深入讨论如何保护Windows 7安全 （3）

　　在这篇文章中，我们将探讨正确保护windows 7安全的基本方法，Windows 7中提供的鲜为人知的安全功能，以及阻止攻击、保护数据和灾难恢复的各种方法。

　　导言

　　在这篇文章中，我们将介绍如何确保windows 7的安全性的方法，安全配置以及一些鲜为人知的windows 7安全功能，并且我们还将探讨保护数据的各种方法、备份数据以及如何在遭受攻击或者无法恢复的系统中迅速恢复数据。本文还介绍了安全的概念，如何强化Windows 7，如何为运行的程序提供安全保障，如何管理windows 7系统的安全，如何处理恶意软件造成的问题。本文还涵盖了保护数据、备份和恢复操作系统功能的过程，如何恢复到操作系统之前的状态，以及当系统故障时，如何恢复数据和系统，当然，我们还提供了快速实现数据恢复的技巧。此外，涵盖的话题还包括如何确保联网工作的安全性，如何配置生物识别技术控制以提供高级访问控制，以及当与windows server 2008一起使用时，windows 7系统安全地整合更多控制、管理和监测功能。本文目的在于让大家熟悉windows 7 的安全功能、增强功能以及应用程序，并让大家深入了解如何正确规划和部署这些安全功能。

　　灾难恢复

　　Windows 7部署好安全措施后应该进行备份以确保灾难后的快速恢复。你可以使用成像软件对基本安装进行快照以实现快速恢复。如果你要重新安装windows 7的话，你将需要部署所有已经部署的安全措施来确保其安全，这个过程必然需要一段时间，所以最好考虑恢复解决方案，特别是对于企业而言。企业解决方案提供成像功能。家庭用户也同样可以对系统进行快照用于快速恢复。无论是企业用户还是家庭用户，都可以使用System Restore工具，该工具可以对系统进行快照，不过前提是你可以启动系统，如果恶意软件破坏了System Restore或者完全禁用System Restore的话，将无法使用。从一次彻底灾难中恢复的唯一方法就是提前计划并制定恢复规划。最简单的恢复计划就是，在系统安装后，保存好安装盘以备以后使用。当灾难发生时，试图修复系统，如果无法修复系统，就应当尝试恢复数据并使用安装盘重新安装windows系统。这个过程需要花很长时间，并且可能造成数据丢失。灾难回复或者事故响应计划应当包括保护数据安全的方法，并提供快速恢复的可选方案，然后进行快速回复：

　　安装Windows 7、应用程序、工具包和硬化

　　创建系统备份(成像、虚拟化、还原点等)

　　为集中数据备份和恢复准备解决方案

　　为事故或灾难部署

　　事故发生时，试图找到根源，并试图修复

　　灾难导致系统无法修复或者无法生产

　　通过成像或虚拟化对基本操作系统进行快速恢复

　　没有丢失任何重要数据，系统用户能迅速恢复工作

　　所有系统都不可避免地存在某种形式的故障，不管准备工作做得多么充足，包括硬盘驱动失效、应用程序失效、安全失效等。因此，在你的安全规划中，你应该考虑这些问题，并考虑如何恢复。你还需要考虑如何从系统的任何问题中恢复，windows 7提供了大量备份和快速恢复的方案。

　　如果你需要修复系统文件，或者恢复到之前的状态，windows 7可以轻松实现。Windows 7提供了很多工具帮助用户保护和备份个人数据，以及操作系统本身。例如ERDs、ASRs、Backup and Restore、System Restore、Recovery Console、Safe Mode、Last Known Good Installation和其他工具，这些工具可以帮助管理员和最终用户度过灾难。很多人甚至使用Sysinternals工具在发生严重故障(BSOD)后来恢复系统。

　　Backup and Restore主要处理数据备份，系统本身的备份是由System Restore(图1)来实现的，该工具还可以配置操作系统还原点以备日后使用。

　　图1：使用System Restore创建Restore Point

　　警告：

　　System Restore是用来创建系统的快照，然后将快照保存到硬盘中，如果你想回到原来的系统状态，你需要使用再次使用System Restore。如果System Restore被破坏了，你将无法使用还原点，可能需要依赖于成像或者重装系统。

　　你还可以使用成像工具来快速重装已经无法修复的系统。重新安装windows操作系统是一个漫长的过程，特别是对于运行XP系统的用户，因为XP系统存在非常多的漏洞补丁、更新和服务包需要安装，应用程序(如Office)也有很多更新要安装。如何从让系统无法操作中恢复而不花费长时间重新安装的方法就是运用成像工具，而不需要从头重新安装。如果System Restore或者其他工具不能运行，你需要使用安装新的windows，如果你不安装补丁，还将继续受到同样的攻击问题导致系统崩溃。

