對于保護(hù)計算機(jī)的安全，有幾個顯而易見的基本步驟：保持計算機(jī)使用最新操作系統(tǒng)和應(yīng)用程序更新，確保安裝了最新的反間諜軟件和防病毒軟件，使用復(fù)雜密碼并定期更改。在本文中，我將介紹這些基本策略以外的一些安全提示，幫助您更好地利用 Windows 7 的安全功能。

準(zhǔn)備 BitLocker

Windows 7 中最顯著的安全性改進(jìn)之一是 BitLocker，這是在 Windows Vista 中首次引入的硬盤加密和啟動環(huán)境完整性保護(hù)技術(shù)。.Windows 7 企業(yè)版和旗艦版中包含 BitLocker。該技術(shù)可確保只要便攜式計算機(jī)在被盜或丟失時處于關(guān)閉狀態(tài)，未授權(quán)用戶就無法從失蹤的便攜式計算機(jī)的硬盤驅(qū)動器恢復(fù)數(shù)據(jù)。

然而，BitLocker 也帶來了一個難題，即在出現(xiàn)鎖定受保護(hù)卷的硬件故障后的數(shù)據(jù)恢復(fù)問題。因此，雖然 BitLocker 可提供出色的保護(hù)，但是很多 IT 專業(yè)人員仍然覺得有問題，因為他們往往只有在必須執(zhí)行恢復(fù)操作時才會注意到它。

數(shù)據(jù)恢復(fù)需要訪問與鎖定卷關(guān)聯(lián)的 BitLocker 密鑰或密碼。盡管對于較少數(shù)量的計算機(jī)，跟蹤這些內(nèi)容比較簡單，但是對于數(shù)百臺計算機(jī)則困難得多。

組策略可幫助 IT 專業(yè)人員配置 BitLocker，使其僅在恢復(fù)密鑰和密碼成功備份到 Active Directory 時才能激活。通過改進(jìn) Windows Server 2008 R2 中的 Active Directory 用戶和計算機(jī)控制臺和運行 Windows 7 的計算機(jī)的遠(yuǎn)程服務(wù)器管理工具，已大大簡化了對這些恢復(fù)數(shù)據(jù)的提取。查找恢復(fù)密碼和密鑰也比使用 Windows Vista 中的工具要簡單許多。

可以從 BitLocker 恢復(fù)選項卡訪問 BitLocker 恢復(fù)密鑰和密碼，而不必下載、安裝和配置專用工具。在 Active Directory 用戶和計算機(jī)中查看計算機(jī)帳戶屬性時可看到這些信息。確保備份 BitLocker 密鑰和密碼的過程包含三個步驟：

1. 在 BitLocker 保護(hù)的系統(tǒng)的計算機(jī)帳戶組策略中，導(dǎo)航到“計算機(jī)配置”|“Windows 設(shè)置”|“管理模板”|“Windows 組件”|“BitLocker 驅(qū)動器加密”。

2. 現(xiàn)在，如果計算機(jī)只有一個存儲驅(qū)動器，請導(dǎo)航到“操作系統(tǒng)驅(qū)動器”節(jié)點并編輯“選擇如何才能恢復(fù)受 BitLocker 保護(hù)的操作系統(tǒng)驅(qū)動器”策略。如果計算機(jī)有多個存儲驅(qū)動器，則還應(yīng)轉(zhuǎn)到“固定數(shù)據(jù)驅(qū)動器”節(jié)點并編輯“選擇如何才能恢復(fù)受 BitLocker 保護(hù)的固定數(shù)據(jù)驅(qū)動器”策略。請注意，雖然可以將其配置為相同的設(shè)置，但是這些策略應(yīng)用于不同的驅(qū)動器。

3. 若要配置 BitLocker 以便在 BitLocker 保護(hù)激活時可以將密碼和密鑰備份到 Active Directory，請確保啟用以下設(shè)置：

為操作系統(tǒng)驅(qū)動器將 BitLocker 恢復(fù)信息保存到 AD DS 中（或在適當(dāng)時候為固定數(shù)據(jù)驅(qū)動器）

在為操作系統(tǒng)驅(qū)動器將恢復(fù)信息存儲到 AD DS 之前禁止啟用 BitLocker（或在適當(dāng)時候為固定數(shù)據(jù)驅(qū)動器）

僅當(dāng)應(yīng)用策略后才會備份受保護(hù)卷的密鑰和密碼。在實現(xiàn)策略前針對 BitLocker 保護(hù)配置的卷不會自動將其密鑰和密碼存儲在 Active Directory 中。必須在這些計算機(jī)上禁用并重新啟用 BitLocker，才能確保這些恢復(fù)信息存儲到 AD DS 數(shù)據(jù)庫中。

