Windows7是微軟最新的桌面型客戶端操作系統(tǒng)，是基于WindowsXP和Vista的優(yōu)點(diǎn)和缺點(diǎn)而升華出來(lái)的新系統(tǒng)，所有服務(wù)都得到了加強(qiáng)，新增的安全功能也使之更加可靠。除了基本的系統(tǒng)改進(jìn)和新服務(wù)外，Windows7提供了更多的安全功能，加強(qiáng)了審計(jì)和監(jiān)控功能以及對(duì)遠(yuǎn)程通信和數(shù)據(jù)加密的功能，Windows7還新開(kāi)發(fā)了內(nèi)部保護(hù)機(jī)制以加強(qiáng)系統(tǒng)內(nèi)部安全性能，如內(nèi)核修復(fù)保護(hù)、服務(wù)強(qiáng)化、數(shù)據(jù)執(zhí)行防御、地址空間布局隨機(jī)化和強(qiáng)制性完整性級(jí)別等。

Windows7的所有改進(jìn)都是以安全為中心的。首先，該系統(tǒng)用于開(kāi)發(fā)微軟的安全開(kāi)發(fā)生命周期（SDL）框架并用于支持通用標(biāo)準(zhǔn)要求，允許其達(dá)到評(píng)估確認(rèn)等級(jí)（EAL）4證書(shū)，該等級(jí)符合聯(lián)邦信息處理標(biāo)準(zhǔn)（FIPS）#140-2。另外，通過(guò)利用其他安全工具（如組策略），你可以控制桌面安全的每個(gè)方面。如果Windows7主要用于家庭辦公或者個(gè)人使用，它也可以預(yù)防黑客攻擊和入侵。你也可以認(rèn)為Windows7內(nèi)部是安全的，但這并不意味著你可以依賴于默認(rèn)配置，你需要根據(jù)自身的安全需求進(jìn)行調(diào)整。

在這篇文章中，我們將介紹如何確保windows7安全性的方法，安全配置以及一些鮮為人知的windows7安全功能，并且我們還將探討保護(hù)數(shù)據(jù)、備份數(shù)據(jù)以及如何在遭受攻擊或者系統(tǒng)故障時(shí)迅速運(yùn)行數(shù)據(jù)。本文還介紹了安全的概念，如何強(qiáng)化Windows7，如何為運(yùn)行的程序提供安全保障，如何管理windows7系統(tǒng)的安全，如何處理惡意軟件造成的問(wèn)題，還有保護(hù)數(shù)據(jù)、備份和恢復(fù)操作系統(tǒng)功能，如何恢復(fù)到操作系統(tǒng)之前的狀態(tài)，以及當(dāng)系統(tǒng)故障時(shí)，如何恢復(fù)數(shù)據(jù)和系統(tǒng)。本文目的在于讓大家熟悉windows7的安全功能、增強(qiáng)功能以及讓大家深入了解如何正確部署這些安全功能。

注意：如果你在企業(yè)環(huán)境或者其他專業(yè)環(huán)境工作，請(qǐng)不要對(duì)公司計(jì)算機(jī)進(jìn)行設(shè)置。如果你不熟悉安全問(wèn)題或者微軟產(chǎn)品，在對(duì)系統(tǒng)進(jìn)行修改時(shí)請(qǐng)仔細(xì)閱讀相關(guān)文件。

基本安全注意事項(xiàng)

管理安全機(jī)制需要通過(guò)分析工作來(lái)調(diào)整現(xiàn)有的安全架構(gòu)并發(fā)現(xiàn)潛在攻擊，大多數(shù)時(shí)候，安全機(jī)制都將受到攻擊或者惡意程序的考驗(yàn)，如果能夠及時(shí)發(fā)現(xiàn)潛在的攻擊，就能夠積極抵御攻擊。通過(guò)日志和審計(jì)，你可以找出是否有人試圖登錄路由器或者試圖進(jìn)行管理員賬戶登錄。

日志和警報(bào)信息是非常有幫助的，這樣當(dāng)出現(xiàn)問(wèn)題時(shí)，就能夠迅速作出反應(yīng)。對(duì)周密攻擊進(jìn)行響應(yīng)被稱為“襲擊響應(yīng)，正確應(yīng)對(duì)襲擊的關(guān)鍵在于有一個(gè)積極的計(jì)劃。災(zāi)難恢復(fù)計(jì)劃（有時(shí)與業(yè)務(wù)連續(xù)性計(jì)劃合并使用）能夠幫助從攻擊事故中恢復(fù)。

