桌面安全:采用“深层防御”方法

桌面计算中不变的东西为数不多,而其中一个不变项就是没有什么是从来不变的。在大多数情况下,这是件好事。我们的计算环境的样貌不断变化,这是革新和创造的成果。它为我们提供了与周围世界交互、协作和连接的新方式。

然而,随着桌面计算的样貌发生变化,桌面安全的样貌也变了。随着平台的本质和数据发生变化,新威胁涌现了。IT 专业人员必须保持警惕,了解可用来帮助抵御这些威胁的做法和工具。

桌面安全的“深层防御”观点代表一套安全哲学。这种方法有助于尽可能保护计算环境免受许多不同潜在攻击手法的攻击。我们来看看几种帮助保护您的桌面环境免受不需要的软件和恶意软件侵害的方式、几种保护用户和数据移动的新技术、几种帮助 IT 专业人员管理多样化计算环境的工具。

恶意软件

技术精通的罪犯攻击起桌面计算机来毫不手软。不幸得很,这就意味着欺骗和强制最终用户在计算机上安装恶意软件的企图越来越有创造性。幸运的是,有许多工具可用来帮助保护用户及用户连接到的基础结构。

用户帐户控制 (UAC) 是一项首先在 Windows Vista 引入的功能。此控制帮助用户和管理员在桌面计算环境内保护对管理权限的访问。用户可以利用标准用户权限轻松操作,因此其计算机的管理功能与可能企图在用户不知情的情况下访问数据或执行任务的恶意软件隔离开来。

Windows 7 对 UAC 进行了一些重要增强。通过减少要求提升的管理功能的数量,改进了最终用户体验。Windows 7 还为经过数字签名的 Windows 可执行文件引入了自动提升,并引入了新的操作模式来对要求显式提升的事件进行更精细的控制。关于 UAC 如何保护桌面计算环境的更详细的说明,请参阅 Mark Russinovich 2009 年 7 月的文章“深入了解 Windows 7 用户帐户控制。”

AppLocker 是 Windows 7 的另一新增功能,能使管理员精确指定哪些程序能在他们的环境中运行。AppLocker 是以 Windows XP 和 Windows Vista 中引入的软件限制策略 (SRP) 为基础构建的。管理员可以允许或拒绝在其桌面安装特定应用程序。

AppLocker 通过引入基于应用程序数字签名的规则增强了超出 SRP 的体验。此功能使管理员能标识他们可能要在组织内禁止的应用程序,而不必每次都要在程序属性(例如日期戳或版本号)更改时更新规则。AppLocker 内的规则引擎还提供了很多粒度(见图 1)。这使管理员能轻松构建清楚的规则并根据需要允许例外。

图 1 配置 Windows 7 中的 AppLocker

另外,AppLocker 规则也可以与组织中的特定用户或组相关联。这可以通过验证和强制规定可以运行特定应用程序的用户来提供特定控制,以使您支持遵从性要求和安全性要求。

UAC 和 AppLocker 提供可靠的机制来控制您能在任何计算机上安装并使用哪些应用程序。添加 Forefront Client Security 可助您更进一步,它提供功能强大的防病毒和反间谍软件引擎,同时提供实时文件保护。如果恶意元素进入您的桌面计算环境,Forefront Client Security 中包含的不断更新的筛选器不仅可以帮助检测威胁,而且可以消除威胁。

数据移动

我们在过去十年中所看到的一个最显著变化,就是当初那么小的计算装置现在以实际桌面形式存在。便携式计算机、上网本和各类移动设备现在构成了计算平台的主体。用户的移动性更强,用户数据也是。这当然有它的好处,可是也带来了更高的风险。便携式计算机及其他便携设备更有可能丢失、遗忘或被盗,因而可能使保密信息落入未授权个人手中。

