1、Windows7系统设置睡眠唤醒后需要密码解除锁定
开始菜单点击“控制面板”。
点击“系统和安全”。
找到“电源选项”,点击下方的“唤醒计算机时需要密码”。
窗口下方“唤醒时的密码保护”栏中,点击“更改当前不可用的设置”。
选择“需要密码”。
2、Windows7系统打开或关闭防火墙
打开“控制面板”,点击“系统和安全”进入“Windows防火墙”。
点击“Windows防火墙”,左侧可以看到“打开或关闭Window防火墙”的按钮。
点击“打开或关闭Windows防火墙”,可以分别选择不同网络位置的Windows防火墙的开启和关闭。
3、Windows 7系统分别设置不同网络位置的防火强规则
先进入“控制面板”-“Windows防火墙”。
选择“允许程序或功能通过Windows防火墙”。
可以设置每个程序是在哪个网络环境下允许通过。如果要新增程序,不同网络位置防火墙设置如下,先选择下面的“允许运行另一程序”按钮。
在新增的程序中,选择“网络位置类型”。
出现如下提示框,按需选择即可以实现在不同网络环境中的不同设置。
4、Windows7系统如何设置允许程序或功能通过防火墙
首先进入“控制面板”-“windows防火墙”。
选择“允许程序或功能通过Windows防火墙”。
可以选择对某一个程序设置是否允许通过防火墙,若列表中没有某程序,选择“允许运行另一程序”。
可以选择需要增加的程序运行规则。
选中应用程序后添加即可。
5、Windows7系统还原防火墙的默认设置
打开开始“控制面板”,点击“系统和安全”。
点击“系统和安全”下的“Windows防火墙”。
点击左侧的“还原默认设置”。
点击“还原默认设置”,在弹出的窗口中选择“是”。
完成防火墙的还原默认设置。
6、用户账户配置
病毒、木马及其他恶意程序的一个共同特征就是在未经用户许可的情况下,悄悄对系统进行修改,为了提高系统的安全性,从Windows Vista开始微软就引入了用户账户控制功能(User Account Control,UAC),这项功能的原理是当系统侦测到可以影响电脑安全的操作时,会强行暂停操作,并弹出对话框要求系统管理员提供权限进行操作,只有在系统管理员许可的情况下,该操作方能继续执行。
UAC大幅提升了操作系统的安全性,但频繁弹出的UAC通知窗口也让许多用户倍感厌烦,许多用户甚至选择关闭UAC功能,因此在Windows 7中,微软对UAC进行了大幅度的调整,只有一些关键的操作才会向用户发出提示。
虽然Windows 7的UAC的通知提示比起Windows Vista已经少了很多,但还是有部分用户感觉不习惯。为了照顾不同用户的需求,Windows 7允许用户调整UAC通知模式,具体步骤如下:
步骤1:单击按钮,选择【控制面板】选项,打开【控制面板】窗口。
步骤2:在【控制面板】窗口中单击【用户账户和家庭安全】链接文字,然后单击【用户账户】链接文字,打开【用户账户】窗口。
步骤3:在【用户账户】窗口中单击【更改用户账户控制设置】链接文字,如图所示。
步骤4 拖曳滑块调整UAC通知模式,通知模式共有4种,拖曳滑块时右侧会显示当前模式的细节,设置完毕后,单击【确定】按钮,如图所示。
7、家长控制
为了确保家庭中的未成年人能够健康地使用电脑,Windows 7提供了完善的家长控制功能,通过这项功能,家长可以限制未成年人使用电脑的时间,以及可运行的程序等。从而避免未成年人长时间沉迷电脑,或者接触一些涉及色情、暴力的游戏和应用程序。
为了确保家长控制能有效实施,必须确保以下几点:
- 所有系统管理员账户都设置密码。
- 家庭中未成年人的账户必须是标准账户,而非系统管理员账户。
1. 限制未成年人账户使用电脑的时间
为了防止未成年人过度沉迷电脑,家长可以通过以下步骤,限制未成年人账户使用电脑的时间,例如设置周一至周五的白天学习时间和深夜休息时间无法使用电脑。
设置的具体步骤如下:
步骤1:单击Win按钮,选择【控制面板】选项,打开【控制面板】窗口。
步骤2:在【控制面板】窗口单击【为所有用户设置家长控制】链接文字。
步骤3:在列表中可以看到这台电脑的所有账户,从中选择要控制的账户,如图所示。
步骤4:本例要控制账户使用电脑的时间,因此单击【时间限制】链接文字,如图所示。
步骤5:在列表中通过拖曳的方式设置控制用户使用电脑的时间,拖曳成蓝色的时间段表示限制使用,设置完毕后,单击【确定】按钮,如图所示。
2. 限制未成年人账户使用的程序
为了避免未成年人接触涉及色情、暴力等不良因素的游戏、应用程序,家长可以限制未成年人账户使用的程序,只有家长设置为允许的程序方能运行。
技巧:虽然Windows 7的家长控制功能中,提供了通过分级列表来限制可运行哪些游戏的功能,不过鉴于国内相当部分游戏都未分级的实际状况,这项功能并不能进行有效的限制。因此建议使用限制应用程序的方法来进行控制未成年人能接触的游戏更为妥当。
步骤1:单击Win按钮,选择【控制面板】选项,打开【控制面板】窗口。
步骤2:在【控制面板】窗口单击【为所有用户设置家长控制】链接文字。
步骤3:在列表中可以看到这台电脑的所有账户,从中选择要控制的账户,如图所示。
步骤4:在【用户控制】窗口中,单击【允许和阻止特定程序】链接文字,启用应用程序限制,如图所示。
步骤5:选择【××只能使用允许的程序】单选按钮,然后在列表中选择允许用户使用的程序,设置完毕后单击【确定】按钮,如图所示。
8、组策略
在大多数用户看来,Windows 7的主要功能设置都集中在控制面板中,其实这仅仅是可设置项目中最常用的一部分,还有许多设置项目被隐藏起来,例如,设置不允许用户使用太短的密码,设置多次登录失败后锁定账户,等等,这些功能全部可以通过修改注册表来实现。
然而注册表是Windows的核心组件,直接编辑注册表危险性相当高,稍有不慎就有可能导致严重的系统故障甚至彻底崩溃,而且注册表中项目繁多,也不利于记忆和使用。为了方便系统管理员操作,微软将各种实用的注册表设置整理出来,以系统组件的方式提供给系统管理员,这就是组策略的由来。系统管理员只需在组策略编辑器中进行设置,系统就会根据系统管理员的设置修改注册表中相应的键值,既便于使用,又能减少直接编辑注册表的风险。
1. 设置不允许使用太短的密码
Windows 7对设置密码并无限制,用户可以使用诸如123、abc这类简单的密码,对于有经验的入侵者而言,要破解这些密码几乎不费吹灰之力。为了提高系统安全性,管理员可以通过组策略,强制用户不能使用过短的密码。
步骤1:单击Win按钮,在搜索栏输入“gpedit.msc”,按Enter键。
步骤2:在组策略编辑器中展开【计算机配置】→【Windows设置】→【安全设置】→【账户策略】列表,然后双击【密码长度最小值】选项,如图所示,打开【密码长度最小值属性】对话框。
步骤3:在【密码必须至少是:】文本框中输入密码长度最小值,本例输入8,然后单击【确定】按钮,如图所示。
经过上述设置后,用户在新建或更改密码时,将无法创建长度小于8的密码,从而提高了系统安全性。
2. 设置多次登录失败后锁定账户
为了防止入侵者恶意猜解密码,系统管理员可以通过组策略,设置系统在登录失败达到指定次数后,强行锁定账户,以提高系统安全性。不过需要注意的是,这项功能可能会被某些攻击者利用,通过连续错误输入锁定账户,使得用户无法正常登录系统,因此要谨慎考虑是否使用。
步骤1:单击Win按钮,在搜索栏输入“gpedit.msc”,按Enter键。
步骤2:在组策略编辑器中展开【计算机配置】→【Windows设置】→【安全设置】→【账户策略】列表,然后双击【账户锁定阈值】选项,如图所示,打开【账户锁定阈值属性】对话框。
步骤3:在【在发生以下情况之后,锁定账户:】文本框中输入无效登录的次数,本例输入5,单击【确定】按钮,然后在弹出的对话框中单击【确定】按钮,如图所示。
