︿
Top

前言

以下為 6292A - Installing and Configuring Windows7 Client 教育訓練課程時,第六章-Windows7 桌面安全性 (Module 6: Securing Windows 7 Desktops) 的筆記。

Action Center

Action Center 設定要不要開防火牆,偵測有沒有裝防毒軟體。



Local Security Policy (本機安全性原則)

DC 的 GPO 設定存放於 \Sysvol 這個 Share Folder,所以 Client 連入網路後去 下載 GPO 後再套用,本機的 GPO 存放於 %systemroot%\System32\GroupPolicy 內,所以沒連上網路也會執行。



Group Policy

Policy 執行順序 (項目 2 ~ 4 GPO 為從 AD 獲得):
1. Local Policy 存放於本機
2. Site GPO
3. Domain GPO
4. OU GPO

可針對不同的本機使用者設定不同的 Group Policy
MMC > File > Add/Remove Snap-in > Group Policy Object > Add > Browse > User

EFS

  • EFS 針對檔案進行保護 (BitLocker 針對 Volume 進行保護)
  • EFS 打開編輯或存檔為採用 Transparent 方式,表示過程中不用在做任何動作
  • EFS 執行環境是 Public/Private 及 憑證

第一次使用 EFS 時系統會向 CA 申請憑證,若失敗則會自行產生 Self-Signed Certificate (有效期 100 年),如何查看使用者個人憑證資訊?
mmc > file > add/remove snap-in > certificate > add > Personal > Certificates

如何避免使用者利用 EFS 加密檔案後該如何解密呢?

1. 檔案經過 EFS 加密後,該檔案會多了二個欄位 (檔案 > Advanced > EFS Detail)
2. DDF 誰可以存取
3. DRA (Data Recovery Agent),必須預先指定 (日後才有辦法解開!!),不然就是要產生 DRA 之後騙使用者打開 EFS 加密檔案,這樣系統才會把 DRA 塞入

如何預先指定 DRA?

1. 管理者登入 > cipher /r:admin //產生 cer 及 pfx 檔案 (admin 為檔案名稱)
2. 開啟 .pfx 匯入 Private Key
3. gpedit.msc //把剛才產生的 Administrator 的 CER 匯入 (Local Group Policy)
 > Computer Configure
 > Windows Settings
 > Security Settings
 > Public Key Policy
 > EFS
 > 右鍵 > Add Data Recovery Agent
 > 選 .cer
4. 使用者 EFS 加密後 DRA 日後可以搶回來



BitLocker

安裝時的 100MB 就是用來存放 BitLocker 資料用的,所以若不用 BitLocker 可以把這個 100MB 拿掉 (這 100mb 只針對開機)。
  • 保護 Volume
  • 即使 NB 被偷其硬碟資料無法被讀取
  • BitLocker To Go 針對隨身裝置 例如 USB

設定 F: 套用 BitLocker 會先設定密碼 (此為以後要進入 F 要先輸入密碼),會有一組 Recovery Key 48 位數字 (用來當上述密碼忘記時),加密 Key 可存放於下列裝置 (但有損壞或遺失的風險)。
  • 主機板上的 TPM
  • 或 USB

System integrity verification 例如設定好 BitLocker 之後又去改了 BIOS 之後會因為偵測到與當初不同造成無法開機 (加密 開機磁碟 常常會有這種狀況),常常發生的原因如下:
  • BIOS 變更
  • Kernel Driver
  • 安裝 Service Pack
  • TPM 模組或 USB 損壞

GPO 套用 BitLocker 的設定路徑
Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption



AppLocker

AppLocker 從 Windows 7 才有的新功能
  • 取代原有的 Software Restriction Policy (軟體限制原則)
  • 預設的三個 Rule 不要重會出問題
  • 路徑為 GPO > Computer Configuration > Windows Settings > Security Settings > Application Control Policies > AppLocker

如何設定 AppLocker 才會動? 下列三項達成 AppLocker 才會運作
  • 設 Rule
  • 啟用 GPO > AppLocker > 右鍵 > 內容 > 勾選第一個 Configure(Executable Rule) 選項才會 Enable
  • 啟用服務 Application Identity

當 Software Restriction Policy 與 AppLocker 衝突時?
  • 例如 SRP 說可執行 Skype 而 AppLocker 說不行時怎辨? 最後結果以 AppLocker 為準



UAC

  • 為 Windows 7 內建的功能,只要執行的應用程式會碰觸到 "系統設定" 就會發生效用
  • 對象 Standard User: 詢問帳號及密碼
  • 對象 Administator: 只會問 是/否 繼續

UAC Notification Settings

  • 第二項畫面 變 灰
  • 第三項畫面 不會 變 灰

主要差別是第三項畫面不會變灰,選第二項當 Remote Desktop 時畫面變灰時會出問題



Firewall

  • 本機
  • Packet Filter
  • 只對 "進入(Inbound)" 的封包做篩選

Firewall with Advanced Security (WFAS)
  • 可對 "進入 / 連出" 的封包做篩選
  • 設定 IPSec (設定後可查看狀態)



IE 8

  • 內建於 Win7
  • 無法降版本,無法移除 (因為跟檔案總管綁一起,移掉會有問題)
  • 支援相容性 (IE7)
  • InPrivate Browsing 這台電腦不會留下你個人的足跡,開啟 IE 後 URL 旁邊會有 InPrivate 表示不會留足跡
  • InPrivate Filtering,SmartScreen 連到某個網站時會去問 Microsoft SmartScreen 這個網站有沒有通報釣魚網站或其它問題 (連線速度較慢)

ActiveX 可分為
  • Per-User
  • Per-Site

如何設定 IE8 更安全?
工具 > 網路網路選項 > 進階 > Reset 回預設值



Defender

  • 內建用來檢查惡意軟體
  • windows defender 即可打開
  • 其更新檔為透過 Windows Update 來更新

此套效果普通,建議使用 Microsoft Security Essentials



講師 XP Mode 研討會簡報

文章標籤: