移动安全 安全管理 应用案例 网络威胁系统安全 应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 系统安全 >

深入讨论怎样保护Windows 7安全(2)

时间:2011-05-04 15:49来源: 点击:
Windows 7是最新的桌面型客户端,是基于Windows XP和Vista的优点和缺点而升华出来的新系统,所有服务都得到了加强,新增的安全功能也使之更加可靠。
Tags系统安全(735)Windows 7(59)  

  导言

  Windows 7是最新的桌面型客户端,是基于Windows XP和Vista的优点和缺点而升华出来的新系统,所有服务都得到了加强,新增的安全功能也使之更加可靠。除了基本的系统改进和新服务外,Windows 7提供了更多的安全功能,加强了审计和监控功能以及对远程和数据加密的功能,Windows 7还新开发了内部保护机制以加强系统内部安全性能,如内核修复保护、服务强化、数据执行防御、地址空间布局随机化和强制性完整性级别等。

  Windows 7的所有改进都是以安全为中心的。首先,该系统用于开发微软的安全开发生命周期(SDL)框架并用于支持通用标准要求,允许其达到评估确认等级(EAL)4证书,该等级符合联邦信息处理标准(FIPS)#140-2。另外,通过利用其他安全工具(如),你可以控制桌面安全的每个方面。如果Windows 7 主要用于家庭办公或者个人使用,它也可以预防攻击和。你也可以认为Windows 7内部是安全的,但这并不意味着你可以依赖于默认配置,你需要根据自身的安全需求进行调整。

  在这篇文章中,我们将介绍如何确保windows 7的安全性的方法,安全配置以及一些鲜为人知的windows 7安全功能,并且我们还将探讨保护数据、备份数据以及如何在遭受攻击或者系统故障时迅速运行数据。本文还介绍了安全的概念,如何强化Windows 7,如何为运行的程序提供安全保障,如何管理windows 7系统的安全,如何处理恶意软件造成的问题,还有保护数据、备份和恢复操作系统功能,如何恢复到操作系统之前的状态,以及当系统故障时,如何恢复数据和系统。本文目的在于让大家熟悉windows 7 的安全功能、增强功能以及让大家深入了解如何正确部署这些安全功能。

  注意:

  如果你在环境或者其他专业环境工作,请不要对公司计算机进行设置。如果你不熟悉安全问题或者微软产品,在对系统进行修改时请仔细阅读相关文件。

  安全管理与监控

  如果在企业使用Windows 7,你可以使用Active Directory基础架构,并当登录到域或者使用组策略来进一步加强安全性时,你可以利用windows 7系统提供的很多安全措施。无论哪种方式,集中管理安全工具、设置和日志通常都是部署安全时最重要的因素,安装和配置好安全工具后,你该如何管理、监测和更新安全工具?在Windows 7系统中,你会发现安全管理设置都可以轻松实现,例如,开始菜单中“安全”选项就能够管理windows 7系统中的安全应用程序。

  我们都希望能够尽可能简单地部署和管理安全工具,没有人喜欢在操作系统中到处搜寻应用程序、服务、日志和事件或者活动来配置或者检测。在windows 7系统中,新用户在找到并配置windows(最基本的安全配置)之前,很可能迷失在路径、向导和控制台的“汪洋”中。不过,可以说,windows 7是所有windows版本中最易于管理的操作系统,因为所有信息都可以被索引,并且可以通过开始菜单进行快速搜索。

  除了开始菜单外,管理windows 7中众多安全功能的简易方法之一就是建立一个自定义微软管理平台(MMC)并添加工具集。让很多windows新用户困扰的事情之一就是微软企业解决提供了简洁的集中控制来检测网络中每个系统的所有活动,而客户端操作系统是一个独立包,同样必须进行本地保护,所以对于家庭用户而言,自定义管理平台是解决集中安全管理问题的答案。