设置登录失败达到指定次数锁定账户之后,系统会自动对【账户锁定时间】和【重置账户锁定计数器】选项进行设置,默认为锁定30分钟后解锁,并重置锁定计数器。用户也可以根据实际需要进行调整,如图所示。
9、文件存取控制
在Windows 7操作系统中,所有文件的访问都有严格的权限控制,无论是系统管理员还是普通用户,都可以借助这一特性,防止自己的资料被其他人非法获取。
1. NTFS安全存取机制
Windows 7的安全存取机制实质是基于NTFS文件系统构建的一个访问控制架构,它主要由以下几个部分组成:
1)资源(Resources)
用户访问的各种对象都可以统称为资源,例如,文件夹、文档、应用程序,等等。
2)安全主体(Security Principal)
安全主体包括用户、用户组、服务等,用户可以将其理解成试图访问资源的“人”或者“程序”。在Windows 7操作系统中,所有的安全主体均以安全标识符SID作为唯一的身份标识。
3)权限(Permission)
权限就是资源访问的规则,它决定了安全主体是否能够访问资源。在Windows 7中,权限具体表现为访问控制列表(Access Control list),如图所示。
一个典型的文件访问过程如下:用户(安全主体)向操作系统发出访问某个文件(资源)的请求,操作系统根据用户SID和文件访问控制列表上的规则,判断该用户是否具备相应的权限,如果具备则允许访问;如果用户不具备相应的权限,则拒绝用户的请求,从而避免文件被非法访问。
NTFS安全存取机制看起来非常完善,但需要提醒注意的是,它并非无懈可击,由于访问控制是基于操作系统层面,因此一旦切换了操作系统,访问控制即形同虚设。换句话说,如果将硬盘拆卸下来挂载到其他电脑上,即可随意访问原来受保护的文件。因此,要确保文件安全,还需要与其他安全措施配合使用。
2. 文件/文件夹存取限制设置
在Windows 7 中,设置文件或文件夹的权限非常简单,下面以禁止指定用户访问某文件夹为例,演示文件和文件夹的存取限制设置。
步骤1:在要设置的文件夹上单击鼠标右键,在弹出的快捷菜单中选择【属性】命令,如图所示,打开该文件夹的属性窗口。
步骤2:选择【安全】选项卡,然后单击【编辑】按钮,如图所示。
步骤3:如果所需要修改权限的用户处于列表内,可直接跳过本步骤。如果不在列表内,单击【添加】按钮,然后在弹出的【选择用户或组】对话框中单击【高级】按钮,在弹出的对话框中单击【立即查找】按钮,然后在列表中选择要添加的用户,再依次单击【确定】按钮,如图所示。
步骤4:将用户添加到安全列表后,在下方的列表中设置权限,本例要禁止用户访问该文件夹,因此选择相应的【拒绝】复选框,然后单击【确定】按钮,并在弹出的对话框中单击【是】按钮,如图所示。
3. 权限类型
前面演示了如何通过权限设置拒绝特定用户访问某个文件夹,这其实只是最基本的操作,为了能有效地进行权限管理,系统管理员有必要详细了解Windows 7中各种类型权限的具体含义。
在Windows 7中,常用的权限主要有以下几种,如图所示。
1)完全控制
用户可以查看文件夹和文件的内容,更改及删除现有文件和文件夹,创建新的文件和文件夹,假如资源为可执行程序也可以运行该程序。
2)修改
用户可以更改现有的文件夹及文件,但是不能创建新的文件夹和文件。
3)读取和执行
用户可以查看文件和文件夹中的内容,假如资源为可执行程序也可以运行该程序。
4)列出文件夹内容
用户可以查看文件夹中的子文件夹和文件的名称,但是无法打开文件查看其中的内容。
5)读取
用户可以打开文件夹和文件,查看其中的内容。
6)写入
用户可以对现有的文件夹和文件进行更改,以及创建、删除文件夹和文件。
4. 权限设置的原则
管理员在设置权限时,需要清楚权限设置的一些原则,才能设计出符合实际需要的权限组合。权限设置的原则主要有以下几条:
1)权限累加原则
如果用户同时拥有多项权限,而且这些权限之间不存在冲突,则权限可以累加。例如,一项权限允许用户Nike访问Tools文件夹,另一项权限允许用户Nike访问Video文件夹,同时用户Nike隶属于User用户组,而该组允许访问Information文件夹,则权限累加的结果是:用户Nike可以访问Tools、Video和Information文件夹。
2)拒绝优先原则
当用户拥有的权限相互冲突时,拒绝访问的权限将优先于允许访问的权限。例如,用户Nike属于User用户组,一项权限允许用户Nike访问Tools文件夹,而另一项权限拒绝User用户组访问Tools文件夹,则权限累加的结果是:用户Nike无法访问Tools文件夹。
3)权限继承原则
默认情况下,文件夹里的文件及子文件夹会继承该文件夹的权限。例如,book.txt文件位于D:\Information文件夹内,而D分区允许用户Nike访问,则基于权限继承原则,D分区内的Information也允许用户Nike访问,同样该文件夹下的book.txt文件也允许用户Nike访问。值得注意的是,拥有完全控制权限的用户,可以随时中止资源的权限继承。
5. 设置审核
Windows 7提供了审核功能,借助这项功能,系统管理员可以追踪用户的特定操作,例如,可以追踪所有删除文件的行为,从而找出恶意删除重要文档的用户。由于过多的审核会影响系统性能,默认情况下这项功能处于关闭状态,用户需要在组策略中开启,然后才能进行相关的设置。
1)在组策略中启用审核
步骤1:单击Win按钮,在搜索栏输入“gpedit.msc”,按Enter键。
步骤2:在组策略编辑器中展开【计算机配置】→【Windows设置】→【安全设置】→【本地策略】→【审核策略】列表,然后双击右侧的【审核对象访问】项目,如图所示。
步骤3:本例要审核失败的操作,因此选择【失败】复选框,然后单击【确定】按钮,如图所示。
2)设置要审核的资源
步骤1:在要启用审核的文件夹上单击鼠标右键,在弹出的快捷菜单中选择【属性】命令,如图所示,打开文件夹属性对话框。
步骤2:选择【安全】选项卡,然后单击【高级】按钮,在弹出的对话框中选择【审核】选项卡,再单击【继续】按钮,如图所示。
步骤3:单击【添加】按钮,然后在弹出的对话框中输入要审核的账户名,再单击【确定】按钮,如图所示。
技巧:如果不记得准确的账户名,可单击【高级】按钮,再单击【立即查找】按钮,即可查找本机所有账户。
步骤4:在列表中勾选要审核的项目,本例要审核尝试删除该文件夹和文件失败的操作,因此选择【删除】和【删除子文件夹及文件】选项对应的失败复选框。设置完毕后,单击【确定】按钮,如图所示。
重复步骤3和步骤4,把需要审核的用户全部添加到审核项目列表中。设置完毕后,系统会自动记录该文件夹所有失败的删除操作。系统管理员可以通过以下操作来查看这些记录:单击Win按钮,选择【控制面板】选项,打开【控制面板】窗口,然后单击【系统安全】链接文字,再单击【查看事件日志】链接文字,然后展开【Windows日志】→【安全】列表,即可查看审核记录。
10、磁盘配额
为了避免某些用户占用过多硬盘空间,Windows 7提供了磁盘配额功能。通过这项功能,系统管理员可以设置每个用户可以使用的磁盘容量,当用户使用的容量达到指定的配额时,可以记录事件以通知系统管理员,或者直接拒绝再分配空间给用户使用。
1. 启用磁盘配额
磁盘配额需要针对每个分区进行设置,设置的具体步骤如下:
步骤1:单击Win按钮,选择【计算机】选项,打开【计算机】窗口。
步骤2:在要配置的硬盘分区上单击鼠标右键,在弹出的快捷菜单中选择【属性】命令,然后在弹出的对话框中选择【配额】选项卡,再单击【显示配额设置】按钮,如图所示。
步骤3 选择【启用配额管理】和【拒绝将磁盘空间给超过配额限制的用户】复选框,然后选择【将磁盘空间限制为】单选按钮,并设置磁盘空间限制和警告等级的容量。设置完毕后,单击【确定】按钮,如图所示。
2. 设置指定用户的磁盘配额
