Windows 7安全指南

章节摘录

插图：对于缺少的软件，例如缺少网络防火墙、反病毒软件或者反问谍软件，只要安装了支持WIM的软件，然后重新启动系统，操作中心就可以识别出新安装的软件，并更新相应类别的状态。但如果自己不知道有哪些安全软件是兼容windows 7的，例如，还没有安装反病毒软件，希望使用一个微软推荐的软件，则可以单击相应的类别（例如，反病毒软件对应的“恶意软件保护”类别），然后单击“查找程序”按钮，这样系统会自动调用浏览器访问微软网站上的相关页面，在那里可以看到微软推荐的所有软件，并可下载和试用。对于错误的设置，操作中心则会在对应的类别下提供一个“还原设置”按钮，只要单击这个按钮，不用知道具体有哪些设置需要改变，操作中心就会自动将不安全的设置修改为推荐的安全的设置。如果已经安装了反病毒软件，但操作中心无法检测到该软件的存在，依然报告说没有安装反病毒软件，这时候可以单击对应类别下的“关闭有关×××的消息”链接，这样的内容就会被操作中心隐藏，不再反复提示。另外还可能存在一种情况，为了满足使用上的特殊需要，我们可能需要使用一些不够安全的设置，例如，确实需要禁用用户账户控制功能（虽然强烈推荐不这样做），或者确实需要使用不够安全的Intemet EXplorer设置，但操作中心总会频繁地告诉我们这样做不够安全，显得有些烦人。这时候我们可以告诉操作中心，自己需要它监视哪些类别的安全问题，同时忽略哪些类别的安全问题。方法很简单，只要单击操作中心主窗口左侧的“更改操作中心设置”链接，随后可以看到如图1-38所示的界面。在这里可以根据实际需要进行选择，例如，如果不希望操作中心频繁通知我们已经知道的安全问题，可将对应的类别反选。如果随后希望重新看到相关类别的通知，也只需要在这里将其选中即可。

前言

很多人都认为，Windows操作系统的安全性太差。其实，对于新的Windows操作系统，例如Windows Vista/7，系统的安全性已经得到了空前的加强，然而依然有很多人在使用这些操作系统的时候因为安全问题而受到损失，到底是什么原因？ 其实在计算机安全方面，也一直存在“木桶原理”，就像一只用木板拼成的木桶，桶里能装多少水，并不取决于最长的木板，而取决于其中最短的木板。可能操作系统本身已经很安全，但因为使用的人缺乏安全意识，也有可能导致操作系统在提高安全性方面所做的全部努力付之东流。 在现在的Windows操作系统中，几乎所有选项的默认设置都是以保证安全性为前提的。然而安全性和易用性永远都是对立的，如果要实现更高的安全性，在易用性方面肯定会大打折扣。因此，很多人在使用过程中为了贪图方便，往往会修改一些默认的系统设置，导致系统变得不够安全。而一旦遇到安全性问题，往往会觉得这是操作系统做得不好，并不会想到是因为自己修改的设置导致了一系列的不安全问题。 对于使用Windows的大部分一般用户来说，他们并不需要对计算机有多么高深的了解，他们只需要像使用一般电器那样打开计算机，然后学习、工作或者娱乐，并在用完之后直接关掉就可以，Windows可以很好地满足这些人的需求。也许有更加安全的操作系统，但对于大部分用户来说，这类系统无论是安装、设置还是使用，都存在不小的难度，甚至可能根本无法在这些操作系统上完成自己需要的工作。因此，大部分人依然在使用Windows，并希望努力让Windows变得更安全，或者至少不要因为自己的疏忽带来安全问题。 一般来说，如果希望自己的计算机更安全，我们应该从以下方面着手： ·随时保持操作系统和应用程序安装了最新的补丁：现在的软件越来越复杂，存在安全漏洞也是在所难免的。因此，无论是操作系统还是一般的应用程序，只要有安全方面的更新，就应该尽快安装，只有这样才能保护计算机不被入侵或攻击。 ·给每个使用电脑的人创建自己的账户，并设置强密码：这样，每个人的使用环境将会被隔离起来，并且可以根据不同的需要给不同用户指派不同的特权，这样才能保证每个用户只能做自己需要的工作，而不会“越权”。同时强密码的存在也可以保证系统和数据不被未经授权的人访问。 ·安装反病毒软件、网络防火墙及反间谍软件：这三类软件可以保护我们的系统不被攻击和感染，但不要忘记经常更新这类软件的定义文件，只有这样才能监测到最新类型的攻击或病毒。 ·对于电子邮件中的可疑附件，绝对不能轻易打开：很多病毒在通过电子邮件传播，有时候可能看似来自朋友的邮件，其实可能是对方感染病毒后不知情的情况下发送的。因此，在收到任何人发来的邮件时都要谨慎，在打开之前最好使用反病毒软件彻底检查。 ·小心朋友通过IM软件发来的网页链接：如果朋友通过IM软件发来了某个网页的链接，在打开前最好先问问对方是否发送过这样的东西，因为有时候这可能是对方系统感染了病毒后自动发送的，如果直接单击这样的链接，我们的系统也有可能会中毒。 ·安装软件一定要小心：现在很多软件的安装程序中都捆绑有其他非必要的软件，这类软件一旦安装，往往很难卸载，并且可能会给系统带来很多麻烦。因此，在安装软件时一定要小心查看所有的选项，尽量不要安装来自陌生网站的软件。 其实现在很多人已经开始意识到这个问题，但关键在于，并不是每个人都能充分理解系统中不同选项对于安全性的影响。而且很多人对于目前层出不穷的新安全问题也并不了解，因此，本书的主要目的是向大家介绍这些选项，并通过实例告诉大家在网络上遇到这类问题后应该处理。

内容概要

刘晖  自由撰稿人，微软最有价值专家(MVP)，精通Winidows技术。曾在各计算机类杂志上发表过大量原创文章，并已出版多本原创和翻译的微软技术图书，包括《Windows安全指南》、《精通Windows XP》、《Windows 7使用大全》等Windows操作系统技术。

    汤雷  (湖北武汉)微软MCSE，曾多年从事计算机和Windows网络管理、软件研发等工作。对于Windows管理、优化及实践有着丰富的经验，精通Windows Server服务器平台和客户端操作系统，具有丰富的管理经验。在软件研发工作上，开发过基于中小型数据库的管理系统，为用户提供数据库管理、优化及技术支持等服务。从2007年起主要从事管理工作，致力于普及Windows使用知识和技巧，发现新功能，提升管理者的管理效能，提高用户的应用技巧。



    张诚  网名Asuka，IT基础架构专家，毕业于上海海洋大学，现就职于某大型国企信息中心。两次获得微软全球最有价值专家(MVP)称号，担任微软Technet特约讲师。他是微软中文社区Windows版的版主，ITECN技术博客作者，熟悉Windows操作系统和Active Directory，具有多年微软服务器产品的项目和培训经验，现致力于促进绿色IT事业的发展。

书籍目录

第1部分 Windows安全  第1章 安装和设置 2    1.1 安装前的准备工作 2      1.1.1 安装介质的选择 2      1.1.2 将补丁和更新集成到安装文件中 3    1.2 安装过程中的注意事项 8      1.2.1 Administrator账户的问题 8      1.2.2 来自网络的威胁 10      1.2.3 隐藏分区的问题 10    1.3 初次使用中的设置 12      1.3.1 新建账户并创建密码 14        1.3.1.1 账户和账户组的概念 15        1.3.1.2 创建账户和账户组 17        1.3.1.3 设置安全的密码 19      1.3.2 忘记密码后的操作 22        1.3.2.1 密码提示 22        1.3.2.2 密码重设盘 23        1.3.2.3 其他破解工具 24      1.3.3 管理其他账户 30        1.3.3.1 重设其他账户的密码 30        1.3.3.2 设置其他账户的环境 30        1.3.3.3 管理配置文件 33      1.3.4 其他选项 35        1.3.4.1 自动播放 35        1.3.4.2 Syskey 37        1.3.4.3 操作中心 39    1.4 其他安全功能 43      1.4.1 更安全的64位系统 43      1.4.2 更安全的系统内核 49  第2章 账户安全 52    2.1 用户账户基础 52      2.1.1 创建用户账户 52      2.1.2 登录过程和访问令牌 54      2.1.3 深入理解配置文件 55        2.1.3.1 Windows XP的配置文件        2.1.3.1 名称空间 55        2.1.3.2 Windows 7的配置文件        2.1.3.2 名称空间 57    2.2 用户账户控制（UAC） 59      2.2.1 什么是UAC 60      2.2.2 配置UAC 62        2.2.2.1 修改默认提示级别 63        2.2.2.2 用策略控制UAC 64        2.2.2.3 UAC的高级设置技巧 68        2.2.2.4 解决应用程序兼容问题 70    2.3 文件和注册表虚拟化 73      2.3.1 什么是虚拟化 73      2.3.2 为什么要使用虚拟化 74      2.3.3 虚拟化对用户有什么影响 76    2.4 管理存储的凭据 77      2.4.1 添加Windows或普通凭据 77      2.4.2 添加基于证书的凭据 78      2.4.3 编辑Windows保管库项 79      2.4.4 备份和还原Windows保管库 79      2.4.5 删除Windows保管库项 80  第3章 策略安全 81    3.1 账户策略 82      3.1.1 密码策略 82        3.1.1.1 策略介绍 82        3.1.1.2 建议的设置 84      3.1.2 账户锁定策略 85        3.1.2.1 策略介绍 85        3.1.2.2 建议的设置 86    3.2 本地策略 86      3.2.1 审核策略 86        3.2.1.1 策略介绍 87        3.2.1.2 启用审核 88        3.2.1.3 查看审核记录 89      3.2.2 用户权限分配 93      3.2.3 安全选项 110    3.3 高级安全Windows防火墙 134    3.4 网络列表管理器策略 134    3.5 公钥策略 135    3.6 软件限制策略 135      3.6.1 软件限制策略简介 136        3.6.1.1 证书规则 139        3.6.1.2 哈希规则 140        3.6.1.3 网络区域规则 141        3.6.1.4 路径规则 141      3.6.2 软件限制策略使用建议 142    3.7 应用程序控制策略 144      3.7.1 规则的类型及其创建过程 145      3.7.2 规则的审核 151      3.7.3 自定义错误信息和规则的      3.7.3 导入\导出 152    3.8 IP安全策略 153    3.9 高级审核策略设置 153  第4章 补丁和更新 154    4.1 Windows漏洞多的事实 154    4.2 手工打补丁 156      4.2.1 Windows Update和Microsoft      4.2.1 Update 156      4.2.2 扫描和安装更新 157    4.3 自动打补丁 159      4.3.1 配置和使用自动更新 159      4.3.2 延迟重启 161    4.4 局域网中更强大的更新 162      4.4.1 更新文件的重复使用 162      4.4.2 BITS的使用和配置 164      4.4.3 使用WSUS搭建内部更新      4.4.3 服务器 166        4.4.3.1 WSUS的安装和配置 167        4.4.3.2 客户端的配置 172    4.5 使用MBSA执行安全性扫描 177  第5章 数据安全 179    5.1 NTFS权限简介 179      5.1.1 FAT32和NTFS文件系统对比 180      5.1.2 获得NTFS分区 181    5.2 NTFS权限设置 183      5.2.1 设置权限 185      5.2.2 判断有效权限 187    5.3 NTFS权限高级应用 188      5.3.1 权限的继承 188      5.3.2 获取所有权 190      5.3.3 权限设置的注意事项 191    5.4 EFS加密 191      5.4.1 加密和解密文件 192      5.4.2 证书的备份和还原 193      5.4.3 EFS的高级用法 195        5.4.3.1 EFS加密文件的共享 195        5.4.3.2 加密可移动存储介质 196        5.4.3.3 使用恢复代理 197        5.4.3.4 EFS的使用注意事项 200    5.5 Office文档安全 201      5.5.1 使用密码保护文档 202      5.5.2 使用IRM保护文档 202        5.5.2.1 创建IRM保护的文档 203        5.5.2.2 查看IRM保护的文档 207    5.6 文件的彻底删除和反删除 210      5.6.1 彻底粉碎文件 211      5.6.2 恢复被误删除的文件 212第2部分 网络安全  第6章 无线网络安全 218    6.1 常见的无线网络标准 219    6.2 加密方式的选择 220    6.3 SSID 222    6.4 MAC地址过滤 223    6.5 其他注意事项 224  第7章 局域网安全 227    7.1 设置共享 227      7.1.1 简单文件共享和家庭组 228      7.1.2 高级文件共享 232      7.1.3 公用文件夹 235      7.1.4 管理共享 236        7.1.4.1 查看和管理共享 236        7.1.4.2 查看和管理会话 237        7.1.4.3 查看和管理打开的文件 238      7.1.5 默认的管理共享 239    7.2 控制数据的访问 240      7.2.1 网络用户的身份验证 241      7.2.2 管理保存的密码 242      7.2.3 共享权限和NTFS权限的配合 243  第8章 网络防火墙 244    8.1 Windows防火墙 245      8.1.1 启用和禁用防火墙 245      8.1.2 使用“例外” 248      8.1.3 网络位置 250    8.2 高级安全Windows防火墙 252      8.2.1 创建入站规则和出站规则 254      8.2.2 查看和管理规则 259    8.3 