Windows 7是微软最新的桌面型客户端操作系统,是基于Windows XP和Vista的优点和缺点而升华出来的新系统,所有服务都得到了加强,新增的安全功能也使之更加可靠。除了基本的系统改进和新服务外,Windows 7提供了更多的安全功能,加强了审计和监控功能以及对远程通信和数据加密的功能,Windows 7还新开发了内部保护机制以加强系统内部安全性能,如内核修复保护、服务强化、数据执行防御、地址空间布局随机化和强制性完整性级别等。
Windows 7的所有改进都是以安全为中心的。首先,该系统用于开发微软的安全开发生命周期(SDL)框架并用于支持通用标准要求,允许其达到评估确认等级(EAL)4证书,该等级符合联邦信息处理标准(FIPS)#140-2。另外,通过利用其他安全工具(如组策略),你可以控制桌面安全的每个方面。如果Windows 7主要用于家庭办公或者个人使用,它也可以预防黑客攻击和入侵。你也可以认为Windows 7内部是安全的,但这并不意味着你可以依赖于默认配置,你需要根据自身的安全需求进行调整。
在这篇文章中,我们将介绍如何确保Windows 7安全性的方法,安全配置以及一些鲜为人知的Windows 7安全功能,并且我们还将探讨保护数据、备份数据以及如何在遭受攻击或者系统故障时迅速运行数据。本文还介绍了安全的概念,如何强化Windows 7,如何为运行的程序提供安全保障,如何管理Windows 7系统的安全,如何处理恶意软件造成的问题,还有保护数据、备份和恢复操作系统功能,如何恢复到操作系统之前的状态,以及当系统故障时,如何恢复数据和系统。本文目的在于让大家熟悉Windows 7的安全功能、增强功能以及让大家深入了解如何正确部署这些安全功能。
注意:
如果你在企业环境或者其他专业环境工作,请不要对公司计算机进行设置。如果你不熟悉安全问题或者微软产品,在对系统进行修改时请仔细阅读相关文件。
基本安全注意事项
管理安全机制需要通过分析工作来调整现有的安全架构并发现潜在攻击,大多数时候,安全机制都将受到攻击或者恶意程序的考验,如果能够及时发现潜在的攻击,就能够积极抵御攻击。通过日志和审计,你可以找出是否有人试图登录路由器或者试图进行管理员账户登录。
日志和警报信息是非常有帮助的,这样当出现问题时,就能够迅速作出反应。对周密攻击进行响应被称为“袭击响应”,正确应对袭击的关键在于有一个积极的计划。灾难恢复计划(有时与业务连续性计划合并使用)能够帮助从攻击事故中恢复。
因此,对于家庭用户和独立系统用户而言,你应该遵循同样的策略,你需要保护数据,对灾难作出反应,而事先部署的良好计划能够让你立于不败之地。如果你的系统感染了恶意软件(如木马程序),并且所有其他恢复技术都失效时,你可能需要重新安装系统。在这种情况下,你应该在灾难发生前事先指定团队成员,明确各自的工作,才能最大限度降低灾难对系统造成的影响。
注意:
你应该定期审视自己的计划,特别是在发生最大问题或者故障后,增加必要的项目。
技巧:
对于任何系统或者服务都应该考虑和部署安全措施,这样才能够降低攻击造成的风险。如果安全措施的部署方式可以让你积极抵御攻击或者灾难,就会省事很多。
同时,我们也应该考虑使用纵深防御技术从概念上和技术上来部署安全措施,对于所有系统、服务、应用程序和网络设备而言,都必须考虑和部署安全措施。为了防止安全架构出现纰漏,我们可以考虑使用利用了纵身繁育概念的安全模式,图1显示的是非常基本的纵深防御应用,当然你也可以增加更多层保护,这取决于网络建立的方式。