配置數(shù)據(jù)恢復(fù)代理程序

如果需要恢復(fù)受 BitLocker 保護(hù)的卷而不輸入特定計算機(jī)帳戶的唯一密碼或 PIN，還可以選擇使用另一種方法，即數(shù)據(jù)恢復(fù)代理程序 (DRA)。這是一種與用戶帳戶關(guān)聯(lián)的特殊類型的證書，可用于恢復(fù)加密數(shù)據(jù)。

BitLocker 數(shù)據(jù)恢復(fù)代理程序通過在“添加數(shù)據(jù)恢復(fù)代理程序”向?qū)Вㄎ覍⒑喴懻撘幌略撓驅(qū)В┲芯庉嫿M策略并指定 DRA 證書來進(jìn)行配置。不過，若要使用該向?qū)?，必須在可訪問的文件系統(tǒng)上提供 DRA 證書，或在 Active Directory 中發(fā)布該證書。承載 Active Directory 證書服務(wù)角色的計算機(jī)可以頒發(fā)這些證書。

必須恢復(fù)數(shù)據(jù)時，在本地安裝 DRA 證書的用戶帳戶將無法解除對受 BitLocker 保護(hù)的卷的鎖定。通過導(dǎo)航到“計算機(jī)配置”|“Windows 設(shè)置”|“安全設(shè)置”|“公鑰策略”節(jié)點，右鍵單擊“BitLocker 驅(qū)動器加密”，然后選擇“添加數(shù)據(jù)恢復(fù)代理程序”選項，可以訪問“添加數(shù)據(jù)恢復(fù)代理程序”向?qū)А?/p>

若要通過 DRA 使用 BitLocker，還必須在“選擇如何才能恢復(fù)受 BitLocker 保護(hù)的操作系統(tǒng)驅(qū)動器”策略中（適當(dāng)時候還要在固定數(shù)據(jù)驅(qū)動器策略中）選中“啟用數(shù)據(jù)恢復(fù)代理程序”復(fù)選框。可以使用 DRA 和 Active Directory 密鑰/密碼備份來恢復(fù)受 BitLocker 保護(hù)的相同卷。

DRA 恢復(fù)只能用于受 BitLocker 保護(hù)并且在執(zhí)行策略后啟用了 BitLocker 的卷。此方法相對于密碼/密鑰恢復(fù)的優(yōu)點在于使用 DRA 函數(shù)作為 BitLocker 主密鑰。這使您可以恢復(fù)在該策略影響下加密的任何受保護(hù)卷，而不必為要恢復(fù)的每個卷查找唯一密碼或密鑰。

BitLocker To Go

如今很多可移動存儲設(shè)備的平均存儲容量都接近十年前大多數(shù)小型和中型部門級別文件共享的容量。這帶來了幾個難題。

首先，當(dāng)可移動存儲設(shè)備丟失或被盜時，可能會破壞大量組織數(shù)據(jù)。更大的問題可能在于，盡管用戶丟失便攜式計算機(jī)時會很快通知 IT 部門，但是丟失可能包含數(shù) GB 組織數(shù)據(jù)的 USB 存儲設(shè)備時，他們不會感到同樣緊張。

BitLocker To Go 是隨 Windows 7 引入的一項新功能，使用該功能可以通過與 BitLocker 為操作系統(tǒng)和固定驅(qū)動器提供的方式類似的方式來保護(hù) USB 存儲設(shè)備。通過組策略，可以對組織中的計算機(jī)進(jìn)行限制，使這些計算機(jī)只能向受 BitLocker To Go 保護(hù)的可移動存儲設(shè)備寫入數(shù)據(jù)。這樣可以確保在用戶丟失某個可移動設(shè)備時，至少該設(shè)備上的數(shù)據(jù)是加密的，未授權(quán)的第三方無法輕易訪問這些數(shù)據(jù)，從而增強(qiáng)了安全性。

相關(guān)的 BitLocker To Go 策略位于“計算機(jī)配置”|“管理模板”|“Windows 組件”|“BitLocker 驅(qū)動器加密”| 組策略項目的“可移動數(shù)據(jù)驅(qū)動器”節(jié)點。這些策略包括：

控制對可移動驅(qū)動器使用 BitLocker。使用此策略可配置對可移動驅(qū)動器使用 BitLocker 的方式，包括普通用戶是否可以對可移動設(shè)備啟用或禁用該功能。例如，您可能希望特定用戶將數(shù)據(jù)存儲在已配置了保護(hù)功能的可移動設(shè)備上，但阻止這些用戶使用該功能配置其自己的設(shè)備。

