面环境的一致性本地组策略影响登录到该计算机的本地或域用户组策略对象如何被执行?计算机设置在启动时和到策略更新周期时执行，用户设置在用户登录或到策略更新周期时执行组策略处理顺序:1.LocalGPOs2.Site-levelGPOs3.DomainGPOs4.OUGPOs多本地组策略如何工作多本地组策略允许管理员应用不同的本地策略到本地的用户.本地组策略对象可以应用到3个级别的用户:本地组策略对象应用到本地计算机和所有用户.

管理员组和非管理员组，只包含用户设置.

指定的用户，最后被执行，仅包含用户设置，应用到指定的用户.Demo:创立多本地组策略Inthisdemonstration,youwillseehowto:

CreateacustommanagementconsoleConfiguretheLocalComputerPolicyConfiguretheLocalComputerAdministratorsPolicyConfiguretheLocalComputerNon-AdministratorsPolicyTestmultiplelocalgrouppolicies10minDemo:配置本地平安策略设置Inthisdemonstration,youwillseehowtoreviewthelocalsecuritygrouppolicysettings10minLesson3:使用EFS和BitLocker实现数据平安什么是EFS?Demo:使用EFS加密和解密文件和文件夹什么是BitLocker?BitLocker需求BitLocker模式BitLocker组策略设置配置BitLocker配置BitLockertoGo恢复BitLocker加密驱动器什么是EFS?EncryptingFileSystem(EFS)isthebuilt-infileencryption

toolforWindowsfilesystems.EnablestransparentfileencryptionanddecryptionRequirestheappropriatecryptographic(symmetric)keytoreadtheencrypteddataEachusermusthaveapublicandprivatekeypairthatisusedtoprotectthesymmetrickeyAuser’spublicandprivatekeys:Caneitherbeself-generatedorissuedfromaCertificateAuthorityAreprotectedbytheuser’spasswordAllowsfilestobesharedwithotherusercertificates支持将私钥存储到智能卡上üEncryptingFileSystemRekeyingwizardü新的EFS组策略设置ü加密系统页面文件ü支持AIS256位加密üWindows7中EFS新功能基于每用户的脱机文件加密üDemo:使用EFS加密和解密文件和文件夹Inthisdemonstration,youwillseehowto:

EncryptfilesandfoldersConfirmthefilesandfoldershavebeenencryptedDecryptfilesandfoldersConfirmthefilesandfoldershavebeendecrypted10min什么是BitLocker？WindowsBitLocker驱动加密可以加密存储在系统卷上的操作系统和数据ü提供对离线数据保护的支持ü保护所有安装在加密卷上的应用程序数据ü包含系统完整性校验ü校验启动组件和启动配置数据tconfigurationdataü抱着启动过程的完整性üBitLocke需求加密和解密密钥:硬件需求:BitLocker加密需要:计算机带有TPM〔或更新〕芯片可移动USB设备有足够的可用空间，BitLocker需要创立两个分区BIOS兼容TPM，同时系统启动时需要USB设备支持BitLocker模式Windows7支持两种操作模式:TPM模式无-TPM模式TPMmodeLocksthenormalbootprocessuntiltheuseroptionallysuppliesapersonalPINand/orinsertsaUSBdrivecontainingaBitLockerstartupkey

Theencrypteddiskmustbelocatedintheoriginalcomputer

Performssystemintegrityverificationonbootcomponents

Ifanyitemschangedunexpectedly,thedriveislockedandpreventedfrombeingaccessedordecrypted

无-TPM模式使用组策略来允许BitLocker工作在无TPM模式

锁定启动过程类似于TPM模式，BitLocker启动密钥必须存储在USB设备上

计算机的BIOS必须能读取USB驱动器

提供受限的验证

不能执行BitLocker系统完整性检查SettingsforRemovableDataDrivesGroupPolicyprovidesthefollowingsettingsforBitLocker:TurnonBitLockerbackuptoActiveDirectoryDomainServicesConfiguretherecoveryfolderonControlPanelSetupEnableadvancedstartupoptionsonControlPanelSetupConfiguretheencryptionmethodPreventmemoryoverwriteonrestartConfigureTPMvalidationmethodusedtosealBitLockerkeysBitLocker的组策略设置SettingsforFixedDataDrivesLocalGroupPolicySettingsfor

