对于保护计算机的安全,有几个显而易见的基本步骤:保持计算机使用最新操作系统和应用程序更新,确保安装了最新的反间谍软件和防病毒软件,使用复杂密码并定期更改。在本文中,我将介绍这些基本策略以外的一些安全提示,帮助您更好地利用 Windows 7 的安全功能。
准备 BitLocker
Windows 7 中最显著的安全性改进之一是 BitLocker,这是在 Windows Vista 中首次引入的硬盘加密和启动环境完整性保护技术。.Windows 7 企业版和旗舰版中包含 BitLocker。该技术可确保只要便携式计算机在被盗或丢失时处于关闭状态,未授权用户就无法从失踪的便携式计算机的硬盘驱动器恢复数据。
然而,BitLocker 也带来了一个难题,即在出现锁定受保护卷的硬件故障后的数据恢复问题。因此,虽然 BitLocker 可提供出色的保护,但是很多 IT 专业人员仍然觉得有问题,因为他们往往只有在必须执行恢复操作时才会注意到它。
数据恢复需要访问与锁定卷关联的 BitLocker 密钥或密码。尽管对于较少数量的计算机,跟踪这些内容比较简单,但是对于数百台计算机则困难得多。
组策略可帮助 IT 专业人员配置 BitLocker,使其仅在恢复密钥和密码成功备份到 Active Directory 时才能激活。通过改进 Windows Server 2008 R2 中的 Active Directory 用户和计算机控制台和运行 Windows 7 的计算机的远程服务器管理工具,已大大简化了对这些恢复数据的提取。查找恢复密码和密钥也比使用 Windows Vista 中的工具要简单许多。
可以从 BitLocker 恢复选项卡访问 BitLocker 恢复密钥和密码,而不必下载、安装和配置专用工具。在 Active Directory 用户和计算机中查看计算机帐户属性时可看到这些信息。确保备份 BitLocker 密钥和密码的过程包含三个步骤:
1. 在 BitLocker 保护的系统的计算机帐户组策略中,导航到“计算机配置”|“Windows 设置”|“管理模板”|“Windows 组件”|“BitLocker 驱动器加密”。
2. 现在,如果计算机只有一个存储驱动器,请导航到“操作系统驱动器”节点并编辑“选择如何才能恢复受 BitLocker 保护的操作系统驱动器”策略。如果计算机有多个存储驱动器,则还应转到“固定数据驱动器”节点并编辑“选择如何才能恢复受 BitLocker 保护的固定数据驱动器”策略。请注意,虽然可以将其配置为相同的设置,但是这些策略应用于不同的驱动器。
3. 若要配置 BitLocker 以便在 BitLocker 保护激活时可以将密码和密钥备份到 Active Directory,请确保启用以下设置:
为操作系统驱动器将 BitLocker 恢复信息保存到 AD DS 中(或在适当时候为固定数据驱动器)
在为操作系统驱动器将恢复信息存储到 AD DS 之前禁止启用 BitLocker(或在适当时候为固定数据驱动器)
仅当应用策略后才会备份受保护卷的密钥和密码。在实现策略前针对 BitLocker 保护配置的卷不会自动将其密钥和密码存储在 Active Directory 中。必须在这些计算机上禁用并重新启用 BitLocker,才能确保这些恢复信息存储到 AD DS 数据库中。
配置数据恢复代理程序
如果需要恢复受 BitLocker 保护的卷而不输入特定计算机帐户的唯一密码或 PIN,还可以选择使用另一种方法,即数据恢复代理程序 (DRA)。这是一种与用户帐户关联的特殊类型的证书,可用于恢复加密数据。
BitLocker 数据恢复代理程序通过在“添加数据恢复代理程序”向导(我将简要讨论一下该向导)中编辑组策略并指定 DRA 证书来进行配置。不过,若要使用该向导,必须在可访问的文件系统上提供 DRA 证书,或在 Active Directory 中发布该证书。承载 Active Directory 证书服务角色的计算机可以颁发这些证书。
必须恢复数据时,在本地安装 DRA 证书的用户帐户将无法解除对受 BitLocker 保护的卷的锁定。通过导航到“计算机配置”|“Windows 设置”|“安全设置”|“公钥策略”节点,右键单击“BitLocker 驱动器加密”,然后选择“添加数据恢复代理程序”选项,可以访问“添加数据恢复代理程序”向导。