拒絕對不受 BitLocker 保護(hù)的可移動驅(qū)動器的寫訪問。使用此策略可以限制用戶，使其只能向受 BitLocker To Go 加密保護(hù)的設(shè)備寫入數(shù)據(jù)。啟用此策略后，未授權(quán)人員無法輕易訪問寫入某個可移動設(shè)備的數(shù)據(jù)，因為該設(shè)備受加密保護(hù)。

選擇如何才能恢復(fù)受 BitLocker 保護(hù)的可移動驅(qū)動器。使用此策略可以配置數(shù)據(jù)恢復(fù)代理程序或在 Active Directory 中保存 BitLocker To Go 恢復(fù)信息。此策略非常重要，因為如果選擇實現(xiàn) BitLocker To Go 來保護(hù)可移動設(shè)備上的數(shù)據(jù)，則您應(yīng)具有一種策略，用于在出現(xiàn)用戶忘記其 BitLocker To Go 密碼這種不可避免的情況時恢復(fù)數(shù)據(jù)。

為某個可移動存儲設(shè)備配置了 BitLocker To Go 時，用戶必須在另一臺計算機(jī)上輸入密碼才能解除對該設(shè)備的鎖定。輸入密碼后，用戶便會在運行 Windows 7 企業(yè)版或旗艦版的計算機(jī)上擁有對該設(shè)備的讀/寫訪問權(quán)限。您還可以將 BitLocker To Go 配置為允許用戶在運行其他 Microsoft 操作系統(tǒng)版本的計算機(jī)上對受 BitLocker To Go 保護(hù)的數(shù)據(jù)進(jìn)行只讀訪問。

如果您的組織準(zhǔn)備使用 BitLocker To Go，則在丟失或忘記密碼時需要某種數(shù)據(jù)恢復(fù)策略。配置 BitLocker To Go 恢復(fù)的方式與配置 BitLocker 恢復(fù)的方式類似。在這種情況下，必須設(shè)置“計算機(jī)配置”|“Windows 設(shè)置”|“管理模板”|“Windows 組件”|“BitLocker 驅(qū)動器加密”|“可移動數(shù)據(jù)驅(qū)動器”|“選擇如何才能恢復(fù)受 BitLocke 保護(hù)的驅(qū)動器”策略。

可以將 BitLocker To Go 密碼備份到 Active Directory 中，有權(quán)訪問 Active Directory 用戶和計算機(jī)控制臺的管理員和最初用于保護(hù)設(shè)備的計算機(jī)帳戶可以在其中使用這些密碼。還可以配置策略以便使用 DRA 保護(hù)數(shù)據(jù)，從而使分配了 DRA 證書的用戶可以從驅(qū)動器恢復(fù)數(shù)據(jù)，而無需恢復(fù)各個密碼。

配置 AppLocker

不存在可以捕獲所有惡意程序的反惡意軟件實用工具。AppLocker 可以多添加一層保護(hù)。使用此技術(shù)可以創(chuàng)建一個已知安全的應(yīng)用程序列表，并限制不在該列表中的應(yīng)用程序的執(zhí)行。雖然這種保護(hù)計算機(jī)的方法對定期運行不常用的新軟件的人來說有點麻煩，但大多數(shù)組織都采用逐步進(jìn)行應(yīng)用程序更改的標(biāo)準(zhǔn)系統(tǒng)環(huán)境，因此只允許執(zhí)行顯示綠燈的應(yīng)用程序更加實用。

可以擴(kuò)展這組 AppLocker 授權(quán)規(guī)則，使其不僅包含可執(zhí)行文件，還包含腳本、DLL 和 MSI 格式的文件。除非通過規(guī)則對可執(zhí)行文件、腳本、DLL 或安裝程序授權(quán)，否則不會執(zhí)行這些項目。

AppLocker 采用一個自動為授權(quán)應(yīng)用程序創(chuàng)建規(guī)則列表的向?qū)?，從而簡化了這一過程。這是 AppLocker 相對于軟件限制策略（以前的 Windows 版本中具有類似核心功能的一項技術(shù)）的一個重大改進(jìn)。

AppLocker 還可以使用通過文件發(fā)行者數(shù)字簽名標(biāo)識文件的規(guī)則，因此您可以創(chuàng)建包含文件的當(dāng)前和未來版本的規(guī)則。這樣管理員在應(yīng)用軟件更新后就不必更新當(dāng)前規(guī)則了。修改后的可執(zhí)行文件、腳本、安裝程序或 DLL 仍受原始規(guī)則約束。使用軟件約束策略時不可能做到這一點，因為這些策略會強(qiáng)制管理員在軟件配置發(fā)生更改時更新規(guī)則。

若要創(chuàng)建可以應(yīng)用到其他計算機(jī)的 AppLocker 策略規(guī)則的引用集，請執(zhí)行以下步驟：

1.     使用要在環(huán)境中執(zhí)行的所有應(yīng)用程序配置運行 Windows 7 的引用計算機(jī)。

2.     使用具有本地管理員權(quán)限的用戶帳戶登錄該計算機(jī)。

3.     通過從“搜索程序和文件”文本框中運行 Gpedit.msc 來啟動“本地組策略編輯器”。

4.     導(dǎo)航到“計算機(jī)配置”|“Windows 設(shè)置”|“安全設(shè)置”|“應(yīng)用程序控制策略”|“AppLocker”| 本地 GPO 的“可執(zhí)行規(guī)則”。右鍵單擊“可執(zhí)行規(guī)則”節(jié)點，然后單擊自動生成新規(guī)則。這將啟動自動生成可執(zhí)行規(guī)則向?qū)А?/p>

5.     在標(biāo)有“包含要分析的文件的文件夾”的文本框中，輸入 c:\。在標(biāo)有“命名以識別此規(guī)則集”的文本框中，輸入“所有可執(zhí)行文件”，然后單擊“下一步”。

6.     在“規(guī)則首選項”頁上，選擇“為經(jīng)過數(shù)字簽名的文件創(chuàng)建發(fā)布者規(guī)則”，如果文件未經(jīng)過簽名，則還需選擇“文件哈希: 規(guī)則是使用文件哈希創(chuàng)建的”。確保未選中選項“通過對類似文件進(jìn)行分組來減少規(guī)則數(shù)”，然后單擊“下一步”。

7.     規(guī)則生成需要一段時間。生成規(guī)則后，單擊“創(chuàng)建”。當(dāng)提示是否要創(chuàng)建默認(rèn)規(guī)則時，單擊“否”。不必創(chuàng)建默認(rèn)規(guī)則，因為通過為引用計算機(jī)上的所有可執(zhí)行文件創(chuàng)建規(guī)則，您已經(jīng)創(chuàng)建了等效的更全面的默認(rèn)規(guī)則。

8.     如果計算機(jī)將應(yīng)用程序存儲在多個卷上，請重復(fù)步驟 5 到 7，運行自動生成可執(zhí)行規(guī)則向?qū)r輸入相應(yīng)的驅(qū)動器號。

9.     生成規(guī)則后，您便可以采用 XML 格式導(dǎo)出允許的應(yīng)用程序列表，方法是右鍵單擊 AppLocker 節(jié)點，然后單擊“導(dǎo)出策略”。還可以將這些規(guī)則導(dǎo)入其他組策略對象，如應(yīng)用于您組織中的便攜式計算機(jī)的那些對象。通過策略應(yīng)用這些規(guī)則，可以限制應(yīng)用程序的執(zhí)行，從而僅允許執(zhí)行引用計算機(jī)上存在的應(yīng)用程序。

10.  配置 AppLocker 時，需要確保通過服務(wù)控制臺啟用應(yīng)用程序標(biāo)識服務(wù)，并確保通過策略執(zhí)行可強(qiáng)制執(zhí)行規(guī)則。如果禁用此服務(wù)，則不會應(yīng)用 AppLocker 策略。雖然可以在組策略中配置服務(wù)啟動狀態(tài)，但是您必須限制哪些用戶具有本地管理員訪問權(quán)限，從而使其無法繞過 AppLocker。通過右鍵單擊“計算機(jī)配置”|“Windows 設(shè)置”|“安全設(shè)置”|“應(yīng)用程序控制策略”|“AppLocker”節(jié)點，然后單擊“策略”，可啟用可執(zhí)行規(guī)則的強(qiáng)制執(zhí)行。啟用“可執(zhí)行規(guī)則”下的“已配置”選項，然后確保選擇了“強(qiáng)制規(guī)則”。

希望這可幫助您學(xué)習(xí)如何實現(xiàn)和恢復(fù) BitLocker、使用 BitLocker To Go 以及配置 AppLocker 策略。使用這些技術(shù)以及常規(guī)維護(hù)任務(wù)（如確保保持計算機(jī)使用最新的更新、防病毒軟件和反間諜軟件程序）將增強(qiáng)您組織中運行 Windows 7 的計算機(jī)的安全性。

本文地址

本文來源：微軟TechNet中文站

【編輯推薦】

1. Windows 7安全機(jī)制十大革新
2. Windows 7安全模式使用技巧：修復(fù)系統(tǒng)故障
3. 深入討論如何保護(hù)Windows 7安全
4. 企業(yè)級Windows 7安全性能分析