對于保護計算機的安全，有幾個顯而易見的基本步驟：保持計算機使用最新操作系統和應用程序更新，確保安裝了最新的反間諜軟件和防病毒軟件，使用復雜密碼并定期更改。在本文中，我將介紹這些基本策略以外的一些安全提示，幫助您更好地利用 Windows 7 的安全功能。

準備 BitLocker

Windows 7 中最顯著的安全性改進之一是 BitLocker，這是在 Windows Vista 中首次引入的硬盤加密和啟動環境完整性保護技術。.Windows 7 企業版和旗艦版中包含 BitLocker。該技術可確保只要便攜式計算機在被盜或丟失時處于關閉狀態，未授權用戶就無法從失蹤的便攜式計算機的硬盤驅動器恢復數據。

然而，BitLocker 也帶來了一個難題，即在出現鎖定受保護卷的硬件故障后的數據恢復問題。因此，雖然 BitLocker 可提供出色的保護，但是很多 IT 專業人員仍然覺得有問題，因為他們往往只有在必須執行恢復操作時才會注意到它。

數據恢復需要訪問與鎖定卷關聯的 BitLocker 密鑰或密碼。盡管對于較少數量的計算機，跟蹤這些內容比較簡單，但是對于數百臺計算機則困難得多。

組策略可幫助 IT 專業人員配置 BitLocker，使其僅在恢復密鑰和密碼成功備份到 Active Directory 時才能激活。通過改進 Windows Server 2008 R2 中的 Active Directory 用戶和計算機控制臺和運行 Windows 7 的計算機的遠程服務器管理工具，已大大簡化了對這些恢復數據的提取。查找恢復密碼和密鑰也比使用 Windows Vista 中的工具要簡單許多。

可以從 BitLocker 恢復選項卡訪問 BitLocker 恢復密鑰和密碼，而不必下載、安裝和配置專用工具。在 Active Directory 用戶和計算機中查看計算機帳戶屬性時可看到這些信息。確保備份 BitLocker 密鑰和密碼的過程包含三個步驟：

1. 在 BitLocker 保護的系統的計算機帳戶組策略中，導航到“計算機配置”|“Windows 設置”|“管理模板”|“Windows 組件”|“BitLocker 驅動器加密”。

2. 現在，如果計算機只有一個存儲驅動器，請導航到“操作系統驅動器”節點并編輯“選擇如何才能恢復受 BitLocker 保護的操作系統驅動器”策略。如果計算機有多個存儲驅動器，則還應轉到“固定數據驅動器”節點并編輯“選擇如何才能恢復受 BitLocker 保護的固定數據驅動器”策略。請注意，雖然可以將其配置為相同的設置，但是這些策略應用于不同的驅動器。

3. 若要配置 BitLocker 以便在 BitLocker 保護激活時可以將密碼和密鑰備份到 Active Directory，請確保啟用以下設置：

為操作系統驅動器將 BitLocker 恢復信息保存到 AD DS 中（或在適當時候為固定數據驅動器）

在為操作系統驅動器將恢復信息存儲到 AD DS 之前禁止啟用 BitLocker（或在適當時候為固定數據驅動器）

僅當應用策略后才會備份受保護卷的密鑰和密碼。在實現策略前針對 BitLocker 保護配置的卷不會自動將其密鑰和密碼存儲在 Active Directory 中。必須在這些計算機上禁用并重新啟用 BitLocker，才能確保這些恢復信息存儲到 AD DS 數據庫中。

配置數據恢復代理程序

如果需要恢復受 BitLocker 保護的卷而不輸入特定計算機帳戶的唯一密碼或 PIN，還可以選擇使用另一種方法，即數據恢復代理程序 (DRA)。這是一種與用戶帳戶關聯的特殊類型的證書，可用于恢復加密數據。

BitLocker 數據恢復代理程序通過在“添加數據恢復代理程序”向導（我將簡要討論一下該向導）中編輯組策略并指定 DRA 證書來進行配置。不過，若要使用該向導，必須在可訪問的文件系統上提供 DRA 證書，或在 Active Directory 中發布該證書。承載 Active Directory 證書服務角色的計算機可以頒發這些證書。

必須恢復數據時，在本地安裝 DRA 證書的用戶帳戶將無法解除對受 BitLocker 保護的卷的鎖定。通過導航到“計算機配置”|“Windows 設置”|“安全設置”|“公鑰策略”節點，右鍵單擊“BitLocker 驅動器加密”，然后選擇“添加數據恢復代理程序”選項，可以訪問“添加數據恢復代理程序”向導。