从这里可以看到,纵深防御技术可以根据你的需求进行自定义。在上图的例子中,安全政策的目的在于提供安全方向和连接到用户系统和网络的通信。此外,对系统、手机、台式机、服务、应用程序、服务器、路由器、交换机和PBX的强化也应该被考虑,以确保所有的接口都是安全的。如果使用无线网络的话,还应该使用过滤器、扫描仪等工具来检查和记录任何信息。
Windows 7是非常灵活的,其包含很多选项来配置拥有完全功能的系统(最低安全性),或者仅配置你需要使用的操作程序(最高安全性),正确使用Windows2008和Windows 7,将能够使安全性能增加10倍。
注意:
需要记住的是,否认问题(潜在的问题)是不行的。如果忽视问题或者留到以后再解决,会让问题复杂化,这样只会浪费时间。全面部署安全措施能够低于大多数渗透攻击并提供多层次保护,当然不能完全彻底预防攻击。你需要了解安全机制的基础,以及如何主动的或者被动的预防攻击。
关于如何配置Windows 7安全设置的问题,大家可以在微软官网找到很多模板与详细说明,可以帮助你一步一步部署和使用windows系统的安全措施。
在部署安全措施时,我们还需要一定水平的灵活度,在满足业务目标和要求的同时,保持较高水平的安全性。例如我们可以使用用户帐号控制工具(UAC),当进行合适调试后,可以提供较高水平的安全性。
UAC是用来防止进程或者应用程序对计算机进行修改以操纵系统,它是通过限制操作系统内核内的访问权限来实现的,它还将向用户提供关于试图自行安装或者进一步配置操作系统的程序的详细信息。这是非常有帮助的,能够让我们确认程序的活动,并且采取适当的措施。UAC最早出现在Vista系统中,但是因为它无法关闭,不断弹出的提示消息让用户感到很厌烦。Windows开发人员也因为UAC的限制遇到了编码方面的麻烦。然而,现在Windows 7则可以完全关闭UAC,提供更大的灵活性和选择。
警告:
为了保障系统的安全,我们建议大家不要完全关闭UAC或者当因为某些操作而关闭UAC时,请记得事后打开UAC。
Windows 7的安装和强化
在部署Windows 7时,总是建议用户全新的兼容硬件上安装操作系统,然后对其进行强化。系统强化是提高安全级别的必要过程,主要通过配置必要的安全设置,删除不需要的软件和调整先进的政策设置。
注意:
在为Windows 7选择硬件时,你需要做一个规划,因为如果你想要使用虚拟化、windows可信平台模块(TPM)管理和其他功能(例如BitLocker)时,你需要购买正确的硬件才能实现这些功能。
那么,安装好操作系统后,要采取哪些步骤来强化它呢?有没有特定的顺序呢?系统强化的步骤与基本安装步骤一样,移除所有不需要使用的东西,更新系统,运用基本安全技术,然后进行备份,以在必要时迅速恢复系统,如下列步骤:
步骤1——安装操作系统,在安装过程中选择所有能够增强安全性的选项,不要选择不必要的服务、选项和程序。
步骤2——安装管理员工具包、安全工具和所需要的程序
步骤3——删除不需要的服务、程序和软件,禁用或者删除不必要的用户帐号或者组。
步骤4——及时更新所有安全程序
步骤5——运行安全审计(扫描仪、模板、MBSA等)以评估目前安全级别
步骤6——运行系统还原并创建还原点,运行为灾难恢复进行的备份和恢复应用程序
步骤7——备份操作系统,能够在灾难发生后迅速恢复系统
以上步骤只是简单的例子,你还可以添加更多的步骤。在完成Windows 7安装后,下一步骤就是删除任何不需要的软件、服务、协议和程序,这可以在控制面板进行操作。然后禁用或者删除不必要的用户帐号或者组。
技巧:
在Server2008中,你可以安装“核心”功能,这是适用于实际安装的强化过程,安装好后,服务器只会运行必要的功能,从而降低安全漏洞所带来的风险。Windows 7没有这样的功能,我们需要运用政策、模板或者手动配置安全设置来强化系统。
|