Windows 7是微軟最新的桌面型客戶端操作系統,是基於Windows XP和Vista的優點和缺點而升華出來的新系統,所有服務都得到了加強,新增的安全功能也使之更加可靠。除了基本的系統改進和新服務外,Windows 7提供了更多的安全功能,加強了審計和監控功能以及對遠程通信和數據加密的功能,Windows 7還新開發了內部保護機制以加強系統內部安全性能,如內核修復保護、服務強化、數據執行防御、地址空間布局隨機化和強制性完整性級別等。
Windows 7的所有改進都是以安全為中心的。首先,該系統用於開發微軟的安全開發生命周期(SDL)框架並用於支持通用標准要求,允許其達到評估確認等級(EAL)4證書,該等級符合聯邦信息處理標准(FIPS)#140-2。另外,通過利用其他安全工具(如組策略),你可以控制桌面安全的每個方面。如果Windows 7主要用於家庭辦公或者個人使用,它也可以預防黑客攻擊和入侵。你也可以認為Windows 7內部是安全的,但這並不意味著你可以依賴於默認配置,你需要根據自身的安全需求進行調整。
在這篇文章中,我們將介紹如何確保Windows 7安全性的方法,安全配置以及一些鮮為人知的Windows 7安全功能,並且我們還將探討保護數據、備份數據以及如何在遭受攻擊或者系統故障時迅速運行數據。本文還介紹了安全的概念,如何強化Windows 7,如何為運行的程序提供安全保障,如何管理Windows 7系統的安全,如何處理惡意軟件造成的問題,還有保護數據、備份和恢復操作系統功能,如何恢復到操作系統之前的狀態,以及當系統故障時,如何恢復數據和系統。本文目的在於讓大家熟悉Windows 7的安全功能、增強功能以及讓大家深入了解如何正確部署這些安全功能。
注意:
如果你在企業環境或者其他專業環境工作,請不要對公司計算機進行設置。如果你不熟悉安全問題或者微軟產品,在對系統進行修改時請仔細閱讀相關文件。
基本安全注意事項
管理安全機制需要通過分析工作來調整現有的安全架構並發現潛在攻擊,大多數時候,安全機制都將受到攻擊或者惡意程序的考驗,如果能夠及時發現潛在的攻擊,就能夠積極抵御攻擊。通過日志和審計,你可以找出是否有人試圖登錄路由器或者試圖進行管理員賬戶登錄。
日志和警報信息是非常有幫助的,這樣當出現問題時,就能夠迅速作出反應。對周密攻擊進行響應被稱為“襲擊響應”,正確應對襲擊的關鍵在於有一個積極的計劃。災難恢復計劃(有時與業務連續性計劃合並使用)能夠幫助從攻擊事故中恢復。
因此,對於家庭用戶和獨立系統用戶而言,你應該遵循同樣的策略,你需要保護數據,對災難作出反應,而事先部署的良好計劃能夠讓你立於不敗之地。如果你的系統感染了惡意軟件(如木馬程序),並且所有其他恢復技術都失效時,你可能需要重新安裝系統。在這種情況下,你應該在災難發生前事先指定團隊成員,明確各自的工作,才能最大限度降低災難對系統造成的影響。
注意:
你應該定期審視自己的計劃,特別是在發生最大問題或者故障後,增加必要的項目。
技巧:
對於任何系統或者服務都應該考慮和部署安全措施,這樣才能夠降低攻擊造成的風險。如果安全措施的部署方式可以讓你積極抵御攻擊或者災難,就會省事很多。
同時,我們也應該考慮使用縱深防御技術從概念上和技術上來部署安全措施,對於所有系統、服務、應用程序和網絡設備而言,都必須考慮和部署安全措施。為了防止安全架構出現纰漏,我們可以考慮使用利用了縱身繁育概念的安全模式,圖1顯示的是非常基本的縱深防御應用,當然你也可以增加更多層保護,這取決於網絡建立的方式。