  不过,在windows XP和Vista系统中,安全中心存在局限性,而在windows 7中,安全中心又被进一步分化为控制面板小程序和MMC管理单元,所以我们要怎样快速控制对关键工具的访问权限呢?在windows 7系统中部署安全性,你必须访问系统的很多不同区域来自定义你的配置以强化安全性,因此,如果你将所需要的应用程序和功能放在一个区域,你就能够快速访问这些应用程序和功能,便于安全审计或者日志审查。而这就需要自定义MMC来实现这个过程。

  要创建一个自定义控制台,只需要转到开始菜单,输入“MMC /A”,你就能得到一个新的微软管理控制台(MMC),可以将这个MMC保存到系统中的任何位置,使用任何名称明明。然后转到文件菜单,选择添加/删除管理单元,添加所有你想要或者需要的工具,下图展示的就是添加了很多安全功能的自定义控制台。

http://www.windowsecurity.com/img/upl/image0021274729162908.jpg

  图1: 使用微软管理控制台管理单元来创建自定义集中式安全控制台

  你会在这个管理单元中发现很多有用的工具。例如,TPM管理是允许管理员与可信平台(TPM)服务进行交互的微软管理控制台。TPM服务是用来管理计算机中的TPM安全硬件。这意味着你需要专门的硬件、更新的BIOS代码和正确的CPU。就像需要一个专门的芯片一样,TPM也是如此。TPM是引入新级别硬件级安全的一种方式,也就是说你的系统将得到硬化。TPM将使用硬件总线来传输信息,并可以与软件功能(如BitLocker)一起使用。

  创建控制台后,你就会知道如何访问这些区域来配置系统安全,下一步就是监测系统,有很多方法可以实现监测。例如,作为家庭用户,你可以时不时地查看一些简单时间表,如查看控制台防火墙日志和事件查看器日志。如果你进一步查看配置选项,你会发现你可以安排提醒和通知,过滤日志,自动保存等等。请确保不断查看这些信息。

  在windows 7中,你可以访问和部署安全的主要方法就是通过开始菜单快速访问。你也可以通过控制面板(例如管理工具、windows防火墙和windows defender等程序)来访问安全工具和设置。你还可以创建自定义MMC,并将其配置为访问隐藏工具,并为安全管理提供集中控制台。然后你就能浏览操作系统的各个区域进行操作,希望这个技巧能够帮助你更好的部署安全。你可以使用模版,创建任务和活动,或者使用高级工具实现高级安全配置。

  提示:

  你也可以使用PowerShell和Netsh(如netsh adyfirewall命令)工具来进行安全管理,这样便于使用脚本功能和/或基于windows 7安全部署选项的命令行。你还可以使用“任务”来记录脚本或批处理文件和服务,这样你就能对事件查看器日志保存备份以用于审计、审查或者简单的保存。

  接下来,你需要能够访问和进一步配置基本系统, 硬化系统和即时更新系统。大多数时候,更新都是在攻击发生后才接踵而来,因此要尽快对更新进行测试并安装。如图2中所示的“Security Updates”。这些更新总是带有编号的,并能在微软官网查到更多详细信息。

http://www.windowsecurity.com/img/upl/image0041274729162908.jpg

  图2: 使用Windows Update来安装windows安全更新

  还需要保持服务包更新到最新版本,系统中的其他运行应用程序和服务也需要进行管理、监测和更新。

  系统完成完全修复和配置后,下一步就是安装 Security Essentials(MSE),第三方防(AV)程序,配置windows Defender(间谍软件)并为恶意软件保护配置安全性。

  注意:

  最近发布了全新安全软件系列,称为“Forefront”,该安全软件系列涵盖了部署和管理安全的各个方面,还确保客户端也受到新功能的保护,例如MSE安装包中的 Antivirus。

  恶意软件预防与保护

  无论是windows文件、系统或者 X工作站,每个系统都用容易受到恶意软件的攻击。恶意软件是指能够渗透、深入、劫持并最终摧毁计算机操作系统、应用程序或者数据的所有类型恶意软件。更糟糕的是。恶意软件针对的不仅是你的基本操作系统,还针对用户个人数据、隐私和身份信息。恶意软件的形式多种多样,例如:、、逻辑炸弹程序和等。为了保障系统的安全性,你需要将其配置为阻挡恶意软件的模式。恶意软件最常见的方式是通过访问公共网络和电子邮件、(即时通讯)IM消息、使用网络共享数据和,或者其他基于公共网络连接的软件应用程序,如点对点文件共享软件。一旦某个系统(或者电子邮箱)受到感染,恶意软件就会迅速传播,有时候用户完全无法察觉。恶意软件还可能通过外部或者未受保护的外部驱动、拇指驱动器和网络本身来入侵系统。可以说,不管是通过接收电子邮件或者查看公共中服务器上的信息,你都可能受到某种形式的恶意软件攻击。