若要通过 DRA 使用 BitLocker,还必须在“选择如何才能恢复受 BitLocker 保护的操作系统驱动器”策略中(适当时候还要在固定数据驱动器策略中)选中“启用数据恢复代理程序”复选框。可以使用 DRA 和 Active Directory 密钥/密码备份来恢复受 BitLocker 保护的相同卷。
DRA 恢复只能用于受 BitLocker 保护并且在执行策略后启用了 BitLocker 的卷。此方法相对于密码/密钥恢复的优点在于使用 DRA 函数作为 BitLocker 主密钥。这使您可以恢复在该策略影响下加密的任何受保护卷,而不必为要恢复的每个卷查找唯一密码或密钥。
BitLocker To Go
如今很多可移动存储设备的平均存储容量都接近十年前大多数小型和中型部门级别文件共享的容量。这带来了几个难题。
首先,当可移动存储设备丢失或被盗时,可能会破坏大量组织数据。更大的问题可能在于,尽管用户丢失便携式计算机时会很快通知 IT 部门,但是丢失可能包含数 GB 组织数据的 USB 存储设备时,他们不会感到同样紧张。
BitLocker To Go 是随 Windows 7 引入的一项新功能,使用该功能可以通过与 BitLocker 为操作系统和固定驱动器提供的方式类似的方式来保护 USB 存储设备。通过组策略,可以对组织中的计算机进行限制,使这些计算机只能向受 BitLocker To Go 保护的可移动存储设备写入数据。这样可以确保在用户丢失某个可移动设备时,至少该设备上的数据是加密的,未授权的第三方无法轻易访问这些数据,从而增强了安全性。
相关的 BitLocker To Go 策略位于“计算机配置”|“管理模板”|“Windows 组件”|“BitLocker 驱动器加密”| 组策略项目的“可移动数据驱动器”节点。这些策略包括:
控制对可移动驱动器使用 BitLocker。使用此策略可配置对可移动驱动器使用 BitLocker 的方式,包括普通用户是否可以对可移动设备启用或禁用该功能。例如,您可能希望特定用户将数据存储在已配置了保护功能的可移动设备上,但阻止这些用户使用该功能配置其自己的设备。
拒绝对不受 BitLocker 保护的可移动驱动器的写访问。使用此策略可以限制用户,使其只能向受 BitLocker To Go 加密保护的设备写入数据。启用此策略后,未授权人员无法轻易访问写入某个可移动设备的数据,因为该设备受加密保护。
选择如何才能恢复受 BitLocker 保护的可移动驱动器。使用此策略可以配置数据恢复代理程序或在 Active Directory 中保存 BitLocker To Go 恢复信息。此策略非常重要,因为如果选择实现 BitLocker To Go 来保护可移动设备上的数据,则您应具有一种策略,用于在出现用户忘记其 BitLocker To Go 密码这种不可避免的情况时恢复数据。
为某个可移动存储设备配置了 BitLocker To Go 时,用户必须在另一台计算机上输入密码才能解除对该设备的锁定。输入密码后,用户便会在运行 Windows 7 企业版或旗舰版的计算机上拥有对该设备的读/写访问权限。您还可以将 BitLocker To Go 配置为允许用户在运行其他 Microsoft 操作系统版本的计算机上对受 BitLocker To Go 保护的数据进行只读访问。
如果您的组织准备使用 BitLocker To Go,则在丢失或忘记密码时需要某种数据恢复策略。配置 BitLocker To Go 恢复的方式与配置 BitLocker 恢复的方式类似。在这种情况下,必须设置“计算机配置”|“Windows 设置”|“管理模板”|“Windows 组件”|“BitLocker 驱动器加密”|“可移动数据驱动器”|“选择如何才能恢复受 BitLocke 保护的驱动器”策略。
可以将 BitLocker To Go 密码备份到 Active Directory 中,有权访问 Active Directory 用户和计算机控制台的管理员和最初用于保护设备的计算机帐户可以在其中使用这些密码。还可以配置策略以便使用 DRA 保护数据,从而使分配了 DRA 证书的用户可以从驱动器恢复数据,而无需恢复各个密码。