BitLockerDriveEncryptionSettingsforOperatingSystemDrivesEnablingBitLockerinitiatesastart-upwizard:

Validatessystemrequirements

Createsthesecondpartitionifitdoesnotalreadyexist

Allowsyoutoconfigurehowtoaccessanencrypteddrive:

USB

UserfunctionkeystoenterthePassphrase

NokeyThreemethodstoenableBitLocker:

FromSystemandSettingsinControlPanel

Right-clickthevolumetobeencryptedinWindowsExplorerandselecttheTurnonBitLockermenuoptionUsethecommand-linetooltitledmanage-bde.wsfInitiatingBitLockerthroughWindowsExplorer通过控制台初始化BitLocker配置BitLockerManageaDriveEncryptedbyBitLockerToGoSelecthowtostoreyourrecoverykeyManageaDriveEncryptedbyBitLockerToGoEnableBitLockerToGoDriveEncryptionbyright-clickingtheportabledevice(suchasaUSBdrive)andthenclickingTurnOnBitLocker

SelectoneofthefollowingsettingstounlockadriveencryptedwithBitLockerToGo:UnlockwithaRecoveryPasswordorpassphraseUnlockwithaSmartCardAlwaysauto-unlockthisdeviceonthisPC配置BitLockerToGoSelecthowtounlockthedrive–throughapasswordorbyusingaSmartcardEncrypttheDrive恢复BitLocker加密的驱动当一台启用Bitlocker的计算机启动时:

BitLocker检查操作系统是否有平安隐患

如果检查到:

BitLocker进入到恢复模式，并保持系统分区锁定

用户必须输入正确的恢复密钥才能继续BitLocker恢复密码是:48位数字密码用来解锁系统UniquetoaparticularBitLockerencryption可以被存储在ActiveDirectory如果存储在活动目录中，通过驱动标签或计算机密码搜索它Lesson4:配置应用程序限制什么AppLocker?AppLocker规那么Demo:配置AppLocker规那么Demo:强制AppLocker规那么什么是软件限制策略?什么AppLocker?AppLocker的好处：控制用户如何访问和运行所有类型的应用程序确保用户桌面上只能运行允许的程序和许可的软件

AppLocker是Windows7中的一项新平安功能，使得IT管理员可以指定用户可以执行那些应用程序默认规则:所有用户可以运行默认程序文件目录下的文件所有用户可以运行经过Windows操作系统签名过的文件内置管理员组可以运行所有文件首先，在手工创建新规则之前，创建默认AppLocker规则，然后字定义规则创建自定义规则在本地安全策略控制台使用AppLocker向导自动生成规则ü你可以配置执行规则、WindowsInstaller规则、脚本规则ü你可以指定一个包含.exe文件的文件夹给某条规则ü你可以创建某个.exe文件的例外规则ü你可以创建基于数字签名的应用程序规则ü你可以手工创建一个自定义特殊执行规则üAppLocker规那么Demo:配置AppLocker规那么Inthisdemonstration,youwillseehowto:

CreatenewexecutableruleCreatenewWindowsInstallerruleAutomaticallygenerateScriptrules10minDemo:强制AppLocker规那么Inthisdemonstration,youwillseehowto:

EnforceAppLockerRulesConfirmtheexecutableruleenforcementConfirmtheWindowsInstallerruleenforcement10min什么是软件限制策略?软件限制策略(SRP)可以明确用户可以允许执行那些软件

SRP是WindowsXP和WindowsServer2003支持的策略SRP是设计用来帮助组织控制一些不允许执行的未知代码和恶意的程序

SRP包含默认安全级别，所有的规则都在组策略应用时被执行HowdoesSRPcomparetoWindowsAppLocker?AppLocker是用来替换软件限制策略的üSRP控制台和SRP规则在Windows7同样也支持，主要用来实现向下兼容性üAppLocker规则完全独立于SRP规则üAppLocker组策略独立于SRP组策略üIfAppLocker规则定义于一个GPO中，只有指定规则被应用ü根据企业客户端版本分别定义AppLocker和SRP规则üSRP和AppLocker比较Lesson5:配置用户账户控制什么UAC?UAC如何工作Demo:配置UAC的组策略设置配置UAC提示设置什么UAC?用户账户控制(UAC)是一项平安功能，使得用户在标准用户模式下执行必须的日常任务UAC必要时会要求用户提升到管理员模式下执行相应的操作Windows7增强了用户控制的提升体验UAC如何工作在Windows7中，当用户执行一项需要管理员特权的任务时，会出现什么提示?Administrative