　　数据是每个人都应该考虑的最重要的问题，无论是个人数据或者公司数据。在企业环境中，数据通常都有备份并且存有离线副本，如果灾难发生时能够迅速恢复。在家庭使用中，同样也应该进行备份。你可能或者可能不想要将数据副本处于离线存储状态，但备份数据并在必要时恢复数据是首先应该考虑的事情。最好将个人数据存储在外部驱动中，通过USB连接，你的数据可以随时进行访问。你还可以映射一个副本到另一个驱动中，或者使用磁带解决方案来进一步保护数据。如果在家庭办公环境中运行，信息尤为重要，你可能想要增加防火保护以确保真正灾难发生时，数据不会随之消亡。总而言之，我们需要时刻准备着。

　　使用集中解决方案是保持重要数据高度可用性和高度安全性的关键。例如，如果你将所有数据存储在内部硬盘中，并没有备份，当硬盘故障并无法修复时，你就可能丢失这些数据。一个简单的解决方案就是使用最低限度的备份方案，复制到外部驱动。所有硬盘驱动都可能会出现故障，你必须备份所有数据。

　　提示：

　　做最坏的打算总是最好的拌饭。如果你认为你的系统最终将崩溃并无法修复，备份系统和数据将是恢复系统功能的唯一希望。总之，安全规划和防御措施做得再完美，仍然不是百分之百的安全，做好备份才是明智之举。

　　你可以通过使用虚拟化来为操作系统快速地制定灾难恢复计划，你可以下载和安装虚拟机，或者使用微软的Hyper-V的企业版本的虚拟机。Hyper-V提供了创建、管理和监测虚拟机的平台。如果家庭运行windows 7，你也可以虚拟化系统或者资源，并利用虚拟机所提供的优势。这样的话，你就可以创建VM作为备份。家庭运行时，可以效仿企业用来改变管理软件和系统部署方式所部署的技巧。使用虚拟化(虚拟机/服务器或Hyper-V)可以从根本上改变家庭办公的方式。如果你使用VHD(一种虚拟硬盘文件)，那么你将永远持有准备就绪的系统备份。你可以使用Disk Management来创建windows 7的虚拟硬盘文件，如图2所示。

　　图2： 使用磁盘管理创建虚拟硬盘

　　如果是在企业环境，系统和资源可以进行虚拟化，并且数据可以存储在SAN或者NAS设备中，这就解决了较长恢复时间相关的问题。如果客户端计算机用户使用的所有文件通过映射驱动到文件服务器集群被发现，那么基本上你只需要等待系统硬件发生故障，然后将系统备份到另一台新电脑中即可。大多数拥有端系统用户的企业环境都有多余的硬盘空间以备不时之需。如果你运用冗余服务器的概念并使用虚拟化概念，那么你将能让最终用户将迅速备份并运行。

　　总而言之，保持数据备份并保护系统。尽可能地强化系统，同时确保备份和运行的性能。

　　注意

　　增加防火措施或者部署异地备份以防止环境灾害的破坏。

　　高级安全功能

　　Windows 7有很多你可以使用的其他高级安全功能，例如高级加密功能和生物识别技术。必须确保不安全连接的安全连接性。访问控制、盗窃和对收集信息的可能利用都是部署windows 7时需要考虑的问题，因为灾难发生时数据也将丢失。更糟的是，由于移动办公和移动笔记本用于个人使用，一旦用户发生笔记本丢失或者被盗窃，安全性就会被破坏。如果USB驱动盘丢失，数据还会处于安全状态吗?为了防止这些可能问题的发生，大家可以部署windows 7提供的以下安全功能：

　　生物识别技术 – 生物识别技术是用来控制访问权限的。大多数计算机(尤其是IBM/联想ThinkPad产品系列)都配有指纹识别器。从技术进步的角度来看，在未来，家庭、企业或者任何环境中的所有系统、设备都将全面部署生物识别技术。在不久的将来，公共图书馆将使用视网膜扫描代替图书证，网上银行和其他个人功能都将通过某种形式的生物识别ID来实现。Windows 7已经具备生物识别技术。微软公司一直与指纹识别开发商以及硬件厂商紧密合作以确保windows 7的安全性，在部署安全措施时，身份管理是非常重要的考虑因素。

　　BitLocker驱动器加密(BDE)– BitLocerk是用于向保存在内部和外部驱动系统的数据提供安全性的技术。在windows 7中，你可以使用两个版本的BitLocker来保护分别位于内部驱动、外部驱动和其他形式的外部或移动存储的数据。BDE是通过要求提供证书并利用TPM来保护存储在这些驱动中的数据。

