深入討論如何保護Windows 7安全
導言
Windows 7是微軟最新的桌面型客戶端操作系統,是基于Windows XP和Vista的優點和缺點而升華出來的新系統,所有服務都得到了加強,新增的安全功能也使之更加可靠。除了基本的系統改進和新服務外,Windows 7提供了更多的安全功能,加強了審計和監控功能以及對遠程通信和數據加密的功能,Windows 7還新開發了內部保護機制以加強系統內部安全性能,如內核修復保護、服務強化、數據執行防御、地址空間布局隨機化和強制性完整性級別等。
Windows 7的所有改進都是以安全為中心的。首先,該系統用于開發微軟的安全開發生命周期(SDL)框架并用于支持通用標準要求,允許其達到評估確認等級(EAL)4證書,該等級符合聯邦信息處理標準(FIPS)#140-2。另外,通過利用其他安全工具(如組策略),你可以控制桌面安全的每個方面。如果Windows 7 主要用于家庭辦公或者個人使用,它也可以預防黑客攻擊和入侵。你也可以認為Windows 7內部是安全的,但這并不意味著你可以依賴于默認配置,你需要根據自身的安全需求進行調整。
在這篇文章中,我們將介紹如何確保windows 7的安全性的方法,安全配置以及一些鮮為人知的windows 7安全功能,并且我們還將探討保護數據、備份數據以及如何在遭受攻擊或者系統故障時迅速運行數據。本文還介紹了安全的概念,如何強化Windows 7,如何為運行的程序提供安全保障,如何管理windows 7系統的安全,如何處理惡意軟件造成的問題,還有保護數據、備份和恢復操作系統功能,如何恢復到操作系統之前的狀態,以及當系統故障時,如何恢復數據和系統。本文目的在于讓大家熟悉windows 7 的安全功能、增強功能以及讓大家深入了解如何正確部署這些安全功能。
注意:
如果你在企業環境或者其他專業環境工作,請不要對公司計算機進行設置。如果你不熟悉安全問題或者微軟產品,在對系統進行修改時請仔細閱讀相關文件。
安全管理與監控
如果在企業使用Windows 7,你可以使用Active Directory基礎架構,并當登錄到域或者使用組策略來進一步加強安全性時,你可以利用windows 7系統提供的很多安全措施。無論哪種方式,集中管理安全工具、設置和日志通常都是部署安全時最重要的因素,安裝和配置好安全工具后,你該如何管理、監測和更新安全工具?在Windows 7系統中,你會發現安全管理設置都可以輕松實現,例如,開始菜單中“安全”選項就能夠管理windows 7系統中的安全應用程序。
我們都希望能夠盡可能簡單地部署和管理安全工具,沒有人喜歡在操作系統中到處搜尋應用程序、服務、日志和事件或者活動來配置或者檢測。在windows 7系統中,新用戶在找到并配置windows防火墻(最基本的安全配置)之前,很可能迷失在路徑、向導和控制臺的“汪洋”中。不過,可以說,windows 7是所有windows版本中最易于管理的操作系統,因為所有信息都可以被索引,并且可以通過開始菜單進行快速搜索。
除了開始菜單外,管理windows 7中眾多安全功能的簡易方法之一就是建立一個自定義微軟管理平臺(MMC)并添加工具集。讓很多windows新用戶困擾的事情之一就是微軟企業解決方案提供了簡潔的集中控制來檢測網絡中每個系統的所有活動,而客戶端操作系統是一個獨立包,同樣必須進行本地保護,所以對于家庭用戶而言,自定義管理平臺是解決集中安全管理問題的答案。
不過,在windows XP和Vista系統中,安全中心存在局限性,而在windows 7中,安全中心又被進一步分化為控制面板小程序和MMC管理單元,所以我們要怎樣快速控制對關鍵工具的訪問權限呢?在windows 7系統中部署安全性,你必須訪問系統的很多不同區域來自定義你的配置以強化安全性,因此,如果你將所需要的應用程序和功能放在一個區域,你就能夠快速訪問這些應用程序和功能,便于安全審計或者日志審查。而這就需要自定義MMC來實現這個過程。