  为了阻拦恶意软件入侵系统,你必须避免任何感染恶意软件的可能操作。恶意软件预防与恶意软件保护有所不同,但是这两者需要共同配合才能实现共同的目标,即无病毒系统。预防的重点在于阻拦恶意软件入侵系统所必须采取的步骤,这样就能够试图避免未来的攻击或者问题的出现。你可以通过很多方式限制系统的暴露。预防是指当配置任何供应商软件平台时,始终铭记和运用这些安全概念。保护主要是通过安装应用程序(如防病毒和间谍软件扫描仪)的形式来实现,保护更加侧重于使用扫描和过滤工具、审计工具和协议或者加密来确保系统安全性。

  注意:

  有两种类型的安全应用:主动和被动。在规划阶段良好的设计和考虑能够确保一定程度的安全性,但是你需要考虑如何管理和提供持续支持。对于恶意软件,你需要即时更新防毒程序,以便扫描和阻止足心的威胁和攻击利用。主动进行安全规划,确保所有应用程序和软件的更新和安全性。

  为了管理、监测和保护系统安全免受潜在恶意软件的威胁,建议你安装、配置和不断更新Antivirus and Spyware清除软件包。你可以安装第三方软件应用程序,或者使用一些微软工具,如下图所示的Windows Defender。

http://www.windowsecurity.com/img/upl/image0061274729162908.jpg

  图3:使用Windows Defender

  Windows Defender可以用于扫描并移除间谍软件。而防病毒应用程序能够积极扫描并试图寻找和清除病毒、蠕虫和木马。如果两者一起使用,我们将能够主动抵御大多数攻击形式。对于操作系统本身,你还需要保持这些应用程序的更新,否则同样将受到攻击。另外,还需要下载并安装新定义文件来扫描新威胁。

  Windows Defender能够帮助扫描系统文件(快速扫描或者完全扫描),并且经常会更新,这也使选择任何防间谍软件最重要的因素。如果定义没有被更新,它将无法阻止新攻击。

  一些也能够智能化地扫描出系统中“不寻常的东西”,或者“根据类似攻击匹配模式”,这被称为启发式。虽然有用,但是并不能拦截所有的攻击,所以请保持这些工具的更新。Windows Update能够自动更新Windows Defender。第三方应用程序(除了关键设备驱动程序)通常在微软中都看不到。 部署了恶意软件保护程序后,你还应该硬化任何其他需要被锁定的区域,例如IE设置。

  你可以使用一项被称为数据执行保护(DEP)来保护windows 7安全,这个功能能够监测系统程序以及监测程序如何使用系统内存。这能够防止系统内部的程序使用内存来发动攻击。你可以为所有程序设置这个功能,或者仅为选择的程序使用该功能。具体操作就是,转到开始菜单,打开控制面板。点击系统程序,然后选择高级选项卡,性能选项,数据执行保护选项卡,如下图所示。

http://www.windowsecurity.com/img/upl/image0081274729162924.jpg

  图4: 配置Windows 7中的数据执行保护(Data Execution Prevention)

  您还应该检查事件查看器日志来检查定义是否被下载、更新和安装,以及服务是否正常运行,没有严重错误。即使部署了所有这些预防和保护措施后,系统仍然可能受到恶意软件攻击。

  由于即使对系统进行了全面保护(以及更新)仍然有可能遭遇恶意软件,这种情况下,我们应该考虑系统备份。你应该总是备份个人数据,不管是安装在windows系统、还是系统。有很多方法可以实现备份,例如使用中的备份工具,使用第三方工具或者简单地复制数据到外部驱动或者刻录到CD/DVD-ROM来保存。显然,最简单的方法就是视而不见,顺其自然。如果你的数据非常重要,还是建议你将数据备份。

