2023年11月26日发(作者:)

微软在200910月正式发布Windows 7(以下简称为Win7),在2010

2月又正式推出了SP1。根据微软的惯例,SP1的发布意味着Win7已经是一个成

熟的操作系统了。不过,根据电脑报编辑部一项读者调查表明;现阶段使用

Windows XP(以下简称为WinXP)用户的比例仍然高达95%!为什么已经成熟的

Win7仍然不被大家接受?对Win7系统的不了解,是很多人迟迟不肯升级系统的

主要原因。因此我们决定组织一个介绍Win7系列的专题文章,让读者们认识Win7

了解Win7、用好Win7

拒绝各种“门”我有安全部队

现实生活中各种“门”事件不断地发生,也不断地在网络上造就一个又一个

安全热点。而Win7就为我们提供了强有力的安全部队保护我们的系统和数据安

全。

经常遇到恶意软件的骚扰——快使用安全管家UAC

其他人的U盘可能有病毒——用组策略让系统只认自己的U

不想安装指定的软件——组策略为你挡掉所有烦恼

电脑中有极为重要的文件怕泄漏——两种加密方式保证数据安全

上网和共享担心安全隐患——Win7的网络安全组件很给力

安全管家——UAC

重要程度:★★★★★

安全特性:未授权程序不能自动运行

设置地点:开始菜单的搜索栏中输入“UAC”,得到设置位置“更改用户账

户控制设置”

WinXP 代,如果我们以管理员身份登录系统(这恰是很多用户的使用

习惯)那么对系统的一切操作就拥有了管理员权限。这样你一旦安装了捆绑危

险程序的软件,或者访 问包含恶意代码的网站,那么这些危险程序和恶意代码

就可以以管理员身份运行,轻则造成系统瘫痪,重则造成个人隐私的泄露,很有

可能又造成一个可怕的“XX门”事件。为了堵住这些安全隐患,微软在Win7

新增了UAC(用户账户控制)组件来避免这种情况的发生。

Win7UAC组件默认开启的,这样即使你以管理员身份(非Adminstrator

账户,该账户在Win7中默认设置是“禁用”)登录系统,默认的仍然是“标准

用户”权限,这样危险程序和恶意代码试图运行时,UAC就会自动对其拦截并弹

出提示窗口,需要用户手动确认“是”才能够运行(如图1)。

它就像大厦里的管家,严格对拜访者进行安全盘查,不仅对程序进行拦截而

且提供详细的拦截信息,当我们在日常操作中遇到UAC拦截时,可以通过单击

“显示详细信息”来了解更多运行细节。

技巧:对UAC进行设置

UAC组件对所有可能影响系统设置的操作都会进行拦截,如果你只是在进行

正常的系统设置,不希望每次操作都弹出UAC提示。可以依次展开“控制面板→

系统和安全→更改用户账户控制”,然后在弹出的窗口,根据自己实际需要拖动

滑块进行设置即可(如图2)。

延伸阅读

怎么判断UAC拦截提示

为了便于用户对UAC的拦截有个直观的感觉,在Win7中会对不同类型的程

序添加不同颜色的“盾牌”图标来表示。

蓝色色条和对角黄线盾牌标识,表示是Windows自带组件比如命令提

示符、注册表编辑器运行时出现,这些程序一般可以信任(但是要注意代码对系

统组件的调用)。

灰色的色条和带问号的盾牌,表示来源可靠(合法数字签名)的程序,

相对也可以信任,可以通过单击提示框“显示有关此发布者证书的信息“按钮进

一步确认是否安全。

黄色感叹号图标,表示来源不可靠(没有合法数字签名)的程序,相对

来说风险很大,建议不要运行。

职业保镖——组策略保护

重要程度:★★★★

安全特性:防止U盘自动运行以及指定程序的安装

设置地点:开始菜单的运行栏中输入“”

UAC只是负责对程序的盘查,程序的运行与否只要主人首肯即可畅通无阻的

运行。平时我们遇到程序众多,难免会有漏网之鱼混进大厦,因此我们还要聘请

职业保镖来对恶意程序进行拦截。Win7自带的组策略就是一群身手不凡保镖,

下面我们以其中两位保镖为例,介绍组策略是如何保护Win7的!

1)移动设备选择性接受

USB设备的即插即用和便于携带,很多朋友都是用它来交换数据。正是由于

USB的便携性,它也成为病毒、木马常见传播媒体,同时也成为隐私数据外泄的

便携通道。如何既保证自己的USB设备在电脑上可以使用,又有效防止外来设备

的插入?Win7的组策略即可做到。

技巧:让电脑只识别自己的U

首先插入自己的U盘,打开资源管理器后右击U盘选择“属性→硬件→选中

当前U盘”,然后单击“属性”,在打开的窗口切换到“详细信息”标签,在设

备“属性”下拉框中选择“硬件ID”,复制其中的值。启动设备管理器,展开

“通用串行总线控制器→ USB大容量存储设备”的硬件ID,同样复制其中的ID

数值(如图3)。

在开始菜单的“运行”中输入“”启动组策略编辑器,依次展开

“计算机配置→管理模板→系统→设备安装→设备安装限制”,将右侧的“禁止

安装未由其他策略设置描述的设备”设置为“已启用”。接着再将“允许安装与

下列设备ID相匹配的设备”设置为“已启用”,然后输入上述复制到的硬件ID

这样我们的电脑就只能识别自己的U盘了(如图4)。

2)不受欢迎程序批量拦截

现在很多软件出于推广的目的捆绑在常见的装机软件中,新手在安装这些软

件时一不小心就会被莫名其妙的安装了很多捆绑软件。对于Win7用户,现在我

们只要运用新增的“AppLocker”策略即可批量将某一公司软件全部拒之门外。

技巧:拒绝安装360系列软件

首先启动服务管理组件,找到其中的“Application Identity”服务并设为

自动启动。接着同上启动组策略编辑器,依次展开“计算机配置→Windows设置

→安全设置→应用程序控制策略→AppLocker→可执行规则”,右击“可执行规

则”选择“创建默认规则“。

创建默认规则后,继续右击“可执行规则”选择“创建新规则”,在打开的

创建向导选择默认“Everyone”账户执行权限为“拒绝”,然后按照向导提示选

择“发布者“作为规则主要条件类型,接着导入360公司任一款软件如“360

全卫士在线安装程序”(需要先自行下载备用)其他选择默认设置完成规则的

创建并重启(如图5

对于同一家公司推出的软件,它的发布者一般都是一样的。我们建立上述规

则后,以后只要是这家公司(需要软件签名一致,如果不同可以建立多个规则进

行拦击)发布的软件,包括同一软件的后续版本,如果试图在本机运行时都会遭

AppLocker拦截而无法在本机安装。

扩展阅读:组策略中更多相关的安全策略:

