模块六:1、Windows7的桌面安全。
第一节:管理Windows7安全概要方面1、Windows7关键的安全特性:Action Center操作中心(把Windows7安全方面相关的一些信息结果汇总了放在操作中心里,比如杀毒木马软件是否最新,是否打开自动更新,是否安排了备份等信息的结果)、Encrypting File System(EFS)加密的文件系统,它是基于NTFS格式的文件加密系统,它和用户帐号是密切相关的(比如一个用户帐号使用EFS加密了,那么另一个用户帐号是无法打开的)、BitLocker(从Vista开始使用)和BitLocker To Go(针对移动设备,Windows7新增),它是对硬盘上一个位一个位的加密,非常安全、AppLocker(Windows7新增),应用程序的锁定,可以用于控制客户端上的应用程序是否可以运行,当软件限制策略(以前版本的Windows功能,为了保持兼容性,Windows7仍保留)和AppLocker同时设置的时候,只有AppLocker生效、User Account Control(UAC)用户帐号控制,Windows7在默认的情况下,即使你使用了管理员登录也不具备管理员的权限、Windows Firewall with Advanced Security高级安全防火墙(从Vista开始使用),“高级”在对进入和出去的包都可以做安全策略(Vista之前的系统只能对进来的做限制)、Windows Defender,用于查找安全漏洞,比如木马等;2、Action Center操作中心,是一个集中位置,用于查看关于系统安全相关事件方面的信息,它使得用户可以清楚的知道自己的电脑是否工作在一个正常的状态下,当然可以设置Action Center是否报告某些信息(通过“操作中心”——“更改操作中心设置”),比如可以去掉没有安装杀毒软件时的提示,这样它在电脑屏幕的右下角就不会提示这个问题了(可以通过屏幕右下角的小旗帜点击进入操作中心)。
第二节:使用本地安全策略对Windows7客户端电脑进行安全设置1、本地安全策略(本地组策略,没有AD环境时),允许IT管理员做一些自动化的任务,这些任务可以对电脑和用户做管理,从而简化管理的过程,使用组策略可以应用标准的配置,可以分发软件,可以强制安全设置,可以强制保持统一的桌面环境,组策略的本质就是通过图形化的界面来修改注册表,所以本地组策略在本地或是domain users或是本地计算机的设置里一直生效;2、Group Policy Objects(GPO)组策略对象的应用,计算机的设置在组策略里有两块,一块是计算机的设置(从按下计算机的开机按钮到出现登录框这个阶段应用,出现登录框时实施完毕),一块是用户的设置(从输入用户密码到出现桌面这个阶段应用,出现桌面时实施完毕);3、多条组策略的应用顺序,对于不仅存在本地的客户端来说,首先是Local GPOs本地的组策略,接下来是Site-level GPOs站点的组策略,然后是Domain GPOs域的组策略,最后是OU GPOs,同一个策略前后不一致的时候,以后实施的策略为准;而对于仅存在于本地的客户端的多个本地组策略来说,首先是针对本地所有的包括计算机和用户的策略,然后是针对用户分为管理员和非管理员制定的策略,最后是运行指定的用户相关策略(只包括用户设置)。
试验:本地客户端多条本地组策略的应用顺序(“本地计算机 策略”——〉“本地计算机\Administrators 策略”或“本地计算机\非管理员 策略”),以及不同的用户组可以运行不同的策略(“本地计算机\Administrators 策略”或“本地计算机\非管理员 策略”),还有配置“本地计算机 策略”——“计算机配置”——“Windows 设置”——“安全设置”选项卡下的各种策略。
特别需要记录的地方有:运行"mmc"控制台,添加三个组策略对象编辑器,其中一个是“本地计算机”,另外两个在“浏览”里分别选择管理员用户组"Administrators"和“非管理员”(我们可以看到,只有在“本地计算机策略”里包含有“计算机配置”选项栏目),策略做完后需要运行"gpupdate /force"强制更新策略。
第三节:EFS和BitLocker方面1、EFS,Encrypting File System加密的文件系统,是一种内置的文件安全工具,在NTFS的分区上支持,允许透明的加密和解密(以当前的用户帐号访问被自己所加密的文件体验和没有加密是一样的,其他的用户帐号将无法打开这个被EFS加密了的文件),它支持生物设备用于读取被加密的数据,比如指纹识别,每一个用户都需要有一个公钥和一个私钥,公钥和私钥是一对的(公钥和私钥的加密方式:在加密的范畴里,公钥和私钥这样一对密钥出现的时候,我们称之为非对称加密,由一个密钥加密一个密钥解密,加密和解密的密钥是一对的,一般情况下有一个密钥是公开的,放在互联网上,另外一个密钥自己保存,称之为私钥,我们可以用私钥加密,发信息给对方,对方根据发送的信息的内容去检索私钥对应的公钥,然后用于解密,如果能解开,就意味着我发出的信息就是由我发送的,这就完成了数字签名的功能;我们也可以用对方的公钥加密,加密后发给对方,对方用他自己的私钥来解密,这样就完成了安全传送的过程),公钥和私钥是在我们第一次使用EFS加密的时候才产生的(例子:新安装的系统我ghost备份保存了,然后我使用了EFS加密了一个文件,但是此后系统出问题了,而我没有解密该文件就恢复了系统,且此前又没有备份过加密信息,那这个文件就永远也打不开了,因为这个新还原的系统备份的时候没有使用过EFS加密,那时候都还没有产生公钥和私钥),如果我没有使用EFS,那我当前的这个账号是没有公钥和私钥的,一旦使用了EFS加密就会产生公钥和私钥,并且在以后的EFS加密中都使用这对公钥和私钥,公钥和私钥与用户帐号的SID是相关联的,也就是说如果我删除了从前使用EFS加密过文件的账号,然后又新建了一个一样名称的账号,哪怕这两个用户账号名看起来是一样的,也无法打开那个被我删除的用户从前加密过的文件;文件需要共享的时候我们可以使用对方的证书来共享(比如同一台电脑上的用户1加密了文档后需要给用户2来使用,那么用户2也需要进行一次加密过程,以便生成公钥和私钥,然后才能把用户1的密钥导入到用户2里去,这样才能打开);2、BitLocker,能够对整个驱动器一位一位的加密(从Vista开始使用,加密和解密的时间比较久,不能够对文件或文件夹加密),提供了脱机的文档保护,能够对被加密的驱动器上所有被安装的程序和数据提供保护,它是和系统集成的身份验证,能够在启动的时候集成验证,确保非合法的用户无法启动电脑;3、实现BitLocker的需求,加密和解密的key要求要有硬件芯片TPM1.2或以上的版本或者是用于存放密钥的移动存储设备,在硬件上需要有足够可用的空间,因为BitLocker加密的时候它要创建两个分区,对其中的一个分区加密,把密钥放在另一个分区上,电脑的BIOS要支持TPM或者是USB启动的时候去读取密钥;4、BitLocker的模式,Vista和Windows7对TPM或者Non-TPM两种模式都能支持,其中TPM模式,无缝集成,它能够锁定正常的启动进程,直到用户输入个人的PIN或者是插入一个包含了BitLocker启动key的USB设备,加密的磁盘必须是在有TPM且与加密信息一一对应的电脑上才能使用,因为有些加密的信息是存储在主板的TPM这个芯片里面,如果加密后把该磁盘挂在其它的电脑上是不能解密的,它和启动的组件是集成在一起的,如果发生改变,则驱动器就会被锁定,以防止非法的访问和解密;另外我们也可以通过组策略来允许BitLocker在Non-TPM的模式下运行,它也可以锁定启动的进程,但是此时启动的密钥由于无法存放在TPM里,所以只能存在USB移动设备里,此时电脑的BIOS必须要支持从USB启动去读取信息,而且这种模式无法提供像TPM那样的BitLocker系统集成的身份验证;5、BitLocker的组策略设置(在“本地计算机 策略”——“计算机配置”——“管理模板”——“Windows 组件”——“BitLocker 驱动器加密”,它主要包含了对系统盘、数据盘、移动存储以及开机时几方面的策略配置),通过组策略,我可以防止别人从一个做过BitLocker的驱动器里拷贝数据(即拒绝对不受 BitLocker 保护的固定驱动器的写访问,尤其当采用TPM的BitLocker时,哪怕你将移动设备做了BitLocker加密,由于加密信息是存储在本机的TPM芯片中的,所以拷贝出去的数据也是无法在其它电脑上使用的),可以在域环境下打开BitLocker的备份功能,可以在控制面板里对它的恢复做一些配置,可以在控制面板里激活它高级的启动选项,可以配置加密的方式,可以阻止重启的时候重写内存,可以验证TPM的有效性;6、管理和配置BitLocker和BitLocker to Go,在控制面板的系统和安全选项下(“TPM 管理”在它的“BitLocker 驱动器加密”选项下),或者直接在驱动器上右击打开,也可以使用命令行工具"manage-bde.wsf";7、BitLocker的恢复,一台BitLocker-enabled的电脑在启动通过BitLocker检测以后可以直接使用,BitLocker to Go加密的移动设备插入时会提示输入密码,用户必须输入正确的恢复密码才能查看它里面的内容,BitLocker的恢复密码是48位的,并且每个分区的加密是具有唯一性的,它可以存储在AD里面,如果存储在AD里面,它通过搜索驱动器的卷标或者是计算机的密码来查找对应的恢复密码。
试验:EFS的加密和解密
EFS的加密是在文件的“属性”——“高级”下勾选实现的(及时的备份并保存好密钥可以在重装或恢复系统后恢复密钥,从而避免文件永远都无法打开的情况出现),如果加密的时候选择的是“加密文件及其父文件夹(推荐)”,则此后在该父文件夹下新建的文件均采用EFS加密(父文件夹下已有的文件不会被加密);如果加密的时候选择的是“只加密文件”,则只有该文件被EFS加密。
第四节:软件限制策略方面1、AppLocker,它是Windows7的一个新的安全特性,它允许IT管理人员可以指定桌面用户哪些程序可以被运行,控制起来更加容易,以前只能通过软件限制策略来做;2、AppLocker的规则,首先需要创建一个默认的规则,然后它会在特殊的文件夹内自动的生成一些默认的规则(默认的规则允许所有的用户都能运行Windows和Program Files目录下的程序,都能运行通过Windows签名的文件,内置管理员组中的成员可以运行计算机上的所有程序);3、软件限制策略Software Restriction Policies(SRP),它允许管理员识别哪些软件是可以被运行的,它是从Windows XP和Windows 2003引入的策略,它主要用来设计帮助控制哪些代码允许运行,哪些代码不能运行,对于恶意软件等能做一些防止的作用(Vista也是用的SRP,Windows7既保留了SRP,同时又有了新的AppLocker),它的位置是在“计算机配置”——“Windows 设置”——“安全设置”——“软件限制策略”,在Windows7和Windows2008R2的环境下同时启动SRP和AppLocker,则只有AppLocker会生效;4、AppLocker和SRP的比较,AppLocker取代了SRP,SRP仍然保留主要是为了兼容的目的(比如Windows7加入了Windows2008的域里,由于Windows2008只有SRP,则Windows7也将使用SRP),AppLocker是从SRP里完全脱离的,两者不会相互影响,组策略也是如此,如果组策略里同时定义了AppLocker和SRP,则只有AppLocker会生效。
试验:配置和强制AppLocker的规则(本地组策略编辑器gpedit.msc)。
通过本地组策略编辑器gpedit.msc,在“本地计算机 策略”——“计算机配置”——“Windows 设置”——“安全设置”——“应用程序控制策略”——AppLocker。
1、在AppLocker下的某项右击选择“创建默认规则”(如果不事先进行这步操作,在“创建新规则”时也将由系统自动先行添加),而后再配置Executable rules可执行规则、Windows Installer rules Windows 安装程序规则和Script rules脚本规则,我们可以指定一个文件夹包含的所有文件是否允许,也可以右击选择“创建新规则”后根据向导来创建一些特殊的规则。举例:在“可执行规则”上右击,其中的“自动生成规则”适用于比如我们对一个目录做了限制,这个目录里包含了很多可执行文件,这个时候我们没有必要对每个文件做规则,对整个目录做一个规则,然后“自动生成规则”即可,它会自动的把目录下所有可执行文件找出来做规则。
2、强制AppLocker规则(如果不配置,默认就是强制的),我们也可以设置为审核(做了不允许某个程序运行的策略,策略生效后仍可以被运行,只是会在运行时做一个审核日志),它的位置是在点击AppLocker后右边窗口——“配置规则强制”。
配置完后,可以通过重启或使用gpupdate /force强制更新策略,由于AppLocker的设置必须还要开启一个服务(这个服务主要是为AppLocker留了一个可供返回的条件,比如我们不小心将MMC给禁用了,我们可以通过关闭这个服务来禁用AppLocker,否则我们连本地组策略编辑器都无法进入使用了;这是Windows的一种安全机制,基本上所有的能够对自己造成阻止的策略都有一种挽回的机制),所以通过services.msc开启“服务”,把"Application Identity"服务设为“自动”并“启动”它,然后重启电脑。
