Windows 7 安全性:協助保護作業系統安全的秘訣與技巧
Orin Thomas
有幾個明顯的基本步驟,來設定電腦的安全性:保持最新的操作系統及應用程式更新,請確定您安裝最新的反間諜軟體和防毒軟體,並使用複雜密碼定期變更。 在本文中我涵蓋一些安全性秘訣,超越這些基本的策略,並協助您更能利用安全性功能,Windows 7。
BitLocker 的準備
其中一個 Windows 7 最值得注意的安全性改進是在 BitLocker 硬式磁碟加密及開機環境完整性-保護 debuted Windows Vista 中的技術。 在 Windows 7、 企業和頂級的版本包括 BitLocker。 此技術可確保未經授權的使用者 can’t 資料從復原硬式磁碟機的遭竊或遺失膝上型電腦,只要發生遺失時,電腦已關閉電源。
不過,BitLocker 呈現的挑戰修復資料後會鎖定在硬體故障受保護的磁碟區。 因此雖然 BitLocker 可提供極佳的保護,許多 IT 專業人員發現有問題因為它們通常只他們必須執行修復作業時,它會遇到。
資料復原需要 BitLocker 金鑰或密碼鎖定磁碟區相關聯的存取權。 雖然它 ’s 相當容易追蹤的這些小的數個電腦,數百個這樣是更有挑戰性。
群組原則可協助設定 BitLocker,可啟動修復金鑰和密碼已成功備份到 Active Directory 之後才讓 IT 專業人員。 擷取這個修復資料已經大幅簡化改良在 Windows Server 2008 R2 的 [Active Directory 使用者及電腦] 主控台,並遠端 ServerAdministration 工具執行 Windows 7 的電腦。 尋找修復密碼和金鑰是比使用 Windows Vista 中的工具更加容易。
代替不必下載、 安裝和設定特殊工具您可以從 BitLocker 修復] 索引標籤存取 BitLocker 修復金鑰和密碼。 在 Active Directory 使用者和電腦檢視電腦帳戶的內容時,您看到這個。 確保備份 BitLocker 金鑰及密碼,最多是三個步驟的程序:
1. 在 [群組原則的電腦帳戶的系統 BitLocker 將保護,巡覽至電腦設定 | Windows 設定 | 系統管理範本 | Windows 元件 | BitLocker 磁碟機加密。
2. 現在,如果電腦有只有一個存放裝置磁碟機,瀏覽至作業系統磁碟機] 節點,然後編輯 [選擇如何受 BitLocker 保護作業系統磁碟機可以復原的原則。 如果電腦一個以上的儲存體磁碟機您也應該前往固定資料磁碟機] 節點,並編輯 BitLocker 的受保護 [選擇固定磁碟機可以是的資料復原的原則。 請注意,雖然您可以設定它們的設定都相同,原則會套用至不同的磁碟機。
3. 若要設定 BitLocker,使密碼和金鑰備份到 Active Directory 啟動 BitLocker 保護時,確定啟用設定值:
· 將 BitLocker 修復資訊儲存到作業系統磁碟機的 AD DS (或固定的資料磁碟機,適當)
· 不要啟用 BitLocker,直到修復資訊會儲存在 AD DS 的作業系統磁碟機 (或固定的資料磁碟機,適當)
金鑰和密碼將備份對受保護的磁碟區只能在套用原則之後。 其金鑰和密碼會自動儲存在 Active Directory,將不會有針對 BitLocker 保護之前,實作原則設定的磁碟區。 您必須停用和重新啟用 BitLocker 此復原資訊使它至 AD DS 資料庫請確定這些電腦上。
設定資料修復代理
有 ’s 可用 BitLocker 如果您需要復原保護磁碟區不需要輸入唯一的密碼或針腳特定電腦帳戶的另一個選項 — 資料修復代理程式 (DRA)。 這是憑證的特殊類型的可用來復原加密的資料的使用者帳戶所關聯。
BitLocker 資料修復代理由編輯群組原則,並指定透過新增資料修復代理精靈我很快就討論的 DRA 憑證設定。 若要用以精靈不過,必須 DRA 憑證可存取的檔案系統上可用或已在 Active Directory 中發行。 裝載 Active Directory 憑證服務角色的電腦可以發出憑證。
必須修復資料具有 DRA 憑證安裝在本機上的使用者帳戶將無法解除鎖定受保護的 BitLocker 磁碟區。 您可以存取新增資料修復代理精靈藉由瀏覽電腦設定 | Windows 設定 | 安全性設定] | 公開金鑰原則節點上 BitLocker 磁碟機加密滑鼠右鍵按一下並選取 [新增資料修復代理程式] 選項。