若要通過 DRA 使用 BitLocker，還必須在“選擇如何才能恢復受 BitLocker 保護的操作系統驅動器”策略中（適當時候還要在固定數據驅動器策略中）選中“啟用數據恢復代理程序”復選框?？梢允褂?DRA 和 Active Directory 密鑰/密碼備份來恢復受 BitLocker 保護的相同卷。

DRA 恢復只能用于受 BitLocker 保護并且在執行策略后啟用了 BitLocker 的卷。此方法相對于密碼/密鑰恢復的優點在于使用 DRA 函數作為 BitLocker 主密鑰。這使您可以恢復在該策略影響下加密的任何受保護卷，而不必為要恢復的每個卷查找唯一密碼或密鑰。

BitLocker To Go

如今很多可移動存儲設備的平均存儲容量都接近十年前大多數小型和中型部門級別文件共享的容量。這帶來了幾個難題。

首先，當可移動存儲設備丟失或被盜時，可能會破壞大量組織數據。更大的問題可能在于，盡管用戶丟失便攜式計算機時會很快通知 IT 部門，但是丟失可能包含數 GB 組織數據的 USB 存儲設備時，他們不會感到同樣緊張。

BitLocker To Go 是隨 Windows 7 引入的一項新功能，使用該功能可以通過與 BitLocker 為操作系統和固定驅動器提供的方式類似的方式來保護 USB 存儲設備。通過組策略，可以對組織中的計算機進行限制，使這些計算機只能向受 BitLocker To Go 保護的可移動存儲設備寫入數據。這樣可以確保在用戶丟失某個可移動設備時，至少該設備上的數據是加密的，未授權的第三方無法輕易訪問這些數據，從而增強了安全性。

相關的 BitLocker To Go 策略位于“計算機配置”|“管理模板”|“Windows 組件”|“BitLocker 驅動器加密”| 組策略項目的“可移動數據驅動器”節點。這些策略包括：

控制對可移動驅動器使用 BitLocker。使用此策略可配置對可移動驅動器使用 BitLocker 的方式，包括普通用戶是否可以對可移動設備啟用或禁用該功能。例如，您可能希望特定用戶將數據存儲在已配置了保護功能的可移動設備上，但阻止這些用戶使用該功能配置其自己的設備。

拒絕對不受 BitLocker 保護的可移動驅動器的寫訪問。使用此策略可以限制用戶，使其只能向受 BitLocker To Go 加密保護的設備寫入數據。啟用此策略后，未授權人員無法輕易訪問寫入某個可移動設備的數據，因為該設備受加密保護。

選擇如何才能恢復受 BitLocker 保護的可移動驅動器。使用此策略可以配置數據恢復代理程序或在 Active Directory 中保存 BitLocker To Go 恢復信息。此策略非常重要，因為如果選擇實現 BitLocker To Go 來保護可移動設備上的數據，則您應具有一種策略，用于在出現用戶忘記其 BitLocker To Go 密碼這種不可避免的情況時恢復數據。

為某個可移動存儲設備配置了 BitLocker To Go 時，用戶必須在另一臺計算機上輸入密碼才能解除對該設備的鎖定。輸入密碼后，用戶便會在運行 Windows 7 企業版或旗艦版的計算機上擁有對該設備的讀/寫訪問權限。您還可以將 BitLocker To Go 配置為允許用戶在運行其他 Microsoft 操作系統版本的計算機上對受 BitLocker To Go 保護的數據進行只讀訪問。

如果您的組織準備使用 BitLocker To Go，則在丟失或忘記密碼時需要某種數據恢復策略。配置 BitLocker To Go 恢復的方式與配置 BitLocker 恢復的方式類似。在這種情況下，必須設置“計算機配置”|“Windows 設置”|“管理模板”|“Windows 組件”|“BitLocker 驅動器加密”|“可移動數據驅動器”|“選擇如何才能恢復受 BitLocke 保護的驅動器”策略。

可以將 BitLocker To Go 密碼備份到 Active Directory 中，有權訪問 Active Directory 用戶和計算機控制臺的管理員和最初用于保護設備的計算機帳戶可以在其中使用這些密碼。還可以配置策略以便使用 DRA 保護數據，從而使分配了 DRA 證書的用戶可以從驅動器恢復數據，而無需恢復各個密碼。

配置 AppLocker

不存在可以捕獲所有惡意程序的反惡意軟件實用工具。AppLocker 可以多添加一層保護。使用此技術可以創建一個已知安全的應用程序列表，并限制不在該列表中的應用程序的執行。雖然這種保護計算機的方法對定期運行不常用的新軟件的人來說有點麻煩，但大多數組織都采用逐步進行應用程序更改的標準系統環境，因此只允許執行顯示綠燈的應用程序更加實用。

可以擴展這組 AppLocker 授權規則，使其不僅包含可執行文件，還包含腳本、DLL 和 MSI 格式的文件。除非通過規則對可執行文件、腳本、DLL 或安裝程序授權，否則不會執行這些項目。

AppLocker 采用一個自動為授權應用程序創建規則列表的向導，從而簡化了這一過程。這是 AppLocker 相對于軟件限制策略（以前的 Windows 版本中具有類似核心功能的一項技術）的一個重大改進。

AppLocker 還可以使用通過文件發行者數字簽名標識文件的規則，因此您可以創建包含文件的當前和未來版本的規則。這樣管理員在應用軟件更新后就不必更新當前規則了。修改后的可執行文件、腳本、安裝程序或 DLL 仍受原始規則約束。使用軟件約束策略時不可能做到這一點，因為這些策略會強制管理員在軟件配置發生更改時更新規則。

若要創建可以應用到其他計算機的 AppLocker 策略規則的引用集，請執行以下步驟：

1.     使用要在環境中執行的所有應用程序配置運行 Windows 7 的引用計算機。

2.     使用具有本地管理員權限的用戶帳戶登錄該計算機。

3.     通過從“搜索程序和文件”文本框中運行 Gpedit.msc 來啟動“本地組策略編輯器”。

4.     導航到“計算機配置”|“Windows 設置”|“安全設置”|“應用程序控制策略”|“AppLocker”| 本地 GPO 的“可執行規則”。右鍵單擊“可執行規則”節點，然后單擊自動生成新規則。這將啟動自動生成可執行規則向導。

5.     在標有“包含要分析的文件的文件夾”的文本框中，輸入 c:\。在標有“命名以識別此規則集”的文本框中，輸入“所有可執行文件”，然后單擊“下一步”。

6.     在“規則首選項”頁上，選擇“為經過數字簽名的文件創建發布者規則”，如果文件未經過簽名，則還需選擇“文件哈希: 規則是使用文件哈希創建的”。確保未選中選項“通過對類似文件進行分組來減少規則數”，然后單擊“下一步”。

7.     規則生成需要一段時間。生成規則后，單擊“創建”。當提示是否要創建默認規則時，單擊“否”。不必創建默認規則，因為通過為引用計算機上的所有可執行文件創建規則，您已經創建了等效的更全面的默認規則。

8.     如果計算機將應用程序存儲在多個卷上，請重復步驟 5 到 7，運行自動生成可執行規則向導時輸入相應的驅動器號。

9.     生成規則后，您便可以采用 XML 格式導出允許的應用程序列表，方法是右鍵單擊 AppLocker 節點，然后單擊“導出策略”。還可以將這些規則導入其他組策略對象，如應用于您組織中的便攜式計算機的那些對象。通過策略應用這些規則，可以限制應用程序的執行，從而僅允許執行引用計算機上存在的應用程序。

10.  配置 AppLocker 時，需要確保通過服務控制臺啟用應用程序標識服務，并確保通過策略執行可強制執行規則。如果禁用此服務，則不會應用 AppLocker 策略。雖然可以在組策略中配置服務啟動狀態，但是您必須限制哪些用戶具有本地管理員訪問權限，從而使其無法繞過 AppLocker。通過右鍵單擊“計算機配置”|“Windows 設置”|“安全設置”|“應用程序控制策略”|“AppLocker”節點，然后單擊“策略”，可啟用可執行規則的強制執行。啟用“可執行規則”下的“已配置”選項，然后確保選擇了“強制規則”。

希望這可幫助您學習如何實現和恢復 BitLocker、使用 BitLocker To Go 以及配置 AppLocker 策略。使用這些技術以及常規維護任務（如確保保持計算機使用最新的更新、防病毒軟件和反間諜軟件程序）將增強您組織中運行 Windows 7 的計算機的安全性。

本文地址

本文來源：微軟TechNet中文站

【編輯推薦】

1. Windows 7安全機制十大革新
2. Windows 7安全模式使用技巧：修復系統故障
3. 深入討論如何保護Windows 7安全
4. 企業級Windows 7安全性能分析