加固Win7桌面安全.pptx

6292课程： 安装和配置Windows 7第六讲：加固Win 7桌面安全课程概览Windows 7安全管理概述使用本地组策略加固Win 7客户端安全使用EFS和Bitlocker加密数据配置应用程序限制配置用户账户控制（UAC）配置Windows Firewall配置IE 8的安全设置配置Windows DefenderWindows 7安全管理概述Windows 7中的安全功能什么是操作中心？Windows 7中的安全功能Windows 7操作中心üEncrypting File System (EFS)üWindows BitLocker? and BitLocker To Go?üWindows AppLocker?üUser Account Control üWindows Firewall with Advanced SecurityüWindows Defender?ü什么是Windows 操作中心？操作中心是一个您可以在此查看有关系统信息和诊断解决有关系统问题的中心点和问题的集中处理中心选择您需要检查的用户警报项目使用本地组策略加固Win 7安全什么是组策略组策略对象是如何应用的多个本地组策略如何协同工作什么是组策略？组策略使得IT管理员能够执行自动化的一到多的用户和计算机的管理任务使用组策略执行如下任务：应用标准配置部署软件强制安全设置执行一个一致的桌面环境本地组策略使用在本地应用，即在本地运行的本地用户和域用户以及本地计算机产生影响组策略对象如何应用？组策略对象分为计算机对象和用户对象，他们都是间隔固定的时间进行应用，计算机对象在启动时应用，用户对象在登录时应用。组策略处理流程：4. OU GPOs1. Local GPOs3. Domain GPOs2. Site-level GPOs使用EFS和Bitlocker加密数据什么是EFS？什么是Bitlocker？Bitlocker需求Bitlocker模式Bitlocker组策略选项配置Bitlocker配置Bitlocker to Go解密Bitlocker锁定的驱动器What Is EFS?加密文件系统（EFS）是Windows 文件系统内置的文件级别的加密工具Windows 7中的EFS新功能支持在智能卡上存储私钥ü加密文件系统密钥更新向导透明的文件的加密和解密的方式需要适当的加密密钥（对称的）来读取加密数据每个用户必有一个公钥和私钥对，用于保护对称密钥用户的公钥和私钥:可以是自我产生的也可以是从证书颁发机构颁发的是使用用户的密码进行保护的允许其他用户的证书访问加密的文件ü新EFS组策略设置ü支持系统页面的加密ü支持每个用户的脱机文件加密ü支持AIS 256位加密ü什么是BitLocker?Windows Bitlocker驱动器加密位于计算机操作系统中的操作系统卷和数据卷的中的数据ü提供离线数据保护ü保护安装在加密卷上的所有其他应用程序ü包括系统的完整性验证ü验证计算机启动早期的组件的完整性和启动配置文件的完整性ü保证了启动过程的完整性üBitLocker 需求加密和解密密钥：硬件需求：BitLocker 需要下列条件之一:有可信赖平台模块（TPM） V1.2版本或以上的计算机（硬件）一个可移动的USB存储设备有足够的空间使得Bitlocker能创建两个分区有一个兼容TPM模块的BIOS和支持USB引导启动模式的BIOSBitLocker 模式Windows 7支持两种Bitlocker的操作模式：TPM modeNon-TPM modeNon-TPM mode使用组策略来允许Bitlocker在没有TPM时工作和TPM模式锁定启动的过程相似，但是Bitlocker的启动密钥存储在USB驱动器上计算机的BIOS必须要能够从USB引导提供有限的认证功能无法在此模式下执行系统组件的完整性检查TPM mode锁定正常的计算机启动过程，直到用户选择提供一个个人密码（PIN）或插入一个包含Bitlocker启动密钥的USB驱动器才能够继续进行加密的磁盘必须位于原来的计算机TPM模式执行系统引导组件的完整性验证如果其中的任何组件发生了改变，驱动器将被锁定，系统将阻止对其的访问和解密尝试Bitlocker的组策略设定Bitlocker驱动器加密的本地组策略设置组策略提供了如下的Bitlocker方面的设置移动数据存储的设置固定的数据驱动器的设定系统驱动器的设置将Bitlocker的备份转向ADDS服务在控制面板上配置恢复文件夹启动控制面板的高级设置配置加密方法防止重启动时的内存溢出配置用于存储Bitlocker密钥的方式配置BitLocker三种方式来激活 BitLocker:From System and Settings in Control PanelRi