Windows 7 6292A 筆記 - CH06 Windows7 桌面安全性 ~ 不自量力の Weithenn

前言

以下為 6292A - Installing and Configuring Windows7 Client 教育訓練課程時，第六章-Windows7 桌面安全性 (Module 6: Securing Windows 7 Desktops) 的筆記。

Action Center

Action Center 設定要不要開防火牆，偵測有沒有裝防毒軟體。

Local Security Policy (本機安全性原則)

DC 的 GPO 設定存放於 \Sysvol 這個 Share Folder，所以 Client 連入網路後去 下載 GPO 後再套用，本機的 GPO 存放於 %systemroot%\System32\GroupPolicy 內，所以沒連上網路也會執行。

Group Policy

Policy 執行順序 (項目 2 ~ 4 GPO 為從 AD 獲得)：
1. Local Policy 存放於本機
2. Site GPO
3. Domain GPO
4. OU GPO

可針對不同的本機使用者設定不同的 Group Policy

MMC > File > Add/Remove Snap-in > Group Policy Object > Add > Browse > User

EFS

EFS 針對檔案進行保護 (BitLocker 針對 Volume 進行保護)
EFS 打開編輯或存檔為採用 Transparent 方式，表示過程中不用在做任何動作
EFS 執行環境是 Public/Private 及憑證

第一次使用 EFS 時系統會向 CA 申請憑證，若失敗則會自行產生 Self-Signed Certificate (有效期 100 年)，如何查看使用者個人憑證資訊？

mmc > file > add/remove snap-in > certificate > add > Personal > Certificates

如何避免使用者利用 EFS 加密檔案後該如何解密呢？

1. 檔案經過 EFS 加密後，該檔案會多了二個欄位 (檔案 > Advanced > EFS Detail)
2. DDF 誰可以存取
3. DRA (Data Recovery Agent)，必須預先指定 (日後才有辦法解開!!)，不然就是要產生 DRA 之後騙使用者打開 EFS 加密檔案，這樣系統才會把 DRA 塞入

如何預先指定 DRA？

1. 管理者登入 > cipher /r:admin //產生 cer 及 pfx 檔案 (admin 為檔案名稱)
2. 開啟 .pfx 匯入 Private Key
3. gpedit.msc //把剛才產生的 Administrator 的 CER 匯入 (Local Group Policy)

> Computer Configure
> Windows Settings
> Security Settings
> Public Key Policy
> EFS
> 右鍵 > Add Data Recovery Agent
> 選 .cer

4. 使用者 EFS 加密後 DRA 日後可以搶回來

BitLocker

安裝時的 100MB 就是用來存放 BitLocker 資料用的，所以若不用 BitLocker 可以把這個 100MB 拿掉 (這 100mb 只針對開機)。

保護 Volume
即使 NB 被偷其硬碟資料無法被讀取
BitLocker To Go 針對隨身裝置例如 USB

設定 F: 套用 BitLocker 會先設定密碼 (此為以後要進入 F 要先輸入密碼)，會有一組 Recovery Key 48 位數字 (用來當上述密碼忘記時)，加密 Key 可存放於下列裝置 (但有損壞或遺失的風險)。

主機板上的 TPM
或 USB

System integrity verification 例如設定好 BitLocker 之後又去改了 BIOS 之後會因為偵測到與當初不同造成無法開機 (加密開機磁碟常常會有這種狀況)，常常發生的原因如下：

BIOS 變更
Kernel Driver
安裝 Service Pack
TPM 模組或 USB 損壞

GPO 套用 BitLocker 的設定路徑

Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption

AppLocker

AppLocker 從 Windows 7 才有的新功能

取代原有的 Software Restriction Policy (軟體限制原則)
預設的三個 Rule 不要重會出問題
路徑為 GPO > Computer Configuration > Windows Settings > Security Settings > Application Control Policies > AppLocker

如何設定 AppLocker 才會動？下列三項達成 AppLocker 才會運作

設 Rule
啟用 GPO > AppLocker > 右鍵 > 內容 > 勾選第一個 Configure(Executable Rule) 選項才會 Enable
啟用服務 Application Identity

當 Software Restriction Policy 與 AppLocker 衝突時？

例如 SRP 說可執行 Skype 而 AppLocker 說不行時怎辨？最後結果以 AppLocker 為準

UAC

為 Windows 7 內建的功能，只要執行的應用程式會碰觸到 "系統設定" 就會發生效用
對象 Standard User：詢問帳號及密碼
對象 Administator：只會問是/否繼續

UAC Notification Settings

第二項畫面會變灰
第三項畫面不會變灰

主要差別是第三項畫面不會變灰，選第二項當 Remote Desktop 時畫面變灰時會出問題

Firewall

本機
Packet Filter
只對 "進入(Inbound)" 的封包做篩選

Firewall with Advanced Security (WFAS)

可對 "進入 / 連出" 的封包做篩選
設定 IPSec (設定後可查看狀態)

IE 8

內建於 Win7
無法降版本，無法移除 (因為跟檔案總管綁一起，移掉會有問題)
支援相容性 (IE7)
InPrivate Browsing 這台電腦不會留下你個人的足跡，開啟 IE 後 URL 旁邊會有 InPrivate 表示不會留足跡
InPrivate Filtering，SmartScreen 連到某個網站時會去問 Microsoft SmartScreen 這個網站有沒有通報釣魚網站或其它問題 (連線速度較慢)

ActiveX 可分為