　　微软的可信平台模块(TPM)管理功能仅适用于与TPM兼容的硬件。当兼容时，windows Vista或者windows 7以及Windows Server 2008就可以使用高级安全特性和功能。微软的可信平台模块管理是Windows Vista/7和Windows Server 2008提供个的新功能，它的主要功能是允许windows系统利用硬件级的高级处理和加密功能。如上文所述，这些高级功能中有些需要高级硬件(且兼容)才能使用。当你试图使用某功能，并发现不可用时，很可能是因为你的硬件与该功能不兼容，或者你使用了错误版本的windows 7。

　　提示：

　　TPM可以通过计算机BIOS和上文提及的MMC管理单元来配置和管理。

　　你还可以通过配置IPsec/VPN连接与windows 7远程资源进行安全连接。虚拟专用网(VPN)能够提供让你免受攻击的安全性。即使你通过不安全公共网络创建连接，也可以保证安全性，因为连接是通过加密通道来实现的。你可以在开始菜单很快地创建新VPN连接，输入VPN，点击控制面板链接来创建新VPN连接，如图3所示。

　　图3：配置VPN连接

　　你可以使用通过加密算法提供高级别安全性的高级协议来与其他系统创建连接，这通常需要能够提供基于硬件加密技术的CPU处理器，而这就避免了基本操作系统处理加密的操作，从而提高系统性能。VPN可以用来建立与其他系统的安全连接。

　　注意：

　　如果想要管理远程微软系统，你可以使用远程桌面连接(RDC)，如果使用Telnet作为Unix系统和Cisco网络设备(举例)的远程连接工具，你应该要考虑禁用这个服务(默认情况下为禁用)，并使用SSH。

　　你还可以使用IPsec协议创建可管理的通道连接，并使用MMC控制台管理单元或windows防火墙来进行管理。在控制台中还提供这样的功能，允许你对IPsec连接进行管理和故障排除，如不匹配密钥、安全关联问题、加密设置问题和其他基于ISAKMP的配置问题。这都可以通过windows 防火墙的高级功能来管理。

　　选择访问控制和数据恢复选项后，你就可以通过加密通道安全连接到网络资源，那么如果你想要通过家庭网络或者企业网络安全地分享资源呢?windows 7提供了一项新功能，名为HomeGroup，该功能可以在控制面板中找到。你可以将该功能配置为改变系统以连接到家庭网络中的其他计算机来安全地分享资源，如图4所示。

　　图4：配置Windows 7 HomeGroup

　　Windows 7可以配置为与家庭网络中的其他系统进行安全地共享资源。当配置好时，HomeGroup可以为数据访问、使用和数据共享提供基本的安全性。例如，如果你对家庭网络中的两台计算机进行配置，并且其中一台计算机使用本地打印机，HomeGroup将允许你将打印机作为共享资源，这样所有的系统都可以使用该打印机。你也可以设置密码保护并指定哪些人可以使用哪些人不可以使用。在windows 7中，这取代来工作组的功能。并不是所有版本的windows 7都允许你创建HomeGroup，只有家庭版本才能创建HomeGroup，不过任何版本的windows7系统都可以加入HomeGroup。

　　当在Active Directory环境中使用windows 7和Windows Server 2008时，windows 7可以得到最佳运用和安全性。运行企业级的操作系统意味着可以使用全面锁定和监控功能。例如，可以通过Active Directory、组策略、专门锁定模板和工具包以及其他工具(如代理服务器)来控制和监测网络浏览活动。用户可以登录到目录(域)，被完全管理和检测。最终用户的任何操作都会被写入日志和记录。任何windows提供的工具或服务都可以自定义化、修改或者完全删除。

　　在Forefront系列产品中，计算机使用、身份验证、日志和监测的每个方面都可以通过集中控制台进行管理和控制。你可以利用Windows服务器，甚至进一步与Forefront整合。Forefront是微软软件的新系列产品，主要目的在于为企业环境提供全面的安全保障，它提供服务器、桌面、访问控制以及SharePoint的专用解决方案，当在企业环境运行windows客户端时，这个解决方案可以提供安全设置的详细应用，以及集中管理和监测方面的更多选择。

　　在某些情况下，你可能需要运行Active Directory，例如，如果按照法律程序，你必须对所有企业资源的访问进行审计并保留所有员工电子邮件的副本?当在企业环境工作时，你更有可能要面对被审计的问题，特别对于上市公司。数据必须受到保护且可恢复。必须实现某种水平的安全，这些都是以满足法律(如萨班斯法案等)规定为主旨的。

