如何配置微软新的Windows操作系统,以击败恶意软件和保持数据安全
Windows 7受到了热烈的欢迎和迅速被企业采纳,其结果是,许多IT管理员现在都在为该平台的新安全特性而苦苦挣扎。除了对用户帐户控制、BitLocker和其他继承自Windows Vista的功能进行了更改外,Windows 7还引入了大量新的安全功能,企业将希望利用这些功能。
Windows 7在Vista的基础上进行了改进,提供了更友好的UAC机制、对可移动媒体和硬盘卷进行加密的能力、对强加密密码的更广泛支持、无麻烦的安全远程访问,以及对以AppLocker形式存在的木马恶意软件的复杂保护等等。
[在信息世界中从日志文件中获得更多的价值。Windows 7安全深度跳水"PDF的特别报道。|更好的管理您公司的信息安全安全中心通讯。]
在本指南中,我将介绍Windows 7中这些和其他重要的安全增强,并提供配置和使用它们的建议。我将特别关注新的AppLocker应用控制功能,这可能是Windows商店抵御社会工程木马恶意软件的最实用、最实惠的方式。
Windows 7在安全方面做了数百个改进和增加,太多了,不能一下子搞定。虽然本指南关注的是大多数组织感兴趣的内容,但请记住,还有许多其他内容可能值得您关注。这里没有讨论的一些重要功能是对智能卡和生物识别的内置支持,以及强制使用Kerberos的能力限制NTLM,以及对新内容的支持DNSSec标准,这对于防止DNS利用攻击至关重要。同样值得注意的是一个叫做认证的扩展保护,它可以防止许多复杂的中间人攻击,这些攻击可能会攻击我们最信任的一些安全协议(如SSL和TLS)。
用户帐户控制一个用户讨厌的Windows Vista功能,用户帐户控制已经得到了显著的改进,在区分Windows 7中合法的和潜在的恶意活动时,入侵更少,更智能。然而,根据你是作为管理员还是标准用户登录,Windows 7的一些安装可能会有一个默认的UAC安全设置,比一些专家(包括你自己)的建议低一级。标准用户的UAC安全默认设置为最安全设置,而管理员帐户低于最高设置,这是潜在的风险。
还要注意,尽管UAC提供了一种急需的机制来防止管理员特权的滥用,但它可以被绕过。如果您必须具有高安全性,则用户在需要之前不应该使用升级的用户帐户登录。
您的域环境应该已经处于最高和最安全的级别(“总是通知”)。如果不是,那就这样做。这样,用户将被提示输入他们的密码来执行高风险的管理操作。无论其他什么,UAC都应该启用。
驱动器加密驱动器加密在Windows 7中,BitLocker驱动器加密技术从操作系统驱动器和固定数据驱动器扩展到包括可移动存储设备,如便携式硬盘驱动器和USB闪存驱动器。这个新功能叫做BitLocker to Go。
在Windows Vista SP1中,微软增加了对加密固定数据驱动器的官方支持,但这只能通过命令行工具完成。现在,通过Windows资源管理器GUI,只需右键单击即可对操作系统卷、固定数据驱动器和USB闪存驱动器进行加密。此外,您可以使用智能卡来保护数据量,还可以设置数据恢复代理来自动备份BitLocker密钥。如果您使用的是可信平台模块(TPM)芯片,您可以强制一个最小PIN长度;对于大多数环境,五个字符就足够了。
在Windows 7中,在打开BitLocker之前不需要创建单独的分区。系统分区是自动创建的,没有驱动器号,所以它在Windows资源管理器中不可见,数据文件不会无意中写到它。Windows 7的系统分区比Windows Vista小,只需要100MB的空间。
与BitLocker去,你可以加密可移动驱动器在一个时间或要求所有可移动媒体加密默认。此外,加密的可移动媒体可以在任何Windows 7电脑上解密和重新加密——而不仅仅是最初加密的那台电脑。
BitLocker to Go Reader (bitlockertogo.exe)是一款适用于运行Windows Vista或Windows XP的软件,允许你打开并查看Windows 7中使用BitLocker加密的可移动驱动器的内容。
如果您不使用其他数据加密产品,您应该在便携式计算机上启用BitLocker(最好使用TPM和其他因素)。在Active Directory中存储BitLocker pin和恢复信息,或者配置一个域范围的公共密钥,称为数据恢复代理,这将允许管理员解锁任何用BitLocker加密的驱动器。要求BitLocker去所有可能的可移动媒体驱动器。
容易加密的页面文件用户不能使用BitLocker,但仍然想防止内存交换页文件被分析在一个离线扇区编辑攻击不再需要删除页文件关闭。Windows XP和早期版本有一个设置,允许页面文件在关闭时被删除,在每次启动时重新生成。这是一个很好的安全特性,但是它经常会导致延迟关闭和启动——有时会增加10分钟的时间。
在Windows 7(和Vista)中,你可以启用页面文件加密。更好的是,没有密钥管理。Windows会根据需要创建和删除加密密钥,因此用户不可能“丢失”密钥或需要恢复密钥。这是最好的加密安全。
更好的加密Windows 7包括所有最新的业界认可的密码,包括AES(高级加密标准)、ECC(椭圆曲线加密)和SHA-2哈希族。事实上,Windows 7实现了所有的密码套件B美国国家安全局(National Security Agency)和美国国家标准与技术研究所(National Institute of Standards and Technology)批准的一组加密算法,可用于通用加密软件。
微软在Windows Vista中增加了对Suite B加密算法(AES、ECDSA、ECDH、SHA2)的支持,Windows 7允许Suite B加密与传输层安全性(称为TLS v.1.2)和加密文件系统(EFS)一起使用。应该尽可能使用Suite B密码。然而,需要注意的是,Suite B密码通常不与Windows Vista之前的版本兼容。
默认情况下,Windows当前的所有技术都将使用行业标准密码来代替传统的专有密码。包含那些仍然存在的遗留密码只是为了向后兼容的目的。微软已经与密码界分享了这些新密码的细节,以便进行分析和评估。默认情况下,键和散列大小会增加。
除了使用更现代的密码之外,EFS(加密文件系统)在许多方面都得到了改进。首先,您可以使用智能卡来保护EFS密钥。这不仅使EFS密钥更加安全,而且允许它们在计算机之间可移植。
管理员会很高兴地知道,他们可以阻止用户创建自签名的EFS密钥。以前,用户可以很容易地打开EFS,如果找不到兼容的PKI服务器,EFS将生成自签名的EFS数字证书。这些用户经常加密文件,但没有备份他们的自签名数字证书,这经常导致不可恢复的数据丢失。
在Windows 7中,管理员仍然可以允许自签名EFS密钥,同时强制设置密码和最小密钥长度。Windows 7会督促用户将EFS数字证书备份到其他可移动媒体或网络驱动器共享中——并一直督促用户备份,直到他们这么做为止。一个微软网页详细说明EFS变化。
想了解更多关于如何保护Windows 7电脑的信息,请访问InfoWorld的免费PDF报告。Windows 7安全深度跳水”,包括:
- 使用IE8安全浏览
- 多种活动防火墙策略
- 托管和虚拟服务帐户
- 配置AppLocker
- 循规蹈矩
这篇文章中,“InfoWorld专家Windows 7安全指南,最初发表于InfoWorld.com。关注最新的发展信息安全和窗户在InfoWorld.com上。
阅读更多关于安全中心的信息在信息世界的安全中心频道。
这个故事,“InfoWorld专家Windows 7安全指南”最初是由信息世界 。