拨云见日 Windows7安全功能大揭秘
Windows7是微软最新的桌面型客户端操作系统,是基于WindowsXP和Vista的优点和缺点而升华出来的新系统,所有服务都得到了加强,新增的安全功能也使之更加可靠。除了基本的系统改进和新服务外,Windows7提供了更多的安全功能,加强了审计和监控功能以及对远程通信和数据加密的功能,Windows7还新开发了内部保护机制以加强系统内部安全性能,如内核修复保护、服务强化、数据执行防御、地址空间布局随机化和强制性完整性级别等。
Windows7的所有改进都是以安全为中心的。首先,该系统用于开发微软的安全开发生命周期(SDL)框架并用于支持通用标准要求,允许其达到评估确认等级(EAL)4证书,该等级符合联邦信息处理标准(FIPS)#140-2。另外,通过利用其他安全工具(如组策略),你可以控制桌面安全的每个方面。如果Windows7主要用于家庭办公或者个人使用,它也可以预防黑客攻击和入侵。你也可以认为Windows7内部是安全的,但这并不意味着你可以依赖于默认配置,你需要根据自身的安全需求进行调整。
在这篇文章中,我们将介绍如何确保windows7安全性的方法,安全配置以及一些鲜为人知的windows7安全功能,并且我们还将探讨保护数据、备份数据以及如何在遭受攻击或者系统故障时迅速运行数据。本文还介绍了安全的概念,如何强化Windows7,如何为运行的程序提供安全保障,如何管理windows7系统的安全,如何处理恶意软件造成的问题,还有保护数据、备份和恢复操作系统功能,如何恢复到操作系统之前的状态,以及当系统故障时,如何恢复数据和系统。本文目的在于让大家熟悉windows7的安全功能、增强功能以及让大家深入了解如何正确部署这些安全功能。
注意:如果你在企业环境或者其他专业环境工作,请不要对公司计算机进行设置。如果你不熟悉安全问题或者微软产品,在对系统进行修改时请仔细阅读相关文件。
基本安全注意事项
管理安全机制需要通过分析工作来调整现有的安全架构并发现潜在攻击,大多数时候,安全机制都将受到攻击或者恶意程序的考验,如果能够及时发现潜在的攻击,就能够积极抵御攻击。通过日志和审计,你可以找出是否有人试图登录路由器或者试图进行管理员账户登录。
日志和警报信息是非常有帮助的,这样当出现问题时,就能够迅速作出反应。对周密攻击进行响应被称为“袭击响应,正确应对袭击的关键在于有一个积极的计划。灾难恢复计划(有时与业务连续性计划合并使用)能够帮助从攻击事故中恢复。
因此,对于家庭用户和独立系统用户而言,你应该遵循同样的策略,你需要保护数据,对灾难作出反应,而事先部署的良好计划能够让你立于不败之地。如果你的系统感染了恶意软件(如木马程序),并且所有其他恢复技术都失效时,你可能需要重新安装系统。在这种情况下,你应该在灾难发生前事先指定团队成员,明确各自的工作,才能最大限度降低灾难对系统造成的影响。
注意:你应该定期审视自己的计划,特别是在发生最大问题或者故障后,增加必要的项目。
技巧:对于任何系统或者服务都应该考虑和部署安全措施,这样才能够降低攻击造成的风险。如果安全措施的部署方式可以让你积极抵御攻击或者灾难,就会省事很多。
同时,我们也应该考虑使用纵深防御技术从概念上和技术上来部署安全措施,对于所有系统、服务、应用程序和网络设备而言,都必须考虑和部署安全措施。为了防止安全架构出现纰漏,我们可以考虑使用利用了纵身繁育概念的安全模式,图1显示的是非常基本的纵深防御应用,当然你也可以增加更多层保护,这取决于网络建立的方式。
图1:纵深防御的概念以及部署
从这里可以看到,纵深防御技术可以根据你的需求进行自定义。在上图的例子中,安全政策的目的在于提供安全方向和连接到用户系统和网络的通信。此外,对系统、手机、台式机、服务、应用程序、服务器、路由器、交换机和PBX的强化也应该被考虑,以确保所有的接口都是安全的。如果使用无线网络的话,还应该使用过滤器、扫描仪等工具来检查和记录任何信息。