如果需要为单独用户设置磁盘配额,例如,指定某用户获得更多或更少的磁盘空间,则可通过以下步骤进行。需要注意的是,系统管理员(Administrator)组的成员不受磁盘配额限制。
步骤1:打开配额设置对话框,单击【配额项】按钮,如图所示,打开【配额项】窗口。
步骤2:选择【配额】→【新建配额项】命令,如图所示。
步骤3:单击【高级】按钮,然后单击【立即查找】按钮,在列表中选择要设置磁盘配额的用户,再单击【确定】按钮,如图所示。
步骤4 选择【将磁盘空间限制为】单选按钮,然后设置限制用户使用的容量和发出警告的容量。设置完毕后,单击【确定】按钮,如图所示。
设置完毕后,在列表中就可以看到新增的磁盘配额项目,如图所示,如果日后系统管理员要清除用户的磁盘配额,只需将相应的项目删除即可。
11、EFS加密
文件访问控制构筑了文件安全的第一道重要防线,不过由于这道防线是基于操作系统层面的,只要更换操作系统就可以轻易绕开保护。为了进一步提高安全性,Windows 7又提供了EFS加密功能。
1. EFS透明加密
EFS加密是以PKI公钥基础架构为基础的一种文件加密方式,当用户加密某个文件时,系统会随机产生一个128位或者168位的文件密钥(File Encryption Key,FEK),然后以它作为加密密钥,使用DESX或3DES算法对源文件进行加密,然后使用2048位密钥中的公钥对文件密钥进行加密,并将其附于加密文件之内。而在解密时,则首先用用户的私钥解密获得文件密钥,然后再用其解密整个文件。加密的流程可以这样理解:首先从许多简单的小锁中随机选择一把,把资料锁起来,然后再把小锁的钥匙锁到更安全的保险箱里。当需要取回资料时,则首先从保险箱中取出小锁的钥匙,再用钥匙打开锁,取出文件。
之所以采用这种间接的处理方式,是因为直接使用2048位密钥加密源文件的话,加密和解密所需的时间会比较长,在实际使用中较为不便。需要注意的是,Windows 7为了方便用户使用,达到“透明解密”的效果(即解密的过程由系统自动完成,具备访问资格的用户无须进行解密操作即可查看文件),将密钥存储在本机个人账户数据中。一些入侵者则利用这一点,从用户个人数据中窃取密钥,从而破解EFS加密。因此在安全要求较高的场合,建议使用EFS加密后,将密钥导出至其他地方保存,并将本地密钥删除。
2. 启用EFS加密
EFS加密可以针对单个文件,也可以针对整个文件夹进行加密,启用EFS加密的具体操作如下:
步骤1:在要加密的文件夹或文件上单击鼠标右键,在弹出的快捷菜单中选择【属性】命令,如图所示。
步骤2:在弹出的对话框中单击【高级】按钮,然后在弹出的【高级属性】对话框中选择【加密内容以便保护数据】复选框,再单击【确定】按钮,如图所示。
步骤3:在弹出的【确认属性更改】对话框中选择【将更改应用于此文件夹、子文件夹和文件】单选按钮,则加密此文件夹下所有内容;如果选择【仅将更改应用于此文件夹】单选按钮,则该文件夹内所有文件都不会加密,而此后新加入此文件夹的文件,才会自动进行加密保护。
本例要加密所有内容,因此选择前者,选择完毕后,单击【确定】按钮,如图所示。
加密完毕后,受保护的文件夹和文件的名称会显示成绿色,如图所示,用户自己可以直接访问这些文件,并不需要进行输入密码之类的操作。
而其他用户试图访问这些文件时,则会出现拒绝访问的提示,即使将此文件转移到其他系统里,也无法读取其中的内容。
3. 解除加密
当文档不再需要被保护时,可以通过以下步骤解除加密。解除加密后,其他用户也可以打开该文件。
步骤1:在加密的文件夹或文件上单击鼠标右键,在弹出的快捷菜单中选择【属性】命令,如图所示
步骤2:单击【高级】按钮,然后在弹出的【高级属性】对话框中取消选择【加密内容以便保护数据】复选框,再单击【确定】按钮,如图所示。
步骤3:在【确认属性更改】对话框中选择【将更改应用于此文件夹、子文件夹和文件】单选按钮,再单击【确定】按钮,如图所示。
4. 多用户分享加密文档
通常情况下,加密后的文档只有用户本身才能打开,但有些时候用户需要与其他用户分享这个文件,此时可以通过以下步骤进行操作。需要注意的是,如果要把文件共享给本机的其他用户,对方必须至少使用过一次EFS加密功能,否则无法进行共享;而如果要把文件分享给非本机用户,则需要获得对方加密文件所使用的公钥,获得公钥文件后,双击将其导入本机。步骤如下:
步骤1:在加密文件上单击鼠标右键,在弹出的快捷菜单中选择【属性】命令,如图所示。
步骤2:单击【高级】按钮,然后在弹出的对话框中单击【详细信息】按钮,如图所示。
步骤3:在列表中可以看到允许访问该文件的用户,单击【添加】按钮,然后在弹出的列表中选择要添加的用户,再依次单击【确定】按钮,如图所示。
5. 备份EFS密钥
在加密文件之后,用户必须及时备份EFS密钥,否则一旦重装系统或其他原因导致密钥遗失,将再也无法打开加密的文件。备份EFS密钥的步骤如下:
步骤1:单击按钮,选择【控制面板】选项,打开【控制面板】窗口。
步骤2:在【控制面板】窗口中单击【用户账户和家庭安全】链接文字,再单击【用户账户】链接文字,打开【用户账户】窗口。
步骤3:打开【用户账户】窗口后,单击【管理文件加密证书】链接文字,如图所示。
步骤4:单击【下一步】按钮,通常电脑里只有一个文件加密证书,因此选择【使用此证书】单选按钮,然后单击【下一步】按钮,如图所示。
步骤5:单击【浏览】按钮,在弹出的对话框中选择保存证书的位置,输入文件名,再单击【保存】按钮。设置好备份位置后,输入密码以确保证书安全,再单击【下一步】按钮,如图所示。
步骤6:单击【下一步】按钮开始备份,备份完毕后,单击【关闭】按钮关闭向导,如图所示。
备份完毕后,打开备份文件夹,即可看到证书文件,如下图所示,日后重装系统或其他原因需要重新安装证书时,只需双击证书,根据向导提示进行安装即可。
12、Bitlocker加密
Bitlocker是微软在Windows Vista中开始引入的一项全新的加密功能,在Windows 7中,这项功能得以进一步强化。Bitlocker使用128位或256位的AES-CBD+diffuser混合算法对硬盘分区或者移动存储装备进行加密。
Bitlocker的主要用途有两个:一是对操作系统进行保护,所有系统文件均被高强度加密,入侵者即使盗走硬盘,将其挂接到其他电脑上,也无法获得系统的使用权,或者从用户账户文件中获取EFS密钥;二是可以对硬盘分区或者移动存储装备上的数据进行加密,确保数据不会被非法访问。
1. Bitlocker加密系统分区
Bitlocker既可以加密系统分区,也可以加密非系统分区,但要加密系统分区的话,电脑必须至少满足以下一种条件:
- 电脑集成了TPM芯片,并且BIOS与TPM芯片兼容。
- 用户有U盘,并且主板支持从U盘启动。
如果电脑满足第一种条件,则Bitlocker的加密密钥将存储在TPM芯片中,启动过程中用户需要输入PIN码,从TPM芯片中获取密钥进行解密;如果电脑满足第二种条件,则密钥存储在U盘,用户需要在系统启动之前插入U盘,通过U盘里的密钥进行解密。
1)调整组策略设置
对于不具备TPM模块的电脑,需要对组策略进行调整,才能使用Bitlocker功能加密系统分区,具体步骤如下:
步骤1:单击Win按钮,然后在搜索栏输入“gpedit.msc”,然后在搜索出来的程序上单击鼠标右键,在弹出的快捷菜单中选择【以管理员身份运行】命令,启动组策略编辑器。
步骤2 :展开【计算机配置】→【管理模板】→【Windows组件】→【Bitlocker驱动器加密】→【操作系统驱动器】列表,然后双击【启动时需要附加身份验证】选项,如图所示。
步骤3:选择【已启用】单选按钮,然后选择【没有兼容的TPM时允许Bitlocker】复选框。设置完毕后,单击【确定】按钮,如图所示。
经过上述设置后,没有TPM模块的电脑也可以使用Bitlocker功能了。
2)设置Bitlocker
调整完毕后,接下来就可以设置Bitlocker功能了,具体步骤如下:
步骤1:单击Win按钮,选择【计算机】选项,打开【计算机】窗口。
步骤2:在要加密的磁盘上单击鼠标右键,在弹出的快捷菜单中选择【启用Bitlocker】命令,然后在弹出的对话框中单击【下一步】按钮,如图所示。
步骤3:系统需要对磁盘驱动器进行一些准备,以便能满足Bitlocker的要求,单击【下一步】按钮,然后单击【立即重新启动】按钮,如图所示。
步骤4:重新启动电脑之后,将准备放置密钥的U盘插入电脑,然后单击【下一步】按钮,再选择【每次启动时要求启动密钥】选项,如图所示。
步骤5:在列表中选择保存密钥的U盘,然后单击【保存】按钮,如图所示。
步骤6:为了避免启动密钥意外损坏或者遗失,系统还会生成一个恢复密钥。恢复密钥是一串字符串,建议用户将其保存到另一个U盘中,或者打印出来收藏好,如图所示。
步骤7:一切准备就绪后,单击【继续】按钮,然后在弹出的对话框中单击【立即重新启动】按钮,准备开始加密,如图所示。
步骤8:将刚才制作的启动密钥U盘插入电脑,系统会自动开始加密,加密可能需要较长时间,请耐心等候。加密完成后,在弹出的对话框中单击【关闭】按钮,如图所示。
加密完成后,每次启动电脑时,系统都会检测启动密钥,只有插入带有启动密钥的U盘才能解锁并登录系统。如果启动密钥遗失或损坏,则可以通过步骤6生成的恢复密钥来登录系统。
2. BitlockerToGo加密U盘
已经提到,Bitlocker还可以加密移动存储设备。Windows 7将这项功能称为Bitlocker To Go,其使用的具体步骤如下:
步骤1:单击按钮,选择【计算机】选项,打开【计算机】窗口。
步骤2:在U盘的驱动器图标上单击鼠标右键,在弹出的快捷菜单中选择【启用Bitlocker】命令,如图所示,打开Bitlocker驱动器加密向导。
步骤3 选择【使用密码解锁驱动器】复选框,然后在下方的文本框中输入两次密码,再单击【下一步】按钮,如图所示。
步骤4:为了避免忘记密码,系统还会要求用户保存恢复密钥,选择【将恢复密钥保存到文件】选项,然后指定保存恢复密钥的位置,再单击【保存】按钮,如图所示。
日后如果忘记了密码,就可以通过此恢复密钥解锁。注意此文件应妥善保管,以免被他人获取。
步骤5 单击【启动加密】按钮,系统将开始对U盘进行加密。加密所需的时间可能较长,请耐心等候。当出现加密已完成的提示信息时,单击【关闭】按钮即可,如图所示。
3. 解密Bitlocker
当用户不再需要使用Bitlocker功能时,可以将其解密。Bitlocker和Bitlocker To Go的解密过程相同。
步骤1:单击Win按钮,选择【控制面板】选项,打开【控制面板】窗口。
步骤2:在【控制面板】窗口单击【系统和安全】链接文字,再单击【Bitlocker驱动器加密】链接文字,如图所示。
步骤3 在【Bitlocker驱动器加密】窗口中,可以看到所有驱动器的状态,要关闭某个驱动器的Bitlocker功能,只需单击其右侧对应的【关闭Bitlocker】链接文字,然后在弹出的对话框中单击【解密驱动器】按钮即可,如图所示。解密驱动器需要一些时间,请耐心等候。
13、关闭自动播放
曾经有一种病毒大出风头,俗称“U盘病毒”,这个病毒是利用Windows的自动播放功能传染和传播的。
自动播放本来是一个很好的功能,可以检测可移动存储介质的存在,以及其中保存的文件内容,并自动提供方便我们使用的选项。例如,启用自动播放功能后,如果将 DVD影碟放入光驱,Windows 检测到了 DVD 影碟的存在,就会打开“自动播放”对话框,其中的选项则取决于系统中安装的软件,例如可以使用Windows自带的Windows Media Player,或者自己安装的其他兼容的播放器播放DVD影碟的内容,或者打开Windows资源管理器窗口查看光盘内容;如果将数码相机的存储卡插入读卡器,Windows的“自动播放”对话框就会提供导入图片、查看图片等选项;如果将软件的安装光盘放入光驱,Windows的“自动播放”对话框则可以提供查看光盘文件或者运行安装程序的选项。
可以说,自动播放功能简化了我们很多的日常工作,但这也容易带来隐患,例如U盘病毒。如果我们的可移动存储介质感染了病毒,那么当这种存储介质连接到计算机后,自动播放功能就会自动运行病毒,感染计算机,并感染其他没有染毒的可移动存储介质。
被U盘病毒感染的可移动存储介质的根目录下会保存一个名为“autorun.inf”的文件,该文件中则指向了一个可执行的.exe文件。而根据设计,以前Windows一旦检测到可移动存储介质的根目录下存在autorun.inf文件,就会自动执行该文件指定的可执行文件。因此,一旦原本无毒的计算机中连接了感染病毒的存储设备,很可能我们还来不及反应,自己的系统就已经被感染了。
对于Windows 7,情况就简单多了,因为Windows 7在这方面有很多改进。首先,就算一个可移动存储设备中包含autorun.inf文件,Windows 7也会首先询问我们需要对设备采取怎样的操作(例如运行其中的软件,或浏览设备的内容),而不会自作主张地直接运行。另外,通过“控制面板”中提供的选项,我们完全可以控制自动播放的所有设置。
打开“控制面板”,依次进入“程序”→“默认程序”→“更改自动播放设置”,随后可以看到如图所示的自动播放设置界面。
如果希望彻底禁用自动播放功能,只需要反选窗口顶部的“为所有媒体和设备使用自动播放”选项即可。
另外,Windows 会列出可以支持自动播放功能的所有媒体和设备类型,每个类型或者设备都有一个对应的下拉菜单,打开该菜单可以看到当前系统对这种媒体类型或者设备可以进行的操作。具体的操作内容取决于系统中安装的软件,因此,每个人看到的内容可能和上图所示的不完全相同。
除了可以针对不同种类的可移动存储设备进行设置外,在Windows 7中还可以针对具体的硬件设备进行设置,例如,我们可以设置将某一型号的相机连接到计算机后,采取怎样的自动播放选项;而如果只是将相机使用的存储卡连接到计算机,又采取怎样的选项。
对于每种类型或设备,只需要在对应的下拉菜单中选择希望使用的选项即可。这里需要注意的是“软件和游戏”这种类型,因为Windows 7还没有智能到知道我们提供的光盘或U盘中的内容是否是软件或游戏的安装文件。因此,如果检测到介质中包含autorun.inf文件,或者其他可执行文件,那么就会将该介质识别为“软件和游戏”,而实际上这可能只是一个染毒的U盘。在此建议将“软件和游戏”类别设置为“每次都询问”或“不执行操作”,这样相对更加安全一些,同时其他类型介质的自动播放不会受到影响。
“混合内容/增强型音频CD/增强型DVD电影”又是什么意思?现在有一种新型的光盘,原本只是音频CD或视频DVD,但发行商为了增加卖点,会在光盘中添加一些小功能,例如音频CD,它不仅可以在一般的CD唱机中播放,而且在计算机上使用的时候还可以玩其中的游戏,或者观看MV。这种包含多种不同类型功能的介质叫做“混合内容/增强型内容”。这个功能原本只是为了增加产品的附加值,但有时候容易被造成滥用,例如,2005年底名噪一时的新闻,SONY唱片公司给自己发行的很多音乐CD中预置了一种叫做Rootkit的软件,这类软件会在我们将 CD 唱片放入计算机光驱后自动运行,安装并潜伏到系统中,主要是为了防止非法复制唱片。但这种Rootkit软件比较隐蔽,无法卸载,因此,SONY的这种做法引起了轩然大波,其实这种包含Rootkit的CD唱片就是一种“增强型音频CD”,那么对于这类介质该怎样设置自动播放选项,相信大家都已经很清楚了。
设置好所有类型和设备的自动播放选项后,单击“保存”按钮可以保存更改,或者单击“重置所有默认值”按钮可以将所有的选项恢复为默认设置。
14、Syskey
怎样预防脱机攻击,破解本地账户的密码?
