桌面安全培訓(xùn)教材課件

第六章Windows7桌面安全第六章概述Windows7中安全管理概述使用本地組策略加強(qiáng)Windows7安全使用EFS和BitLocker實(shí)現(xiàn)數(shù)據(jù)安全配置應(yīng)用程序限制配置用戶賬戶控制配置WindowsFirewall配置InternetExplorer8中的安全設(shè)置配置WindowsDefenderWhatIsActionCenter?Demonstration:ConfiguringActionCenterSettings概述Windows7中安全管理概述Lesson1:Windows7中安全管理概述Windows7關(guān)鍵安全功能Lesson1:Windows7中安全管理概述WindWindows7關(guān)鍵安全功能EncryptingFileSystem(EFS)üWindowsBitLocker?andBitLockerToGo?üWindowsAppLocker?üUserAccountControlüWindowsFirewallwithAdvancedSecurityüWindowsDefender?üWindows7ActionCenterüWindows7關(guān)鍵安全功能EncryptingFile什么是操作中心?SelecttheitemsthatyouwantcheckedforuseralertsActionCenterisacentrallocationforviewingmessagesaboutyoursystemandthestartingpointfordiagnosingandsolvingissueswithyoursystem什么是操作中心?SelecttheitemsthatDemo:配置操作中心設(shè)置Inthisdemonstration,youwillseehowto:

ChangeActionCenterSettingsChangeUserControlSettingsViewArchivedMessages10minDemo:配置操作中心設(shè)置InthisdemonstrLesson2:使用本地組策略加強(qiáng)Windows7安全什么是組策略?組策略對象如何被執(zhí)行?多本地組策略如何工作Demo:創(chuàng)建多本地組策略Demo:配置本地安全策略設(shè)置Lesson2:使用本地組策略加強(qiáng)Windows7安全什什么是組策略?組策略可以使IT管理員實(shí)現(xiàn)對用戶和計(jì)算機(jī)一對多的管理使用組策略:執(zhí)行標(biāo)準(zhǔn)化配置部署軟件強(qiáng)制安全設(shè)置強(qiáng)制桌面環(huán)境的一致性本地組策略影響登錄到該計(jì)算機(jī)的本地或域用戶什么是組策略?組策略可以使IT管理員實(shí)現(xiàn)對用戶和計(jì)算機(jī)一對多組策略對象如何被執(zhí)行?計(jì)算機(jī)設(shè)置在啟動(dòng)時(shí)和到策略更新周期時(shí)執(zhí)行，用戶設(shè)置在用戶登錄或到策略更新周期時(shí)執(zhí)行組策略處理順序:1.LocalGPOs2.Site-levelGPOs3.DomainGPOs4.OUGPOs組策略對象如何被執(zhí)行?計(jì)算機(jī)設(shè)置在啟動(dòng)時(shí)和到策略更新周期時(shí)執(zhí)多本地組策略如何工作多本地組策略允許管理員應(yīng)用不同的本地策略到本地的用戶.本地組策略對象可以應(yīng)用到3個(gè)級別的用戶:本地組策略對象應(yīng)用到本地計(jì)算機(jī)和所有用戶.

管理員組和非管理員組，只包含用戶設(shè)置.

指定的用戶，最后被執(zhí)行，僅包含用戶設(shè)置，應(yīng)用到指定的用戶.多本地組策略如何工作多本地組策略允許管理員應(yīng)用不同的本地策略Demo:創(chuàng)建多本地組策略Inthisdemonstration,youwillseehowto:

CreateacustommanagementconsoleConfiguretheLocalComputerPolicyConfiguretheLocalComputerAdministratorsPolicyConfiguretheLocalComputerNon-AdministratorsPolicyTestmultiplelocalgrouppolicies10minDemo:創(chuàng)建多本地組策略InthisdemonstrDemo:配置本地安全策略設(shè)置Inthisdemonstration,youwillseehowtoreviewthelocalsecuritygrouppolicysettings10minDemo:配置本地安全策略設(shè)置InthisdemonsLesson3:使用EFS和BitLocker實(shí)現(xiàn)數(shù)據(jù)安全什么是EFS?Demo:使用EFS加密和解密文件和文件夾什么是BitLocker?BitLocker需求BitLocker模式BitLocker組策略設(shè)置配置BitLocker配置BitLockertoGo恢復(fù)BitLocker加密驅(qū)動(dòng)器Lesson3:使用EFS和BitLocker實(shí)現(xiàn)數(shù)據(jù)安全什么是EFS?EncryptingFileSystem(EFS)isthebuilt-infileencryption

toolforWindowsfilesystems.EnablestransparentfileencryptionanddecryptionRequirestheappropriatecryptographic(symmetric)keytoreadtheencrypteddataEachusermusthaveapublicandprivatekeypairthatisusedtoprotectthesymmetrickeyAuser’spublicandprivatekeys:Caneitherbeself-generatedorissuedfromaCertificateAuthorityAreprotectedbytheuser’spasswordAllowsfilestobesharedwithotherusercertificates支持將私鑰存儲(chǔ)到智能卡上üEncryptingFileSystemRekeyingwizardü新的EFS組策略設(shè)置ü加密系統(tǒng)頁面文件ü支持AIS256位加密üWindows7中EFS新功能基于每用戶的脫機(jī)文件加密ü什么是EFS?EncryptingFileSystemDemo:使用EFS加密和解密文件和文件夾Inthisdemonstration,youwillseehowto:

EncryptfilesandfoldersConfirmthefilesandfoldershavebeenencryptedDecryptfilesandfoldersConfirmthefilesandfoldershavebeendecrypted10minDemo:使用EFS加密和解密文件和文件夾Inthisd什么是BitLocker？WindowsBitLocker驅(qū)動(dòng)加密可以加密存儲(chǔ)在系統(tǒng)卷上的操作系統(tǒng)和數(shù)據(jù)ü提供對離線數(shù)據(jù)保護(hù)的支持ü保護(hù)所有安裝在加密卷上的應(yīng)用程序數(shù)據(jù)ü包含系統(tǒng)完整性校驗(yàn)ü校驗(yàn)啟動(dòng)組件和啟動(dòng)配置數(shù)據(jù)tconfigurationdataü抱著啟動(dòng)過程的完整性ü什么是BitLocker？WindowsBitLockerBitLocke需求加密和解密密鑰:硬件需求:BitLocker加密需要:計(jì)算機(jī)帶有TPM（v1.2或更新）芯片可移動(dòng)USB設(shè)備有足夠的可用空間，BitLocker需要?jiǎng)?chuàng)建兩個(gè)分區(qū)BIOS兼容TPM，同時(shí)系統(tǒng)啟動(dòng)時(shí)需要USB設(shè)備支持BitLocke需求BitLocker模式Windows7支持兩種操作模式:TPM模式無-TPM模式TPMmodeLocksthenormalbootprocessuntiltheuseroptionallysuppliesapersonalPINand/orinsertsaUSBdrivecontainingaBitLockerstartupkey

Theencrypteddiskmustbelocatedintheoriginalcomputer

Performssystemintegrityverificationonbootcomponents

Ifanyitemschangedunexpectedly,thedriveislockedandpreventedfrombeingaccessedordecrypted

無-TPM模式使用組策略來允許BitLocker工作在無TPM模式

鎖定啟動(dòng)過程類似于TPM模式，BitLocker啟動(dòng)密鑰必須存儲(chǔ)在USB設(shè)備上

計(jì)算機(jī)的BIOS必須能讀取USB驅(qū)動(dòng)器

提供受限的驗(yàn)證

不能執(zhí)行BitLocker系統(tǒng)完整性檢查BitLocker模式Windows7支持兩種操作模式:TSettingsforRemovableDataDrivesGroupPolicyprovidesthefollowingsettingsforBitLocker:TurnonBitLockerbackuptoActiveDirectoryDomainServicesConfiguretherecoveryfolderonControlPanelSetupEnableadvancedstartupoptionsonControlPanelSetupConfiguretheencryptionmethodPreventmemoryoverwriteonrestartConfigureTPMvalidationmethodusedtosealBitLockerkeysBitLocker的組策略設(shè)置SettingsforFixedDataDrivesLocalGroupPolicySettingsfor

BitLockerDriveEncryptionSettingsforOperatingSystemDrivesSettingsforRemovableDataDrEnablingBitLockerinitiatesastart-upwizard:

Validatessystemrequirements

Createsthesecondpartitionifitdoesnotalreadyexist

Allowsyoutoconfigurehowtoaccessanencrypteddrive:

USB

UserfunctionkeystoenterthePassphrase

NokeyThreemethodstoenableBitLocker:

FromSystemandSettingsinControlPanel

Right-clickthevolumetobeencryptedinWindowsExplorerandselecttheTurnonBitLockermenuoptionUsethecommand-linetooltitledmanage-bde.wsfInitiatingBitLockerthroughWindowsExplorer通過控制臺(tái)初始化BitLocker配置BitLockerEnablingBitLockerinitiatesaManageaDriveEncryptedbyBitLockerToGoSelecthowtostoreyourrecoverykeyManageaDriveEncryptedbyBitLockerToGoEnableBitLockerToGoDriveEncryptionbyright-clickingtheportabledevice(suchasaUSBdrive)andthenclickingTurnOnBitLocker

SelectoneofthefollowingsettingstounlockadriveencryptedwithBitLockerToGo:UnlockwithaRecoveryPasswordorpassphraseUnlockwithaSmartCardAlwaysauto-unlockthisdeviceonthisPC配置BitLockerToGoSelecthowtounlockthedrive–throughapasswordorbyusingaSmartcardEncrypttheDriveManageaDriveEncryptedbyBi恢復(fù)BitLocker加密的驅(qū)動(dòng)當(dāng)一臺(tái)啟用Bitlocker的計(jì)算機(jī)啟動(dòng)時(shí):

BitLocker檢查操作系統(tǒng)是否有安全隱患

如果檢查到:

BitLocker進(jìn)入到恢復(fù)模式，并保持系統(tǒng)分區(qū)鎖定

用戶必須輸入正確的恢復(fù)密鑰才能繼續(xù)BitLocker恢復(fù)密碼是:48位數(shù)字密碼用來解鎖系統(tǒng)UniquetoaparticularBitLockerencryption可以被存儲(chǔ)在ActiveDirectory如果存儲(chǔ)在活動(dòng)目錄中，通過驅(qū)動(dòng)標(biāo)簽或計(jì)算機(jī)密碼搜索它恢復(fù)BitLocker加密的驅(qū)動(dòng)當(dāng)一臺(tái)啟用BitlockerLesson4:配置應(yīng)用程序限制什么AppLocker?AppLocker規(guī)則Demo:配置AppLocker規(guī)則Demo:強(qiáng)制AppLocker規(guī)則什么是軟件限制策略?Lesson4:配置應(yīng)用程序限制什么AppLocker?什么AppLocker?AppLocker的好處：控制用戶如何訪問和運(yùn)行所有類型的應(yīng)用程序確保用戶桌面上只能運(yùn)行允許的程序和許可的軟件

AppLocker是Windows7中的一項(xiàng)新安全功能，使得IT管理員可以指定用戶可以執(zhí)行那些應(yīng)用程序什么AppLocker?AppLocker的好處：AppLo默認(rèn)規(guī)則:所有用戶可以運(yùn)行默認(rèn)程序文件目錄下的文件所有用戶可以運(yùn)行經(jīng)過Windows操作系統(tǒng)簽名過的文件內(nèi)置管理員組可以運(yùn)行所有文件首先，在手工創(chuàng)建新規(guī)則之前，創(chuàng)建默認(rèn)AppLocker規(guī)則，然后字定義規(guī)則創(chuàng)建自定義規(guī)則在本地安全策略控制臺(tái)使用AppLocker向?qū)ё詣?dòng)生成規(guī)則ü你可以配置執(zhí)行規(guī)則、WindowsInstaller規(guī)則、腳本規(guī)則ü你可以指定一個(gè)包含.exe文件的文件夾給某條規(guī)則ü你可以創(chuàng)建某個(gè).exe文件的例外規(guī)則ü你可以創(chuàng)建基于數(shù)字簽名的應(yīng)用程序規(guī)則ü你可以手工創(chuàng)建一個(gè)自定義特殊執(zhí)行規(guī)則üAppLocker規(guī)則默認(rèn)規(guī)則:所有用戶可以運(yùn)行默認(rèn)程序文件目錄下的文件所有用戶可Demo:配置AppLocker規(guī)則Inthisdemonstration,youwillseehowto:

CreatenewexecutableruleCreatenewWindowsInstallerruleAutomaticallygenerateScriptrules10minDemo:配置AppLocker規(guī)則InthisdemDemo:強(qiáng)制AppLocker規(guī)則Inthisdemonstration,youwillseehowto:

EnforceAppLockerRulesConfirmtheexecutableruleenforcementConfirmtheWindowsInstallerruleenforcement10minDemo:強(qiáng)制AppLocker規(guī)則Inthisdem什么是軟件限制策略?軟件限制策略(SRP)可以明確用戶可以允許執(zhí)行那些軟件

SRP是WindowsXP和WindowsServer2003支持的策略SRP是設(shè)計(jì)用來幫助組織控制一些不允許執(zhí)行的未知代碼和惡意的程序

SRP包含默認(rèn)安全級別，所有的規(guī)則都在組策略應(yīng)用時(shí)被執(zhí)行HowdoesSRPcomparetoWindowsAppLocker?AppLocker是用來替換軟件限制策略的üSRP控制臺(tái)和SRP規(guī)則在Windows7同樣也支持，主要用來實(shí)現(xiàn)向下兼容性üAppLocker規(guī)則完全獨(dú)立于SRP規(guī)則üAppLocker組策略獨(dú)立于SRP組策略üIfAppLocker規(guī)則定義于一個(gè)GPO中，只有指定規(guī)則被應(yīng)用ü根據(jù)企業(yè)客戶端版本分別定義AppLocker和SRP規(guī)則üSRP和AppLocker比較什么是軟件限制策略?軟件限制策略(SRP)可以明確用戶可以允Lesson5:配置用戶賬戶控制什么UAC?UAC如何工作Demo:配置UAC的組策略設(shè)置配置UAC提示設(shè)置Lesson5:配置用戶賬戶控制什么UAC?什么UAC?用戶賬戶控制(UAC)是一項(xiàng)安全功能，使得用戶在標(biāo)準(zhǔn)用戶模式下執(zhí)行必須的日常任務(wù)UAC必要時(shí)會(huì)要求用戶提升到管理員模式下執(zhí)行相應(yīng)的操作Windows7增強(qiáng)了用戶控制的提升體驗(yàn)什么UAC?用戶賬戶控制(UAC)是一項(xiàng)安全功能，使得用戶在UAC如何工作在Windows7中，當(dāng)用戶執(zhí)行一項(xiàng)需要管理員特權(quán)的任務(wù)時(shí)，會(huì)出現(xiàn)什么提示?Administrative

Users

UACpromptstheuserforpermissiontocompletethetaskStandard

Users

UACpromptstheuserforthecredentialsofauserwithadministrativeprivilegesUAC如何工作在Windows7中，當(dāng)用戶執(zhí)行一項(xiàng)需要管理Demo:配置UAC的組策略設(shè)置Inthisdemonstration,youwillseehowto:

OpentheUserAccountswindowReviewusergroupsViewtheCredentialPromptChangeUserAccountSettingsandViewtheConsentPrompt10minDemo:配置UAC的組策略設(shè)置Inthisdemon配置UAC提示設(shè)置UAC的用戶體驗(yàn)級別有：

Alwaysnotifyme

Notifymeonlywhenprogramstrytomakechangestomycomputer

Notifymeonlywhenprogramstrytomakechangestomycomputer(donotdimmydesktop)

Nevernotify

配置UAC提示設(shè)置UAC的用戶體驗(yàn)級別有：

LabA:ConfiguringUAC,LocalSecurityPolicies,EFS,andAppLockerExercise1:ConfiguringvirusprotectionandUserAccountControl(UAC)notificationsettingsinActionCenterExercise2:ConfiguringMultipleLocalGroupPoliciestomanagetheappearanceofselectedprogramiconsExercise3:ConfiguringandtestingencryptionoffilesandfoldersExercise4:ConfiguringandtestingAppLockerrulestocontrolwhatprogramscanbeexecutedLogoninformationEstimatedtime:50minutesVirtualmachine6292A-LON-DC16292A-LON-CL1UsernameContoso\AdministratorPasswordPa$$w0rdLabA:ConfiguringUAC,LocalLabAScenarioYourcompanyisimplementingWindows7computersforallcorporateusers.Asanadministratoratyourorganization,youareresponsibleforconfiguringthenewWindows7computerstosupportvariouscorporaterequirements. Youhavebeenaskedto:TurnoffvirusprotectionnotificationsVerifytheUserAccountControl(UAC)settingsaresetto“Alwaysnotifybutnotdimthedesktop”Configuremultiplelocalgrouppoliciestocontrolwhichofthedefaultprogramiconsappearonusers’andadministrators’computersEncryptallsensitivedataoncomputersusingEFSUseAppLockerrulestopreventcorporateusersfromrunningWindowsMediaPlayerandinstallingunauthorizedapplicationsLabAScenarioYourcompanyiLabAReviewWherecanyouturnonandoffsecuritymessagesrelatedtovirusprotection?WhataresomeoftheothersecuritymessagesthatcanbeconfiguredinWindows7?Howcanthenotificationsaboutchangestothecomputerbesuppressed?Canmultiplelocalgrouppoliciesbecreatedandappliedtodifferentusers?WhataresomeofthewaysofprotectingsensitivedatainWindows7?HowcanWindows7usersbepreventedfromrunningapplications,suchasWindowsMediaPlayer?LabAReviewWherecanyouturnLesson6:配置WindowsFirewall討論：什么是防火墻?配置基本防火墻設(shè)置高級安全Windows防火墻常見應(yīng)用程序使用的端口Demo:配置入站、出戰(zhàn)連接安全規(guī)則Lesson6:配置WindowsFirewall討論討論：什么是防火墻?你們公司正在使用哪種類型的防火墻?是什么原因選擇的它?10min討論：什么是防火墻?你們公司正在使用哪種類型的防火墻?10配置網(wǎng)絡(luò)位置打開或關(guān)閉Windows防火墻，自定義網(wǎng)絡(luò)位置設(shè)置添加，修改和移除允許的程序設(shè)置和修改多個(gè)活動(dòng)的配置文件設(shè)置配置Windows防火墻提示配置基本防火墻設(shè)置配置網(wǎng)絡(luò)位置打開或關(guān)閉Windows防火墻，自定義網(wǎng)絡(luò)位置設(shè)高級安全Windows防火墻WindowsFirewallwithAdvancedSecurityfiltersincomingandoutgoingconnectionsbasedonitsconfigurationInboundrulesexplicitlyalloworexplicitlyblocktrafficthatmatchescriteriaintherule.Outboundrulesexplicitlyalloworexplicitlydenytrafficoriginatingfromthecomputerthatmatchesthecriteriaintherule.ConnectionsecurityrulessecuretrafficbyusingIPsecwhileitcrossesthenetwork.Themonitoringinterfacedisplaysinformationaboutcurrentfirewallrules,connectionsecurityrules,andsecurityassociations.ThePropertiespageisusedtoconfigurefirewallpropertiesfordomain,private,andpublicnetworkprofiles,andtoconfigureIPsecsettings.高級安全Windows防火墻WindowsFirewall常見應(yīng)用程序使用的端口當(dāng)計(jì)算機(jī)要和遠(yuǎn)程的主機(jī)建立通訊時(shí)，將會(huì)創(chuàng)建TCP或UDP的套接字TCP/IPProtocolSuiteTCPUDPEthernetHTTPFTPSMTPDNSPOP3SNMPIPv6IPv4ARPIGMP

ICMPHTTPS常見應(yīng)用程序使用的端口當(dāng)計(jì)算機(jī)要和遠(yuǎn)程的主機(jī)建立通訊時(shí)，將會(huì)Demo:配置入站、出戰(zhàn)連接安全規(guī)則Inthisdemonstration,youwillseehowto:

ConfigureanInboundRuleConfigureanOutboundRuleTesttheOutboundRuleCreateaConnectionSecurityRuleReviewMonitoringSettingsinWindowsFirewall15minDemo:配置入站、出戰(zhàn)連接安全規(guī)則InthisdemLesson7:配置InternetExplorer8的安全設(shè)置討論:InternetExplorer8在兼容性功能InternetExplorer8增強(qiáng)的隱私保護(hù)功能InternetExplorer8的SmartScreen功能InternetExplorer8的其它安全功能Demo:配置InternetExplorer8的安全設(shè)置Lesson7:配置InternetExplorer討論:InternetExplorer8在兼容性功能10min在你更新IE時(shí)，你會(huì)碰到哪些兼容性我呢間?討論:InternetExplorer8在兼容性功能1InternetExplorer8增強(qiáng)的隱私保護(hù)功能InPrivateBrowsing-inherentlymoresecurethanusingDeleteBrowsingHistorytomaintainprivacybecausetherearenologskeptortracksmadeduringbrowsingüInPrivateFiltering-helpsmonitorthefrequencyofallthird-partycontentasitappearsacrossallWebsitesvisitedbytheuserüEnhancedDeleteBrowsingHistory-enablesusersandorganizationstoselectivelydeletebrowsinghistoryüInternetExplorer8增強(qiáng)的隱私保護(hù)功能InInternetExplorer8的SmartScreen功能UsethislinktonavigateawayfromanunsafeWebsiteandstartbrowsingfromatrustedlocationUsethislinktoignorethewarning;theaddressbarremainsredasapersistentwarningthatthesiteisunsafeInternetExplorer8的SmartScreeInternetExplorer8的其它安全功能Per-userActiveX–使得標(biāo)準(zhǔn)用戶可以安裝ActiveX控件在自己的用戶配置文件里，不需要管理員特權(quán)üPer-siteActiveX–IT管理員使用組策略預(yù)先設(shè)置被允許的相關(guān)聯(lián)域的控件üXSSFilter–如果在服務(wù)器的響應(yīng)中出現(xiàn)重播，將被識別為跨站腳本攻擊üDEP/NXprotection-查找內(nèi)存中沒有明確包含可執(zhí)行代碼的數(shù)據(jù)(這些數(shù)據(jù)有時(shí)會(huì)是病毒的源代碼),找到這些數(shù)據(jù)后,NX將它們都標(biāo)記為“不可執(zhí)行üInternetExplorer8的其它安全功能Per-Demo:配置InternetExplorer8的安全設(shè)置Inthisdemonstration,youwillseehowto:

EnableCompatibilityViewforAllWebSitesDeleteBrowsingHistoryConfigureInPrivateBrowsingConfigureInPrivateFilteringViewAdd-onManagementInterface10minDemo:配置InternetExplorer8的安全Lesson8:配置WindowsDefender什么是惡意軟件?什么是WindowsDefender?WindowsDefender的掃描選項(xiàng)Demo:配置WindowsDefender設(shè)置Lesson8:配置WindowsDefender什么什么是惡意軟件?惡意軟件包括:病毒蠕蟲特洛伊木馬間諜軟件廣告軟件惡意軟件將導(dǎo)致:性能降低數(shù)據(jù)丟失隱私泄露降低用戶的效率未經(jīng)允許的篡改計(jì)算機(jī)配置惡意軟件是一種蓄意破話計(jì)算機(jī)的一種軟件.什么是惡意軟件?惡意軟件包括:病毒惡意軟件將導(dǎo)致:性能降低惡什么是WindowsDefender?WindowsDefender是一種安全軟件，可以用來保護(hù)計(jì)算機(jī)對抗安全風(fēng)險(xiǎn)，它能檢測和移除已知的間諜軟件.計(jì)劃掃描將按原先的計(jì)劃定期執(zhí)行提供可配置的響應(yīng)為嚴(yán)重、高、中、低的警告級別提供可定義的選項(xiàng)來例外文件，文件夾和文件類型通過WindowsUpdate自動(dòng)安裝新的間諜軟件定義什么是WindowsDefender?WindowsDe當(dāng)掃描完成時(shí)，將在主頁顯示結(jié)果.WindowsDefender的掃描選項(xiàng)當(dāng)掃描時(shí)，你可以定義你可以定義，掃描什么OptionDescription掃描歸檔文件Mayincreasescanningtime,butspywarelikestohideintheselocations掃描e-mailScane-mailmessagesandattachments掃描可移動(dòng)驅(qū)動(dòng)器ScanremovabledrivessuchasUSBflashdrives啟發(fā)式掃描Alertyoutopotentiallyharmfulbehaviorifitisnotincludedinadefinitionfile創(chuàng)建還原點(diǎn)Ifdetecteditemsareautomaticallyremoved,thisrestoressystemsettingsifyouwanttousesoftwareyoudidnotintendtoremoveScanTypeDescription快速掃描掃描計(jì)算機(jī)最容易被感染相關(guān)系統(tǒng)位置完全掃描掃描計(jì)算機(jī)所有的位置自定義掃描掃描用戶指定的位置當(dāng)掃描完成時(shí)，將在主頁顯示結(jié)果.WindowsDefendDemo:配置WindowsDefender設(shè)置Inthisdemonstration,youwillseehowto:

SetWindowsDefenderOptionsViewQuarantineItemsViewAllowedItemsMicrosoftSpyNetWindowsDefenderWebsite10minDemo:配置WindowsDefender設(shè)置IntLabB:ConfiguringWindowsFirewall,InternetExplorer8.0SecuritySettings,andWindowsDefenderExercise1:ConfiguringandTestingInboundandOutboundRulesinWindowsFirewallExercise2:ConfiguringandTestingSecuritySettingsinInternetExplorer8Exercise3:ConfiguringScanSettingsandDefaultActionsinWindowsDefenderLogoninformationEstimatedtime:45minutesVirtualmachine6292A-LON-DC16292A-LON-CL1UsernameContoso\AdministratorPasswordPa$$w0rdLabB:ConfiguringWindowsFirLabBScenarioYourcompanyhasrecentlyimplementedWindows7computersforallcorporateusers.SomeoftheusershavebeenconnectingtoandfromotherdesktopsthroughRDP.YouneedtopreventthemfromdoingsowiththeuseofWindowsFirewall.Asanadministratoratyourorganization,youareresponsibleforconfiguringandtestingvarioussecuritysettings:InInternetExplorer8,includingInPrivateBrowsing,InPrivateFiltering,andthecompatibilityviewforallWebsites.TopreventmalwarefrominfectingcomputersyouneedtoconfigureWindowsDefenderscansettings,schedulescanstorunonSundaysat10:00PMandsetseverealertitemstoquarantine.Youalsoneedtoreviewwhatitemshavebeenallowedoncomputers.LabBScenarioYourcompanyhasLabBReviewWhatarethetypesofrulesyoucanconfigureinWindowsFirewall?WhataresomeofthenewsecuritysettingsinInternetExplorer8?WillthedefaultWindowsDefendersettingsallowtocheckfornewdefinitions,regularlyscanforspywareandotherpotentiallyunwantedsoftware?WhataresomeofthetypesofscansWindowsDefendercanperformtodetectmaliciousandunwantedsoftware?LabBReviewWhatarethetypesModuleReviewandTakeawaysReviewquestionsReal-WorldIssuesandScenariosCommonIssuesBestPracticesModuleReviewandTakeawaysRev演講完畢，謝謝觀看！演講完畢，謝謝觀看！第六章Windows7桌面安全第六章概述Windows7中安全管理概述使用本地組策略加強(qiáng)Windows7安全使用EFS和BitLocker實(shí)現(xiàn)數(shù)據(jù)安全配置應(yīng)用程序限制配置用戶賬戶控制配置WindowsFirewall配置InternetExplorer8中的安全設(shè)置配置WindowsDefenderWhatIsActionCenter?Demonstration:ConfiguringActionCenterSettings概述Windows7中安全管理概述Lesson1:Windows7中安全管理概述Windows7關(guān)鍵安全功能Lesson1:Windows7中安全管理概述WindWindows7關(guān)鍵安全功能EncryptingFileSystem(EFS)üWindowsBitLocker?andBitLockerToGo?üWindowsAppLocker?üUserAccountControlüWindowsFirewallwithAdvancedSecurityüWindowsDefender?üWindows7ActionCenterüWindows7關(guān)鍵安全功能EncryptingFile什么是操作中心?SelecttheitemsthatyouwantcheckedforuseralertsActionCenterisacentrallocationforviewingmessagesaboutyoursystemandthestartingpointfordiagnosingandsolvingissueswithyoursystem什么是操作中心?SelecttheitemsthatDemo:配置操作中心設(shè)置Inthisdemonstration,youwillseehowto:

ChangeActionCenterSettingsChangeUserControlSettingsViewArchivedMessages10minDemo:配置操作中心設(shè)置InthisdemonstrLesson2:使用本地組策略加強(qiáng)Windows7安全什么是組策略?組策略對象如何被執(zhí)行?多本地組策略如何工作Demo:創(chuàng)建多本地組策略Demo:配置本地安全策略設(shè)置Lesson2:使用本地組策略加強(qiáng)Windows7安全什什么是組策略?組策略可以使IT管理員實(shí)現(xiàn)對用戶和計(jì)算機(jī)一對多的管理使用組策略:執(zhí)行標(biāo)準(zhǔn)化配置部署軟件強(qiáng)制安全設(shè)置強(qiáng)制桌面環(huán)境的一致性本地組策略影響登錄到該計(jì)算機(jī)的本地或域用戶什么是組策略?組策略可以使IT管理員實(shí)現(xiàn)對用戶和計(jì)算機(jī)一對多組策略對象如何被執(zhí)行?計(jì)算機(jī)設(shè)置在啟動(dòng)時(shí)和到策略更新周期時(shí)執(zhí)行，用戶設(shè)置在用戶登錄或到策略更新周期時(shí)執(zhí)行組策略處理順序:1.LocalGPOs2.Site-levelGPOs3.DomainGPOs4.OUGPOs組策略對象如何被執(zhí)行?計(jì)算機(jī)設(shè)置在啟動(dòng)時(shí)和到策略更新周期時(shí)執(zhí)多本地組策略如何工作多本地組策略允許管理員應(yīng)用不同的本地策略到本地的用戶.本地組策略對象可以應(yīng)用到3個(gè)級別的用戶:本地組策略對象應(yīng)用到本地計(jì)算機(jī)和所有用戶.

管理員組和非管理員組，只包含用戶設(shè)置.

指定的用戶，最后被執(zhí)行，僅包含用戶設(shè)置，應(yīng)用到指定的用戶.多本地組策略如何工作多本地組策略允許管理員應(yīng)用不同的本地策略Demo:創(chuàng)建多本地組策略Inthisdemonstration,youwillseehowto:

CreateacustommanagementconsoleConfiguretheLocalComputerPolicyConfiguretheLocalComputerAdministratorsPolicyConfiguretheLocalComputerNon-AdministratorsPolicyTestmultiplelocalgrouppolicies10minDemo:創(chuàng)建多本地組策略InthisdemonstrDemo:配置本地安全策略設(shè)置Inthisdemonstration,youwillseehowtoreviewthelocalsecuritygrouppolicysettings10minDemo:配置本地安全策略設(shè)置InthisdemonsLesson3:使用EFS和BitLocker實(shí)現(xiàn)數(shù)據(jù)安全什么是EFS?Demo:使用EFS加密和解密文件和文件夾什么是BitLocker?BitLocker需求BitLocker模式BitLocker組策略設(shè)置配置BitLocker配置BitLockertoGo恢復(fù)BitLocker加密驅(qū)動(dòng)器Lesson3:使用EFS和BitLocker實(shí)現(xiàn)數(shù)據(jù)安全什么是EFS?EncryptingFileSystem(EFS)isthebuilt-infileencryption

toolforWindowsfilesystems.EnablestransparentfileencryptionanddecryptionRequirestheappropriatecryptographic(symmetric)keytoreadtheencrypteddataEachusermusthaveapublicandprivatekeypairthatisusedtoprotectthesymmetrickeyAuser’spublicandprivatekeys:Caneitherbeself-generatedorissuedfromaCertificateAuthorityAreprotectedbytheuser’spasswordAllowsfilestobesharedwithotherusercertificates支持將私鑰存儲(chǔ)到智能卡上üEncryptingFileSystemRekeyingwizardü新的EFS組策略設(shè)置ü加密系統(tǒng)頁面文件ü支持AIS256位加密üWindows7中EFS新功能基于每用戶的脫機(jī)文件加密ü什么是EFS?EncryptingFileSystemDemo:使用EFS加密和解密文件和文件夾Inthisdemonstration,youwillseehowto:

EncryptfilesandfoldersConfirmthefilesandfoldershavebeenencryptedDecryptfilesandfoldersConfirmthefilesandfoldershavebeendecrypted10minDemo:使用EFS加密和解密文件和文件夾Inthisd什么是BitLocker？WindowsBitLocker驅(qū)動(dòng)加密可以加密存儲(chǔ)在系統(tǒng)卷上的操作系統(tǒng)和數(shù)據(jù)ü提供對離線數(shù)據(jù)保護(hù)的支持ü保護(hù)所有安裝在加密卷上的應(yīng)用程序數(shù)據(jù)ü包含系統(tǒng)完整性校驗(yàn)ü校驗(yàn)啟動(dòng)組件和啟動(dòng)配置數(shù)據(jù)tconfigurationdataü抱著啟動(dòng)過程的完整性ü什么是BitLocker？WindowsBitLockerBitLocke需求加密和解密密鑰:硬件需求:BitLocker加密需要:計(jì)算機(jī)帶有TPM（v1.2或更新）芯片可移動(dòng)USB設(shè)備有足夠的可用空間，BitLocker需要?jiǎng)?chuàng)建兩個(gè)分區(qū)BIOS兼容TPM，同時(shí)系統(tǒng)啟動(dòng)時(shí)需要USB設(shè)備支持BitLocke需求BitLocker模式Windows7支持兩種操作模式:TPM模式無-TPM模式TPMmodeLocksthenormalbootprocessuntiltheuseroptionallysuppliesapersonalPINand/orinsertsaUSBdrivecontainingaBitLockerstartupkey

Theencrypteddiskmustbelocatedintheoriginalcomputer

Performssystemintegrityverificationonbootcomponents

Ifanyitemschangedunexpectedly,thedriveislockedandpreventedfrombeingaccessedordecrypted

無-TPM模式使用組策略來允許BitLocker工作在無TPM模式

鎖定啟動(dòng)過程類似于TPM模式，BitLocker啟動(dòng)密鑰必須存儲(chǔ)在USB設(shè)備上

計(jì)算機(jī)的BIOS必須能讀取USB驅(qū)動(dòng)器

提供受限的驗(yàn)證

不能執(zhí)行BitLocker系統(tǒng)完整性檢查BitLocker模式Windows7支持兩種操作模式:TSettingsforRemovableDataDrivesGroupPolicyprovidesthefollowingsettingsforBitLocker:TurnonBitLockerbackuptoActiveDirectoryDomainServicesConfiguretherecoveryfolderonControlPanelSetupEnableadvancedstartupoptionsonControlPanelSetupConfiguretheencryptionmethodPreventmemoryoverwriteonrestartConfigureTPMvalidationmethodusedtosealBitLockerkeysBitLocker的組策略設(shè)置SettingsforFixedDataDrivesLocalGroupPolicySettingsfor

BitLockerDriveEncryptionSettingsforOperatingSystemDrivesSettingsforRemovableDataDrEnablingBitLockerinitiatesastart-upwizard:

Validatessystemrequirements

Createsthesecondpartitionifitdoesnotalreadyexist

Allowsyoutoconfigurehowtoaccessanencrypteddrive:

USB

UserfunctionkeystoenterthePassphrase

NokeyThreemethodstoenableBitLocker:

FromSystemandSettingsinControlPanel

Right-clickthevolumetobeencryptedinWindowsExplorerandselecttheTurnonBitLockermenuoptionUsethecommand-linetooltitledmanage-bde.wsfInitiatingBitLockerthroughWindowsExplorer通過控制臺(tái)初始化BitLocker配置BitLockerEnablingBitLockerinitiatesaManageaDriveEncryptedbyBitLockerToGoSelecthowtostoreyourrecoverykeyManageaDriveEncryptedbyBitLockerToGoEnableBitLockerToGoDriveEncryptionbyright-clickingtheportabledevice(suchasaUSBdrive)andthenclickingTurnOnBitLocker

SelectoneofthefollowingsettingstounlockadriveencryptedwithBitLockerToGo:UnlockwithaRecoveryPasswordorpassphraseUnlockwithaSmartCardAlwaysauto-unlockthisdeviceonthisPC配置BitLockerToGoSelecthowtounlockthedrive–throughapasswordorbyusingaSmartcardEncrypttheDriveManageaDriveEncryptedbyBi恢復(fù)BitLocker加密的驅(qū)動(dòng)當(dāng)一臺(tái)啟用Bitlocker的計(jì)算機(jī)啟動(dòng)時(shí):

BitLocker檢查操作系統(tǒng)是否有安全隱患

如果檢查到:

BitLocker進(jìn)入到恢復(fù)模式，并保持系統(tǒng)分區(qū)鎖定

用戶必須輸入正確的恢復(fù)密鑰才能繼續(xù)BitLocker恢復(fù)密碼是:48位數(shù)字密碼用來解鎖系統(tǒng)UniquetoaparticularBitLockerencryption可以被存儲(chǔ)在ActiveDirectory如果存儲(chǔ)在活動(dòng)目錄中，通過驅(qū)動(dòng)標(biāo)簽或計(jì)算機(jī)密碼搜索它恢復(fù)BitLocker加密的驅(qū)動(dòng)當(dāng)一臺(tái)啟用BitlockerLesson4:配置應(yīng)用程序限制什么AppLocker?AppLocker規(guī)則Demo:配置AppLocker規(guī)則Demo:強(qiáng)制AppLocker規(guī)則什么是軟件限制策略?Lesson4:配置應(yīng)用程序限制什么AppLocker?什么AppLocker?AppLocker的好處：控制用戶如何訪問和運(yùn)行所有類型的應(yīng)用程序確保用戶桌面上只能運(yùn)行允許的程序和許可的軟件