Windows7是非常灵活的,其包含很多选项来配置拥有完全功能的系统(最低安全性),或者仅配置你需要使用的操作程序(最高安全性),正确使用Windows2008和Windows7,将能够使安全性能增加10倍。
注意:需要记住的是,否认问题(潜在的问题)是不行的。如果忽视问题或者留到以后再解决,会让问题复杂化,这样只会浪费时间。全面部署安全措施能够低于大多数渗透攻击并提供多层次保护,当然不能完全彻底预防攻击。你需要了解安全机制的基础,以及如何主动的或者被动的预防攻击。
关于如何配置windows7安全设置的问题,大家可以在微软官网找到很多模板与详细说明,可以帮助你一步一步部署和使用windows系统的安全措施。
在部署安全措施时,我们还需要一定水平的灵活度,在满足业务目标和要求的同时,保持较高水平的安全性。例如我们可以使用用户帐号控制工具(UAC),当进行合适调试后,可以提供较高水平的安全性。;
图2:通过UAC设置来调整安全级别
UAC是用来防止进程或者应用程序对计算机进行修改以操纵系统,它是通过限制操作系统内核内的访问权限来实现的,它还将向用户提供关于试图自行安装或者进一步配置操作系统的程序的详细信息。这是非常有帮助的,能够让我们确认程序的活动,并且采取适当的措施。UAC最早出现在Vista系统中,但是因为它无法关闭,不断弹出的提示消息让用户感到很厌烦。Windows开发人员也因为UAC的限制遇到了编码方面的麻烦。然而,现在Windows7则可以完全关闭UAC,提供更大的灵活性和选择。
警告:为了保障系统的安全,我们建议大家不要完全关闭UAC或者当因为某些操作而关闭UAC时,请记得事后打开UAC。
在部署Windows7时,总是建议用户全新的兼容硬件上安装操作系统,然后对其进行强化。系统强化是提高安全级别的必要过程,主要通过配置必要的安全设置,删除不需要的软件和调整先进的政策设置。
注意:在为windows7选择硬件时,你需要做一个规划,因为如果你想要使用虚拟化、windows可信平台模块(TPM)管理和其他功能(例如BitLocker)时,你需要购买正确的硬件才能实现这些功能。
那么,安装好操作系统后,要采取哪些步骤来强化它呢?有没有特定的顺序呢?系统强化的步骤与基本安装步骤一样,移除所有不需要使用的东西,更新系统,运用基本安全技术,然后进行备份,以在必要时迅速恢复系统,如下列步骤:
步骤1 安装操作系统,在安装过程中选择所有能够增强安全性的选项,不要选择不必要的服务、选项和程序。
步骤2 安装管理员工具包、安全工具和所需要的程序
步骤3 删除不需要的服务、程序和软件,禁用或者删除不必要的用户帐号或者组。
步骤4 及时更新所有安全程序
步骤5 运行安全审计(扫描仪、模板、MBSA等)以评估目前安全级别
步骤6 运行系统还原并创建还原点,运行为灾难恢复进行的备份和恢复应用程序
步骤7 备份操作系统,能够在灾难发生后迅速恢复系统
以上步骤只是简单的例子,你还可以添加更多的步骤。在完成windows7安装后,下一步骤就是删除任何不需要的软件、服务、协议和程序,这可以在控制面板进行操作。然后禁用或者删除不必要的用户帐号或者组。
技巧:在Server2008中,你可以安装“核心功能,这是适用于实际安装的强化过程,安装好后,服务器只会运行必要的功能,从而降低安全漏洞所带来的风险。Windows7没有这样的功能,我们需要运用政策、模板或者手动配置安全设置来强化系统。
那么,如何开始锁定和保护Windows7呢?最简单的方法就是使用开始菜单来搜索系统内与安全有关的内容,在开始菜单的搜索程序和文件中输入“安全,下图显示的是搜索“安全得到的结果。;