对于Windows 7企业版和旗舰版,可以使用BitLocker,如果用的Windows 7是其他版本,且不支持该功能,有什么好办法吗?
还是让我们再来回忆一下Windows操作系统保存用户登录信息的方式,以及脱机破解密码软件的工作原理吧。在单机或工作组环境下,每个本地账户的登录信息(用户名和密码)都是加密保存在SAM文件中的,而Winlogon进程会将我们在欢迎屏幕或者Windows登录对话框中输入的用户名和密码与 SAM 数据库中存储的信息进行对比,如果能找到匹配的项目,就认为用户提供的登录信息是有效的,允许登录;如果找不到匹配的信息,则会拒绝登录。
脱机破解密码的软件正是利用了这一点,在Windows没有运行的情况下访问SAM数据库文件,并根据一些复杂的算法强行进行破解或修改。那么可以考虑,如果将 SAM 文件进行再次加密,并将解密所需的信息保存在计算机以外的地方,是否就可以防范这种脱机破解呢?答案是肯定的。
这里要用到Syskey.exe,这是Windows系统自带的一个工具。启用该功能后,SAM数据库会被再次加密,同时加密后的信息会被保存到软盘上。这样,在需要使用计算机的时候就必须提供这张保存了机密信息的软盘,随后,Windows 才可以利用软盘中的信息解密SAM 数据库,并接受登录。如果无法提供软盘,SAM 数据库依然处于加密状态,自然也就无法登录了。
Syskey.exe可用于Windows 2000/XP/2003/Vista/7系统,并且在这些系统中的操作方式都是一样的。
在继续操作之前,请确定计算机上装有软驱,并且手头有空白的被格式化过的软盘。很令人费解,现在配备软驱的计算机已经很少了,毕竟软盘的容量小、速度慢,可靠性还差,但这里只能使用软盘。为了避免软盘损坏后无法使用系统,在创建好这张“密钥盘”后,建议直接将其中的文件复制到别的软盘中以进行备份,这样一张软盘损坏了,还可以使用其他软盘应急。同时请注意,一定要将密钥盘和密钥盘的备份保存在安全的地方。另外,该功能一旦启用,就无法禁用,除非重装操作系统或者进行系统还原。
如果不使用外部设备,还可以通过设置额外一层密码的方式使用该功能。我们可以指定一个密码,将SAM数据库加密。这样等于在系统启动时首先需要输入一个解锁SAM数据库的密码,随后选择用户账户,并输入账户密码,以便正确登录。因此,为了方便起见,这里会介绍使用密码进行加密的方式。对于使用软盘保存密钥的方式,可操作性太低,这里不再介绍。
打开“开始”菜单,在搜索框中输入“Syskey”后按回车键,即可打开该程序。
在随后出现的“保证Windows账户数据库的安全”对话框中,确保已经选中了“启用加密”选项,然后单击“更新”按钮,随后可以看到如图所示的界面。
因为需要在没有软驱的情况下使用,因此,这里可以选择“密码启动”,并输入一个密码(这个密码一定要牢记,并且一旦对 SAM 进行加密,就无法撤销,但如果有必要,可以再次运行Syskey,修改密码)。这里使用的密码不能与Windows账户的密码相同,否则安全性会降低。
随后单击“确定”按钮两次,关闭该工具。
让我们看看对 SAM 进行加密可以怎样保护我们的账户安全。重新启动系统,当系统开始引导、加载后台服务之前,首先就会要求我们输入启动密码,否则根本无法看到登录界面,如图所示。该功能一经启用,就算要进入安全模式,也必须首先输入密码才能继续。
因为启用 Syskey 后无法禁用,因此,如果日后不再需要如此高的安全性,这时可以考虑将启动密钥保存在硬盘上,这样,Syskey依然处于启用状态,但是至少不要求我们在系统启动的时候提供密钥了(无论是手工输入密码,还是提供保存了密钥的 3.5 寸软盘)。
切换Syskey工作方式的方法很简单,正常启动系统,并使用管理员账户登录,运行Syskey界面上选中“启用加密”,单击“更新”按钮,然后选中“系统产生的密码”,并选择“在本机上保存启动密钥”选项,并输入目前使用的启动密码即可。
经过上述操作,SAM数据库实际上依然被加密保存,只不过解密所需的密钥已经保存到本地硬盘上,因此,启动系统的时候可以直接看到登录界面。
15、操作中心
对于一般用户,可能很难判断出自己的系统当前是否是安全的,因为有太多因素会影响系统的安全性,例如,是否安装了反病毒软件,反病毒软件的实时监控功能是否被启用,病毒定义是否被更新到最新,是否安装了网络防火墙,网络防火墙是否被启用,系统的安全设置是否存在问题等。
若是以前,我们必须打开多个程序,并查看大量选项的设置,才能了解系统的整体安全性,这样不仅麻烦,而且容易造成遗漏。自从Windows XP SP2开始,微软在Windows中增加了一个叫做“Windows 安全中心”的功能,这是一个后台运行的服务,会密切监控系统中与安全有关的程序和设置,一旦发现有威胁到安全的事件,就会立刻发出警报提醒我们注意,并提供相应的解决方法。
Windows 7中的安全中心已经全面升级为“操作中心”,它不仅可以显示与系统安全性有关的提示信息,而且还增加了有关系统维护的内容,更加全面。下面将介绍操作中心中与安全有关的内容。
注意:Windows操作中心功能并不是安全软件。
很多人认为,如果有Windows操作中心的存在,是否就意味着安全问题可以交给它,而我们不用安装和设置其他安全软件。这是完全错误的。Windows 操作中心只是一个监控程序,它可以监控系统的安全状态,并在需要的时候发出警报提醒我们注意,而它并没有任何安全防范功能。例如,如果系统中存在病毒,还是需要依靠反病毒软件查杀,操作中心只能告诉我们系统中是否安装了反病毒软件,以及病毒定义是否过期。
全新安装好Windows后,可能很快就会看到操作中心警报如下图所示,因为它会提醒我们系统中没有安装反病毒软件,或者病毒定义过期。
按照提示安装好反病毒软件或更新病毒定义后,操作中心程序就开始在后台工作。很多人可能觉得,如果系统已经完全满足操作中心的要求,需要的软件都安装了,需要的设置也都设置好了,那以后是否可以禁用该功能,以节约系统资源。在这里建议尽量不要这样做,因为有时候可能会有恶意软件修改我们的系统设置,让原本安全的系统变得不够安全。
这时候,正常情况下的反病毒软件是需要干预的,然而一旦发生漏报,就会直接危害到系统安全。如果启用了操作中心,系统会立刻提醒我们系统的安全设置发生了改变;如果将其禁用,我们可能就会在很长一段时间内在毫无察觉的情况下进行在线交易或者网上支付等活动,危险不言而喻。
单击桌面右下角通知区域内的操作中心图标后,可以看到类似下图所示的弹出菜单,这里会列出所有可能存在的问题。
单击对应的条目,即可查看详细信息,以及建议的解决方法,例如,如果没有安装反病毒软件,那么操作中心会提供获取这些软件的方法;如果反病毒软件被禁用,直接单击操作中心提供的按钮就可以将反病毒软件启用,或者对其进行更新。
在图中所示的界面中单击“打开操作中心”链接后,即可看到操作中心主界面,如图所示。
之前已经提过,操作中心可以提示有关安全性,以及维护工作的相关事件,从图中也可以看出,这些内容被划分为“安全”和“维护”两个类别。
默认情况下,这两个类都是被合并的,只有需要注意的问题才会突出显示出来,并且取决于问题的严重程度,不同的问题会用不同的颜色进行标识。红色通常意味着可能严重影响系统安全性或稳定性的问题,需要尽快着手解决;黄色意味着问题虽然存在,但影响不会太大,不过依然有必要解决,取决于具体的问题,我们需要单击对应的操作按钮进行解决。
例如,病毒防护软件被关闭,那么这里就提供了“立即启用”按钮,单击它即可将该软件启动。
单击打开“安全”类别后可以看到,Windows 7的操作中心可以监控多个与安全有关的内容,这些内容包括:
- 网络防火墙默认情况下,该项目会检测Windows防火墙的状态,查看该防火墙是否启用,如果被禁用,则提供启用Windows防火墙的选项。如果系统中安装了第三方网络防火墙软件,并且支持安全中心所用的 WIM 标准,那么从这里就可以监控安装的其他防火墙。
- WindowsUpdate这里可以检测WindowsUpdate是否启用,以及是否使用了推荐的设置。如果没有启用,或者没有使用推荐设置,这里就会用不同的颜色进行区别。
- 病毒防护这里可以检测系统中是否安装了反病毒软件,以及软件的状态。如果没有安装,则通过这里提供的按钮,我们可以在网页中查看微软推荐的所有反病毒软件。如果已经安装,但没有启用,或病毒库定义过期,则可以通过这里提供的选项直接启用反病毒软件,或更新病毒库定义。