若要使用 BitLocker 與 DRA,您必須也選取啟用資料修復代理程式核取方塊在 [選擇如何 BitLocker 保護的作業系統磁碟機可以是已復原的原則 (為固定的資料中的格式磁碟機原則,在適當的地方)。 您可以使用 DRA] 與 [Active Directory 金鑰/密碼備份的相同 BitLocker 保護的磁碟區修復。
DRA 復原能夠只在其中 BitLocker 之後強制原則已啟用的 BitLocker 保護磁碟區上。 透過密碼/金鑰修復此方法的優點是 DRA 作為 BitLocker 主要金鑰。 這可讓您復原任何受保護的磁碟區加密之下的原則,而不是需要找出唯一的密碼或金鑰復原每個磁碟區的影響。
BitLocker To Go
許多現今卸除式存放裝置磁碟機有接近的最小的平均的儲存容量並中型部門層級檔案共用從十年前。 這會呈現幾項挑戰。
先,卸除式存放裝置已遺失或遭竊時, 可能會遭到洩漏了顯著數量的組織資料。 而且也許是更大的問題是雖然使用者快速地將讓 IT 部門知道遺漏的膝上型電腦,他們 don’t 覺得相同的緊急性時可能會包含 GB 的組織資料的 USB 儲存裝置 」 已經遺失。
BitLocker 收移,以 Windows 7 提出的新功能可讓您保護 USB 儲存裝置,以類似 BitLocker 提供了針對作業系統和固定磁碟機的方式。 透過群組原則可以限制電腦在組織中,讓他們只可以由移 BitLocker 保護的卸除式存放裝置寫入資料。 藉由確保,如果使用者的安全性不會失去卸除式裝置,在此增加上的最小資料已加密,並且 can’t 被未經授權的協力廠商輕鬆地存取。
相關的 [BitLocker 原則位於電腦設定 | 系統管理範本 | Windows 元件 | BitLocker 磁碟機加密 | 磁碟機的卸除式資料節點的群組原則物件。 這些原則包括:
· 控制使用 BitLocker 卸除式磁碟機上。 這個設定包括是否一般使用者可以啟用或停用設備在卸除式裝置上的 [卸除式磁碟上如何使用 BitLocker,可讓。 比方說,您可能想讓卸除式磁碟機上的存放區資料已經以 「 保護 」 功能設定,但是封鎖從設定與它自己的裝置特定的使用者。
· 拒絕寫入存取不受 BitLocker 的卸除式磁碟機。 此原則可讓您限制使用者,因此他們只可以寫入資料至受到到 BitLocker 加密的裝置。 當啟用此原則未經授權的人 can’t 輕鬆地存取資料寫入卸除式裝置為受保護它將會被加密。
· 選擇如何受 BitLocker 保護卸除式磁碟機可以復原。 此原則可讓您設定資料修復代理程式,或儲存在 Active Directory 中的移 BitLocker 修復資訊。 此原則是很重要的因為若選擇實作 BitLocker 若要移至保護卸除式裝置上的資料應該有策略來復原其中一個使用者忘了他或她移 BitLocker 密碼不可避免的大小寫的資料。
當您設定到 BitLocker,卸除式存放裝置時,使用者必須輸入密碼來解除鎖定裝置,另一台電腦上。 輸入密碼時使用者會對電腦,執行 「 企業 」 或 「 終極版本的 Windows 7 的讀取/寫入存取裝置。 您也可以設定 BitLocker 若要移至執行其他版本的 Microsoft 作業系統的電腦上允許使用者唯讀存取到 BitLocker 若要指定受保護的資料。
如果您的組織會使用到 BitLocker,需要某種資料修復策略遺失或遺忘密碼的事件。 設定到 BitLocker 修復是類似設定 BitLocker 修復。 在這種情況下您需設定電腦設定 | Windows 設定 | 系統管理範本 | Windows 元件 | BitLocker 磁碟機加密 | 磁碟機的卸除式資料 | Choose How BitLocker-Protected 磁碟機可以被復原原則。
您可以有備份到何處它們可供擁有 Active Directory 使用者及電腦] 主控台存取權限系統管理員和電腦帳戶原先保護裝置的 Active Directory 到 BitLocker 的密碼。 您也可以設定一個原則,以便允許使用者指派 DRA 憑證修復資料從磁碟機沒有 necessitating 個別密碼復原 DRA 受保護資料。
設定 AppLocker
