奧林托馬斯

有幾個明顯的基本步驟可以確保您的計算機安全：保持最新的操作系統(tǒng)和計算機應(yīng)用程序更新，保持反間諜軟件和防病毒軟件為最新，使用復(fù)雜的密碼并定期更改它們。 在本文中it運維技術(shù)，我將介紹一些基本策略，幫助您與 7 一起度過美好的一天。

準備

7 中最顯著的安全改進之一，這是在 Vista 中首次引入的硬盤加密和引導(dǎo)環(huán)境完整性維護技術(shù)，并最終包含在 7 企業(yè)版中。 技術(shù)可防止筆記本電腦在關(guān)閉時被盜或丟失。 用戶無法從丟失的筆記本電腦硬盤驅(qū)動器中恢復(fù)數(shù)據(jù)。

但是，它也帶來了一個問題，就是在顯示硬件問題上，鎖存數(shù)據(jù)量的恢復(fù)問題。 因此，雖然提供了良好的維護，但許多 IT 專業(yè)人員發(fā)現(xiàn)它存在問題，因為他們經(jīng)常注意到它并且只需要執(zhí)行恢復(fù)操作。

數(shù)據(jù)恢復(fù)需要與卷相關(guān)的訪問密鑰或組合鎖。 雖然跟蹤少數(shù)計算機的內(nèi)容很容易，但對數(shù)百臺計算機來說要困難得多。

組策略幫助 IT 專業(yè)人員配置它們，以便它們僅在恢復(fù)密鑰和密碼備份到時激活。 改進 2008 R2 用戶的遠程服務(wù)管理工具計算機和運行 7 的計算機大大簡化了這些恢復(fù)數(shù)據(jù)的提取。 查找恢復(fù)密碼和密鑰比在 Vista 中使用工具容易得多。

您可以從“恢復(fù)”選項卡中恢復(fù)密鑰和密碼，而無需下載、安裝和配置專用工具。 在用戶和計算機中查看計算機帳戶屬性時可以看到此信息。 該過程確保備份密鑰和密碼，包括三個步驟：

1.在計算機帳戶的組策略系統(tǒng)維護計算機導(dǎo)航系統(tǒng)配置| 設(shè)置 | 管理組件模板 | | 驅(qū)動器加密。

2. 現(xiàn)在，如果一臺計算機只需要一個存儲驅(qū)動器，請瀏覽并編輯操作系統(tǒng)驅(qū)動程序節(jié)點如何恢復(fù)驅(qū)動操作系統(tǒng)驅(qū)動器的策略。 如果計算機有多個存儲驅(qū)動器，還應(yīng)轉(zhuǎn)到固定數(shù)據(jù)驅(qū)動器節(jié)點并編輯如何通過策略恢復(fù)固定數(shù)據(jù)驅(qū)動器。 請注意，雖然可以配置相同的設(shè)置，但這些策略適用于不同的驅(qū)動器。

3. 如果您想在保持激活時配置備份您的密碼和密鑰 ，請確保啟用以下設(shè)置。

將恢復(fù)信息保存在 AD DS OS 驅(qū)動器上（或在適當(dāng)?shù)臅r候修復(fù)數(shù)據(jù)驅(qū)動器）

（或適當(dāng)時間的固定數(shù)據(jù)驅(qū)動器）是操作系統(tǒng)驅(qū)動器存儲恢復(fù)信息 AD DS 停止的地方。

保留卷中的密鑰和密碼將僅通過應(yīng)用該策略來備份。 完成策略不會自動將密鑰和密碼存儲在維護的配置卷中。 要在這些計算機上禁用和啟用以確?；謴?fù)的信息存儲在 AD DS 數(shù)據(jù)庫中。

配置數(shù)據(jù)恢復(fù)代理

如果需要在無法訪問特定計算機帳戶的情況下恢復(fù)為單個密碼或 PIN，則另一種選擇是數(shù)據(jù)恢復(fù)代理 (DRA)。 這是一種與用戶帳戶關(guān)聯(lián)的特殊類型的證書，可用于恢復(fù)加密數(shù)據(jù)。

Data Agent，添加Data Agent指南（我將簡要討論該指南）后，編輯組策略并指定停止配置DRA證書。 但是，要使用指南，必須頒發(fā)提供可訪問文件系統(tǒng)或計算機的 DRA 證書中的證書。 這些證書可以通過承載證書服務(wù)角色來頒發(fā)。

當(dāng)需要恢復(fù)數(shù)據(jù)時，本地設(shè)備上擁有DRA證書的用戶賬號將無法開啟hold 鎖。 計算機導(dǎo)航配置集安全設(shè)置| | | 公鑰策略節(jié)點后，加密驅(qū)動器it運維技術(shù)，右擊，然后選擇添加數(shù)據(jù)恢復(fù)代理選項，進入添加數(shù)據(jù)恢復(fù)代理指南。