配置网络列表管理器策略 260第3部分 病毒和恶意软件  第9章 安全上网 264    9.1 安全浏览网页 264      9.1.1 Internet Explorer的一般性      9.1.1 设置 265        9.1.1.1 常规和安全选项 265        9.1.1.2 信息栏 295      9.1.2 Internet Explorer的安全设置和      9.1.2 隐私选项 299        9.1.2.1 加密网站甄别 299        9.1.2.2 仿冒网站筛选 304    9.2 安全收发电子邮件 305      9.2.1 安全使用电子邮件的一些      9.1.2 注意事项 306        9.2.1.1 垃圾邮件 306        9.2.1.2 防范染毒邮件 309        9.2.1.3 防范钓鱼邮件 310      9.2.2 Windows Live Mail中的邮件      9.1.2 安全特性 310        9.2.2.1 防范垃圾邮件 310        9.2.2.2 防范染毒邮件 315        9.2.2.3 防范钓鱼邮件 316    9.3 软件安装时的注意事项 318      9.3.1 从可信的来源下载软件 319      9.3.2 安装时的注意事项 321      9.3.3 签名 322        9.3.3.1 校验码 322        9.3.3.2 数字签名 323    9.4 防范通过IM软件进行的诈骗 325      9.4.1 社会工程学诈骗 325      9.4.2 好奇心害死猫 326      9.4.3 天上岂能掉馅饼 326  第10章 防范恶意软件 328    10.1 面对恶意软件 329      10.1.1 关于恶意软件 329      10.1.2 恶意软件的危害 330      10.1.3 防范恶意软件的一般原则 332    10.2 使用MSE 333      10.2.1 实时监控 334      10.2.2 扫描 336      10.2.3 修改MSE的选项 337第4部分 其他安全问题  第11章 家长控制 342    11.1 家长控制功能使用的前提    11.1 条件 342    11.2 启用和设置家长控制 346      11.2.1 设置可访问的网页内容 346      11.2.2 设置可用时间 348      11.2.3 设置可玩的游戏 348      11.2.4 设置允许和拒绝使用的程序 351    11.3 控制的结果 353      11.3.1 登录时间的限制 353      11.3.2 网页浏览的限制 353      11.3.3 运行游戏的限制 354      11.3.4 软件使用的限制 354    11.4 查看活动记录 355  第12章 BitLocker与BitLocker To Go 359    12.1 使用BitLocker的前提条件 360    12.2 启用BitLocker 364    12.3 BitLocker的灾难恢复 367    12.4 BitLocker的关闭 369      12.4.1 禁用BitLocker 369      12.4.2 解密系统盘 369    12.5 其他有关BitLocker的    12.5 注意事项 370      12.5.1 纯TPM模式 370      12.5.2 混合模式 372    12.6 使用BitLocker To Go保护    12.6 可移动存储设备 374      12.6.1 准备工作 374      12.6.2 对设备进行加密 375      12.6.3 加密设备的管理 376      12.6.4 加密后设备的读取 377      12.6.5 忘记密码后的恢复 379  第13章 备份和还原 381    13.1 文件的备份和还原 381      13.1.1 文件备份的重要原则 382        13.1.1.1 备份什么内容 382        13.1.1.2 备份到哪里 386        13.1.1.3 怎么备份 387      13.1.2 文件的备份和还原 387        13.1.2.1 备份和还原需要频繁        13.1.2.1 变动的文件 387        13.1.2.2 备份和还原不需要频繁        13.1.2.2 变动的文件 393      13.1.3 使用卷影副本功能 395      13.1.4 为文件进行异地备份 398    13.2 系统的备份和还原 403      13.2.1 系统的备份 403      13.2.2 灾难后的还原 405