Users

UACpromptstheuserforpermissiontocompletethetaskStandard

Users

UACpromptstheuserforthecredentialsofauserwithadministrativeprivilegesDemo:配置UAC的组策略设置Inthisdemonstration,youwillseehowto:

OpentheUserAccountswindowReviewusergroupsViewtheCredentialPromptChangeUserAccountSettingsandViewtheConsentPrompt10min配置UAC提示设置UAC的用户体验级别有：

Alwaysnotifyme

Notifymeonlywhenprogramstrytomakechangestomycomputer

Notifymeonlywhenprogramstrytomakechangestomycomputer(donotdimmydesktop)

Nevernotify

LabA:ConfiguringUAC,LocalSecurityPolicies,EFS,andAppLockerExercise1:ConfiguringvirusprotectionandUserAccountControl(UAC)notificationsettingsinActionCenterExercise2:ConfiguringMultipleLocalGroupPoliciestomanagetheappearanceofselectedprogramiconsExercise3:ConfiguringandtestingencryptionoffilesandfoldersExercise4:ConfiguringandtestingAppLockerrulestocontrolwhatprogramscanbeexecutedLogoninformationEstimatedtime:50minutesVirtualmachine6292A-LON-DC16292A-LON-CL1UsernameContoso\AdministratorPasswordPa$$w0rdLabAScenarioYourcompanyisimplementingWindows7computersforallcorporateusers.Asanadministratoratyourorganization,youareresponsibleforconfiguringthenewWindows7computerstosupportvariouscorporaterequirements. Youhavebeenaskedto:TurnoffvirusprotectionnotificationsVerifytheUserAccountControl(UAC)settingsaresetto“Alwaysnotifybutnotdimthedesktop〞Configuremultiplelocalgrouppoliciestocontrolwhichofthedefaultprogramiconsappearonusers’andadministrators’computersEncryptallsensitivedataoncomputersusingEFSUseAppLockerrulestopreventcorporateusersfromrunningWindowsMediaPlayerandinstallingunauthorizedapplicationsLabAReviewWherecanyouturnonandoffsecuritymessagesrelatedtovirusprotection?WhataresomeoftheothersecuritymessagesthatcanbeconfiguredinWindows7?Howcanthenotificationsaboutchangestothecomputerbesuppressed?Canmultiplelocalgrouppoliciesbecreatedandappliedtodifferentusers?WhataresomeofthewaysofprotectingsensitivedatainWindows7?HowcanWindows7usersbepreventedfromrunningapplications,suchasWindowsMediaPlayer?Lesson6:配置WindowsFirewall讨论：什么是防火墙?配置根本防火墙设置高级平安Windows防火墙常见应用程序使用的端口Demo:配置入站、出战连接平安规那么讨论：什么是防火墙?你们公司正在使用哪种类型的防火墙?是什么原因选择的它?10min配置网络位置翻开或关闭Windows防火墙，自定义网络位置设置添加，修改和移除允许的程序设置和修改多个活动的配置文件设置配置Windows防火墙提示配置根本防火墙设置高级平安Windows防火墙WindowsFirewallwithAdvancedSecurityfiltersincomingandoutgoingconnectionsbasedonitsconfigurationInboundrulesexplicitlyalloworexplicitlyblocktrafficthatmatchescriteriaintherule.Outboundrulesexplicitlyalloworexplicitlydenytrafficoriginatingfromthecomputerthatmatchesthecriteriaintherule.ConnectionsecurityrulessecuretrafficbyusingIPsecwhileitcrossesthenetwork.Themonitoringinterfacedisplaysinformationaboutcurrentfirewallrules,connectionsecurityrules,andsecurityassociations.ThePropertiespageisusedtoconfigurefirewallpropertiesfordomain,private,andpublicnetworkprofiles,andtoconfigureIPsecsettings.常见应用程序使用的端口当计算机要和远程的主机建立通讯时，将会创建TCP或UDP的套接字TCP/IPProtocolSuiteTCPUDPEthernetHTTPFTPSMTPDNSPOP3SNMPIPv6IPv4ARPIGMP