因此，對(duì)于家庭用戶和獨(dú)立系統(tǒng)用戶而言，你應(yīng)該遵循同樣的策略，你需要保護(hù)數(shù)據(jù)，對(duì)災(zāi)難作出反應(yīng)，而事先部署的良好計(jì)劃能夠讓你立于不敗之地。如果你的系統(tǒng)感染了惡意軟件（如木馬程序），并且所有其他恢復(fù)技術(shù)都失效時(shí)，你可能需要重新安裝系統(tǒng)。在這種情況下，你應(yīng)該在災(zāi)難發(fā)生前事先指定團(tuán)隊(duì)成員，明確各自的工作，才能最大限度降低災(zāi)難對(duì)系統(tǒng)造成的影響。

注意：你應(yīng)該定期審視自己的計(jì)劃，特別是在發(fā)生最大問(wèn)題或者故障后，增加必要的項(xiàng)目。

技巧：對(duì)于任何系統(tǒng)或者服務(wù)都應(yīng)該考慮和部署安全措施，這樣才能夠降低攻擊造成的風(fēng)險(xiǎn)。如果安全措施的部署方式可以讓你積極抵御攻擊或者災(zāi)難，就會(huì)省事很多。

同時(shí)，我們也應(yīng)該考慮使用縱深防御技術(shù)從概念上和技術(shù)上來(lái)部署安全措施，對(duì)于所有系統(tǒng)、服務(wù)、應(yīng)用程序和網(wǎng)絡(luò)設(shè)備而言，都必須考慮和部署安全措施。為了防止安全架構(gòu)出現(xiàn)紕漏，我們可以考慮使用利用了縱身繁育概念的安全模式，圖1顯示的是非常基本的縱深防御應(yīng)用，當(dāng)然你也可以增加更多層保護(hù)，這取決于網(wǎng)絡(luò)建立的方式。

圖1：縱深防御的概念以及部署

從這里可以看到，縱深防御技術(shù)可以根據(jù)你的需求進(jìn)行自定義。在上圖的例子中，安全政策的目的在于提供安全方向和連接到用戶系統(tǒng)和網(wǎng)絡(luò)的通信。此外，對(duì)系統(tǒng)、手機(jī)、臺(tái)式機(jī)、服務(wù)、應(yīng)用程序、服務(wù)器、路由器、交換機(jī)和PBX的強(qiáng)化也應(yīng)該被考慮，以確保所有的接口都是安全的。如果使用無(wú)線網(wǎng)絡(luò)的話，還應(yīng)該使用過(guò)濾器、掃描儀等工具來(lái)檢查和記錄任何信息。

Windows7是非常靈活的，其包含很多選項(xiàng)來(lái)配置擁有完全功能的系統(tǒng)（最低安全性），或者僅配置你需要使用的操作程序（最高安全性），正確使用Windows2008和Windows7，將能夠使安全性能增加10倍。

注意：需要記住的是，否認(rèn)問(wèn)題（潛在的問(wèn)題）是不行的。如果忽視問(wèn)題或者留到以后再解決，會(huì)讓問(wèn)題復(fù)雜化，這樣只會(huì)浪費(fèi)時(shí)間。全面部署安全措施能夠低于大多數(shù)滲透攻擊并提供多層次保護(hù)，當(dāng)然不能完全徹底預(yù)防攻擊。你需要了解安全機(jī)制的基礎(chǔ)，以及如何主動(dòng)的或者被動(dòng)的預(yù)防攻擊。

關(guān)于如何配置windows7安全設(shè)置的問(wèn)題，大家可以在微軟官網(wǎng)找到很多模板與詳細(xì)說(shuō)明，可以幫助你一步一步部署和使用windows系統(tǒng)的安全措施。

在部署安全措施時(shí)，我們還需要一定水平的靈活度，在滿足業(yè)務(wù)目標(biāo)和要求的同時(shí)，保持較高水平的安全性。例如我們可以使用用戶帳號(hào)控制工具（UAC），當(dāng)進(jìn)行合適調(diào)試后，可以提供較高水平的安全性。;

圖2：通過(guò)UAC設(shè)置來(lái)調(diào)整安全級(jí)別

UAC是用來(lái)防止進(jìn)程或者應(yīng)用程序?qū)τ?jì)算機(jī)進(jìn)行修改以操縱系統(tǒng)，它是通過(guò)限制操作系統(tǒng)內(nèi)核內(nèi)的訪問(wèn)權(quán)限來(lái)實(shí)現(xiàn)的，它還將向用戶提供關(guān)于試圖自行安裝或者進(jìn)一步配置操作系統(tǒng)的程序的詳細(xì)信息。這是非常有幫助的，能夠讓我們確認(rèn)程序的活動(dòng)，并且采取適當(dāng)?shù)拇胧AC最早出現(xiàn)在Vista系統(tǒng)中，但是因?yàn)樗鼰o(wú)法關(guān)閉，不斷彈出的提示消息讓用戶感到很厭煩。Windows開(kāi)發(fā)人員也因?yàn)閁AC的限制遇到了編碼方面的麻煩。然而，現(xiàn)在Windows7則可以完全關(guān)閉UAC，提供更大的靈活性和選擇。