　　在企业中，你将能够通过使用Active Directory目录服务(AD DS)为你的工作站或者操作系统提供更高的安全性，并使用组策略和很多其他工具来集中控制你的安全功能。Kerberos被用来通过电子票保证所有交易的安全性，这创建了一个安全基础，如果在这个安全基础上创建安全控制，那么完全可以运用高级别控制。

　　Windows 7可以作为客户端来管理，当在域模式来管理windows 7时，Active Directory通过整合所有的服务和访问控制来提供安全性，Active Directory能够提供很多安全部署策略的选择，例如仅安装必要的服务或程序以限制攻击的可能，或者安装和配置能够受到工具包保护的大量服务。此外，组策略如果部署得当的话，将可以帮助你部署很多我们上文中讨论过的功能，例如，你可以整合BitLocker到AD中，然后部署政策。你也可以控制IE浏览器，对已知恶意站点和黑名单网络进行限制访问或者完全阻止。

　　你还可以部署其他高级windows 7安全功能来进一步加强安全性，例如：

　　高级DNS安全 – Windows 7的域名系统安全(DNSSec)扩展支持为域名解析安全提供了新级别的安全保障。因为DNS非常重要，在大多数时候，它是大多数解决方案的支柱，它还是很多攻击的目标，并且依赖于安全增强来保持操作性和无利用性。RFCs 4033、4034和4035列出了在实现DNS安全的新标准，以及windows 7所符合的标准。

　　DirectAccess – DirectAccess是windows 7功能，该功能允许移动办公人员能够通过网络远程办公，而不需要使用VPN技术。DirectAccess与企业资源的紧密联系，允许员工远程安全访问这些资源，它还允许移动用户能够收到IT人员的远程支持。DirectAccess允许用户远程管理计算机，并通过组策略对计算机进行更新。DirectAccess使用IPV6 over IPsec来加密公共网络的流量。

　　AppLocker – 当使用本地安全策略编辑器(或组策略)时，用户就可以配置AppLocker，这个windows 7功能可以帮助用户控制已经安装的应用程序。当配置好后，用户可以锁定、限制和控制桌面应用程序，AppLocker是通过规则集来实现这些操作的。用户也可以为应用程序控制配置规则，例如如何管理更新等等。下图展示的是windows 7中的本地安全策略编辑器，在该编辑器中，用户可以利用AppLocker配置应用程序安全。

　　图5：使用AppLocker保护应用程序安全

　　最后，你应该总是要考虑网络安全问题。无线系统是病毒入侵和渗透的温床。路由器、交换机和任何其他网络中的管理设备如果没有进行硬化的话，都容易受到攻击，这也使为什么需要考虑纵深防御概念的原因，你必须考虑所有可能的切入点和利用区域来防止攻击者入侵。

　　提示：

　　使用Windows Server 2008 R2和第三方供应商产品(如思科系统公司)，你可以部署NAP/NAC来确保访问控制的安全并对其执行政策。在微软中，网络访问保护基础设施包括网络访问保护客户端和健康注册颁发机构(HRA)服务器，并可以通过网络政策服务器(NPS)被进一步控制。网络访问保护能够通过预先配置的合规政策来控制客户端访问。如果客户端不符合政策要求，客户端将会动态地被强制遵守。它还可以配置为阻止或者拒绝任何访问。思科也使用类似的技术，称之为网络准入控制(NAC)。当在微软或思科环境共同使用时，你可以创建高级别的安全和控制。

　　总结：

　　家庭windows 7系统可以被锁定也更易于管理。你可以将其配置为可以通过互联网从其他远程位置进行安全访问。对于windows 7，如果你能够将系统硬化到全面锁定的状态，那么系统将会变得无坚不摧。但是只要用户在互联网中使用计算机，系统仍然可能受到攻击。不过，我们能够对这种可能的攻击进行提前准备，并针对性地强化系统安全。

　　当考虑使用windows 7系统时，在当今这个黑客攻击和漏洞肆意横行的环境，安全问题和灵活性是选择系统时最优先考虑的问题。Windows 7系统绝对是安全的，但它不是百分之百安全的。用户必须运用适当的只是、工具和其他高级配置来确保系统各个方面的安全，然后确保持续更新和监测。如果你想要避免受到攻击的话，这些操作都是非常值得的。Windows 7系统有很多安全增强功能，并可以配置为快速恢复。

　　另外，必须运用基本安全原则(如纵深防御概念)和其他安全准则以及最佳安全做法，这样不仅能够确保安全保护，而且能够覆盖系统运行的整个架构和代码的安全。

　　我们这里讨论的只是触及了问题的表面，还有很多知识需要学习和了解。