要創建一個自定義控制臺,只需要轉到開始菜單,輸入“MMC /A”,你就能得到一個新的微軟管理控制臺(MMC),可以將這個MMC保存到系統中的任何位置,使用任何名稱明明。然后轉到文件菜單,選擇添加/刪除管理單元,添加所有你想要或者需要的工具,下圖展示的就是添加了很多安全功能的自定義控制臺。
圖1: 使用微軟管理控制臺管理單元來創建自定義集中式安全控制臺
你會在這個管理單元中發現很多有用的工具。例如,TPM管理是允許管理員與可信平臺模塊(TPM)服務進行交互的微軟管理控制臺。TPM服務是用來管理計算機中的TPM安全硬件。這意味著你需要專門的硬件、更新的BIOS代碼和正確的CPU芯片。就像虛擬化需要一個專門的芯片一樣,TPM也是如此。TPM是引入新級別硬件級安全的一種方式,也就是說你的系統將得到硬化。TPM將使用硬件總線來傳輸信息,并可以與軟件功能(如BitLocker)一起使用。
創建控制臺后,你就會知道如何訪問這些區域來配置系統安全,下一步就是監測系統,有很多方法可以實現監測。例如,作為家庭用戶,你可以時不時地查看一些簡單時間表,如查看控制臺防火墻日志和事件查看器日志。如果你進一步查看配置選項,你會發現你可以安排提醒和通知,過濾日志,自動保存等等。請確保不斷查看這些信息。
在windows 7中,你可以訪問和部署安全的主要方法就是通過開始菜單快速訪問。你也可以通過控制面板(例如管理工具、windows防火墻和windows defender等程序)來訪問安全工具和設置。你還可以創建自定義MMC,并將其配置為訪問隱藏工具,并為安全管理提供集中控制臺。然后你就能瀏覽操作系統的各個區域進行操作,希望這個技巧能夠幫助你更好的部署安全。你可以使用模版,創建任務和活動,或者使用高級工具實現高級安全配置。 #p#
提示:
你也可以使用PowerShell和Netsh(如netsh adyfirewall命令)工具來進行安全管理,這樣便于使用腳本功能和/或基于windows 7安全部署選項的命令行。你還可以使用“任務”來記錄腳本或批處理文件和服務,這樣你就能對事件查看器日志保存備份以用于審計、審查或者簡單的保存。
接下來,你需要能夠訪問和進一步配置基本系統, 硬化系統和即時更新系統。大多數時候,更新都是在攻擊發生后才接踵而來,因此要盡快對更新進行測試并安裝。如圖2中所示的“Security Updates”。這些更新總是帶有編號的,并能在微軟官網查到更多詳細信息。
圖2: 使用Windows Update來安裝windows安全更新
還需要保持服務包更新到最新版本,系統中的其他運行應用程序和服務也需要進行管理、監測和更新。
系統完成完全修復和配置后,下一步就是安裝Microsoft Security Essentials(MSE),第三方防病毒(AV)程序,配置windows Defender(間諜軟件)并為惡意軟件保護配置安全性。
注意:
微軟最近發布了全新安全軟件系列,稱為“Forefront”,該安全軟件系列涵蓋了部署和管理企業安全的各個方面,還確保客戶端操作系統也受到新功能的保護,例如MSE安裝包中的Microsoft Antivirus。 #p#
惡意軟件預防與保護
無論是windows文件服務器、Linux系統或者蘋果OS X工作站,每個系統都用容易受到惡意軟件的攻擊。惡意軟件是指能夠滲透、深入、劫持并最終摧毀計算機操作系統、應用程序或者數據的所有類型惡意軟件。更糟糕的是。惡意軟件針對的不僅是你的基本操作系統,還針對用戶個人數據、隱私和身份信息。惡意軟件的形式多種多樣,例如:病毒、蠕蟲、邏輯炸彈程序和木馬等。為了保障windows 7系統的安全性,你需要將其配置為阻擋惡意軟件的模式。惡意軟件最常見的入侵方式是通過訪問公共網絡和電子郵件、(即時通訊)IM消息、使用網絡共享數據和FTP服務器,或者其他基于公共網絡連接的軟件應用程序,如點對點文件共享軟件。一旦某個系統(或者電子郵箱)受到感染,惡意軟件就會迅速傳播,有時候用戶完全無法察覺。惡意軟件還可能通過外部或者未受保護的外部驅動、拇指驅動器和網絡本身來入侵系統。可以說,不管是通過接收電子郵件或者查看公共互聯網中服務器上的信息,你都可能受到某種形式的惡意軟件攻擊。
為了阻攔惡意軟件入侵系統,你必須避免任何感染惡意軟件的可能操作。惡意軟件預防與惡意軟件保護有所不同,但是這兩者需要共同配合才能實現共同的目標,即無病毒系統。預防的重點在于阻攔惡意軟件入侵系統所必須采取的步驟,這樣就能夠試圖避免未來的攻擊或者問題的出現。你可以通過很多方式限制系統的暴露。預防是指當配置任何供應商軟件平臺時,始終銘記和運用這些安全概念。保護主要是通過安裝應用程序(如防病毒和間諜軟件掃描儀)的形式來實現,保護更加側重于使用掃描和過濾工具、審計工具和協議或者加密來確保系統安全性。
注意:
有兩種類型的安全應用:主動和被動。在規劃階段良好的設計和考慮能夠確保一定程度的安全性,但是你需要考慮如何管理和提供持續支持。對于惡意軟件,你需要即時更新防毒程序,以便掃描和阻止足心的威脅和攻擊利用。主動進行安全規劃,確保所有應用程序和軟件的更新和安全性。
為了管理、監測和保護系統安全免受潛在惡意軟件的威脅,建議你安裝、配置和不斷更新Antivirus and Spyware清除軟件包。你可以安裝第三方軟件應用程序,或者使用一些微軟工具,如下圖所示的Windows Defender。
圖3:使用Windows Defender
Windows Defender可以用于掃描并移除間諜軟件。而防病毒應用程序能夠積極掃描并試圖尋找和清除病毒、蠕蟲和木馬。如果兩者一起使用,我們將能夠主動抵御大多數攻擊形式。對于操作系統本身,你還需要保持這些應用程序的更新,否則同樣將受到攻擊。另外,還需要下載并安裝新定義文件來掃描新威脅。
Windows Defender能夠幫助掃描系統文件(快速掃描或者完全掃描),并且經常會更新,這也使選擇任何防間諜軟件最重要的因素。如果定義沒有被更新,它將無法阻止新攻擊。
一些殺毒軟件也能夠智能化地掃描出系統中“不尋常的東西”,或者“根據類似攻擊匹配模式”,這被稱為啟發式。雖然有用,但是并不能攔截所有的攻擊,所以請保持這些工具的更新。Windows Update能夠自動更新Windows Defender。第三方應用程序(除了關鍵設備驅動程序)通常在微軟中都看不到。 部署了惡意軟件保護程序后,你還應該硬化任何其他需要被鎖定的區域,例如IE設置。
你可以使用一項被稱為數據執行保護(DEP)來保護windows 7安全,這個功能能夠監測系統程序以及監測程序如何使用系統內存。這能夠防止系統內部的程序使用內存來發動攻擊。你可以為所有程序設置這個功能,或者僅為選擇的程序使用該功能。具體操作就是,轉到開始菜單,打開控制面板。點擊系統程序,然后選擇高級選項卡,性能選項,數據執行保護選項卡,如下圖所示。
圖4: 配置Windows 7中的數據執行保護(Data Execution Prevention)
現在的病毒比以前的病毒更加復雜。隨著時間的推移,攻擊變得越來越難以預防,惡意軟件變得越來越擅長隱藏自身并傳遞毀滅性的有效載荷。而且,惡意軟件的這些活動完全不被最終用戶或者系統管理員察覺。這是因為技術變得越來越復雜,攻擊也同樣如此。例如。只是訪問網頁和瀏覽網頁,就可能讓你在不知情的情況下安裝惡意軟件,主要是通過利用瀏覽器中的漏洞。同樣,為了增加靈活性,瀏覽器通常都被設置為接受任何類型的協議、腳本語言、插件和工具欄,如果沒有不斷更新瀏覽器很難保證較高級別的安全性。在最終用戶和系統管理員不知情的情況下發動攻擊,這是因為如果讓瀏覽器檢查網站的合法性會讓訪問網頁變得很麻煩。
網上沖浪可能是工作需要也可能僅為娛樂需要,如果你不想受到惡意軟件攻擊或者潛在瀏覽器攻擊,最好使用IE鎖定。IE已經進行了相當多的更新,你可以對IE進行各種設置來阻攔攻擊。 #p#
提示:
為了降低攻擊風險,可以在網絡服務器中設置各種限制,例如限制訪問色情網站、下載免費軟件、文件共享或者點到點軟件、公共FTP服務器、IRC聊天和任何不需要在個人計算機中操作的活動。當然你可以創建一個虛擬機來增強安全性,但是這種解決方案并不是完全安全的。如果你限制系統的曝光度,自然能夠降低系統攻擊的風險。
網上沖浪需要嚴格遵守紀律。IE還可以被配置為這樣的方式,除了明確規定允許的操作外,不能進行其他任何操作。在本文中,我們已經討論過了安全和靈活性的平衡問題,這也使最好的例子之一。如何安全使用公共互聯網而不需要花費兩倍的時間?找到一個安全的媒介,如上所述,部署如何從潛在攻擊中回復的計劃。
IE鎖定步驟(例如打開和配置網絡釣魚過濾器、使用InPrivate Browsing或者其他安全特征和功能比你完全沒有使用安全功能安全得多,所以建議大家盡可能地使用安全功能來保護瀏覽器安全)當配置IE的Internet屬性時,如圖5所示,你可以使用安全選項中的安全配置,以及其他選項。
圖5:配置Internet屬性安全選項卡選項
提示:
在Internet屬性安全選項中,有一個勾選框可以選擇“啟用保護模式”,選擇該模式可以為瀏覽器提供基本水平的安全。
例如,如果你選擇General選項,你可以將主頁設置為空白,這樣每次當你打開瀏覽器的時候,自己選擇需要訪問的網頁,而不是瀏覽器,如果系統被攻擊的話,目前的默認頁會在你不知情的情況下被改為其他網頁。你也可以選擇退出IE瀏覽器時刪除瀏覽歷史。你可以配置安全區、限制列表、過濾、代理服務、高級協議等等。
所有這些工具相互配合就能夠保持IE的鎖定狀態,如果病毒入侵,當病毒自行安裝時UAC會對其進行標志,即系統內存掃描RAM沒有找到TSR或者其他惡意程序。
阻攔惡意軟件需要從很多不同系統功能入手,除了防病毒軟件和間諜軟件程序外。例如,UAC(如上述)就是個好例子。如果你訪問惡意網絡服務器來查看或者下載內容,主頁本身中的腳本會被配置為運行在后臺默默地安裝的應用程序,如果在windows 7中任何程序試圖自行安裝,UAC(如果配置為最高安全級別),就能夠防止這種類型的攻擊。
防止惡意軟件時,其他需要做的事情就是微調windows防火墻,隔一段時間就檢查它的日志活動,并試圖熟悉那些真正在系統中運行的程序以及被使用的系統資源。使用任務管理器是快速發現異常程序的很好的辦法。下圖展示的是系統中正在運行的程序,如果你查看進程,會看到內存中正在運行的程序,你可以查看這些程序是否合法,或者你確實想要在內存中運行這些程序。
圖6:使用任務管理器 #p#
您還應該檢查事件查看器日志來檢查病毒定義是否被下載、更新和安裝,以及服務是否正常運行,沒有嚴重錯誤。即使部署了所有這些預防和保護措施后,系統仍然可能受到惡意軟件攻擊。
由于即使對系統進行了全面保護(以及更新)仍然有可能遭遇惡意軟件,這種情況下,我們應該考慮系統備份。你應該總是備份個人數據,不管是安裝在windows系統、Linux還是蘋果系統。有很多方法可以實現備份,例如使用windows 7中的備份工具,使用第三方工具或者簡單地復制數據到外部驅動或者刻錄到CD/DVD-ROM來保存。顯然,最簡單的方法就是視而不見,順其自然。如果你的數據非常重要,還是建議你將數據備份。
數據備份和保護后。你應該使用System Restore備份系統,并考慮使用其他災難恢復方法以確保事故后能夠繼續使用各種程序。如果你不不熟悉其他災難恢復方法,那么你可以啟動和運行System Restore。該工具非常游泳,它能夠對當前系統配置進行快照并備份,以備以后使用。雖然該功能會占用一些磁盤空間,但這是非常值得的,它能夠幫助你在災難發生后迅速回復系統運行。
其他惡意軟件接入點位于windows Office文檔中,并能作為用于自動化(例如試圖滲透系統的意圖)的程序運行。Macros是很有用的工具,但是默認情況下Macros會進行全面阻止。允許Macros(默認)的危害在于,如果你收到包含Office文檔的電子郵件,你可能無意會打開它并將惡意軟件注入系統。
可以說,你的系統安全面臨著很多考驗。惡意軟件也可能通過網絡進行感染,蠕蟲病毒在windows共享之間流竄,而木馬則被安裝來連接到遠程服務器并報告關于系統的詳細信息。
系統安全外的互聯網安全絕對不容忽視。雖然網絡防火墻阻止攻擊方的訪問,路由器和交換機可以進行硬化,高級加密配置可以用于創建到遠程網絡的安全連接,甚至還有考慮網絡管理,例如,如果你沒有禁用Telnet服務(windows功能)并使用該服務而不是使用SSH,那么TCP/IP協議將很容易受到攻擊。如果你未能在網絡中部署數據包捕獲/嗅探程序,所有以上這些系統安全措施都會被破壞,因為數據包捕獲/嗅探程序可以主動掃描并捕獲純文本或未加密密碼,而這些密碼很可能是用于windows管理員默認服務帳號的密碼。沒有良好的密碼標準,等于向攻擊者敞開大門。因此,我們始終要將網絡看作是惡意軟件和攻擊的潛在接入點,因為這是我們經常忽略的部分。
MSE包是能夠從微軟(圖12)免費下載的軟件,當安裝后,它會添加防病毒掃描軟件到系統中。這是轉為XP、Vista和Windows7開發的軟件,MSE軟件包只有正版windows 7用戶才可以使用。如果你不是正版用戶,則無法下載和安裝。如果你可以下載,請安裝該軟件包。在安裝階段將需要驗證windows 7的合法性,驗證后,安裝程序會檢查系統是否有其他殺毒軟件在運行,然后會建議你只需使用一種形式的防病毒軟件,因為同時運行兩種防病毒軟件將會造成互相干擾,同時也帶來管理和監測(以及更新)方面的麻煩,并會影響系統性能。安裝好后,可以如圖7所示進行更新。
圖7:運行Microsoft Security Essentials更新
下一步(圖8),你可以運行快速、全面或者自定義掃描來檢查系統是否存在惡意軟件。執行主動掃描和設置實時保護都可以快速方便地實現。運行MSE,并保持更新以獲取全面防病毒保護。另一個優勢在于它可以使用windows update進行更新。
圖8: 使用MSE掃描系統中的惡意軟件
安裝惡意軟件防護和部署積極抵御措施后,你可以繼續強化這些保護。
在互聯網中使用計算機必然帶來潛在攻擊,因此需要安裝和使用惡意軟件和間諜軟件防護工具并保持其更新。需要記住的是,系統受到保護后,必須進行不斷更新以確保持續保護,并養成良好的上網習慣。
提示:
盡量不要使用桌面小工具或者其他潛在威脅的工具,因為如前文所屬,使用這些工具將為攻擊者打開方便之門。如果你不需要某些軟件,或者不常使用,安全的做法就是盡快刪除它。不僅能夠節約空間,而且增強系統處理能力。禁止安裝來自不可信任來源或者問題來源的未前面程序。
總結
在病毒肆意橫行的今天,考慮選擇windows 7時,安全和靈活性通常是最先考慮的因素。Windows 7確實很安全,但并不是100%的安全。用戶需要運用相關知識、其他工具和配置以全面確保安全性,然后經常進行更新和檢測。
【編輯推薦】