ICMPHTTPSDemo:配置入站、出战连接平安规那么Inthisdemonstration,youwillseehowto:

ConfigureanInboundRuleConfigureanOutboundRuleTesttheOutboundRuleCreateaConnectionSecurityRuleReviewMonitoringSettingsinWindowsFirewall15minLesson7:配置InternetExplorer8的平安设置讨论:InternetExplorer8在兼容性功能InternetExplorer8增强的隐私保护功能InternetExplorer8的SmartScreen功能InternetExplorer8的其它平安功能Demo:配置InternetExplorer8的平安设置讨论:InternetExplorer8在兼容性功能10min在你更新IE时，你会碰到哪些兼容性我呢间?InternetExplorer8增强的隐私保护功能InPrivateBrowsing-inherentlymoresecurethanusingDeleteBrowsingHistorytomaintainprivacybecausetherearenologskeptortracksmadeduringbrowsingüInPrivateFiltering-helpsmonitorthefrequencyofallthird-partycontentasitappearsacrossallWebsitesvisitedbytheuserüEnhancedDeleteBrowsingHistory-enablesusersandorganizationstoselectivelydeletebrowsinghistoryüInternetExplorer8的SmartScreen功能UsethislinktonavigateawayfromanunsafeWebsiteandstartbrowsingfromatrustedlocationUsethislinktoignorethewarning;theaddressbarremainsredasapersistentwarningthatthesiteisunsafeInternetExplorer8的其它平安功能Per-userActiveX–使得标准用户可以安装ActiveX控件在自己的用户配置文件里，不需要管理员特权üPer-siteActiveX–IT管理员使用组策略预先设置被允许的相关联域的控件üXSSFilter–如果在服务器的响应中出现重播，将被识别为跨站脚本攻击üDEP/NXprotection-查找内存中没有明确包含可执行代码的数据(这些数据有时会是病毒的源代码),找到这些数据后,NX将它们都标记为“不可执行üDemo:配置InternetExplorer8的平安设置Inthisdemonstration,youwillseehowto:

EnableCompatibilityViewforAllWebSitesDeleteBrowsingHistoryConfigureInPrivateBrowsingConfigureInPrivateFilteringViewAdd-onManagementInterface10minLesson8:配置WindowsDefender什么是恶意软件?什么是WindowsDefender?WindowsDefender的扫描选项Demo:配置WindowsDefender设置什么是恶意软件?恶意软件包括:病毒蠕虫特洛伊木马间谍软件广告软件恶意软件将导致:性能降低数据丢失隐私泄露降低用户的效率未经允许的篡改计算机配置恶意软件是一种蓄意破话计算机的一种软件.什么是WindowsDefender?WindowsDefender是一种安全软件，可以用来保护计算机对抗安全风险，它能检测和移除已知的间谍软件.计划扫描将按原先的计划定期执行提供可配置的响应为严重、高、中、低的警告级别提供可定义的选项来例外文件，文件夹和文件类型通过WindowsUpdate自动安装新的间谍软件定义当扫描完成时，将在主页显示结果.WindowsDefender的扫描选项当扫描时，你可以定义你可以定义，扫描什么OptionDescription扫描归档文件Mayincreasescanningtime,butspywarelikestohideintheselocations扫描e-mailScane-mailmessagesandattachments扫描可移动驱动器ScanremovabledrivessuchasUSBflashdrives启发式扫描Alertyoutopotentiallyharmfulbehaviorifitisnotincludedinadefinitionfile创建还原点Ifdetecteditemsareautomaticallyremoved,thisrestoressystemsettingsifyouwanttousesoftwareyoudidnotintendtoremoveScanTypeDescription快速扫描扫描计算机最容易被感染相关系统位置完全扫描扫描计算机所有的位置自定义扫描扫描用户指定的位置Demo:配置WindowsDefender设置Inthisdemonstration,youwillseehowto:

SetWindowsDefenderOptionsViewQuarantineItemsViewAllowedItemsMicrosoftSpyNetWindowsDefenderWebsite10minLabB:ConfiguringWindowsFirewall,InternetExplorer8.0SecuritySettings,andWindowsDefenderExercise1:ConfiguringandTestingInboundandOutboundRulesinWindowsFirewallExercise2:ConfiguringandTestingSe