從這裡可以看到,縱深防御技術可以根據你的需求進行自定義。在上圖的例子中,安全政策的目的在於提供安全方向和連接到用戶系統和網絡的通信。此外,對系統、手機、台式機、服務、應用程序、服務器、路由器、交換機和PBX的強化也應該被考慮,以確保所有的接口都是安全的。如果使用無線網絡的話,還應該使用過濾器、掃描儀等工具來檢查和記錄任何信息。
Windows 7是非常靈活的,其包含很多選項來配置擁有完全功能的系統(最低安全性),或者僅配置你需要使用的操作程序(最高安全性),正確使用Windows2008和Windows 7,將能夠使安全性能增加10倍。
注意:
需要記住的是,否認問題(潛在的問題)是不行的。如果忽視問題或者留到以後再解決,會讓問題復雜化,這樣只會浪費時間。全面部署安全措施能夠低於大多數滲透攻擊並提供多層次保護,當然不能完全徹底預防攻擊。你需要了解安全機制的基礎,以及如何主動的或者被動的預防攻擊。
關於如何配置Windows 7安全設置的問題,大家可以在微軟官網找到很多模板與詳細說明,可以幫助你一步一步部署和使用windows系統的安全措施。
在部署安全措施時,我們還需要一定水平的靈活度,在滿足業務目標和要求的同時,保持較高水平的安全性。例如我們可以使用用戶帳號控制工具(UAC),當進行合適調試後,可以提供較高水平的安全性。
UAC是用來防止進程或者應用程序對計算機進行修改以操縱系統,它是通過限制操作系統內核內的訪問權限來實現的,它還將向用戶提供關於試圖自行安裝或者進一步配置操作系統的程序的詳細信息。這是非常有幫助的,能夠讓我們確認程序的活動,並且采取適當的措施。UAC最早出現在Vista系統中,但是因為它無法關閉,不斷彈出的提示消息讓用戶感到很厭煩。Windows開發人員也因為UAC的限制遇到了編碼方面的麻煩。然而,現在Windows 7則可以完全關閉UAC,提供更大的靈活性和選擇。
警告:
為了保障系統的安全,我們建議大家不要完全關閉UAC或者當因為某些操作而關閉UAC時,請記得事後打開UAC。
Windows 7的安裝和強化
在部署Windows 7時,總是建議用戶全新的兼容硬件上安裝操作系統,然後對其進行強化。系統強化是提高安全級別的必要過程,主要通過配置必要的安全設置,刪除不需要的軟件和調整先進的政策設置。
注意:
在為Windows 7選擇硬件時,你需要做一個規劃,因為如果你想要使用虛擬化、windows可信平台模塊(TPM)管理和其他功能(例如BitLocker)時,你需要購買正確的硬件才能實現這些功能。
那麼,安裝好操作系統後,要采取哪些步驟來強化它呢?有沒有特定的順序呢?系統強化的步驟與基本安裝步驟一樣,移除所有不需要使用的東西,更新系統,運用基本安全技術,然後進行備份,以在必要時迅速恢復系統,如下列步驟:
步驟1——安裝操作系統,在安裝過程中選擇所有能夠增強安全性的選項,不要選擇不必要的服務、選項和程序。
步驟2——安裝管理員工具包、安全工具和所需要的程序
步驟3——刪除不需要的服務、程序和軟件,禁用或者刪除不必要的用戶帳號或者組。
步驟4——及時更新所有安全程序
步驟5——運行安全審計(掃描儀、模板、MBSA等)以評估目前安全級別
步驟6——運行系統還原並創建還原點,運行為災難恢復進行的備份和恢復應用程序
步驟7——備份操作系統,能夠在災難發生後迅速恢復系統
以上步驟只是簡單的例子,你還可以添加更多的步驟。在完成Windows 7安裝後,下一步驟就是刪除任何不需要的軟件、服務、協議和程序,這可以在控制面板進行操作。然後禁用或者刪除不必要的用戶帳號或者組。
技巧:
在Server2008中,你可以安裝“核心”功能,這是適用於實際安裝的強化過程,安裝好後,服務器只會運行必要的功能,從而降低安全漏洞所帶來的風險。Windows 7沒有這樣的功能,我們需要運用政策、模板或者手動配置安全設置來強化系統。