编辑推荐

《Windows 7安全指南》：“十一五”国家重点图书出版规划项目。计算机十大安全准则如果攻击者能够说服你在自己的计算机上运行他的程序，那么该计算机便不再属于你了。如果攻击者能够在你的计算机上更改操作系统，那么该计算机便不再属于你了。如果攻击者能够不受限制地实地访问你的计算机，那么该计算机便不再属于你了。如果你允许攻击者上传程序到你的网站，那么该网站就不再属于你了。再强大的安全性也会葬送在脆弱的密码手里。计算机的安全性受制于管理员的可靠性。加密数据的安全性受制于解密密钥的安全性。过时的病毒扫描程序比没有病毒扫描程序好不了多少。绝对的匿名无论在现实中还是在网络上都不切实际。技术不是万能药。

作者简介

《Windows 7安全指南》适合对Windows系统有基本了解和使用经验，并且对系统以及软件的安全性不够放心的人群。相信通过阅读《Windows 7安全指南》，您将对Windows 7的安全性有一个全新的认识，并且能更好地将其应用到实际使用中，不仅可以保护您的系统，而且可以让具体的使用更加便利、简单。 

在客户端操作系统领域，Windows的使用率是最高的。对于微软最新的Windows 7操作系统，虽然可以说是目前安全性最高的操作系统，但受限于所谓的“木桶原理”，如果在使用中不注意，依然可能遇到潜在的安全隐患，并可能导致严重后果。

对于目前较新版本的Windows系统，已经将安全性放在了第一位。系统中的大部分默认设置都是以保证安全为前提的。然而安全性和易用性就像鱼和熊掌，永远不可兼得。因此，在实际使用的过程中，我们可能还需要根据具体情况调整设置，提高易用性。如何在这两者之间进行取舍？如何能够在提高易用性的同时尽可能保证安全？这就是《Windows 7安全指南》要介绍的内容。

《Windows 7安全指南》将从具体应用角度出发，介绍Windows 7系统在不同场合需要注意的安全选项，介绍此类选项的用途，以及建议的设置方式。另外，《Windows 7安全指南》还将从更高层面的原理和原则进行介绍，这些内容不仅适合Windows 7，还可用于其他任何主流的客户端操作系统。

图书封面

---

 Windows 7安全指南下载 更多精彩书评

---