- 间谍软件和不需要的软件防护除了病毒,网上还有一些不受欢迎的程序,由于这些内容的破坏性不强,因此,很多人将其称之为间谍软件或恶意软件。Windows 7中自带了微软的反间谍软件Windows Defender,该项目对应了这个软件的相关信息。另外,很多第三方的反病毒软件往往具有反间谍软件功能,或者我们可能安装其他第三方的专门反间谍软件,这种情况下,取决于软件对操作中心功能的支持情况,也可以从操作中心直接查看软件的状态,或对其进行管理。
- Internet安全设置Windows7包含InternetExplorer8浏览器,这是迄今为止微软提供的最安全的浏览器软件,该软件的大部分设置都是以保持安全性为首要目标的。但由于各种原因,Internet Explorer选项的安全性可能会降低,例如,为了浏览某些网站,我们可能需要将原本安全的设置修改为不太安全的状态;或者系统中感染了恶意软件,可能会偷偷修改Internet Explorer配置。此时可使用操作中心对IE的安全状态进行监控,一旦发现配置被改动,即可立刻发出警报,并提供用于纠正问题的选项。
- 用户账户控制用户账户控制(UAC)是从Windows Vista开始增加的一个功能,可以有效地防范管理员特权的滥用。然而因为各种原因,大家对该功能的评价并不太好。不过,在Windows 7中,这一现象将彻底得到改善,因为微软已经重新设计了整个UAC功能的行为,并且提供了更细致的选项供我们根据实际情况进行调整。
- 网络访问保护这个网络访问保护也是从Windows Vista开始新增的功能,但该功能需要配合Windows Server 2008以上的服务器操作系统在域环境中使用。简单来说,在将计算机(主要是笔记本等便携式计算机)连接到企业网络之前,系统首先需要通过健康度检查,例如,是否安装了所有的补丁程序,反病毒软件定义是否为最新等。如果不符合要求,则这台计算机将无法访问网络,或者只能访问网络中被隔离的修补服务器,并通过修补服务器修复健康问题。该功能需要域环境的支持,并且需要专门的服务器,因此,并不适合一般用户使用。
操作中心中有关安全问题的内容,主要可以分为下列几种情况:
对于缺少的软件,例如缺少网络防火墙、反病毒软件或者反间谍软件,只要安装了支持 WIM 的软件,然后重新启动系统,操作中心就可以识别出新安装的软件,并更新相应类别的状态。但如果自己不知道有哪些安全软件是兼容Windows 7的,例如,还没有安装反病毒软件,希望使用一个微软推荐的软件,则可以单击相应的类别(例如,反病毒软件对应的“恶意软件保护”类别),然后单击“查找程序”按钮,这样系统会自动调用浏览器访问微软网站上的相关页面,在那里可以看到微软推荐的所有软件,并可下载和试用。
对于错误的设置,操作中心则会在对应的类别下提供一个“还原设置”按钮,只要单击这个按钮,不用知道具体有哪些设置需要改变,操作中心就会自动将不安全的设置修改为推荐的安全的设置。
如果已经安装了反病毒软件,但操作中心无法检测到该软件的存在,依然报告说没有安装反病毒软件,这时候可以单击对应类别下的“关闭有关×××的消息”链接,这样的内容就会被操作中心隐藏,不再反复提示。
另外还可能存在一种情况,为了满足使用上的特殊需要,我们可能需要使用一些不够安全的设置,例如,确实需要禁用用户账户控制功能(虽然强烈推荐不这样做),或者确实需要使用不够安全的Internet Explorer设置,但操作中心总会频繁地告诉我们这样做不够安全,显得有些烦人。这时候我们可以告诉操作中心,自己需要它监视哪些类别的安全问题,同时忽略哪些类别的安全问题。方法很简单,只要单击操作中心主窗口左侧的“更改操作中心设置”链接,随后可以看到如图所示的界面。
在这里可以根据实际需要进行选择,例如,如果不希望操作中心频繁通知我们已经知道的安全问题,可将对应的类别反选。如果随后希望重新看到相关类别的通知,也只需要在这里将其选中即可。
16、更安全的64位系统
在Windows 7中,还有一些安全方面的改进值得注意。但由于这些改进的大部分都是在内核层面上实现的,我们并不容易直观地察觉,当然也没有过多的选项可供配置相关的功能。
当前,64位计算是一个很流行的话题,那么到底什么是64位计算?相比传统的32位计算,有什么好处?又有什么不足?
这里所说的“64”位和我们常见的“32”位,都是指计算机系统总线的长度,简单来说,也就是一次可以处理的数据量。很明显,64 位系统可以处理比 32 位系统多一倍的数据。在具体的表现上,最明显的变化就是可以支持更多的物理内存。在客户端Windows领域,32位版本的Windows最多只能对3GB多的物理内存寻址,也就是说,如果计算机的物理内存超过3GB,超出的部分将无法被操作系统和应用程序使用。虽然在Windows Vista SP1以及Windows 7中,32位系统可以在系统属性等界面显示出超过3GB的内存,但并不意味着这些额外的内存可以被使用。
要获得64位环境,必须有64位的处理器,现阶段,AMD以及Intel的主流处理器基本都已经支持这一技术(x64)。除此之外,还需要有64位操作系统,以及驱动程序和软件的配合。对于x64架构(也是普通用户所能接触到的唯一64位架构环境)系统,可以运行大部分32位应用程序,但依然要求使用64位驱动程序,32位驱动程序在这种情况下根本无法安装。
注意:有关64位处理器的架构。
64位架构的处理器类型有很多,例如,Intel的安腾处理器就使用了IA-64架构,但这种硬件需要专用版本的Windows系统,主要用于服务器以及高端工作站等领域,不是普通用户所能接触到的。
对于普通用户,最常见的则是x64架构的处理器,这种环境下使用的操作系统和驱动程序,以及应用程序通常更容易获得。
对于客户端Windows操作系统,其实早在Windows XP时代就已经出现了64位版本,不过该系统是以Windows Server 2003位基础进行改进而来的,严格意义上来说,并不是原生的客户端64位Windows系统。从Windows Vista开始,微软分别提供了32位和64位客户端Windows系统,Windows 7也是如此。
现阶段,64位系统最大的不足在于驱动程序和应用程序的兼容性。虽然经过Windows Vista的铺垫,软硬件厂商都开始重视64位环境的要求,并开始提供64位的驱动程序,但兼容性问题依然存在。应用程序的兼容性问题还很简单,因为大部分32位应用程序都可以在64位系统中正常运行,但缺乏相应的驱动程序,硬件无法正常工作,这一点自然是无法接受的。因此,在Windows Vista时代,64位环境主要出现在对性能有较高要求的专业用户中,普通用户很少会用这种系统。
从Windows 7开始,情况有了很大好转。对于大部分主流的硬件产品,基本上都有了64 位驱动,而且 64 位应用程序也越来越多。再加上硬件技术的发展,尤其是大内存(超过3GB内存)用户的增加,64位也开始逐渐走进普通用户的桌面。
在Windows 7中,要判断自己的系统环境是32位或者64位,可以打开“开始”菜单,用鼠标右键单击“计算机”,选择“属性”,打开如图所示的系统属性窗口,在“系统类型”一栏中,即可知道自己的操作系统类型。
在使用64位环境后,除了可以使用更多的内存外,还有很多其他的好处,最主要的可能就是一些需要较大运算量或内存占用多的专业程序,例如图形和视频处理、编辑软件、数据库应用等。因为应用程序在64位环境下可以使用更多的内存,并且处理器的总线更宽,数据的传输速度更快。因此,在一些专业领域,如果能配合使用64位应用程序,操作效率将得到大幅度提高。
那么对于普通用户,如果不需要处理大量的数据,不需要使用大量的内存,64位是否毫无价值?其实也并不是这样,它可以获得更好的安全性。对于64位Windows,因为使用了与传统的32位系统完全不同,并且更先进的内核,因此,可以从中获得大量有关安全性的改进,就算是普通用户,如果可以使用64位环境,系统的安全性也将得到很大的提高。
注意,这些改进是64位Windows 7独有的。
1. 数据执行保护
