奧林托馬斯

有幾個(gè)明顯的基本步驟可以確保您的計(jì)算機(jī)安全：保持最新的操作系統(tǒng)和計(jì)算機(jī)應(yīng)用程序更新，保持反間諜軟件和防病毒軟件為最新，使用復(fù)雜的密碼并定期更改它們。 在本文中it運(yùn)維技術(shù)，我將介紹一些基本策略，幫助您與 7 一起度過美好的一天。

準(zhǔn)備

7 中最顯著的安全改進(jìn)之一，這是在 Vista 中首次引入的硬盤加密和引導(dǎo)環(huán)境完整性維護(hù)技術(shù)，并最終包含在 7 企業(yè)版中。 技術(shù)可防止筆記本電腦在關(guān)閉時(shí)被盜或丟失。 用戶無(wú)法從丟失的筆記本電腦硬盤驅(qū)動(dòng)器中恢復(fù)數(shù)據(jù)。

但是，它也帶來(lái)了一個(gè)問題，就是在顯示硬件問題上，鎖存數(shù)據(jù)量的恢復(fù)問題。 因此，雖然提供了良好的維護(hù)，但許多 IT 專業(yè)人員發(fā)現(xiàn)它存在問題，因?yàn)樗麄兘?jīng)常注意到它并且只需要執(zhí)行恢復(fù)操作。

數(shù)據(jù)恢復(fù)需要與卷相關(guān)的訪問密鑰或組合鎖。 雖然跟蹤少數(shù)計(jì)算機(jī)的內(nèi)容很容易，但對(duì)數(shù)百臺(tái)計(jì)算機(jī)來(lái)說(shuō)要困難得多。

組策略幫助 IT 專業(yè)人員配置它們，以便它們僅在恢復(fù)密鑰和密碼備份到時(shí)激活。 改進(jìn) 2008 R2 用戶的遠(yuǎn)程服務(wù)管理工具計(jì)算機(jī)和運(yùn)行 7 的計(jì)算機(jī)大大簡(jiǎn)化了這些恢復(fù)數(shù)據(jù)的提取。 查找恢復(fù)密碼和密鑰比在 Vista 中使用工具容易得多。

您可以從“恢復(fù)”選項(xiàng)卡中恢復(fù)密鑰和密碼，而無(wú)需下載、安裝和配置專用工具。 在用戶和計(jì)算機(jī)中查看計(jì)算機(jī)帳戶屬性時(shí)可以看到此信息。 該過程確保備份密鑰和密碼，包括三個(gè)步驟：

1.在計(jì)算機(jī)帳戶的組策略系統(tǒng)維護(hù)計(jì)算機(jī)導(dǎo)航系統(tǒng)配置| 設(shè)置 | 管理組件模板 | | 驅(qū)動(dòng)器加密。

2. 現(xiàn)在，如果一臺(tái)計(jì)算機(jī)只需要一個(gè)存儲(chǔ)驅(qū)動(dòng)器，請(qǐng)瀏覽并編輯操作系統(tǒng)驅(qū)動(dòng)程序節(jié)點(diǎn)如何恢復(fù)驅(qū)動(dòng)操作系統(tǒng)驅(qū)動(dòng)器的策略。 如果計(jì)算機(jī)有多個(gè)存儲(chǔ)驅(qū)動(dòng)器，還應(yīng)轉(zhuǎn)到固定數(shù)據(jù)驅(qū)動(dòng)器節(jié)點(diǎn)并編輯如何通過策略恢復(fù)固定數(shù)據(jù)驅(qū)動(dòng)器。 請(qǐng)注意，雖然可以配置相同的設(shè)置，但這些策略適用于不同的驅(qū)動(dòng)器。

3. 如果您想在保持激活時(shí)配置備份您的密碼和密鑰 ，請(qǐng)確保啟用以下設(shè)置。

將恢復(fù)信息保存在 AD DS OS 驅(qū)動(dòng)器上（或在適當(dāng)?shù)臅r(shí)候修復(fù)數(shù)據(jù)驅(qū)動(dòng)器）

（或適當(dāng)時(shí)間的固定數(shù)據(jù)驅(qū)動(dòng)器）是操作系統(tǒng)驅(qū)動(dòng)器存儲(chǔ)恢復(fù)信息 AD DS 停止的地方。

