站長新書 站長開講 首頁 最新文章 站長著作及審校 FreeBSD 筆記 Linux 筆記 Windows 筆記 虛擬化筆記 網管人雜誌 遊山玩水 關於本站
站長新書 VMware vSphere ICM 團購開跑了!!

第六章-Windows7 桌面安全性

Action Center

Action Center 設定要不要開防火牆,偵測有沒有裝防毒軟體

Local Security Policy (本機安全性原則)

DC 的 GPO 設定存放於 \Sysvol 這個 Share Folder,所以 Client 連入網路後去 下載 GPO 後再套用,本機的 GPO 存放於 %systemroot%\System32\GroupPolicy 內,所以沒連上網路也會執行

Group Policy

Policy 執行順序 (項目 2 ~ 4 GPO 為從 AD 獲得)

  1. Local Policy 存放於本機
  2. Site GPO
  3. Domain GPO
  4. OU GPO
 MMC > File > Add/Remove Snap-in > Group Policy Object > Add > Browse > User  //可針對不同的本機使用者設定不同的 Group Policy

EFS

第一次使用 EFS 時系統會向 CA 申請憑證,若失敗則會自行產生 Self-Signed Certificate (有效期 100 年),如何查看使用者個人憑證資訊?

 mmc > file > add/remove snap-in > certificate > add > Personal > Certificates

如何避免使用者利用 EFS 加密檔案後該如何解密呢?

  1. 檔案經過 EFS 加密後,該檔案會多了二個欄位 (檔案 > Advanced > EFS Detail)
    1. DDF 誰可以存取
    2. DRA (Data Recovery Agent),必須預先指定 (日後才有辦法解開!!),不然就是要產生 DRA 之後騙使用者打開 EFS 加密檔案,這樣系統才會把 DRA 塞入

如何預先指定 DRA?

1. 管理者登入 > cipher /r:admin //產生 cer 及 pfx 檔案 (admin 為檔案名稱)

2. 開啟 .pfx 匯入 Private Key

3. gpedit.msc //把剛才產生的 Administrator 的 CER 匯入 (Local Group Policy)

 > Computer Configure
 > Windows Settings
 > Security Settings
 > Public Key Policy
 > EFS
 > 右鍵 > Add Data Recovery Agent
 > 選 .cer

4. 使用者 EFS 加密後 DRA 日後可以搶回來

BitLocker

安裝時的 100MB 就是用來存放 BitLocker 資料用的,所以若不用 BitLocker 可以把這個 100MB 拿掉 (這 100mb 只針對開機)

設定 F: 套用 BitLocker 會先設定密碼 (此為以後要進入 F 要先輸入密碼),會有一組 Recovery Key 48 位數字 (用來當上述密碼忘記時),加密 Key 可存放於下列裝置 (但有損壞或遺失的風險)

System integrity verification 例如設定好 BitLocker 之後又去改了 BIOS 之後會因為偵測到與當初不同造成無法開機 (加密 開機磁碟 常常會有這種狀況),常常發生的原因如下

GPO 套用 BitLocker 的設定路徑

 Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption

AppLocker

AppLocker 從 Windows 7 才有的新功能

如何設定 AppLocker 才會動? 下列三項達成 AppLocker 才會運作

  1. 設 Rule
  2. 啟用 GPO > AppLocker > 右鍵 > 內容 > 勾選第一個 Configure(Executable Rule) 選項才會 Enable
  3. 啟用服務 Application Identity

當 Software Restriction Policy 與 AppLocker 衝突時?

UAC

UAC Notification Settings

主要差別是第三項畫面不會變灰,選第二項當 Remote Desktop 時畫面變灰時會出問題

Firewall

Firewall with Advanced Security (WFAS)

IE8

ActiveX 可分為

如何設定 IE8 更安全?

 工具 > 網路網路選項 > 進階 > Reset 回預設值

Defender

此套效果普通,建議使用 [Microsoft Security Essentials]

講師 XP Mode 研討會簡報

technet.microsoft.com > 下載簡報 > 2009年10月 VDI 那份就有

Go To Oddmuse OrgGo To FreeBSD OrgCreative Commons 2.5 Taiwansitestates.com