如果要通過 DRA 使用，則必須選中 Data Agent 復(fù)選框以選擇如何恢復(fù)維護的操作系統(tǒng)驅(qū)動策略（適當(dāng)時固定數(shù)據(jù)驅(qū)動策略），您可以使用 DRA 和密鑰/密碼備份來恢復(fù)尺寸。

DRA 恢復(fù)只能用于策略執(zhí)行后啟用的維護啟用卷。 使用此方法進行密碼/密鑰恢復(fù)是使用 DRA 函數(shù)作為主密鑰。 這使您能夠恢復(fù)仍受加密策略影響的任何卷，而不是為要恢復(fù)的每個卷查找單個密碼或密鑰。

移動設(shè)備信息安全控制

許多移動存儲設(shè)備的典型存儲容量接近十年前大多數(shù)中小型扇區(qū)文件共享的容量，這提出了一些難題。

首先，當(dāng)可移動存儲設(shè)備丟失或被盜時，它會破壞大量組織數(shù)據(jù)。 一個更大的問題可能是，雖然用戶丟失筆記本電腦的速度很快，但他們會很快通知 IT 部門。 在組織具有千兆字節(jié)數(shù)據(jù)的 USB 存儲設(shè)備時，他們不會感到同樣的恐慌。

去了7的新功能。這個功能可以通過類似于組策略的方式來維護，將操作系統(tǒng)和硬盤提供給USB存儲設(shè)備，之后可以停止組織中的計算機，以便這些計算機可以僅將數(shù)據(jù)寫入可移動存儲設(shè)備。 這保證了當(dāng)用戶丟失可移動設(shè)備時，至少設(shè)備上的數(shù)據(jù)是加密的，未經(jīng)授權(quán)的第三方無法隨意訪問這些數(shù)據(jù)，從而增加了安全性。

前往相關(guān)策略管理 | 計算機配置模板 | 組件 | 驅(qū)動器加密 | 可以驅(qū)動數(shù)據(jù)的 Group 節(jié)點。 這些策略包括：

控制活動傳輸采用。 此策略可用于配置可移動驅(qū)動器（包括移動設(shè)備）的使用，普通用戶可以在其中啟用或禁用功能。 例如，您可能需要特定用戶配置 Keep 功能以將數(shù)據(jù)存儲在他們的移動設(shè)備上，但阻止這些用戶使用該功能配置他們自己的設(shè)備。

絕對不會維護對可移動驅(qū)動器的寫訪問。 使用此策略可以限制用戶，使他們只能寫入由設(shè)備加密和維護的數(shù)據(jù)。 啟用此策略后，未經(jīng)授權(quán)的人員無法訪問移動設(shè)備數(shù)據(jù)，因為設(shè)備已被加密和維護。

保留如何恢復(fù)可移動驅(qū)動器的選擇。 此策略可用于配置數(shù)據(jù)恢復(fù)代理或保留 To Go 恢復(fù)信息。此策略非常重要，因為如果您選擇實施以在可移動設(shè)備上維護數(shù)據(jù)，則應(yīng)該有一個策略來在用戶忘記他們的 To 時恢復(fù)數(shù)據(jù)去密碼。

當(dāng)要配置可移動存儲設(shè)備時，用戶必須在另一臺計算機上輸入密碼才能解鎖設(shè)備。 輸入密碼后，用戶將有機會獲得對 7 企業(yè)版或計算機設(shè)備的讀寫權(quán)限。 您還可以配置 Go 以允許用戶停止對來自其他 操作系統(tǒng)版本的計算機數(shù)據(jù)的只讀訪問。

如果您的組織可以使用 To Go，則您需要一些數(shù)據(jù)恢復(fù)策略。 當(dāng)您丟失或忘記密碼時，配置 To Go 恢復(fù)與配置恢復(fù)的方式類似。 在這種情況下，必須設(shè)置計算機配置管理模板設(shè)置 | | | 組件 | | 可移動硬盤加密數(shù)據(jù)驅(qū)動器 | 選擇如何恢復(fù)驅(qū)動器修復(fù)策略。

更改密碼可以備份活動目錄。 它可以訪問用戶和計算機控制臺的管理員，而計算機帳戶原本是用來維護設(shè)備的，我們可以使用這些密碼，還可以配置策略來使用DRA維護數(shù)據(jù)，讓用戶指定DRA證書來恢復(fù)數(shù)據(jù)從驅(qū)動程序，無需恢復(fù)所有密碼。