警告：為了保障系統(tǒng)的安全，我們建議大家不要完全關(guān)閉UAC或者當(dāng)因?yàn)槟承┎僮鞫P(guān)閉UAC時(shí)，請(qǐng)記得事后打開(kāi)UAC。

在部署Windows7時(shí)，總是建議用戶全新的兼容硬件上安裝操作系統(tǒng)，然后對(duì)其進(jìn)行強(qiáng)化。系統(tǒng)強(qiáng)化是提高安全級(jí)別的必要過(guò)程，主要通過(guò)配置必要的安全設(shè)置，刪除不需要的軟件和調(diào)整先進(jìn)的政策設(shè)置。

注意：在為windows7選擇硬件時(shí)，你需要做一個(gè)規(guī)劃，因?yàn)槿绻阆胍褂锰摂M化、windows可信平臺(tái)模塊（TPM）管理和其他功能（例如BitLocker）時(shí)，你需要購(gòu)買(mǎi)正確的硬件才能實(shí)現(xiàn)這些功能。

那么，安裝好操作系統(tǒng)后，要采取哪些步驟來(lái)強(qiáng)化它呢?有沒(méi)有特定的順序呢?系統(tǒng)強(qiáng)化的步驟與基本安裝步驟一樣，移除所有不需要使用的東西，更新系統(tǒng)，運(yùn)用基本安全技術(shù)，然后進(jìn)行備份，以在必要時(shí)迅速恢復(fù)系統(tǒng)，如下列步驟：

步驟1 安裝操作系統(tǒng)，在安裝過(guò)程中選擇所有能夠增強(qiáng)安全性的選項(xiàng)，不要選擇不必要的服務(wù)、選項(xiàng)和程序。

步驟2 安裝管理員工具包、安全工具和所需要的程序

步驟3 刪除不需要的服務(wù)、程序和軟件，禁用或者刪除不必要的用戶帳號(hào)或者組。

步驟4 及時(shí)更新所有安全程序

步驟5 運(yùn)行安全審計(jì)（掃描儀、模板、MBSA等）以評(píng)估目前安全級(jí)別

步驟6 運(yùn)行系統(tǒng)還原并創(chuàng)建還原點(diǎn)，運(yùn)行為災(zāi)難恢復(fù)進(jìn)行的備份和恢復(fù)應(yīng)用程序

步驟7 備份操作系統(tǒng)，能夠在災(zāi)難發(fā)生后迅速恢復(fù)系統(tǒng)

以上步驟只是簡(jiǎn)單的例子，你還可以添加更多的步驟。在完成windows7安裝后，下一步驟就是刪除任何不需要的軟件、服務(wù)、協(xié)議和程序，這可以在控制面板進(jìn)行操作。然后禁用或者刪除不必要的用戶帳號(hào)或者組。

技巧：在Server2008中，你可以安裝“核心功能，這是適用于實(shí)際安裝的強(qiáng)化過(guò)程，安裝好后，服務(wù)器只會(huì)運(yùn)行必要的功能，從而降低安全漏洞所帶來(lái)的風(fēng)險(xiǎn)。Windows7沒(méi)有這樣的功能，我們需要運(yùn)用政策、模板或者手動(dòng)配置安全設(shè)置來(lái)強(qiáng)化系統(tǒng)。

那么，如何開(kāi)始鎖定和保護(hù)Windows7呢?最簡(jiǎn)單的方法就是使用開(kāi)始菜單來(lái)搜索系統(tǒng)內(nèi)與安全有關(guān)的內(nèi)容，在開(kāi)始菜單的搜索程序和文件中輸入“安全，下圖顯示的是搜索“安全得到的結(jié)果。;

圖3：在開(kāi)始菜單中查找安全相關(guān)的文件和程序

上圖中的本地安全政策（Local Security Policy）是可以查看和配置系統(tǒng)安全政策的政策編輯器，如圖4所示。;

圖4：在本地安全政策中查看和配置安全

提示：想要進(jìn)行全面的政策控制，你可以使用Windows7和服務(wù)器產(chǎn)品，如Server2008R2，這樣你就可以使用ActiveDirectory和組策略。

如果你想在本地設(shè)置特定事件（例如系統(tǒng)登錄和關(guān)閉）的審計(jì)，那么你就可以在本地安全政策控制面板（圖4）中制定該事件。在控制面板中，你可以到AdministrativeTools程序找到LocalSecurityPolicy編輯器，或者在開(kāi)始菜單中簡(jiǎn)單搜索。而在附有ActiveDirectory的Windows7中，你可以使用強(qiáng)大的組策略，幫助你進(jìn)行自定義、管理和部署軟件等。這是配置政策安全最簡(jiǎn)單的方法。你還可以在控制面板中找到很多安全配置工具。;

