技术保护操作系统-Windows7安全--中国数据恢复的信息通讯网络

奥林·托马斯

有几个明显的基本步骤来维护电脑的安全：坚持最新的操作系统和计算机应用的更新，确保最新的反间谍软件和杀毒软件，使用复杂的密码，并定期更换。在这篇文章中，我将介绍一些基本的策略来帮助你使用Windows 7有更好的一天。

准备BitLocker

一个Windows 7中最显著的安全改进BitLocker，这是硬盘加密和启动环境完整性维护技术首先介绍在Windows Vista，Windows 7企业版和最终包括BitLocker。技术确保便携式电脑关闭时被盗或丢失。用户无法从丢失的笔记本电脑硬盘驱动器中恢复数据。

然而，BitLocker也带来一个问题，那就是，在显示硬件问题，锁定保持数据量的恢复问题。因此，虽然BitLocker能提供良好的维护，许多IT专业人士还是觉得有问题的，因为他们经常注意到它，只有他们需要执行恢复操作。

数据恢复要求访问BitLocker密钥或密码锁的体积有关。虽然是简单的跟踪少量计算机的内容，它是数百台电脑更难。

组策略协助IT专业人员配置BitLocker使他们激活只有当恢复密钥和密码备份到Active Directory。提高Windows Server 2008 R2的Active Directory用户后，远程服务管理工具的计算机和运行Windows 7的计算机大大简化这些恢复数据的提取。找到恢复密码和密钥比在Windows Vista中使用工具的简单多了。

你可以从BitLocker恢复选项卡的BitLocker恢复密钥和密码，而不是下载，安装，配置专用工具。这个信息可以看出，当看着在Active Directory用户和计算机的计算机帐户属性。该过程确保备份BitLocker密钥和密码，包含三个步骤：

1。在计算机帐户的组策略系统BitLocker维护计算机导航系统配置| Windows设置|管理组件模板| | Windows BitLocker驱动器加密。

2，现在，如果一台计算机只需要一个存储驱动器，请浏览和编辑的操作系统驱动程序节点如何恢复BitLocker驱动操作系统驱动的策略。如果计算机有多个存储驱动器，它也应该去固定的数据驱动节点和编辑如何恢复固定数据驱动策略由BitLocker。请注意，虽然它可以配置相同的设置，这些策略应用到不同的驱动器。

3、如果你想配置BitLocker备份您的密码和关键活动目录当你BitLocker维护激活，请确保以下设置启用。

保持BitLocker恢复信息在AD DS的操作系统驱动（或固定数据驱动器在适当的时间）

BitLocker（或固定数据驱动器在适当的时间）是在操作系统驱动器存储恢复信息AD DS停止。

在保持体积的钥匙和密码将被备份只有应用战略。在战略的完成并不自动存储的密钥和密码在Active Directory中的BitLocker维护配置量。要禁用和启用BitLocker这些计算机以确保复苏的信息存储在AD DS数据库。

配置数据恢复代理

如果需求恢复到一个单一的密码或PIN码，是由BitLocker没有进入一个特定的计算机帐户，也可以选择另一种方式，数据恢复代理程序（DRA）。这是一种特殊类型的证书与用户帐户相关联，可以用来恢复加密的数据。

BitLocker数据恢复代理，添加数据恢复代理导游后（我将简要讨论这导游），编辑组策略和指定停止配置DRA证书。然而，使用指南，有必要在Active Directory中发布证书提供一个可访问的文件系统或计算机的DRA证书。携带证书服务角色可以发布这些证书。

当数据需要恢复，对本地设备的DRA证书的用户帐户将无法打开BitLocker保持体积锁。计算机导航配置Windows设置安全设置| | |公钥战略节点后，对BitLocker驱动器加密，右击，然后选择添加数据恢复代理选项，进入添加数据恢复代理指南。

如果你想通过DRA使用BitLocker，你必须选择数据恢复代理复选框选择如何恢复BitLocker的维护操作系统驱动策略（在适当的时间和固定的数据驱动策略），你可以使用DRA和Active Directory密钥/密码备份恢复由BitLocker一样体积。

DRA的恢复只能用于BitLocker维护BitLocker启用卷是战略执行后启用。利用这一方法对密码/密钥恢复是使用DRA函数作为BitLocker主密钥。这使你恢复任何保持卷加密策略的影响下，而不是找到一个单一的密码或密钥每卷被恢复。

卸除式装置资安控管

许多可移动存储设备的通常存储容量接近十年前大多数中小型部门文件共享的容量，这带来了一些困难的问题。

首先，当移动存储设备丢失或被盗时，它可能会破坏大量的组织数据，更大的问题可能是，尽管用户很快丢失了便携式计算机，他们将很快通知IT部门，但在丢失可能包含GB组织数据的USB存储设备时，他们不会感到同样的恐慌。

BitLocker去了Windows 7的新功能。这个功能可以维持在一个类似的方式为BitLocker提供了操作系统和硬盘驱动器的USB存储设备后，集团战略，组织中的计算机可以停止，让这些电脑只能写数据到移动存储设备由BitLocker去。这可以确保当用户失去了一个可移动的装置，至少在设备上的数据是加密的，和未经授权的第三方无法访问这些数据的随意性，从而提高了安全性。