配置 AppLocker
不存在可以捕获所有恶意程序的反恶意软件实用工具。AppLocker 可以多添加一层保护。使用此技术可以创建一个已知安全的应用程序列表,并限制不在该列表中的应用程序的执行。虽然这种保护计算机的方法对定期运行不常用的新软件的人来说有点麻烦,但大多数组织都采用逐步进行应用程序更改的标准系统环境,因此只允许执行显示绿灯的应用程序更加实用。
可以扩展这组 AppLocker 授权规则,使其不仅包含可执行文件,还包含脚本、DLL 和 MSI 格式的文件。除非通过规则对可执行文件、脚本、DLL 或安装程序授权,否则不会执行这些项目。
AppLocker 采用一个自动为授权应用程序创建规则列表的向导,从而简化了这一过程。这是 AppLocker 相对于软件限制策略(以前的 Windows 版本中具有类似核心功能的一项技术)的一个重大改进。
AppLocker 还可以使用通过文件发行者数字签名标识文件的规则,因此您可以创建包含文件的当前和未来版本的规则。这样管理员在应用软件更新后就不必更新当前规则了。修改后的可执行文件、脚本、安装程序或 DLL 仍受原始规则约束。使用软件约束策略时不可能做到这一点,因为这些策略会强制管理员在软件配置发生更改时更新规则。
若要创建可以应用到其他计算机的 AppLocker 策略规则的引用集,请执行以下步骤:
1. 使用要在环境中执行的所有应用程序配置运行 Windows 7 的引用计算机。
2. 使用具有本地管理员权限的用户帐户登录该计算机。
3. 通过从“搜索程序和文件”文本框中运行 Gpedit.msc 来启动“本地组策略编辑器”。
4. 导航到“计算机配置”|“Windows 设置”|“安全设置”|“应用程序控制策略”|“AppLocker”| 本地 GPO 的“可执行规则”。右键单击“可执行规则”节点,然后单击自动生成新规则。这将启动自动生成可执行规则向导。
5. 在标有“包含要分析的文件的文件夹”的文本框中,输入 c:\。在标有“命名以识别此规则集”的文本框中,输入“所有可执行文件”,然后单击“下一步”。
6. 在“规则首选项”页上,选择“为经过数字签名的文件创建发布者规则”,如果文件未经过签名,则还需选择“文件哈希: 规则是使用文件哈希创建的”。确保未选中选项“通过对类似文件进行分组来减少规则数”,然后单击“下一步”。
7. 规则生成需要一段时间。生成规则后,单击“创建”。当提示是否要创建默认规则时,单击“否”。不必创建默认规则,因为通过为引用计算机上的所有可执行文件创建规则,您已经创建了等效的更全面的默认规则。
8. 如果计算机将应用程序存储在多个卷上,请重复步骤 5 到 7,运行自动生成可执行规则向导时输入相应的驱动器号。
9. 生成规则后,您便可以采用 XML 格式导出允许的应用程序列表,方法是右键单击 AppLocker 节点,然后单击“导出策略”。还可以将这些规则导入其他组策略对象,如应用于您组织中的便携式计算机的那些对象。通过策略应用这些规则,可以限制应用程序的执行,从而仅允许执行引用计算机上存在的应用程序。
10. 配置 AppLocker 时,需要确保通过服务控制台启用应用程序标识服务,并确保通过策略执行可强制执行规则。如果禁用此服务,则不会应用 AppLocker 策略。虽然可以在组策略中配置服务启动状态,但是您必须限制哪些用户具有本地管理员访问权限,从而使其无法绕过 AppLocker。通过右键单击“计算机配置”|“Windows 设置”|“安全设置”|“应用程序控制策略”|“AppLocker”节点,然后单击“策略”,可启用可执行规则的强制执行。启用“可执行规则”下的“已配置”选项,然后确保选择了“强制规则”。
希望这可帮助您学习如何实现和恢复 BitLocker、使用 BitLocker To Go 以及配置 AppLocker 策略。使用这些技术以及常规维护任务(如确保保持计算机使用最新的更新、防病毒软件和反间谍软件程序)将增强您组织中运行 Windows 7 的计算机的安全性。
本文来源:微软TechNet中文站
【编辑推荐】