  数据备份和保护后。你应该使用System Restore备份系统,并考虑使用其他灾难恢复方法以确保事故后能够继续使用各种程序。如果你不不熟悉其他灾难恢复方法,那么你可以启动和运行System Restore。该工具非常游泳,它能够对当前系统配置进行并备份,以备以后使用。虽然该功能会占用一些空间,但这是非常值得的,它能够帮助你在灾难发生后迅速回复系统运行。

  其他恶意软件接入点位于windows Office文档中,并能作为用于(例如试图渗透系统的意图)的程序运行。Macros是很有用的工具,但是默认情况下Macros会进行全面阻止。允许Macros(默认)的危害在于,如果你收到包含Office文档的电子邮件,你可能无意会打开它并将恶意软件注入系统。

  可以说,你的系统安全面临着很多考验。恶意软件也可能通过网络进行感染,在windows共享之间流窜,而则被安装来连接到远程并报告关于系统的详细信息。

  系统安全外的安全绝对不容忽视。虽然网络阻止攻击方的访问,和可以进行硬化,高级加密配置可以用于创建到远程网络的安全连接,甚至还有考虑网络管理,例如,如果你没有禁用Telnet服务(windows功能)并使用该服务而不是使用,那么协议将很容易受到攻击。如果你未能在网络中部署数据包捕获/嗅探程序,所有以上这些系统安全措施都会被破坏,因为数据包捕获/嗅探程序可以主动扫描并捕获纯文本或未加密密码,而这些密码很可能是用于windows管理员默认服务帐号的密码。没有良好的密码标准,等于向攻击者敞开大门。因此,我们始终要将网络看作是恶意软件和攻击的潜在接入点,因为这是我们经常忽略的部分。

  MSE包是能够从(图12)免费下载的软件,当安装后,它会添加防病毒扫描软件到系统中。这是转为XP、Vista和Windows7开发的软件,MSE软件包只有正版windows 7用户才可以使用。如果你不是正版用户,则无法下载和安装。如果你可以下载,请安装该软件包。在安装阶段将需要验证windows 7的合法性,验证后,安装程序会检查系统是否有其他在运行,然后会建议你只需使用一种形式的防病毒软件,因为同时运行两种防病毒软件将会造成互相干扰,同时也带来管理和监测(以及更新)方面的麻烦,并会影响系统性能。安装好后,可以如图7所示进行更新。

http://www.windowsecurity.com/img/upl/image0141274729203877.jpg

  图7:运行 Security Essentials更新

  下一步(图8),你可以运行快速、全面或者自定义扫描来检查系统是否存在恶意软件。执行主动扫描和设置实时保护都可以快速方便地实现。运行MSE,并保持更新以获取全面防病毒保护。另一个优势在于它可以使用windows update进行更新。

http://www.windowsecurity.com/img/upl/image0161274729203892.jpg

  图8: 使用MSE扫描系统中的恶意软件

  安装恶意软件防护和部署积极抵御措施后,你可以继续强化这些保护。

  在互联网中使用计算机必然带来潜在攻击,因此需要安装和使用恶意软件和间谍软件防护工具并保持其更新。需要记住的是,系统受到保护后,必须进行不断更新以确保持续保护,并养成良好的上网习惯。

  提示:

  尽量不要使用桌面小工具或者其他潜在威胁的工具,因为如前文所属,使用这些工具将为攻击者打开方便之门。如果你不需要某些软件,或者不常使用,安全的做法就是尽快删除它。不仅能够节约空间,而且增强系统处理能力。禁止安装来自不可信任来源或者问题来源的未前面程序。

  总结

  在病毒肆意横行的今天,考虑选择windows 7时,安全和灵活性通常是最先考虑的因素。Windows 7确实很安全,但并不是100%的安全。用户需要运用相关知识、其他工具和配置以全面确保安全性,然后经常进行更新和检测。

------分隔线----------------------------

推荐内容