沒有防惡意程式 」 公用程式可以攔截每個惡意的程式。 AppLocker 可以新增另一層的保護。 這項技術可讓您建立一份已知的安全,並限制給那些清單上執行的應用程式。 雖然這種方法來確保安全的電腦會很難定期執行新的和不尋常的軟體的人,大部份組織會有標準的系統環境,變更應用程式更逐漸發生的位置,因此允許只有綠色 lighted 應用程式執行更為實用。
您可以擴充這組 AppLocker 授權規則,以在 MSI 格式中加入不只可執行檔,但也指令碼、 DLL 和檔案。 除非可執行檔、 指令碼、 DLL 或安裝程式已授權規則所,won’t 執行它。
AppLocker 使得使用自動化程序的精靈建立簡單對於授權應用程式的 [規則] 清單。 這是 AppLocker 的透過軟體限制原則中先前的 Windows 版本技術具有類似的核心功能顯著項改良。
AppLocker 也可以使用規則來識別使用檔案發行者 ’s 數位簽章,所以您可以建立包含該檔案目前與未來版本的規則的檔案。 這樣可以節省系統管理員更新目前的規則套用軟體更新後的簡潔。 修改過的可執行檔、 指令碼、 安裝程式或 DLL 將仍能涵蓋的原始的規則。 這 wasn’t 可能使用軟體限制原則強制軟體組態變更時更新規則的系統管理員。
若要建立參考的一組 AppLocker 原則規則可以套用到其他電腦,執行下列步驟執行:
1.設定參考電腦,以您想要在您的環境中執行的所有應用程式執行 Windows 7。
2.登入到電腦,以具有本機系統管理員權限的使用者帳戶。
3.啟動 [藉由執行 Gpedit.msc 從搜尋程式及檔案文字方塊的 [本機群組原則編輯器]。
4.巡覽至 [電腦設定] | Windows 設定 | 安全性設定] | 應用程式控制原則 | AppLocker | 可執行檔的本機 GPO 的規則。 滑鼠右鍵按一下可執行檔規則] 節點,然後再按一下 [自動產生新的規則。 這會啟動自動產生的可執行檔規則精靈。
5.在文字方塊中標示為包含要分析檔案的資料夾,輸入 c:\。 在文字方塊中標示為名稱來識別這個組規則,請輸入所有的可執行檔,然後再按 [下一步]。
6.規則喜好設定] 頁面上選取建立發行者規則數位簽章的檔案,並萬一 isn’t 簽署檔案,也選取 [檔案雜湊:使用檔案 ’s 雜湊建立規則。 確保的縮小選取的規則來群組類似的檔案數量 isn’t,選項,然後再按 [下一步]。
7.規則產生需要一些時間。 當他們已產生,按一下 [建立]。 您想要建立預設規則的是否為進行提示時, 按一下 [否]。 don’t 必須建立這些 — 藉由參考電腦上建立所有可執行檔的規則,建立相當於多綜合預設規則。
8.如果電腦已儲存在多個磁碟區上的應用程式,重複步驟 5 到執行自動產生的可執行規則精靈時,輸入適當的磁碟機代號的 7。
9.一旦產生規則您可以允許以 XML 格式執行的應用程式將清單匯出由 AppLocker] 節點上按一下滑鼠右鍵,然後按一下 [匯出原則]。 您也可以將這些規則匯入到那些套用到組織中的可攜式電腦等其他群組原則物件。 您可以藉由套用 [透過原則這些規則來限制因此只有那些在參考電腦上允許的應用程式的執行。
10.在設定 AppLocker 時您必須確定已啟用應用程式識別碼服務,透過服務主控台,且透過原則強制執行可執行的規則。 如果已停用此服務將不會套用 AppLocker 原則。 雖然您可以設定在群組原則中的服務啟動狀態,您必須限制哪些使用者擁有本機系統管理員的存取權限,以使他們無法規避 AppLocker。 藉由以滑鼠右鍵按一下電腦設定啟用可執行的規則強制 | Windows 設定 | 安全性設定] | 應用程式控制原則 | AppLocker 節點,然後按一下 [原則] 上。 啟用 [可執行檔] 規則的 [Configured] 選項,並再確定已選取 [強制的規則。
但願這有幫助您了解如何實作及復原 BitLocker 使用到 BitLocker,並設定 AppLocker 原則。 使用這些技術與一般內部工作 (例如確保電腦會保持目前的更新、 防毒軟體與反間諜軟體程式),一起將增強執行 Windows 7 組織中電腦的安全性。
Orin Thomas * (orin.thomas@gmail.com) 是一系統管理員和 Windows 消費者安全性 MVP 澳洲墨爾本,基礎。他寫入,並且 coauthored Microsoft 按* 的多個十幾教科書。