BitLocker去位于相关的战略管理|计算机配置模板| Windows组件| BitLocker驱动器加密|集团战略项目可以将数据驱动节点。这些策略包括：

控制活动传动采用BitLocker。这个策略可用于配置可移动驱动器BitLocker的使用，包括普通用户可以启用或禁用功能的移动设备。例如，你可能需要特定的用户，配置保持功能的移动设备上存储数据，但防止这些用户从配置自己的设备，通过使用该功能。

写访问可移动驱动器的BitLocker绝对不能维持。使用该策略可以限制用户可以让他们只写数据，加密和维护由BitLocker去设备。后此策略启用，未授权人员无法访问移动设备数据随便写的，因为设备是加密和维护。

选择如何还原可移动驱动器是由BitLocker保持的。这种策略可以用来配置数据恢复代理或保持BitLocker To Go恢复信息在Active Directory中。这个策略是非常重要的，因为如果你选择完成BitLocker去维持在可移动设备上的数据，你应该一个策略来恢复数据，当用户忘记他们的BitLocker To Go的密码。

当BitLocker去配置一个可移动存储设备，用户必须输入密码，在另一台电脑来缓解装置的锁。输入密码后，用户将有机会获得读写访问Windows 7企业版或Ultimate的计算机设备。您也可以配置BitLocker去让用户停止只读访问由BitLocker去其他微软操作系统版本的计算机数据。

如果您的组织可以使用BitLocker To Go，你需要一些数据恢复策略，当你失去或忘记密码，配置BitLocker To Go恢复类似于BitLocker恢复配置的方式。在这种情况下，必须将计算机配置管理模板设置| Windows | | Windows成分| BitLocker |移动硬盘加密数据驱动|选择如何还原bitlocke驱动器维修策略。

BitLocker转密码可以备份活动目录。它有权访问Active Directory用户和计算机控制台的管理员，和计算机帐户原本用来维护设备，我们可以使用这些密码，也可以配置策略来维护数据与DRA，让用户指定DRA证书可以从驱动程序恢复数据，无需恢复所有的密码。

配置AppLocker

没有反恶意软件工具可以捕获所有的恶意应用program.applocker可以再加上一层保养。使用这种技术，你可以创建一个列表的已知的安全应用程序和限制，不在列表中的应用程序的执行。虽然这种方式维护电脑是经常运行新软件的人有点难，但大多数组织采用标准的系统环境，逐渐停止应用程序的变化，所以他们只允许应用程序显示绿色灯。

它可以将这套AppLocker授权规则，使它不仅是一个可执行文件，也可以在一个脚本文件，DLL，和MSI格式。这些项目不会被执行，除非可执行文件、脚本、DLL或设备程序的授权通过的规则。

AppLocker简化过程的一个指南，自动创建一个列表，供授权应用规则。这是对AppLocker的软件限制策略，认真改进，在以前的Windows版本有类似功能的技术中心。

AppLocker还可以使用数字签名的文件发布规则识别文件，所以你可以创建规则，包含当前和未来版本的文件，管理员不必更新当前的规则时，应用程序更新，修改可执行文件、脚本、程序或设备，DLL仍由原规则约束。这是不可能使用软件限制策略时这样做，因为这些策略迫使管理员更新规则的软件配置更改时。

创建一套规则AppLocker策略可以应用到其他计算机上，遵循以下步骤：

1。在环境中执行所有应用程序的配置被配置为操作Windows 7调用计算机。

2。用带有本地管理员权限的用户帐户登录到计算机。

三.本地组策略编辑器开始从搜索程序运行gpedit.msc和文件的文本框。

4。导航计算机配置Windows设置安全设置| | |应用控制策略| AppLocker |本地GPO执行rules.right-click执行规则的节点，然后单击自动生成新的规则，这将启动可执行引导的自动生成。

5。在标有要解析的文件的文本框中输入C。在标有标识的文本框中，键入所有可执行文件，然后单击下一步。

6、在规则首选项页上，为数字签名的文件选择发布者规则。如果文件没有签名，则需要文件哈希：规则是由文件哈希创建的。确保未选中的选项通过停止相似文件的分组来减少规则的数量，然后单击下一步。

7。规则生成一段时间的需求。当生成规则时，单击创建。当提示创建默认规则时，单击否。您不需要创建默认规则。一旦为计算机上的所有可执行文件创建规则，您就创建了一个等效的、更全面的默认规则。

8、如果计算机将应用程序存储在多个卷上，请重复步骤5到7，自动生成可执行规则，并在导游机上输入相应的驱动器号。

9、在生成规则之后，可以以XML的形式导出允许的应用程序列表。关键是要用鼠标右键单击AppLocker节点，然后单击导出策略。也可以导入这些规则为其他集团的战略目标，比如那些应该用在您的组织中的便携式电脑，通过策略的应用这些规则可以限制应用程序的执行，从而只允许在计算机的应用程序的执行被调用。

10、当配置AppLocker，我们需要确保应用程序识别服务是通过服务控制台启用，并确保规则可以通过战略执行的执行。如果此服务被禁用，AppLocker策略将不再适用，但你可以在组策略配置服务启动状态，你必须限制用户具有本地管理员访问使他们不能绕过AppLocker。右键单击计算机配置| | Windows安全设置应用程序控制策略| | AppLocker节点，然后单击策略能够执行规则执行。使配置选项可执行的规则下，然后确保强制规则选择。

我希望这将帮助你学习如何完成和恢复BitLocker，使用BitLocker To Go，并配置AppLocker策略。这些技术的使用和日常维护任务，比如保证计算机的最新更新，杀毒软件和反秘密的软件程序，将提高您的组织中运行Windows 7的计算机的安全。