保留卷中的密鑰和密碼將僅通過應(yīng)用該策略來(lái)備份。 完成策略不會(huì)自動(dòng)將密鑰和密碼存儲(chǔ)在維護(hù)的配置卷中。 要在這些計(jì)算機(jī)上禁用和啟用以確保恢復(fù)的信息存儲(chǔ)在 AD DS 數(shù)據(jù)庫(kù)中。

配置數(shù)據(jù)恢復(fù)代理

如果需要在無(wú)法訪問特定計(jì)算機(jī)帳戶的情況下恢復(fù)為單個(gè)密碼或 PIN，則另一種選擇是數(shù)據(jù)恢復(fù)代理 (DRA)。 這是一種與用戶帳戶關(guān)聯(lián)的特殊類型的證書，可用于恢復(fù)加密數(shù)據(jù)。

Data Agent，添加Data Agent指南（我將簡(jiǎn)要討論該指南）后，編輯組策略并指定停止配置DRA證書。 但是，要使用指南，必須頒發(fā)提供可訪問文件系統(tǒng)或計(jì)算機(jī)的 DRA 證書中的證書。 這些證書可以通過承載證書服務(wù)角色來(lái)頒發(fā)。

當(dāng)需要恢復(fù)數(shù)據(jù)時(shí)，本地設(shè)備上擁有DRA證書的用戶賬號(hào)將無(wú)法開啟hold 鎖。 計(jì)算機(jī)導(dǎo)航配置集安全設(shè)置| | | 公鑰策略節(jié)點(diǎn)后，加密驅(qū)動(dòng)器it運(yùn)維技術(shù)，右擊，然后選擇添加數(shù)據(jù)恢復(fù)代理選項(xiàng)，進(jìn)入添加數(shù)據(jù)恢復(fù)代理指南。

如果要通過 DRA 使用，則必須選中 Data Agent 復(fù)選框以選擇如何恢復(fù)維護(hù)的操作系統(tǒng)驅(qū)動(dòng)策略（適當(dāng)時(shí)固定數(shù)據(jù)驅(qū)動(dòng)策略），您可以使用 DRA 和密鑰/密碼備份來(lái)恢復(fù)尺寸。

DRA 恢復(fù)只能用于策略執(zhí)行后啟用的維護(hù)啟用卷。 使用此方法進(jìn)行密碼/密鑰恢復(fù)是使用 DRA 函數(shù)作為主密鑰。 這使您能夠恢復(fù)仍受加密策略影響的任何卷，而不是為要恢復(fù)的每個(gè)卷查找單個(gè)密碼或密鑰。

移動(dòng)設(shè)備信息安全控制

許多移動(dòng)存儲(chǔ)設(shè)備的典型存儲(chǔ)容量接近十年前大多數(shù)中小型扇區(qū)文件共享的容量，這提出了一些難題。

首先，當(dāng)可移動(dòng)存儲(chǔ)設(shè)備丟失或被盜時(shí)，它會(huì)破壞大量組織數(shù)據(jù)。 一個(gè)更大的問題可能是，雖然用戶丟失筆記本電腦的速度很快，但他們會(huì)很快通知 IT 部門。 在組織具有千兆字節(jié)數(shù)據(jù)的 USB 存儲(chǔ)設(shè)備時(shí)，他們不會(huì)感到同樣的恐慌。

去了7的新功能。這個(gè)功能可以通過類似于組策略的方式來(lái)維護(hù)，將操作系統(tǒng)和硬盤提供給USB存儲(chǔ)設(shè)備，之后可以停止組織中的計(jì)算機(jī)，以便這些計(jì)算機(jī)可以僅將數(shù)據(jù)寫入可移動(dòng)存儲(chǔ)設(shè)備。 這保證了當(dāng)用戶丟失可移動(dòng)設(shè)備時(shí)，至少設(shè)備上的數(shù)據(jù)是加密的，未經(jīng)授權(quán)的第三方無(wú)法隨意訪問這些數(shù)據(jù)，從而增加了安全性。

前往相關(guān)策略管理 | 計(jì)算機(jī)配置模板 | 組件 | 驅(qū)動(dòng)器加密 | 可以驅(qū)動(dòng)數(shù)據(jù)的 Group 節(jié)點(diǎn)。 這些策略包括：

控制活動(dòng)傳輸采用。 此策略可用于配置可移動(dòng)驅(qū)動(dòng)器（包括移動(dòng)設(shè)備）的使用，普通用戶可以在其中啟用或禁用功能。 例如，您可能需要特定用戶配置 Keep 功能以將數(shù)據(jù)存儲(chǔ)在他們的移動(dòng)設(shè)備上，但阻止這些用戶使用該功能配置他們自己的設(shè)備。