AppLocker是Windows7中的一項(xiàng)新安全功能，使得IT管理員可以指定用戶可以執(zhí)行那些應(yīng)用程序什么AppLocker?AppLocker的好處：AppLo默認(rèn)規(guī)則:所有用戶可以運(yùn)行默認(rèn)程序文件目錄下的文件所有用戶可以運(yùn)行經(jīng)過Windows操作系統(tǒng)簽名過的文件內(nèi)置管理員組可以運(yùn)行所有文件首先，在手工創(chuàng)建新規(guī)則之前，創(chuàng)建默認(rèn)AppLocker規(guī)則，然后字定義規(guī)則創(chuàng)建自定義規(guī)則在本地安全策略控制臺(tái)使用AppLocker向?qū)ё詣?dòng)生成規(guī)則ü你可以配置執(zhí)行規(guī)則、WindowsInstaller規(guī)則、腳本規(guī)則ü你可以指定一個(gè)包含.exe文件的文件夾給某條規(guī)則ü你可以創(chuàng)建某個(gè).exe文件的例外規(guī)則ü你可以創(chuàng)建基于數(shù)字簽名的應(yīng)用程序規(guī)則ü你可以手工創(chuàng)建一個(gè)自定義特殊執(zhí)行規(guī)則üAppLocker規(guī)則默認(rèn)規(guī)則:所有用戶可以運(yùn)行默認(rèn)程序文件目錄下的文件所有用戶可Demo:配置AppLocker規(guī)則Inthisdemonstration,youwillseehowto:

CreatenewexecutableruleCreatenewWindowsInstallerruleAutomaticallygenerateScriptrules10minDemo:配置AppLocker規(guī)則InthisdemDemo:強(qiáng)制AppLocker規(guī)則Inthisdemonstration,youwillseehowto:

EnforceAppLockerRulesConfirmtheexecutableruleenforcementConfirmtheWindowsInstallerruleenforcement10minDemo:強(qiáng)制AppLocker規(guī)則Inthisdem什么是軟件限制策略?軟件限制策略(SRP)可以明確用戶可以允許執(zhí)行那些軟件

SRP是WindowsXP和WindowsServer2003支持的策略SRP是設(shè)計(jì)用來幫助組織控制一些不允許執(zhí)行的未知代碼和惡意的程序

SRP包含默認(rèn)安全級別，所有的規(guī)則都在組策略應(yīng)用時(shí)被執(zhí)行HowdoesSRPcomparetoWindowsAppLocker?AppLocker是用來替換軟件限制策略的üSRP控制臺(tái)和SRP規(guī)則在Windows7同樣也支持，主要用來實(shí)現(xiàn)向下兼容性üAppLocker規(guī)則完全獨(dú)立于SRP規(guī)則üAppLocker組策略獨(dú)立于SRP組策略üIfAppLocker規(guī)則定義于一個(gè)GPO中，只有指定規(guī)則被應(yīng)用ü根據(jù)企業(yè)客戶端版本分別定義AppLocker和SRP規(guī)則üSRP和AppLocker比較什么是軟件限制策略?軟件限制策略(SRP)可以明確用戶可以允Lesson5:配置用戶賬戶控制什么UAC?UAC如何工作Demo:配置UAC的組策略設(shè)置配置UAC提示設(shè)置Lesson5:配置用戶賬戶控制什么UAC?什么UAC?用戶賬戶控制(UAC)是一項(xiàng)安全功能，使得用戶在標(biāo)準(zhǔn)用戶模式下執(zhí)行必須的日常任務(wù)UAC必要時(shí)會(huì)要求用戶提升到管理員模式下執(zhí)行相應(yīng)的操作Windows7增強(qiáng)了用戶控制的提升體驗(yàn)什么UAC?用戶賬戶控制(UAC)是一項(xiàng)安全功能，使得用戶在UAC如何工作在Windows7中，當(dāng)用戶執(zhí)行一項(xiàng)需要管理員特權(quán)的任務(wù)時(shí)，會(huì)出現(xiàn)什么提示?Administrative

Users

UACpromptstheuserforpermissiontocompletethetaskStandard

Users

UACpromptstheuserforthecredentialsofauserwithadministrativeprivilegesUAC如何工作在Windows7中，當(dāng)用戶執(zhí)行一項(xiàng)需要管理Demo:配置UAC的組策略設(shè)置Inthisdemonstration,youwillseehowto:

OpentheUserAccountswindowReviewusergroupsViewtheCredentialPromptChangeUserAccountSettingsandViewtheConsentPrompt10minDemo:配置UAC的組策略設(shè)置Inthisdemon配置UAC提示設(shè)置UAC的用戶體驗(yàn)級別有：

Alwaysnotifyme

Notifymeonlywhenprogramstrytomakechangestomycomputer

Notifymeonlywhenprogramstrytomakechangestomycomputer(donotdimmydesktop)

Nevernotify

配置UAC提示設(shè)置UAC的用戶體驗(yàn)級別有：

LabA:ConfiguringUAC,LocalSecurityPolicies,EFS,andAppLockerExercise1:ConfiguringvirusprotectionandUserAccountControl(UAC)notificationsettingsinActionCenterExercise2:ConfiguringMultipleLocalGroupPoliciestomanagetheappearanceofselectedprogramiconsExercise3:ConfiguringandtestingencryptionoffilesandfoldersExercise4:ConfiguringandtestingAppLockerrulestocontrolwhatprogramscanbeexecutedLogoninformationEstimatedtime:50minutesVirtualmachine6292A-LON-DC16292A-LON-CL1UsernameContoso\AdministratorPasswordPa$$w0rdLabA:ConfiguringUAC,LocalLabAScenarioYourcompanyisimplementingWindows7computersforallcorporateusers.Asanadministratoratyourorganization,youareresponsibleforconfiguringthenewWindows7computerstosupportvariouscorporaterequirements. Youhavebeenaskedto:TurnoffvirusprotectionnotificationsVerifytheUserAccountControl(UAC)settingsaresetto“Alwaysnotifybutnotdimthedesktop”Configuremultiplelocalgrouppoliciestocontrolwhichofthedefaultprogramiconsappearonusers’andadministrators’computersEncryptallsensitivedataoncomputersusingEF