深入讨论如何保护Windows 7安全（上）

导言

Windows 7是微软最新的桌面型客户端操作系统，是基于Windows XP和Vista的优点和缺点而升华出来的新系统，所有服务都得到了加强，新增的安全功能也使之更加可靠。除了基本的系统改进和新服务外，Windows 7提供了更多的安全功能，加强了审计和监控功能以及对远程通信和数据加密的功能，Windows 7还新开发了内部保护机制以加强系统内部安全性能，如内核修复保护、服务强化、数据执行防御、地址空间布局随机化和强制性完整性级别等。

Windows 7的所有改进都是以安全为中心的。首先，该系统用于开发微软的安全开发生命周期(SDL)框架并用于支持通用标准要求，允许其达到评估确认等级 (EAL)4证书，该等级符合联邦信息处理标准(FIPS)#140-2。另外，通过利用其他安全工具(如组策略)，你可以控制桌面安全的每个方面。如果 Windows 7 主要用于家庭办公或者个人使用，它也可以预防黑客攻击和入侵。你也可以认为Windows 7内部是安全的，但这并不意味着你可以依赖于默认配置，你需要根据自身的安全需求进行调整。

在这篇文章中，我们将介绍如何确保windows 7的安全性的方法，安全配置以及一些鲜为人知的windows 7安全功能，并且我们还将探讨保护数据、备份数据以及如何在遭受攻击或者系统故障时迅速运行数据。本文还介绍了安全的概念，如何强化Windows 7，如何为运行的程序提供安全保障，如何管理windows 7系统的安全，如何处理恶意软件造成的问题，还有保护数据、备份和恢复操作系统功能，如何恢复到操作系统之前的状态，以及当系统故障时，如何恢复数据和系统。本文目的在于让大家熟悉windows 7 的安全功能、增强功能以及让大家深入了解如何正确部署这些安全功能。

注意：

如果你在企业环境或者其他专业环境工作，请不要对公司计算机进行设置。如果你不熟悉安全问题或者微软产品，在对系统进行修改时请仔细阅读相关文件。

安全管理与监控

如果在企业使用Windows 7，你可以使用Active Directory基础架构，并当登录到域或者使用组策略来进一步加强安全性时，你可以利用windows 7系统提供的很多安全措施。无论哪种方式，集中管理安全工具、设置和日志通常都是部署安全时最重要的因素，安装和配置好安全工具后，你该如何管理、监测和更新安全工具？在Windows 7系统中，你会发现安全管理设置都可以轻松实现，例如，开始菜单中“安全”选项就能够管理windows 7系统中的安全应用程序。

我们都希望能够尽可能简单地部署和管理安全工具，没有人喜欢在操作系统中到处搜寻应用程序、服务、日志和事件或者活动来配置或者检测。在 windows 7系统中，新用户在找到并配置windows防火墙(最基本的安全配置)之前，很可能迷失在路径、向导和控制台的“汪洋”中。不过，可以说，windows 7是所有windows版本中最易于管理的操作系统，因为所有信息都可以被索引，并且可以通过开始菜单进行快速搜索。

除了开始菜单外，管理windows 7中众多安全功能的简易方法之一就是建立一个自定义微软管理平台(MMC)并添加工具集。让很多windows新用户困扰的事情之一就是微软企业解决方案提供了简洁的集中控制来检测网络中每个系统的所有活动，而客户端操作系统是一个独立包，同样必须进行本地保护，所以对于家庭用户而言，自定义管理平台是解决集中安全管理问题的答案。

不过，在windows XP和Vista系统中，安全中心存在局限性，而在windows 7中，安全中心又被进一步分化为控制面板小程序和MMC管理单元，所以我们要怎样快速控制对关键工具的访问权限呢？在windows 7系统中部署安全性，你必须访问系统的很多不同区域来自定义你的配置以强化安全性，因此，如果你将所需要的应用程序和功能放在一个区域，你就能够快速访问这些应用程序和功能，便于安全审计或者日志审查。而这就需要自定义MMC来实现这个过程。

要创建一个自定义控制台，只需要转到开始菜单，输入“MMC /A”，你就能得到一个新的微软管理控制台(MMC)，可以将这个MMC保存到系统中的任何位置，使用任何名称明明。然后转到文件菜单，选择添加/删除管理单元，添加所有你想要或者需要的工具。

你会在这个管理单元中发现很多有用的工具。例如，TPM管理是允许管理员与可信平台模块(TPM)服务进行交互的微软管理控制台。TPM服务是用来管理计算机中的TPM安全硬件。这意味着你需要专门的硬件、更新的BIOS代码和正确的CPU芯片。就像虚拟化需要一个专门的芯片一样，TPM也是如此。 TPM是引入新级别硬件级安全的一种方式，也就是说你的系统将得到硬化。TPM将使用硬件总线来传输信息，并可以与软件功能(如BitLocker)一起使用。