絕對(duì)不會(huì)維護(hù)對(duì)可移動(dòng)驅(qū)動(dòng)器的寫訪問。 使用此策略可以限制用戶，使他們只能寫入由設(shè)備加密和維護(hù)的數(shù)據(jù)。 啟用此策略后，未經(jīng)授權(quán)的人員無(wú)法訪問移動(dòng)設(shè)備數(shù)據(jù)，因?yàn)樵O(shè)備已被加密和維護(hù)。

保留如何恢復(fù)可移動(dòng)驅(qū)動(dòng)器的選擇。 此策略可用于配置數(shù)據(jù)恢復(fù)代理或保留 To Go 恢復(fù)信息。此策略非常重要，因?yàn)槿绻x擇實(shí)施以在可移動(dòng)設(shè)備上維護(hù)數(shù)據(jù)，則應(yīng)該有一個(gè)策略來(lái)在用戶忘記他們的 To 時(shí)恢復(fù)數(shù)據(jù)去密碼。

當(dāng)要配置可移動(dòng)存儲(chǔ)設(shè)備時(shí)，用戶必須在另一臺(tái)計(jì)算機(jī)上輸入密碼才能解鎖設(shè)備。 輸入密碼后，用戶將有機(jī)會(huì)獲得對(duì) 7 企業(yè)版或計(jì)算機(jī)設(shè)備的讀寫權(quán)限。 您還可以配置 Go 以允許用戶停止對(duì)來(lái)自其他 操作系統(tǒng)版本的計(jì)算機(jī)數(shù)據(jù)的只讀訪問。

如果您的組織可以使用 To Go，則您需要一些數(shù)據(jù)恢復(fù)策略。 當(dāng)您丟失或忘記密碼時(shí)，配置 To Go 恢復(fù)與配置恢復(fù)的方式類似。 在這種情況下，必須設(shè)置計(jì)算機(jī)配置管理模板設(shè)置 | | | 組件 | | 可移動(dòng)硬盤加密數(shù)據(jù)驅(qū)動(dòng)器 | 選擇如何恢復(fù)驅(qū)動(dòng)器修復(fù)策略。

更改密碼可以備份活動(dòng)目錄。 它可以訪問用戶和計(jì)算機(jī)控制臺(tái)的管理員，而計(jì)算機(jī)帳戶原本是用來(lái)維護(hù)設(shè)備的，我們可以使用這些密碼，還可以配置策略來(lái)使用DRA維護(hù)數(shù)據(jù)，讓用戶指定DRA證書來(lái)恢復(fù)數(shù)據(jù)從驅(qū)動(dòng)程序，無(wú)需恢復(fù)所有密碼。

配置

沒有反惡意軟件工具可以捕獲所有惡意應(yīng)用程序。 添加另一層維護(hù)。 使用此技術(shù)，您可以創(chuàng)建已知安全應(yīng)用程序的列表并限制不在列表中的應(yīng)用程序的執(zhí)行。 雖然以這種方式維護(hù)計(jì)算機(jī)對(duì)于經(jīng)常運(yùn)行新軟件的人來(lái)說(shuō)有點(diǎn)困難，但大多數(shù)組織采用逐漸停止應(yīng)用程序更改的標(biāo)準(zhǔn)系統(tǒng)環(huán)境，因此他們只允許應(yīng)用程序亮起綠燈。

可以合并這套授權(quán)規(guī)則，使其不僅是一個(gè)可執(zhí)行文件，還可以是腳本文件、DLL、MSI格式。 除非通過可執(zhí)行文件、腳本、DLL 或設(shè)備程序的授權(quán)規(guī)則，否則不會(huì)執(zhí)行這些項(xiàng)目。

通過自動(dòng)創(chuàng)建授權(quán)應(yīng)用程序規(guī)則列表來(lái)簡(jiǎn)化流程的指南。 這是對(duì)軟件限制策略的重大改進(jìn)，它在以前版本中具有與 類似的功能。