图3:在开始菜单中查找安全相关的文件和程序
上图中的本地安全政策(Local Security Policy)是可以查看和配置系统安全政策的政策编辑器,如图4所示。;
图4:在本地安全政策中查看和配置安全
提示:想要进行全面的政策控制,你可以使用Windows7和服务器产品,如Server2008R2,这样你就可以使用ActiveDirectory和组策略。
如果你想在本地设置特定事件(例如系统登录和关闭)的审计,那么你就可以在本地安全政策控制面板(图4)中制定该事件。在控制面板中,你可以到AdministrativeTools程序找到LocalSecurityPolicy编辑器,或者在开始菜单中简单搜索。而在附有ActiveDirectory的Windows7中,你可以使用强大的组策略,帮助你进行自定义、管理和部署软件等。这是配置政策安全最简单的方法。你还可以在控制面板中找到很多安全配置工具。;
图5:配置安全操作和控制面板程序选项
技巧:图5显示的是控制面板中可以操作的安全选项,如果你点击开始菜单,输入安全并点击控制面板,也将得到安全配置列表,方便你进行自定义。
以下是可以在ActionCenter配置的安全选项:
操作中心
操作中心取代了原来的安全中心,在操作中心你可以制定操作系统能够执行的活动,只有在你的许可下,才可以进行某操作。这里也会提醒你进行病毒库更新等信息。
Internet选项
浏览任何形式的网页都给计算机带来了风险,即使你使用了代理服务器、网页过滤器并保持系统的及时更新,都有可能使你的系统受到威胁。在Internet选项控制面板,你可以指定可以访问的网址,部署安全设置等操作。
Windows防火墙
与任何其他软件或硬件的防火墙一样,windows防火墙默认情况下可以抵御一般攻击,也可以在接入公共或者私人网络时设置较高级别控制以抵御更强攻击。在防火墙设置中,你可以进行任何防火墙配置。
个性化
在这里你可以改变windows的外观,也可以设置屏幕保护程序密码等。
Windows更新
所有软件都需要某种程序的修复,没有绝对完美的软件,操作系统也同样会有更新和修复。Windows更新主要用于集中控制和部署更新程序,跟踪和检测系统的更新需求。
程序和功能
除了需要检查系统更新的安装情况外,你还应该经常检查系统安装的程序,例如在安装简单的Java更新时,如果在安装过程中你没有仔细观察,可能会无意识地安装了不必要的工具栏。
Windows Defender
间谍软件主要用于非法营销目的,还会传递直接载荷,重新定向浏览器或者将你的操作消息发送出去。虽然杀毒软件可以解决部分问题,而WindowsDefender则能够彻底清除这种恶意软件。
用户帐户
用户帐户管理是确保计算机安全的关键,需要根据用户的不同需求来为其设置系统访问权限,以确保系统数据安全。
电源选项
电源选项控制面板程序可以帮助设置操作系统的默认状态(待机或者关闭等),安全的做法就是从待机状态开启系统时设置密码保护。
注意:你可以从微软官网下载工具和文档来快速强化windows系统,例如,如果你想要为Windows7配置基本安全水平,你可以下载使用基本安全模版,运行模版将帮助你完成适当的调整。图6显示的是windows7安全基本设置模版。;
图6:从微软模版设置安全
注意上图中顶部工具栏的安全警告,此警告信息可以防止你在禁用宏的情况下使用该模版。另外,windows7有一个XP模式的选项,主要用于解决应用程序兼容问题。
总结:
在病毒肆意横行的今天,考虑选择windows7时,安全和灵活性通常是最先考虑的因素。Windows7确实很安全,但并不是100%的安全。用户需要运用相关知识、其他工具和配置以全面确保安全性,然后经常进行更新和检测。
相关文章: