导言
Windows 7是微软最新的桌面型客户端操作系统,是基于Windows XP和Vista的优点和缺点而升华出来的新系统,所有服务都得到了加强,新增的安全功能也使之更加可靠。除了基本的系统改进和新服务外,Windows 7提供了更多的安全功能,加强了审计和监控功能以及对远程通信和数据加密的功能,Windows 7还新开发了内部保护机制以加强系统内部安全性能,如内核修复保护、服务强化、数据执行防御、地址空间布局随机化和强制性完整性级别等。
Windows 7的所有改进都是以安全为中心的。首先,该系统用于开发微软的安全开发生命周期(SDL)框架并用于支持通用标准要求,允许其达到评估确认等级(EAL)4证书,该等级符合联邦信息处理标准(FIPS)#140-2。另外,通过利用其他安全工具(如组策略),你可以控制桌面安全的每个方面。如果Windows 7 主要用于家庭办公或者个人使用,它也可以预防黑客攻击和入侵。你也可以认为Windows 7内部是安全的,但这并不意味着你可以依赖于默认配置,你需要根据自身的安全需求进行调整。
在这篇文章中,我们将介绍如何确保windows 7的安全性的方法,安全配置以及一些鲜为人知的windows 7安全功能,并且我们还将探讨保护数据、备份数据以及如何在遭受攻击或者系统故障时迅速运行数据。本文还介绍了安全的概念,如何强化Windows 7,如何为运行的程序提供安全保障,如何管理windows 7系统的安全,如何处理恶意软件造成的问题,还有保护数据、备份和恢复操作系统功能,如何恢复到操作系统之前的状态,以及当系统故障时,如何恢复数据和系统。本文目的在于让大家熟悉windows 7 的安全功能、增强功能以及让大家深入了解如何正确部署这些安全功能。
注意:
如果你在企业环境或者其他专业环境工作,请不要对公司计算机进行设置。如果你不熟悉安全问题或者微软产品,在对系统进行修改时请仔细阅读相关文件。
安全管理与监控
如果在企业使用Windows 7,你可以使用Active Directory基础架构,并当登录到域或者使用组策略来进一步加强安全性时,你可以利用windows 7系统提供的很多安全措施。无论哪种方式,集中管理安全工具、设置和日志通常都是部署安全时最重要的因素,安装和配置好安全工具后,你该如何管理、监测和更新安全工具?在Windows 7系统中,你会发现安全管理设置都可以轻松实现,例如,开始菜单中“安全”选项就能够管理windows 7系统中的安全应用程序。
我们都希望能够尽可能简单地部署和管理安全工具,没有人喜欢在操作系统中到处搜寻应用程序、服务、日志和事件或者活动来配置或者检测。在windows 7系统中,新用户在找到并配置windows防火墙(最基本的安全配置)之前,很可能迷失在路径、向导和控制台的“汪洋”中。不过,可以说,windows 7是所有windows版本中最易于管理的操作系统,因为所有信息都可以被索引,并且可以通过开始菜单进行快速搜索。
除了开始菜单外,管理windows 7中众多安全功能的简易方法之一就是建立一个自定义微软管理平台(MMC)并添加工具集。让很多windows新用户困扰的事情之一就是微软企业解决方案提供了简洁的集中控制来检测网络中每个系统的所有活动,而客户端操作系统是一个独立包,同样必须进行本地保护,所以对于家庭用户而言,自定义管理平台是解决集中安全管理问题的答案。
不过,在windows XP和Vista系统中,安全中心存在局限性,而在windows 7中,安全中心又被进一步分化为控制面板小程序和MMC管理单元,所以我们要怎样快速控制对关键工具的访问权限呢?在windows 7系统中部署安全性,你必须访问系统的很多不同区域来自定义你的配置以强化安全性,因此,如果你将所需要的应用程序和功能放在一个区域,你就能够快速访问这些应用程序和功能,便于安全审计或者日志审查。而这就需要自定义MMC来实现这个过程。
