奧林托馬斯

有幾個明顯的基本步驟可以確保您的計算機安全：保持最新的操作系統和計算機應用程序更新，保持反間諜軟件和防病毒軟件為最新，使用復雜的密碼并定期更改它們。 在本文中it運維技術，我將介紹一些基本策略，幫助您與 7 一起度過美好的一天。

準備

7 中最顯著的安全改進之一，這是在 Vista 中首次引入的硬盤加密和引導環境完整性維護技術，并最終包含在 7 企業版中。 技術可防止筆記本電腦在關閉時被盜或丟失。 用戶無法從丟失的筆記本電腦硬盤驅動器中恢復數據。

但是，它也帶來了一個問題，就是在顯示硬件問題上，鎖存數據量的恢復問題。 因此，雖然提供了良好的維護，但許多 IT 專業人員發現它存在問題，因為他們經常注意到它并且只需要執行恢復操作。

數據恢復需要與卷相關的訪問密鑰或組合鎖。 雖然跟蹤少數計算機的內容很容易，但對數百臺計算機來說要困難得多。

組策略幫助 IT 專業人員配置它們，以便它們僅在恢復密鑰和密碼備份到時激活。 改進 2008 R2 用戶的遠程服務管理工具計算機和運行 7 的計算機大大簡化了這些恢復數據的提取。 查找恢復密碼和密鑰比在 Vista 中使用工具容易得多。

您可以從“恢復”選項卡中恢復密鑰和密碼，而無需下載、安裝和配置專用工具。 在用戶和計算機中查看計算機帳戶屬性時可以看到此信息。 該過程確保備份密鑰和密碼，包括三個步驟：

1.在計算機帳戶的組策略系統維護計算機導航系統配置| 設置 | 管理組件模板 | | 驅動器加密。

2. 現在，如果一臺計算機只需要一個存儲驅動器，請瀏覽并編輯操作系統驅動程序節點如何恢復驅動操作系統驅動器的策略。 如果計算機有多個存儲驅動器，還應轉到固定數據驅動器節點并編輯如何通過策略恢復固定數據驅動器。 請注意，雖然可以配置相同的設置，但這些策略適用于不同的驅動器。

3. 如果您想在保持激活時配置備份您的密碼和密鑰 ，請確保啟用以下設置。

將恢復信息保存在 AD DS OS 驅動器上（或在適當的時候修復數據驅動器）

（或適當時間的固定數據驅動器）是操作系統驅動器存儲恢復信息 AD DS 停止的地方。

保留卷中的密鑰和密碼將僅通過應用該策略來備份。 完成策略不會自動將密鑰和密碼存儲在維護的配置卷中。 要在這些計算機上禁用和啟用以確保恢復的信息存儲在 AD DS 數據庫中。

配置數據恢復代理

如果需要在無法訪問特定計算機帳戶的情況下恢復為單個密碼或 PIN，則另一種選擇是數據恢復代理 (DRA)。 這是一種與用戶帳戶關聯的特殊類型的證書，可用于恢復加密數據。

Data Agent，添加Data Agent指南（我將簡要討論該指南）后，編輯組策略并指定停止配置DRA證書。 但是，要使用指南，必須頒發提供可訪問文件系統或計算機的 DRA 證書中的證書。 這些證書可以通過承載證書服務角色來頒發。

當需要恢復數據時，本地設備上擁有DRA證書的用戶賬號將無法開啟hold 鎖。 計算機導航配置集安全設置| | | 公鑰策略節點后，加密驅動器it運維技術，右擊，然后選擇添加數據恢復代理選項，進入添加數據恢復代理指南。

如果要通過 DRA 使用，則必須選中 Data Agent 復選框以選擇如何恢復維護的操作系統驅動策略（適當時固定數據驅動策略），您可以使用 DRA 和密鑰/密碼備份來恢復尺寸。

DRA 恢復只能用于策略執行后啟用的維護啟用卷。 使用此方法進行密碼/密鑰恢復是使用 DRA 函數作為主密鑰。 這使您能夠恢復仍受加密策略影響的任何卷，而不是為要恢復的每個卷查找單個密碼或密鑰。

移動設備信息安全控制

許多移動存儲設備的典型存儲容量接近十年前大多數中小型扇區文件共享的容量，這提出了一些難題。

首先，當可移動存儲設備丟失或被盜時，它會破壞大量組織數據。 一個更大的問題可能是，雖然用戶丟失筆記本電腦的速度很快，但他們會很快通知 IT 部門。 在組織具有千兆字節數據的 USB 存儲設備時，他們不會感到同樣的恐慌。

去了7的新功能。這個功能可以通過類似于組策略的方式來維護，將操作系統和硬盤提供給USB存儲設備，之后可以停止組織中的計算機，以便這些計算機可以僅將數據寫入可移動存儲設備。 這保證了當用戶丟失可移動設備時，至少設備上的數據是加密的，未經授權的第三方無法隨意訪問這些數據，從而增加了安全性。

前往相關策略管理 | 計算機配置模板 | 組件 | 驅動器加密 | 可以驅動數據的 Group 節點。 這些策略包括：

控制活動傳輸采用。 此策略可用于配置可移動驅動器（包括移動設備）的使用，普通用戶可以在其中啟用或禁用功能。 例如，您可能需要特定用戶配置 Keep 功能以將數據存儲在他們的移動設備上，但阻止這些用戶使用該功能配置他們自己的設備。

絕對不會維護對可移動驅動器的寫訪問。 使用此策略可以限制用戶，使他們只能寫入由設備加密和維護的數據。 啟用此策略后，未經授權的人員無法訪問移動設備數據，因為設備已被加密和維護。

保留如何恢復可移動驅動器的選擇。 此策略可用于配置數據恢復代理或保留 To Go 恢復信息。此策略非常重要，因為如果您選擇實施以在可移動設備上維護數據，則應該有一個策略來在用戶忘記他們的 To 時恢復數據去密碼。

當要配置可移動存儲設備時，用戶必須在另一臺計算機上輸入密碼才能解鎖設備。 輸入密碼后，用戶將有機會獲得對 7 企業版或計算機設備的讀寫權限。 您還可以配置 Go 以允許用戶停止對來自其他 操作系統版本的計算機數據的只讀訪問。

如果您的組織可以使用 To Go，則您需要一些數據恢復策略。 當您丟失或忘記密碼時，配置 To Go 恢復與配置恢復的方式類似。 在這種情況下，必須設置計算機配置管理模板設置 | | | 組件 | | 可移動硬盤加密數據驅動器 | 選擇如何恢復驅動器修復策略。

更改密碼可以備份活動目錄。 它可以訪問用戶和計算機控制臺的管理員，而計算機帳戶原本是用來維護設備的，我們可以使用這些密碼，還可以配置策略來使用DRA維護數據，讓用戶指定DRA證書來恢復數據從驅動程序，無需恢復所有密碼。

配置

沒有反惡意軟件工具可以捕獲所有惡意應用程序。 添加另一層維護。 使用此技術，您可以創建已知安全應用程序的列表并限制不在列表中的應用程序的執行。 雖然以這種方式維護計算機對于經常運行新軟件的人來說有點困難，但大多數組織采用逐漸停止應用程序更改的標準系統環境，因此他們只允許應用程序亮起綠燈。

可以合并這套授權規則，使其不僅是一個可執行文件，還可以是腳本文件、DLL、MSI格式。 除非通過可執行文件、腳本、DLL 或設備程序的授權規則，否則不會執行這些項目。

通過自動創建授權應用程序規則列表來簡化流程的指南。 這是對軟件限制策略的重大改進，它在以前版本中具有與 類似的功能。

文件發布規則也可用于識別使用數字簽名的文件，因此您可以創建包含文件當前和未來版本的規則，并且當應用程序更新、修改可執行文件、腳本、程序或設備，DLL 仍受原始規則約束。 這在使用軟件限制策略時是不可能的，因為這些策略會強制管理員在軟件配置更改時更新規則。

要創建一組可應用于其他計算機的規則和策略，請按照以下步驟操作：

1.執行環境中所有應用程序的配置配置為調用計算機的操作7。

2. 使用具有本地管理員權限的用戶帳戶登錄計算機。

3. 本地組策略編輯器從搜索程序運行.msc 和文件文本框開始。

4.導航到計算機配置設置安全設置| | | 應用程序控制策略 | | 本地 GPO 執行規則。 右鍵單擊 Rules節點，然后單擊Auto- new rules，這將開始自動生成可執行的。

5. 在標記為 Files to Parse 的文本框中輸入 C。 在標有 ID 的文本框中，鍵入 All ，然后單擊 Next。

6. 在“規則首選項”頁面上，為數字簽名文件選擇發布者規則。 如果文件未簽名，則需要文件哈希：規則是從文件哈希創建的。 確保未選中通過停止相似文件分組來減少規則數量選項，然后單擊下一步。

7. 隨著時間的推移，規則會產生需求。 生成規則后，單擊“創建”。 當提示創建默認規則時單擊否。 您不需要創建默認規則。 為計算機上的所有可執行文件創建規則后，您就創建了一個等效的、更全面的默認規則。

8、如果計算機將應用程序存儲在多個卷上，請重復步驟5至7自動生成可執行規則，并在引導機上輸入相應的盤符。

9. 規則生成后，可以將允許的應用列表以XML格式導出。 關鍵是右鍵單擊該節點并單擊導出策略。 也可以為其他戰略目標組導入這些規則，例如那些應該在您的組織中的筆記本電腦上使用的規則。 可以通過策略來應用這些規則來限制應用程序的執行，從而只允許在要調用的計算機上執行應用程序。

10、在配置的時候，我們要保證通過服務控制臺開啟了應用識別服務，保證規則可以通過策略強制執行。 如果此服務被禁用，該策略將不再適用，但您可以在組策略中配置服務啟動狀態，并且您必須限制用戶具有本地管理員訪問權限，這樣他們就無法繞過它。 右鍵單擊計算機配置 | | 安全設置應用程序控制策略 | | 節點并單擊策略啟用規則執行。 在使配置選項可執行的規則下，確保選中強制規則。

我希望這將幫助您了解如何完成和還原、使用 To Go 以及配置策略。 這些技術的使用和例行維護任務（例如使用防病毒和反保密軟件程序使計算機保持最新狀態）將提高組織中運行 7 的計算機的安全性。