有多种选择帮助保护您和用户的数据免于丢失或被盗。BitLocker 驱动器加密(简称 BitLocker)帮助阻止对您的便携式计算机或上网本的未经授权的访问。存储在加密驱动器(见图 2)中的文件受到保护,未经授权的用户不可访问。通过提供全卷数据加密、早期的引导组件完整性检查、要求 PIN 或 USB 闪存设备在引导时具有密钥材料的选项,用户和管理员对万一移动设备丢失或被盗后的数据完整性可以更自信。#p#

图 2 BitLocker 驱动器加密在驱动器级别锁定数据

便携式计算机和上网本丢失仅是问题的一部分。将便携式存储设备(比如 USB 闪存驱动器)放错地方也是相当普遍的。USB 闪存驱动器可以存储大量数据,而且成本非常低,对选择存储设备的人很有吸引力。这也让使用 USB 闪存驱动器存储敏感信息危机四伏。BitLocker To Go 将 BitLocker 功能扩展到可移动存储设备,可以帮助解除此忧。

随着用户移动性的增加,不仅保护存储在物理设备上的数据很重要,保护跨公共网络移动的数据也很重要。DirectAccess 是 Windows 7 中引入的一项新增功能,提高了从外部路径连接到公司网络时的安全性。

利用 Internet 协议安全 (IPsec) 和 Internet 协议版本 6 (IPv6) 之类的基于标准的技术,DirectAccess 让用户无需单独的 科学 连接就可以从远程位置无缝连接到公司网络。DirectAccess 还使用三重数据加密标准 (3DES) 和高级加密标准 (AES) 之类的 IPsec 加密方法来帮助确保数据在传输中得到保护。要了解更多关于 DirectAccess 和结合网络访问保护功能增强它的方式,请查看 Joseph Davies 所写的 2010 年 6 月网络专家专栏。

最后,随着更多应用程序和业务线工作转向云,Web 浏览器为联机计算提供尽可能安全的环境甚至更为重要。即将推出的 Internet Explorer 9 将构建在坚实的 Internet 安全功能基础上,同时还提供一些受欢迎的增强功能。

例如,Internet Explorer 9 将纳入一个跨站点脚本 (XSS) 筛选器来帮助检测这类日益普遍的攻击。XSS 攻击以利用恶意代码危害合法网站为目标。

如果 XSS 筛选器在 Internet Explorer 9 发现任何漏洞,就会禁用有害脚本。Internet Explorer 9 还提供一个增强的 SmartScreen 筛选器来帮助用户识别并避免访问恶意网站,恶意网站上可能包含网页仿冒攻击、恶意软件等。了解更多关于 Internet Explorer 9 的信息并下载测试版。

简化管理

作为 IT 专业人员,使部署、管理和维护安全技术与策略的工作保持尽可能容易又高效很重要。Windows 7 提供了许多工具来帮助您简化桌面安全基础结构的管理。

例如,现在为组策略提供了 Windows PowerShell cmdlet。使用此功能强大的命令行外壳和脚本语言,现在您可以更轻松地使许多组策略任务自动化,更轻松地管理这些任务。您可以创建组策略对象,定义它们与 Active Directory 容器的关联,配置基于注册表的策略设置,不一而足。这有助您确保环境中的每个桌面都符合管理员建立的安全配置。

控制软件在组织内的部署方式以防止引入潜在恶意软件是根本。ActiveX 安装程序服务帮助您利用组策略来管理 ActiveX 控件的部署。这确保您可以安装并管理这些可增强最终用户 Web 体验的丰富控件,而不会损及 UAC 之类的桌面安全控制的完整性。

恶意攻击将继续适应桌面计算革新。然而,针对安全的综合深层防御方法将有助于确保您的用户及您的关键业务数据一直受到保护。 

本文地址

本文来源:微软TechNet中文站

【编辑推荐】

  1. 揭秘能避开入侵防御系统的新恶意软件技术
  2. 变种病毒伪装“手机飞信” 自动联网狂下恶意软件
  3. UC浏览器遭多个恶意软件卸载 网秦提供解决方案

 

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/148125.html<

(0)
管理的头像管理
上一篇2025-03-12 00:28
下一篇 2025-03-12 00:30

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注