创建控制台后，你就会知道如何访问这些区域来配置系统安全，下一步就是监测系统，有很多方法可以实现监测。例如，作为家庭用户，你可以时不时地查看一些简单时间表，如查看控制台防火墙日志和事件查看器日志。如果你进一步查看配置选项，你会发现你可以安排提醒和通知，过滤日志，自动保存等等。请确保不断查看这些信息。

在windows 7中，你可以访问和部署安全的主要方法就是通过开始菜单快速访问。你也可以通过控制面板(例如管理工具、windows防火墙和windows defender等程序)来访问安全工具和设置。你还可以创建自定义MMC，并将其配置为访问隐藏工具，并为安全管理提供集中控制台。然后你就能浏览操作系统的各个区域进行操作，希望这个技巧能够帮助你更好的部署安全。你可以使用模版，创建任务和活动，或者使用高级工具实现高级安全配置。

提示：

你也可以使用PowerShell和Netsh(如netsh adyfirewall命令)工具来进行安全管理，这样便于使用脚本功能和/或基于windows 7安全部署选项的命令行。你还可以使用“任务”来记录脚本或批处理文件和服务，这样你就能对事件查看器日志保存备份以用于审计、审查或者简单的保存

接下来，你需要能够访问和进一步配置基本系统， 硬化系统和即时更新系统。大多数时候，更新都是在攻击发生后才接踵而来，因此要尽快对更新进行测试并安装，比如“Security Updates”。这些更新总是带有编号的，并能在微软官网查到更多详细信息。

还需要保持服务包更新到最新版本，系统中的其他运行应用程序和服务也需要进行管理、监测和更新。

系统完成完全修复和配置后，下一步就是安装Microsoft Security Essentials(MSE)，第三方防病毒(AV)程序，配置windows Defender(间谍软件)并为恶意软件保护配置安全性。

注意：

微软最近发布了全新安全软件系列，称为“Forefront”，该安全软件系列涵盖了部署和管理企业安全的各个方面，还确保客户端操作系统也受到新功能的保护，例如MSE安装包中的Microsoft Antivirus。

恶意软件预防与保护

无论是windows文件服务器、Linux系统或者苹果OS X工作站，每个系统都用容易受到恶意软件的攻击。恶意软件是指能够渗透、深入、劫持并最终摧毁计算机操作系统、应用程序或者数据的所有类型恶意软件。更糟糕的是。恶意软件针对的不仅是你的基本操作系统，还针对用户个人数据、隐私和身份信息。恶意软件的形式多种多样，例如：病毒、蠕虫、逻辑炸弹程序和木马等。为了保障windows 7系统的安全性，你需要将其配置为阻挡恶意软件的模式。恶意软件最常见的入侵方式是通过访问公共网络和电子邮件、(即时通讯)IM消息、使用网络共享数据和FTP服务器，或者其他基于公共网络连接的软件应用程序，如点对点文件共享软件。一旦某个系统(或者电子邮箱)受到感染，恶意软件就会迅速传播，有时候用户完全无法察觉。恶意软件还可能通过外部或者未受保护的外部驱动、拇指驱动器和网络本身来入侵系统。可以说，不管是通过接收电子邮件或者查看公共互联网中服务器上的信息，你都可能受到某种形式的恶意软件攻击。

为了阻拦恶意软件入侵系统，你必须避免任何感染恶意软件的可能操作。恶意软件预防与恶意软件保护有所不同，但是这两者需要共同配合才能实现共同的目标，即无病毒系统。预防的重点在于阻拦恶意软件入侵系统所必须采取的步骤，这样就能够试图避免未来的攻击或者问题的出现。你可以通过很多方式限制系统的暴露。预防是指当配置任何供应商软件平台时，始终铭记和运用这些安全概念。保护主要是通过安装应用程序(如防病毒和间谍软件扫描仪)的形式来实现，保护更加侧重于使用扫描和过滤工具、审计工具和协议或者加密来确保系统安全性。

注意：

有两种类型的安全应用：主动和被动。在规划阶段良好的设计和考虑能够确保一定程度的安全性，但是你需要考虑如何管理和提供持续支持。对于恶意软件，你需要即时更新防毒程序，以便扫描和阻止足心的威胁和攻击利用。主动进行安全规划，确保所有应用程序和软件的更新和安全性。

未经允许不得转载：DOIT » 深入讨论如何保护Windows 7安全（上）