配置

沒有反惡意軟件工具可以捕獲所有惡意應(yīng)用程序。 添加另一層維護。 使用此技術(shù)，您可以創(chuàng)建已知安全應(yīng)用程序的列表并限制不在列表中的應(yīng)用程序的執(zhí)行。 雖然以這種方式維護計算機對于經(jīng)常運行新軟件的人來說有點困難，但大多數(shù)組織采用逐漸停止應(yīng)用程序更改的標準系統(tǒng)環(huán)境，因此他們只允許應(yīng)用程序亮起綠燈。

可以合并這套授權(quán)規(guī)則，使其不僅是一個可執(zhí)行文件，還可以是腳本文件、DLL、MSI格式。 除非通過可執(zhí)行文件、腳本、DLL 或設(shè)備程序的授權(quán)規(guī)則，否則不會執(zhí)行這些項目。

通過自動創(chuàng)建授權(quán)應(yīng)用程序規(guī)則列表來簡化流程的指南。 這是對軟件限制策略的重大改進，它在以前版本中具有與 類似的功能。

文件發(fā)布規(guī)則也可用于識別使用數(shù)字簽名的文件，因此您可以創(chuàng)建包含文件當(dāng)前和未來版本的規(guī)則，并且當(dāng)應(yīng)用程序更新、修改可執(zhí)行文件、腳本、程序或設(shè)備，DLL 仍受原始規(guī)則約束。 這在使用軟件限制策略時是不可能的，因為這些策略會強制管理員在軟件配置更改時更新規(guī)則。

要創(chuàng)建一組可應(yīng)用于其他計算機的規(guī)則和策略，請按照以下步驟操作：

1.執(zhí)行環(huán)境中所有應(yīng)用程序的配置配置為調(diào)用計算機的操作7。

2. 使用具有本地管理員權(quán)限的用戶帳戶登錄計算機。

3. 本地組策略編輯器從搜索程序運行.msc 和文件文本框開始。

4.導(dǎo)航到計算機配置設(shè)置安全設(shè)置| | | 應(yīng)用程序控制策略 | | 本地 GPO 執(zhí)行規(guī)則。 右鍵單擊 Rules節(jié)點，然后單擊Auto- new rules，這將開始自動生成可執(zhí)行的。

5. 在標記為 Files to Parse 的文本框中輸入 C。 在標有 ID 的文本框中，鍵入 All ，然后單擊 Next。

6. 在“規(guī)則首選項”頁面上，為數(shù)字簽名文件選擇發(fā)布者規(guī)則。 如果文件未簽名，則需要文件哈希：規(guī)則是從文件哈希創(chuàng)建的。 確保未選中通過停止相似文件分組來減少規(guī)則數(shù)量選項，然后單擊下一步。

7. 隨著時間的推移，規(guī)則會產(chǎn)生需求。 生成規(guī)則后，單擊“創(chuàng)建”。 當(dāng)提示創(chuàng)建默認規(guī)則時單擊否。 您不需要創(chuàng)建默認規(guī)則。 為計算機上的所有可執(zhí)行文件創(chuàng)建規(guī)則后，您就創(chuàng)建了一個等效的、更全面的默認規(guī)則。

8、如果計算機將應(yīng)用程序存儲在多個卷上，請重復(fù)步驟5至7自動生成可執(zhí)行規(guī)則，并在引導(dǎo)機上輸入相應(yīng)的盤符。

9. 規(guī)則生成后，可以將允許的應(yīng)用列表以XML格式導(dǎo)出。 關(guān)鍵是右鍵單擊該節(jié)點并單擊導(dǎo)出策略。 也可以為其他戰(zhàn)略目標組導(dǎo)入這些規(guī)則，例如那些應(yīng)該在您的組織中的筆記本電腦上使用的規(guī)則。 可以通過策略來應(yīng)用這些規(guī)則來限制應(yīng)用程序的執(zhí)行，從而只允許在要調(diào)用的計算機上執(zhí)行應(yīng)用程序。

10、在配置的時候，我們要保證通過服務(wù)控制臺開啟了應(yīng)用識別服務(wù)，保證規(guī)則可以通過策略強制執(zhí)行。 如果此服務(wù)被禁用，該策略將不再適用，但您可以在組策略中配置服務(wù)啟動狀態(tài)，并且您必須限制用戶具有本地管理員訪問權(quán)限，這樣他們就無法繞過它。 右鍵單擊計算機配置 | | 安全設(shè)置應(yīng)用程序控制策略 | | 節(jié)點并單擊策略啟用規(guī)則執(zhí)行。 在使配置選項可執(zhí)行的規(guī)則下，確保選中強制規(guī)則。

我希望這將幫助您了解如何完成和還原、使用 To Go 以及配置策略。 這些技術(shù)的使用和例行維護任務(wù)（例如使用防病毒和反保密軟件程序使計算機保持最新狀態(tài)）將提高組織中運行 7 的計算機的安全性。