文件發(fā)布規(guī)則也可用于識(shí)別使用數(shù)字簽名的文件，因此您可以創(chuàng)建包含文件當(dāng)前和未來(lái)版本的規(guī)則，并且當(dāng)應(yīng)用程序更新、修改可執(zhí)行文件、腳本、程序或設(shè)備，DLL 仍受原始規(guī)則約束。 這在使用軟件限制策略時(shí)是不可能的，因?yàn)檫@些策略會(huì)強(qiáng)制管理員在軟件配置更改時(shí)更新規(guī)則。

要?jiǎng)?chuàng)建一組可應(yīng)用于其他計(jì)算機(jī)的規(guī)則和策略，請(qǐng)按照以下步驟操作：

1.執(zhí)行環(huán)境中所有應(yīng)用程序的配置配置為調(diào)用計(jì)算機(jī)的操作7。

2. 使用具有本地管理員權(quán)限的用戶帳戶登錄計(jì)算機(jī)。

3. 本地組策略編輯器從搜索程序運(yùn)行.msc 和文件文本框開始。

4.導(dǎo)航到計(jì)算機(jī)配置設(shè)置安全設(shè)置| | | 應(yīng)用程序控制策略 | | 本地 GPO 執(zhí)行規(guī)則。 右鍵單擊 Rules節(jié)點(diǎn)，然后單擊Auto- new rules，這將開始自動(dòng)生成可執(zhí)行的。

5. 在標(biāo)記為 Files to Parse 的文本框中輸入 C。 在標(biāo)有 ID 的文本框中，鍵入 All ，然后單擊 Next。

6. 在“規(guī)則首選項(xiàng)”頁(yè)面上，為數(shù)字簽名文件選擇發(fā)布者規(guī)則。 如果文件未簽名，則需要文件哈希：規(guī)則是從文件哈希創(chuàng)建的。 確保未選中通過停止相似文件分組來(lái)減少規(guī)則數(shù)量選項(xiàng)，然后單擊下一步。

7. 隨著時(shí)間的推移，規(guī)則會(huì)產(chǎn)生需求。 生成規(guī)則后，單擊“創(chuàng)建”。 當(dāng)提示創(chuàng)建默認(rèn)規(guī)則時(shí)單擊否。 您不需要?jiǎng)?chuàng)建默認(rèn)規(guī)則。 為計(jì)算機(jī)上的所有可執(zhí)行文件創(chuàng)建規(guī)則后，您就創(chuàng)建了一個(gè)等效的、更全面的默認(rèn)規(guī)則。

8、如果計(jì)算機(jī)將應(yīng)用程序存儲(chǔ)在多個(gè)卷上，請(qǐng)重復(fù)步驟5至7自動(dòng)生成可執(zhí)行規(guī)則，并在引導(dǎo)機(jī)上輸入相應(yīng)的盤符。

9. 規(guī)則生成后，可以將允許的應(yīng)用列表以XML格式導(dǎo)出。 關(guān)鍵是右鍵單擊該節(jié)點(diǎn)并單擊導(dǎo)出策略。 也可以為其他戰(zhàn)略目標(biāo)組導(dǎo)入這些規(guī)則，例如那些應(yīng)該在您的組織中的筆記本電腦上使用的規(guī)則。 可以通過策略來(lái)應(yīng)用這些規(guī)則來(lái)限制應(yīng)用程序的執(zhí)行，從而只允許在要調(diào)用的計(jì)算機(jī)上執(zhí)行應(yīng)用程序。

10、在配置的時(shí)候，我們要保證通過服務(wù)控制臺(tái)開啟了應(yīng)用識(shí)別服務(wù)，保證規(guī)則可以通過策略強(qiáng)制執(zhí)行。 如果此服務(wù)被禁用，該策略將不再適用，但您可以在組策略中配置服務(wù)啟動(dòng)狀態(tài)，并且您必須限制用戶具有本地管理員訪問權(quán)限，這樣他們就無(wú)法繞過它。 右鍵單擊計(jì)算機(jī)配置 | | 安全設(shè)置應(yīng)用程序控制策略 | | 節(jié)點(diǎn)并單擊策略啟用規(guī)則執(zhí)行。 在使配置選項(xiàng)可執(zhí)行的規(guī)則下，確保選中強(qiáng)制規(guī)則。

我希望這將幫助您了解如何完成和還原、使用 To Go 以及配置策略。 這些技術(shù)的使用和例行維護(hù)任務(wù)（例如使用防病毒和反保密軟件程序使計(jì)算機(jī)保持最新狀態(tài)）將提高組織中運(yùn)行 7 的計(jì)算機(jī)的安全性。