在对计算机系统进行攻击时,缓冲区溢出攻击是一种很常见的做法。缓冲区是在内存中划分出的一块供应用程序临时存储数据的区域,每个应用程序可以使用的缓冲区大小是固定的,而一旦应用程序尝试给缓冲区中写入超过固定大小的数据,就会导致缓冲区溢出,这将导致超出缓冲区大小的数据会覆盖掉内存中的其他非缓冲区数据。这个就像是一个水池,装水的容量是固定的,如果一定要装入更多的水,那么自然会溢出到水池外。
因此,攻击者可能会尝试输入超出应用程序可接受范围的数据的方式,在系统内存中产生缓冲区溢出现象,而如果攻击者的技术水平够高,就会使得“溢出”的数据成为某种指令,让操作系统执行某些恶意代码,并且这一执行工作是按照被溢出的程序的特权级别来运行的。可想而知,如果是Windows系统本身,或者某些需要高特权的应用程序存在缓冲区溢出漏洞,攻击者将使用非常高的特权执行自己的恶意代码,并导致严重的后果。
为了防范这种攻击方式,从Windows XP SP2开始,微软提供了数据执行保护(Data Execution Prevention,DEP)功能,该功能会将内存区域按照所保存内容的不同,明确标注为“数据代码”或“应用程序代码”,对于“数据代码”区域中的内容,操作系统是绝对不会执行的,而通常用户所输入的或者通过网络获得的数据,都会保存在“数据代码”区域中。因此,通过这种方式可以彻底防范缓冲区溢出攻击。
其实,32位Windows中也包含DEP功能,不过是通过软件形式实现的,而64位Windows则可以充分利用64位处理器所包含的硬件DEP功能,在硬件层面上实施DEP保护。因此,这样的保护更难以被攻破。
要配置Windows 7的DEP功能,请按照下列步骤操作:
- 打开“开始”菜单,在“计算机”上单击鼠标右键,选择“属性”,打开系统属性窗口。
- 在窗口左侧的列表中单击“高级系统设置”,打开系统属性对话框,单击第一个“设置”按钮,打开“性能选项”对话框。
- 选择“数据执行保护”选项卡,随后可以看到如图所示的内容。
- 在对话框底部可以看到本机所能支持的DEP模式。如果使用了64位处理器,那么从这里可以看到,本机支持“基于硬件的 DEP”,否则将显示为“基于软件的DEP”。
- 默认情况下,系统只针对重要的Windows服务和内建程序启用DEP功能,我们安装的其他应用程序将无法受到保护。因此,如果希望获得更全面的保护,可以选中“为除下列选定程序之外的所有程序和服务启用DEP”选项。
- 通过上述设置,系统中运行的所有内容都将受到DEP的保护。然而该功能存在一定的问题,如果某个程序的编写不够完善,即存在Bug,可能导致完全无法正常运行,或者运行一段时间后自动出错并退出的情况。因此,在进行上述设置后,如果发现某个程序开始出错,可以将其添加到列表中,这样系统就不会对该程序启用DEP。为此,只需要单击“添加”按钮,并将该程序的可执行文件(.exe)添加到列表中即可。
DEP功能可以有效地防范缓冲区溢出攻击,然而需要提醒注意的是,缓冲区溢出攻击并非唯一的攻击方式,因此,不能因为启用了DEP就不使用其他安全软件。反病毒软件、反间谍软件,以及网络防火墙等安全工具的使用还是很有必要的。
2. Kernel Patch Protection
所有64位版本的Windows都支持Kernel Patch Protection(KPP,内核补丁保护)技术。KPP技术可以防范未经授权的软件对Windows内核执行的修补操作,因此,可以进一步增强涉及整个系统的性能、安全性,以及可靠性的Windows内核的安全。
KPP功能可以检测对内核内存中重要位置的改动操作,如果改动是通过未经授权的方式(例如用户模式的应用程序试图恶意调用某些操作系统函数)进行的,那么,KPP会立刻生成一个STOP错误(也就是让整个操作系统蓝屏挂起),防止系统内核被恶意修改。同时,该功能还可防范内核模式的驱动(要知道,很多病毒或恶意软件为了感染或驻留在系统中,往往会给系统中安装驱动程序)影响到重要的内核服务,或者其他第三方软件更改系统内核。
根据微软的介绍,如果驱动程序尝试执行下列操作,KPP功能将会生成STOP错误:
- 修改系统服务表。
- 修改中断描述表(InterruptDescriptorTable,IDT)。
- 修改全局描述表(GlobalDescriptorTable,GDT)。
- 使用并非由内核所分配的内核堆栈。
- 在AMD64架构的系统中对内核进行任何形式的更新。
由此可见,在正常运行Windows的过程中所遇到的蓝屏死机,并非总是代表系统不稳定,有些情况下属于系统的自我保护手段。因此,如果遇到蓝屏死机问题,还需要结合错误信息仔细分析。
对于普通用户,KPP没有任何可供配置的选项。不过一定要确保自己使用的所有设备驱动都是符合要求的。
3. 驱动强制签名
对于NT架构的操作系统(例如Windows 2000/XP/2003/Vista/2008/7)本身已经非常稳定,但很多人在使用过程中依然会遇到各种各样奇怪的问题,甚至蓝屏死机。实际上,这些问题大部分情况都是由于硬件故障、第三方软件编写不完善,或者有Bug的驱动程序导致的,而驱动程序的问题可能是其中最重要的。
驱动是一种特殊的程序,往往要工作在操作系统的内核中才能让操作系统以及其他软件正确使用硬件设备。而这也就导致驱动几乎可以不受限制地访问任何系统资源。因此,如果使用的驱动编写有问题,或存在 Bug,或者系统中被安装了包含驱动的恶意软件,可能会对系统的稳定性和安全性产生很大影响,而这一点在任何操作系统上都是一个不可避免的问题。
对于普通用户,在Windows Vista刚发布的时候可能已经深刻了解到驱动可以对操作系统产生的影响。在Windows Vista刚发布的时候,如果运行国内某个非常著名的聊天软件,只要在该软件的登录界面上单击密码输入框,输入密码,系统会立刻蓝屏死机,其实这就是驱动程序导致的。为了保护密码安全,该聊天软件的密码输入框经过了特殊处理,需要使用特殊的驱动程序对输入的内容进行加密,防范密码盗取软件(没错,虽然这是一个纯粹的软件,但也有驱动,并不是只有硬件设备才需要安装驱动,很多软件为了实现某些特殊的功能,也需要驱动)。然而该软件密码输入框所用的驱动不够完善,不能兼容Windows Vista,因此,一旦单击密码输入框,系统就会立刻死机。
为了减少驱动程序对系统的影响,早在Windows 2000时代,微软就开始对驱动程序实施数字签名机制。简单来说,硬件厂商可以将自己设备的驱动程序提交给微软,由微软在自己的Windows硬件质量实验室(Windows Hardware Quality Lab,WHQL)中对驱动的功能、可靠性、安全性等诸多方面进行测试,如果能测试通过,则会给驱动程序添加微软的数字签名,然后直接包含到Windows中,或通过Windows Update网站提供,另外,也可以由硬件制造商通过自己的网站提供下载。只要驱动程序带有微软的数字签名,就意味着该驱动被微软证实是安全可靠的,不会影响到系统的稳定性和可靠性。不过这项策略在前几年并非是强制的,默认设置的Windows中,如果安装不包含微软签名的驱动,Windows只会提示用户可能存在的风险,并由用户决定要采取怎样的操作。
为了进一步提升可靠性,对于64位的Windows Vista和Windows 7,如果要安装内核模式的驱动,必须使用带有微软数字签名的驱动,否则这样的驱动就算安装成功,操作系统也不会加载,因此,这样的驱动并不会进入操作系统内核。虽然带有签名的驱动程序并不意味着是绝对安全的,但至少可以保证带有驱动的恶意软件不会进入到内核,并借此降低系统受到攻击的风险。
强制签名的另一项好处是,可以更清晰地知道某个驱动的来源。为了让自己的驱动获得微软的签名,硬件厂商在提交自己的驱动给微软的同时,还需要提供自己的详细信息,微软会根据这些信息为每个驱动创建标识符。这样,一旦驱动导致系统崩溃或其他问题,通过Windows的错误报告机制,微软就可以知道问题具体是由哪个驱动导致的,这个驱动又是谁发布的。在收集了大量这样的信息后,还可以直接将相关内容告诉驱动的作者,由作者改进自己的驱动。
默认情况下,在64位Windows 7中驱动签名是被强制启用的,并且无法通过常规途径关闭。毕竟这是确保系统可靠和安全的一个重要方式。然而有些时候我们可能也需要安装不包含签名的驱动,例如开发人员在开发驱动的时候,不可能为没有正式发布的驱动添加签名;或者为了使用一个老硬件,不得已只能安装不包含签名的驱动,这种时候又该怎样做?
如果只希望加载未签名驱动程序一次,例如,驱动程序开发人员希望测试自己开发的驱动,可以按照下列步骤操作:
重新启动计算机,在BIOS自检之后按下“F8”键,打开如图所示的高级启动选项页面。
通过键盘上的方向键,选中“禁用驱动程序签名强制”选项,并按下回车键。系统会自动启动,并且会加载未经签名的驱动。
如果重新启动系统,并使用正常方式启动,此类驱动将被禁止加载。
如果是一般用户,希望在64位Windows 7中使用驱动未经签名的硬件设备,则需要永久性禁用强制驱动签名,为此,可执行下列操作:
打开“开始”菜单,在搜索框中输入“cmd”,在搜索结果中的“程序 cmd”上单击鼠标右键,选择“以管理员身份运行”,打开管理员权限的命令行窗口。
运行下面两条命令:
bcdedit.exe -set loadoptions DISABLE_INTEGRITY_CHECKS
bcdedit.exe -set TESTSIGNING ON
重新启动系统,强制驱动签名功能将被彻底禁用。
在经过上述操作之后需要注意,Windows 7对驱动程序的限制将完全失效,虽然这样可以让老硬件正常使用,但同时也存在着一定的风险。如果希望重新启用强制签名,则可以在管理员身份的命令行窗口中运行下面两条命令:
bcdedit,exe -set loadoptions ENABLE_INTEGRITY_CHECKS
bededit.exe -set TESTSIGNING OFF
17、更安全的系统内核
除了64位Windows 7中的安全性改进外,在Windows 7中还有很多与安全有关的改进,并且32位版本的Windows也可以享受到。
1. 代码完整性检查
在Windows启动的过程中,代码完整性(Code Integrity,CI)功能会验证系统文件没有被恶意篡改,并确定内核模式中没有运行未经签名的驱动。此时,启动加载程序会检查内核、硬件抽象层(HAL),以及驱动程序的完整性。在通过验证后,CI 还会检查任何需要被加载到内核内存空间中的库文件的完整性,不仅如此,C I还需要验证被加载到受保护进程中的库文件,以及与系统加密算法有关的动态链接库文件。所有这一切工作都是自动进行的,不需要用户的干预,也没有可配置的选项。
这样做的目的是什么?如果系统感染了病毒,恶意修改系统文件;或者在计算机关机的情况下遭受了脱机攻击,可能会威胁到操作系统的安全。在这种情况下,通过CI的检测可以确保所有重要的文件没有被恶意篡改。Windows 7中的CI可对所有的系统文件,以及内核模式的驱动程序文件进行完整性检查。一旦发现问题,如果该问题存在于驱动中,这样的驱动会被禁止加载;如果是系统文件有问题,整个系统可能会无法启动,此时可以使用安装光盘修复计算机,以替换被篡改的文件。
2. Windows资源保护
任何运行于内核模式的代码都有可能导致内核数据的损坏,而这些问题的诊断和修复可能非常困难,也非常麻烦。
Windows 7可以保护系统设置,防范可能导致系统故障或崩溃的错误设置和改动,这个功能叫做Windows资源保护(Windows Resource Protection,WRP),它属于老版本Windows 中文件保护功能的继任者。该功能可以为重要的系统设置、文件,以及文件夹设置非常严格的 NTFS 访问控制列表,防范这些内容被不可信赖的程序修改(管理员用户的修改也将受到限制),这样也可以避免由于无意中改动重要的系统设置导致系统不稳定。
在Windows 7中,可以受到Windows资源保护功能保护的内容包括:
- 可执行文件、库文件,以及其他Windows自带的重要文件。
- 重要的系统文件夹。
- 重要的注册表键设置。
由于该功能的存在,Windows 7必须安装到NTFS文件系统的分区上,因为这样才能对重要的内容设置访问权限。为了证明这一点,可以用鼠标右键单击Windows文件夹,选择“属性”,打开“属性”对话框,接着打开“安全”选项卡。从该文件夹的权限设置中即可看到,就算是Administrators组的成员,对该文件夹所具有的权限也非常有限,因此,就算恶意代码以管理员身份运行,也无法对重要的系统位置执行可能影响到安全性的操作,进一步保护系统的整体安全性。
该功能没有可配置的选项。
3. Windows服务加固
以前,很多攻击方式(尤其是蠕虫)都会利用Windows服务中存在的漏洞进行网络攻击,这主要是因为很多Windows服务都需要监听传入的连接,并且通常具有系统级的特权。因此,一旦出现漏洞,就可以让攻击者通过远程的方式执行高权限任务。
Windows 7中提供的Windows服务加固(Windows Service Hardening)功能对所有的Windows 服务进行限制,使其只能在文件系统、注册表、网络,或其他可能被恶意软件利用的资源中执行常规的活动,例如,Windows 7中的远程过程调用(RPC)服务就被限制为只能在预定的端口上进行网络通信,这样就可以排除通过更换系统文件或修改注册表的方式执行恶意操作的可能。Windows 服务加固功能会强制对所有服务的应用所必需的最小特权级别,只为服务分配完成任务所必需的特权。然而Windows服务加固功能并不能防范有漏洞的服务被攻陷(这个任务应该由防火墙和自动更新功能实现),只是限制了当一个服务被攻陷后,可能导致的损失和破坏。
Windows服务加固功能可通过下列手段降低被攻陷服务所造成的影响:
- 为每个服务添加安全标识符(SID),使得不同的服务可被正确区分,并可利用现有的Windows访问控制模型对每个服务可访问的对象和资源进行限制。
- 将服务原本使用的LocalSystem转为使用特权更少的账户,例如,LocalService或NetworkService,这样可以进一步降低服务的权限级别。
- 将每个服务中非必需的Windows特权进行严格限制。
- 为服务实施写入限制令牌,使得服务只能访问有限的文件和其他资源,而无法修改系统的其他部分。
- 为服务分配网络防火墙策略,防范服务涉及用途之外的不必要的网络访问,而且这些防火墙策略还可以直接针对每个服务的SID进行分配,也可以忽略用户在防火墙中设置的例外或规则。
Windows服务加固功能的主要目标是降低用户管理服务的工作量,因为Windows 7中的每个服务都已经被分配了预定义的Windows服务加固配置文件,并且这些配置文件会在Windows 启动的时候自动应用,完全不需要用户的干预,因此,该功能没有可供配置的选项。
4. 地址空间布局随机化
地址空间布局随机化(Address Space Layout Randomization,ASLR)是Windows 7中的另一项安全功能,可以让恶意代码更加难以攻破系统。当计算机启动后,ASLR 会将包含操作系统在内的可执行映象(例如.dll和.exe文件)随机分配到内存中众多可能的地址位置之一。因此,恶意代码将更加难以确定可执行文件的内存地址位置,也更加难以攻破。