要创建一个自定义控制台,只需要转到开始菜单,输入“MMC /A”,你就能得到一个新的微软管理控制台(MMC),可以将这个MMC保存到系统中的任何位置,使用任何名称明明。然后转到文件菜单,选择添加/删除管理单元,添加所有你想要或者需要的工具,下图展示的就是添加了很多安全功能的自定义控制台。
图1: 使用微软管理控制台管理单元来创建自定义集中式安全控制台
你会在这个管理单元中发现很多有用的工具。例如,TPM管理是允许管理员与可信平台模块(TPM)服务进行交互的微软管理控制台。TPM服务是用来管理计算机中的TPM安全硬件。这意味着你需要专门的硬件、更新的BIOS代码和正确的CPU芯片。就像虚拟化需要一个专门的芯片一样,TPM也是如此。TPM是引入新级别硬件级安全的一种方式,也就是说你的系统将得到硬化。TPM将使用硬件总线来传输信息,并可以与软件功能(如BitLocker)一起使用。
创建控制台后,你就会知道如何访问这些区域来配置系统安全,下一步就是监测系统,有很多方法可以实现监测。例如,作为家庭用户,你可以时不时地查看一些简单时间表,如查看控制台防火墙日志和事件查看器日志。如果你进一步查看配置选项,你会发现你可以安排提醒和通知,过滤日志,自动保存等等。请确保不断查看这些信息。
在windows 7中,你可以访问和部署安全的主要方法就是通过开始菜单快速访问。你也可以通过控制面板(例如管理工具、windows防火墙和windows defender等程序)来访问安全工具和设置。你还可以创建自定义MMC,并将其配置为访问隐藏工具,并为安全管理提供集中控制台。然后你就能浏览操作系统的各个区域进行操作,希望这个技巧能够帮助你更好的部署安全。你可以使用模版,创建任务和活动,或者使用高级工具实现高级安全配置。 #p#
提示:
你也可以使用PowerShell和Netsh(如netsh adyfirewall命令)工具来进行安全管理,这样便于使用脚本功能和/或基于windows 7安全部署选项的命令行。你还可以使用“任务”来记录脚本或批处理文件和服务,这样你就能对事件查看器日志保存备份以用于审计、审查或者简单的保存。
接下来,你需要能够访问和进一步配置基本系统, 硬化系统和即时更新系统。大多数时候,更新都是在攻击发生后才接踵而来,因此要尽快对更新进行测试并安装。如图2中所示的“Security Updates”。这些更新总是带有编号的,并能在微软官网查到更多详细信息。
图2: 使用Windows Update来安装windows安全更新
还需要保持服务包更新到最新版本,系统中的其他运行应用程序和服务也需要进行管理、监测和更新。
系统完成完全修复和配置后,下一步就是安装Microsoft Security Essentials(MSE),第三方防病毒(AV)程序,配置windows Defender(间谍软件)并为恶意软件保护配置安全性。
注意:
微软最近发布了全新安全软件系列,称为“Forefront”,该安全软件系列涵盖了部署和管理企业安全的各个方面,还确保客户端操作系统也受到新功能的保护,例如MSE安装包中的Microsoft Antivirus。 #p#
恶意软件预防与保护