圖5：配置安全操作和控制面板程序選項(xiàng)

技巧：圖5顯示的是控制面板中可以操作的安全選項(xiàng)，如果你點(diǎn)擊開(kāi)始菜單，輸入安全并點(diǎn)擊控制面板，也將得到安全配置列表，方便你進(jìn)行自定義。

以下是可以在ActionCenter配置的安全選項(xiàng)：

操作中心

操作中心取代了原來(lái)的安全中心，在操作中心你可以制定操作系統(tǒng)能夠執(zhí)行的活動(dòng)，只有在你的許可下，才可以進(jìn)行某操作。這里也會(huì)提醒你進(jìn)行病毒庫(kù)更新等信息。

Internet選項(xiàng)

瀏覽任何形式的網(wǎng)頁(yè)都給計(jì)算機(jī)帶來(lái)了風(fēng)險(xiǎn)，即使你使用了代理服務(wù)器、網(wǎng)頁(yè)過(guò)濾器并保持系統(tǒng)的及時(shí)更新，都有可能使你的系統(tǒng)受到威脅。在Internet選項(xiàng)控制面板，你可以指定可以訪問(wèn)的網(wǎng)址，部署安全設(shè)置等操作。

Windows防火墻

與任何其他軟件或硬件的防火墻一樣，windows防火墻默認(rèn)情況下可以抵御一般攻擊，也可以在接入公共或者私人網(wǎng)絡(luò)時(shí)設(shè)置較高級(jí)別控制以抵御更強(qiáng)攻擊。在防火墻設(shè)置中，你可以進(jìn)行任何防火墻配置。

個(gè)性化

在這里你可以改變windows的外觀，也可以設(shè)置屏幕保護(hù)程序密碼等。

Windows更新

所有軟件都需要某種程序的修復(fù)，沒(méi)有絕對(duì)完美的軟件，操作系統(tǒng)也同樣會(huì)有更新和修復(fù)。Windows更新主要用于集中控制和部署更新程序，跟蹤和檢測(cè)系統(tǒng)的更新需求。

程序和功能

除了需要檢查系統(tǒng)更新的安裝情況外，你還應(yīng)該經(jīng)常檢查系統(tǒng)安裝的程序，例如在安裝簡(jiǎn)單的Java更新時(shí)，如果在安裝過(guò)程中你沒(méi)有仔細(xì)觀察，可能會(huì)無(wú)意識(shí)地安裝了不必要的工具欄。

Windows Defender

間諜軟件主要用于非法營(yíng)銷目的，還會(huì)傳遞直接載荷，重新定向?yàn)g覽器或者將你的操作消息發(fā)送出去。雖然殺毒軟件可以解決部分問(wèn)題，而WindowsDefender則能夠徹底清除這種惡意軟件。

用戶帳戶

用戶帳戶管理是確保計(jì)算機(jī)安全的關(guān)鍵，需要根據(jù)用戶的不同需求來(lái)為其設(shè)置系統(tǒng)訪問(wèn)權(quán)限，以確保系統(tǒng)數(shù)據(jù)安全。

電源選項(xiàng)

電源選項(xiàng)控制面板程序可以幫助設(shè)置操作系統(tǒng)的默認(rèn)狀態(tài)（待機(jī)或者關(guān)閉等），安全的做法就是從待機(jī)狀態(tài)開(kāi)啟系統(tǒng)時(shí)設(shè)置密碼保護(hù)。

注意：你可以從微軟官網(wǎng)下載工具和文檔來(lái)快速?gòu)?qiáng)化windows系統(tǒng)，例如，如果你想要為Windows7配置基本安全水平，你可以下載使用基本安全模版，運(yùn)行模版將幫助你完成適當(dāng)?shù)恼{(diào)整。圖6顯示的是windows7安全基本設(shè)置模版。;

圖6：從微軟模版設(shè)置安全

注意上圖中頂部工具欄的安全警告，此警告信息可以防止你在禁用宏的情況下使用該模版。另外，windows7有一個(gè)XP模式的選項(xiàng)，主要用于解決應(yīng)用程序兼容問(wèn)題。

總結(jié)：

在病毒肆意橫行的今天，考慮選擇windows7時(shí)，安全和靈活性通常是最先考慮的因素。Windows7確實(shí)很安全，但并不是100%的安全。用戶需要運(yùn)用相關(guān)知識(shí)、其他工具和配置以全面確保安全性，然后經(jīng)常進(jìn)行更新和檢測(cè)。