关闭黑客入侵通道:黑客经常通过扫描工具侦测被攻击系统远程操作权限,

从而通过远程操作来控制我们的电脑。现在只要依次展开“计算机配置

→Windows设置→安全设置→本地策略→安全选项”,然后双击右侧窗格的“网

络访问:可远程访问的注册表路径”,打开组策略属性设置框,删除其中的所有

注册表路径信息即可

禁止共享空密码:Win7允许远程用户可以使用空用户连接方式获得网络上

某一台计算机的共享资源列表和所有帐户名称。同上展开“安全选项”后,将右

侧的“网络访问:不允许SAM账号和共享的匿名枚举”设置为“已启用”。

阻止黑客Ping:黑客经常通过Ping命令来扫描有漏洞的电脑,展开“计算

机配置→Windows设置→安全设置→高级安全Windows防火墙→高级安全

Windows防火墙→本地组策略对象→入站规则→新规则→自定义→所有程序

→ICMPv4→阻止连接”,自定义IPSec 策略即可阻止黑客们Ping我们的电脑。

专业库管——数据加密

重要程度:★★★★

安全特性:未授权用户无法访问文件或磁盘

设置地点:选择文件或磁盘后,点击右键选择相应菜单

在我们的硬盘中,个人文件是其中最为重要的数据。如果这些数据没有加密,

任何使用我们电脑的人都可以访问,显然极其容易造成数据的泄密。那如何保护

好自己数据不泄密?Win7为我们提供两种加密服务。

1.基于文件的加密

Win7强制使用NTFS格式作为系统分区,对于保存在NTFS分区的文件,Win7

提供EFS加密,EFS加密的文件其他账户是无法访问的,可以有效保护文件的安

全。

技巧:使用EFS加密我的文档

如果自己的数据主要保存在“d:Documents”下,现在只要打开上述目录后右击

选择“属性”,然后单击“高级”按钮,在打开的窗口勾选“加密内容以保护数

据”即可(如图6)。

Win7中启用EFS加密的目录会以绿色字体标示,以后我们只要在自己电

脑上设置一个专用账户供来宾使用,其他账户登录电脑后是无法访问EFS加密的

文件的。但是注意的是一旦启用EFS加密,一定要及时备份密匙以备不时之需。

扩展阅读:使用“权限+EFS”双重保护数据

EFS加密/解密针对加密账户是透明的,也就是说如果其他人使用你的账户

登录系统(比如很多朋友设置了Win7自动登录),那么EFS加密的文件是可以

自由访问的。因此为了更好保护加密文件,我们还可以结合NTFS的权限来限制

用户对特定文件的访问。

比如““d:Documents 作文档”不希望任何用户的访问,只要右击该目

录选择“属性”,切换到“安全”标签,接着单击“编辑”,把“组和用户”列

表下的所有账户删除,这样就没有任 何账户可以访问该目录了。如果自己要访

问该目录,则只要将当前账户添加到“组和用户”列表,并将读取权限设置为

“完全控制”即可。

2.基于驱动器的加密——BitLocker加密

EFS加密只能针对目录设置,如果自己的文件都是保存在某一分区,那么还

可以使用Win7新增的“BitLocker加密”。 BitLocker是基于系统底层的加密

技术,启用加密时如果要访问加密内容则要求用户对其凭据进行身份验证来访问

该信息。

技巧:加密保存重要数据的D

BitLocker加密分区操作很简单,比如需要加密分区D,打开资源管理器后

右击D盘选择“启用BitLocker”,然后按照加密向导对D盘进行加密即可,普

通用户可以将加密密匙保存在U盘,成功加密后驱动器图标会带上一个加密锁标

记(如图7)。

完成BitLocker加密后只要重启,下次如果要访问加密分区,系统则会弹出

BitLocker解密窗口,要求我们输入指定的密码才能访问该驱动器。而且启用

BitLocker加密的硬盘挂接到其他电脑上也是无法法访问的,这样即使你的电脑

送去维修也可以保护数据的安全(如图8)。

扩展阅读:EFS加密和BitLocker加密区别(表1)。

贴身护卫——网络安全组件

重要程度:★★★

安全特性:上网及共享更多的安全体验

设置地点:使用系统自带的IE以及设置共享时的安全选项

随着网络的普及,系统遭受的攻击越来越多来自网络:不小心访问挂马网站

带来的木马,下载软件暗藏的病毒、黑客的网络攻击等。可以说我们遭受到安全

威胁几乎90%来自于网络。因此Win7也大幅增强网络组件的安全防护性能。

1、越来越安全的IE

浏览器是我们遨游网络的必备工具,网络安全威胁也是大多通过浏览器引发

的。为了保障用户浏览网络时更加安全,微软不仅频繁对IE进行升级(最新版

已是IE9而且通过各种安全组件加强IE安全性。这里我们以Win7集成的IE8

ActivX控件改进为例。

技巧:选择性的加载ActiveX控件

大家知道访问很多网站时都会被要求下载或者加载特定ActiveX控件,对

于恶意网站来说更是通过ActiveX控件来危害访问者的电脑。IE8ActiveX

控件可以针对指定网站加载。

假设现在有个BUGActiveX控件,但是现在访问的是正规网站如新浪网,

此时IE如果弹出是否加载ActiveX控件提示,由于是安全网站,我们只要点击

上方加载提示,选择“仅当前页面加载”,这样浏览新浪页面时就会加载

ActiveX控件而不影响浏览。如果访问的是恶意网站,试图加载有漏洞的

ActiveX控件,我们只要选择“不加载”,这样恶意网站就无法利用ActiveX

控件威胁我们的电脑了。

扩展阅读:IE9新增安全特性

增加了Smart Screen功能,能够屏蔽假冒网站的威胁(如用户名、密码

和帐单数据),以及防止恶意软件侵入电脑。

跟踪保护功能:可以避免用户个人隐私被第三方网站跟踪记录,可定制访问

以及禁止访问的第三方网站。

加载项性能顾问:加载项性能顾问会在加载项放缓浏览会话时通知用户。

认情况下,如果所有加载项的总加载时间超过0.2秒,用户就会收到通知,使

用户有机会作出明智的决定,使用有价值的加载项并选择禁用不太有用或影响性

能的加载项。

2、更安全的网络共享

现在拥有小型网络的企业和家庭用户越来越多,网络共享安全始终是个极大

安全隐患。在这方面Win7大幅提高网络互访和数据共享的安全性能。

技巧:安全共享的家庭组

Win7在首次接通网络时,Win7就会让用户选择网络设置,对于家庭用户可

以按照向导建立安全家庭组,默认家庭组必须设置密码,而且Win7会自动生成

复杂随机的多位密码。以后家庭组电脑的访问和加入就必须输入生成的随机密码

(如图9)。

编后:有安全保障还需要好习惯

Win 7为用户提供了优秀的安全保障措施,只要我们用好这些安全功能,并

不需要借助第三方软件,我们就能够享受到总统级的安全享受。当然了,我们想

要系统更加安全,良好的电脑和网络使用习惯也非常重要,这将让安全威胁降到

最低。