无论是windows文件服务器、Linux系统或者苹果OS X工作站,每个系统都用容易受到恶意软件的攻击。恶意软件是指能够渗透、深入、劫持并最终摧毁计算机操作系统、应用程序或者数据的所有类型恶意软件。更糟糕的是。恶意软件针对的不仅是你的基本操作系统,还针对用户个人数据、隐私和身份信息。恶意软件的形式多种多样,例如:病毒、蠕虫、逻辑炸弹程序和木马等。为了保障windows 7系统的安全性,你需要将其配置为阻挡恶意软件的模式。恶意软件最常见的入侵方式是通过访问公共网络和电子邮件、(即时通讯)IM消息、使用网络共享数据和FTP服务器,或者其他基于公共网络连接的软件应用程序,如点对点文件共享软件。一旦某个系统(或者电子邮箱)受到感染,恶意软件就会迅速传播,有时候用户完全无法察觉。恶意软件还可能通过外部或者未受保护的外部驱动、拇指驱动器和网络本身来入侵系统。可以说,不管是通过接收电子邮件或者查看公共互联网中服务器上的信息,你都可能受到某种形式的恶意软件攻击。
为了阻拦恶意软件入侵系统,你必须避免任何感染恶意软件的可能操作。恶意软件预防与恶意软件保护有所不同,但是这两者需要共同配合才能实现共同的目标,即无病毒系统。预防的重点在于阻拦恶意软件入侵系统所必须采取的步骤,这样就能够试图避免未来的攻击或者问题的出现。你可以通过很多方式限制系统的暴露。预防是指当配置任何供应商软件平台时,始终铭记和运用这些安全概念。保护主要是通过安装应用程序(如防病毒和间谍软件扫描仪)的形式来实现,保护更加侧重于使用扫描和过滤工具、审计工具和协议或者加密来确保系统安全性。
注意:
有两种类型的安全应用:主动和被动。在规划阶段良好的设计和考虑能够确保一定程度的安全性,但是你需要考虑如何管理和提供持续支持。对于恶意软件,你需要即时更新防毒程序,以便扫描和阻止足心的威胁和攻击利用。主动进行安全规划,确保所有应用程序和软件的更新和安全性。
为了管理、监测和保护系统安全免受潜在恶意软件的威胁,建议你安装、配置和不断更新Antivirus and Spyware清除软件包。你可以安装第三方软件应用程序,或者使用一些微软工具,如下图所示的Windows Defender。
图3:使用Windows Defender
Windows Defender可以用于扫描并移除间谍软件。而防病毒应用程序能够积极扫描并试图寻找和清除病毒、蠕虫和木马。如果两者一起使用,我们将能够主动抵御大多数攻击形式。对于操作系统本身,你还需要保持这些应用程序的更新,否则同样将受到攻击。另外,还需要下载并安装新定义文件来扫描新威胁。
Windows Defender能够帮助扫描系统文件(快速扫描或者完全扫描),并且经常会更新,这也使选择任何防间谍软件最重要的因素。如果定义没有被更新,它将无法阻止新攻击。
一些杀毒软件也能够智能化地扫描出系统中“不寻常的东西”,或者“根据类似攻击匹配模式”,这被称为启发式。虽然有用,但是并不能拦截所有的攻击,所以请保持这些工具的更新。Windows Update能够自动更新Windows Defender。第三方应用程序(除了关键设备驱动程序)通常在微软中都看不到。 部署了恶意软件保护程序后,你还应该硬化任何其他需要被锁定的区域,例如IE设置。
你可以使用一项被称为数据执行保护(DEP)来保护windows 7安全,这个功能能够监测系统程序以及监测程序如何使用系统内存。这能够防止系统内部的程序使用内存来发动攻击。你可以为所有程序设置这个功能,或者仅为选择的程序使用该功能。具体操作就是,转到开始菜单,打开控制面板。点击系统程序,然后选择高级选项卡,性能选项,数据执行保护选项卡,如下图所示。
图4: 配置Windows 7中的数据执行保护(Data Execution Prevention)
现在的病毒比以前的病毒更加复杂。随着时间的推移,攻击变得越来越难以预防,恶意软件变得越来越擅长隐藏自身并传递毁灭性的有效载荷。而且,恶意软件的这些活动完全不被最终用户或者系统管理员察觉。这是因为技术变得越来越复杂,攻击也同样如此。例如。只是访问网页和浏览网页,就可能让你在不知情的情况下安装恶意软件,主要是通过利用浏览器中的漏洞。同样,为了增加灵活性,浏览器通常都被设置为接受任何类型的协议、脚本语言、插件和工具栏,如果没有不断更新浏览器很难保证较高级别的安全性。在最终用户和系统管理员不知情的情况下发动攻击,这是因为如果让浏览器检查网站的合法性会让访问网页变得很麻烦。
网上冲浪可能是工作需要也可能仅为娱乐需要,如果你不想受到恶意软件攻击或者潜在浏览器攻击,最好使用IE锁定。IE已经进行了相当多的更新,你可以对IE进行各种设置来阻拦攻击。 #p#
提示:
为了降低攻击风险,可以在网络服务器中设置各种限制,例如限制访问色情网站、下载免费软件、文件共享或者点到点软件、公共FTP服务器、IRC聊天和任何不需要在个人计算机中操作的活动。当然你可以创建一个虚拟机来增强安全性,但是这种解决方案并不是完全安全的。如果你限制系统的曝光度,自然能够降低系统攻击的风险。
网上冲浪需要严格遵守纪律。IE还可以被配置为这样的方式,除了明确规定允许的操作外,不能进行其他任何操作。在本文中,我们已经讨论过了安全和灵活性的平衡问题,这也使最好的例子之一。如何安全使用公共互联网而不需要花费两倍的时间?找到一个安全的媒介,如上所述,部署如何从潜在攻击中回复的计划。
IE锁定步骤(例如打开和配置网络钓鱼过滤器、使用InPrivate Browsing或者其他安全特征和功能比你完全没有使用安全功能安全得多,所以建议大家尽可能地使用安全功能来保护浏览器安全)当配置IE的Internet属性时,如图5所示,你可以使用安全选项中的安全配置,以及其他选项。
图5:配置Internet属性安全选项卡选项
提示:
在Internet属性安全选项中,有一个勾选框可以选择“启用保护模式”,选择该模式可以为浏览器提供基本水平的安全。
例如,如果你选择General选项,你可以将主页设置为空白,这样每次当你打开浏览器的时候,自己选择需要访问的网页,而不是浏览器,如果系统被攻击的话,目前的默认页会在你不知情的情况下被改为其他网页。你也可以选择退出IE浏览器时删除浏览历史。你可以配置安全区、限制列表、过滤、代理服务、高级协议等等。
所有这些工具相互配合就能够保持IE的锁定状态,如果病毒入侵,当病毒自行安装时UAC会对其进行标志,即系统内存扫描RAM没有找到TSR或者其他恶意程序。
阻拦恶意软件需要从很多不同系统功能入手,除了防病毒软件和间谍软件程序外。例如,UAC(如上述)就是个好例子。如果你访问恶意网络服务器来查看或者下载内容,主页本身中的脚本会被配置为运行在后台默默地安装的应用程序,如果在windows 7中任何程序试图自行安装,UAC(如果配置为最高安全级别),就能够防止这种类型的攻击。
防止恶意软件时,其他需要做的事情就是微调windows防火墙,隔一段时间就检查它的日志活动,并试图熟悉那些真正在系统中运行的程序以及被使用的系统资源。使用任务管理器是快速发现异常程序的很好的办法。下图展示的是系统中正在运行的程序,如果你查看进程,会看到内存中正在运行的程序,你可以查看这些程序是否合法,或者你确实想要在内存中运行这些程序。
图6:使用任务管理器 #p#
您还应该检查事件查看器日志来检查病毒定义是否被下载、更新和安装,以及服务是否正常运行,没有严重错误。即使部署了所有这些预防和保护措施后,系统仍然可能受到恶意软件攻击。
由于即使对系统进行了全面保护(以及更新)仍然有可能遭遇恶意软件,这种情况下,我们应该考虑系统备份。你应该总是备份个人数据,不管是安装在windows系统、Linux还是苹果系统。有很多方法可以实现备份,例如使用windows 7中的备份工具,使用第三方工具或者简单地复制数据到外部驱动或者刻录到CD/DVD-ROM来保存。显然,最简单的方法就是视而不见,顺其自然。如果你的数据非常重要,还是建议你将数据备份。
数据备份和保护后。你应该使用System Restore备份系统,并考虑使用其他灾难恢复方法以确保事故后能够继续使用各种程序。如果你不不熟悉其他灾难恢复方法,那么你可以启动和运行System Restore。该工具非常游泳,它能够对当前系统配置进行快照并备份,以备以后使用。虽然该功能会占用一些磁盘空间,但这是非常值得的,它能够帮助你在灾难发生后迅速回复系统运行。
其他恶意软件接入点位于windows Office文档中,并能作为用于自动化(例如试图渗透系统的意图)的程序运行。Macros是很有用的工具,但是默认情况下Macros会进行全面阻止。允许Macros(默认)的危害在于,如果你收到包含Office文档的电子邮件,你可能无意会打开它并将恶意软件注入系统。
可以说,你的系统安全面临着很多考验。恶意软件也可能通过网络进行感染,蠕虫病毒在windows共享之间流窜,而木马则被安装来连接到远程服务器并报告关于系统的详细信息。
系统安全外的互联网安全绝对不容忽视。虽然网络防火墙阻止攻击方的访问,路由器和交换机可以进行硬化,高级加密配置可以用于创建到远程网络的安全连接,甚至还有考虑网络管理,例如,如果你没有禁用Telnet服务(windows功能)并使用该服务而不是使用SSH,那么TCP/IP协议将很容易受到攻击。如果你未能在网络中部署数据包捕获/嗅探程序,所有以上这些系统安全措施都会被破坏,因为数据包捕获/嗅探程序可以主动扫描并捕获纯文本或未加密密码,而这些密码很可能是用于windows管理员默认服务帐号的密码。没有良好的密码标准,等于向攻击者敞开大门。因此,我们始终要将网络看作是恶意软件和攻击的潜在接入点,因为这是我们经常忽略的部分。
MSE包是能够从微软(图12)免费下载的软件,当安装后,它会添加防病毒扫描软件到系统中。这是转为XP、Vista和Windows7开发的软件,MSE软件包只有正版windows 7用户才可以使用。如果你不是正版用户,则无法下载和安装。如果你可以下载,请安装该软件包。在安装阶段将需要验证windows 7的合法性,验证后,安装程序会检查系统是否有其他杀毒软件在运行,然后会建议你只需使用一种形式的防病毒软件,因为同时运行两种防病毒软件将会造成互相干扰,同时也带来管理和监测(以及更新)方面的麻烦,并会影响系统性能。安装好后,可以如图7所示进行更新。
图7:运行Microsoft Security Essentials更新
下一步(图8),你可以运行快速、全面或者自定义扫描来检查系统是否存在恶意软件。执行主动扫描和设置实时保护都可以快速方便地实现。运行MSE,并保持更新以获取全面防病毒保护。另一个优势在于它可以使用windows update进行更新。
图8: 使用MSE扫描系统中的恶意软件
安装恶意软件防护和部署积极抵御措施后,你可以继续强化这些保护。
在互联网中使用计算机必然带来潜在攻击,因此需要安装和使用恶意软件和间谍软件防护工具并保持其更新。需要记住的是,系统受到保护后,必须进行不断更新以确保持续保护,并养成良好的上网习惯。
提示:
尽量不要使用桌面小工具或者其他潜在威胁的工具,因为如前文所属,使用这些工具将为攻击者打开方便之门。如果你不需要某些软件,或者不常使用,安全的做法就是尽快删除它。不仅能够节约空间,而且增强系统处理能力。禁止安装来自不可信任来源或者问题来源的未前面程序。
总结
在病毒肆意横行的今天,考虑选择windows 7时,安全和灵活性通常是最先考虑的因素。Windows 7确实很安全,但并不是100%的安全。用户需要运用相关知识、其他工具和配置以全面确保安全性,然后经常进行更新和检测。
【编辑推荐】
