课程名称安全设置文档格式.docx
- 文档编号:19049338
- 上传时间:2023-01-03
- 格式:DOCX
- 页数:45
- 大小:4.60MB
课程名称安全设置文档格式.docx
《课程名称安全设置文档格式.docx》由会员分享,可在线阅读,更多相关《课程名称安全设置文档格式.docx(45页珍藏版)》请在冰豆网上搜索。
防火墙即可以是软件也可以是硬件,它能够检查来自Internet或网络的信息,然后根据防火墙设置阻止或允许这些信息通过计算机。
防火墙有助于防止黑客或恶意软件(如蠕虫)通过网络或Internet访问计算机;
防火墙还有助于阻止计算机向其他计算机发送恶意软件。
Windows会检查计算机是否已受到软件防火墙的保护。
如果防火墙处于关闭状态,则安全中心将显示一个通知,并且在通知区域中放置一个安全中心图标。
点击安全中心中左侧的防火墙打开如下图画面
打开或关闭Windows防火墙的方法
单击“启用或关闭Windows防火墙”。
如果系统提示输入管理员密码或进行确认,请键入密码或提供确认。
单击启用(推荐)或关闭(不推荐)然后单击确定。
如果希望防火墙阻止所有程序,包括“例外”选项卡上选择的程序,则选中“阻止所有传入连接”复选框,该项需要启用防火墙。
如下图
启用(推荐)
默认情况下已选中该设置。
当Windows防火墙处于打开状态时,大部分程序都被阻止通过防火墙进行通信。
如果想要解除阻止某一程序,可以将其添加到“例外”列表(位于“例外”选项卡上)。
例如,在将即时消息程序添加至“例外”列表之前,可能无法使用即时消息发送照片。
阻止所有传入连接
此设置将阻止所有主动连接用户计算机的尝试。
当需要为计算机提供最大程度的保护时(例如,当用户连接到旅馆或机场的公用网络时,或者当计算机蠕虫正在Internet上扩散时),可以使用该设置。
如果使用此设置,Windows防火墙在阻止程序时将不会通知用户,并且将会忽略“例外”列表中的程序。
如果选择“阻止所有接入连接”,仍然可以查看大多数网页,发送和接收电子邮件,以及发送和接收即时消息。
关闭(不推荐)
避免使用此设置,除非计算机上运行了其他防火墙。
关闭Windows防火墙可能会使计算机(以及网络,如果有)更容易受到黑客和恶意软件(如蠕虫)的侵害。
注意
如果某些防火墙设置不可用,并且计算机已连接到域,则可能是系统管理员正在通过组策略控制这些设置。
“例外”选项卡
“例外”是一种指令,告知Windows防火墙暂时打开端口,以便允许某个程序或服务通过该端口传递一些特定的信息,然后再关闭。
这些指令称为“例外”,因为通常情况下,防火墙会阻止所有未经请求就发送信息的尝试
在例外中我们可以通过添加程序或添加端口功能允许某程序或使用某端口的程序通过防火墙。
高级选项卡
在高级选项中我们可以选择对某个网络连接使用或不使用防火墙
三、高级安全windows防火墙
打开高级安全的Windows防火墙方法:
单击打开管理工具。
如果系统提示用户输入管理员密码或进行确认,请键入密码或提供确认。
双击“高级安全的Windows防火墙”。
下面将对高级安全windows防火墙做一详细介绍:
具有高级安全性的Windows防火墙结合了主机防火墙和IPSec(Internet协议安全)。
具有高级安全性的Windows防火墙在每台运行此版本Windows的计算机上运行,并对可能穿越边界网络或源于组织内部的网络攻击提供本地保护。
它还提供计算机到计算机的连接安全,使用户可以对通信要求身份验证和数据保护。
具有高级安全性的Windows防火墙是一种状态防火墙,检查并筛选IP版本4(IPv4)和IP版本6(IPv6)流量的所有数据包。
默认情况下阻止传入流量,除非是对主机请求(请求的流量)的响应,或者被特别允许(即创建了防火墙规则允许该流量)。
通过配置具有高级安全性的Windows防火墙设置(指定端口号、应用程序名称、服务名称或其他标准)可以显式允许流量。
使用具有高级安全性的Windows防火墙还可以请求或要求计算机在通信之前互相进行身份验证,并在通信时使用数据完整性或数据加密。
具有高级安全性的Windows防火墙如何工作?
具有高级安全性的Windows防火墙使用两组规则配置其如何响应传入和传出流量。
防火墙规则确定允许或阻止哪种流量。
连接安全规则确定如何保护此计算机和其他计算机之间的流量。
通过使用防火墙配置文件(根据计算机连接的位置应用),可以应用这些规则以及其他设置。
还可以监视防火墙活动和规则。
防火墙规则
配置防火墙规则以确定阻止还是允许流量通过具有高级安全性的Windows防火墙。
传入数据包到达计算机时,具有高级安全性的Windows防火墙检查该数据包,并确定它是否符合防火墙规则中指定的标准。
如果数据包与规则中的标准匹配,则具有高级安全性的Windows防火墙执行规则中指定的操作,即阻止连接或允许连接。
如果数据包与规则中的标准不匹配,则具有高级安全性的Windows防火墙丢弃该数据包,并在防火墙日志文件中创建条目(如果启用了日志记录)。
对规则进行配置时,可以从各种标准中进行选择:
例如应用程序名称、系统服务名称、TCP端口、UDP端口、本地IP地址、远程IP地址、配置文件、接口类型(如网络适配器)、用户、用户组、计算机、计算机组、协议、ICMP类型等。
规则中的标准添加在一起;
添加的标准越多,具有高级安全性的Windows防火墙匹配传入流量就越精细
连接安全规则
可以使用连接安全规则来配置本计算机与其他计算机之间特定连接的IPSec设置。
具有高级安全性的Windows防火墙使用该规则来评估网络通信,然后根据该规则中所建立的标准阻止或允许消息。
在某些环境下具有高级安全性的Windows防火墙将阻止通信。
如果所配置的设置要求连接安全(双向的验证),而两台计算机无法互相进行身份验证,则将阻止连接
入站规则
入站规则明确允许或者明确阻止与规则条件匹配的通信。
例如,可以将规则配置为明确允许受IPSec保护的远程桌面通信通过防火墙,但阻止不受IPSec保护的远程桌面通信。
首次安装Windows时,将阻止入站通信,若要允许通信,用户必须创建一个入站规则。
在没有适用的入站规则的情况下,也可以对具有高级安全性的Windows防火墙所执行的操作(无论允许还是阻止连接)进行配置。
出站规则
出站规则明确允许或者明确拒绝来自与规则条件匹配的计算机的通信。
例如,可以将规则配置为明确阻止出站通信通过防火墙到达某一台计算机,但允许同样的通信到达其他计算机。
默认情况下允许出站通信,因此必须创建出站规则来阻止通信。
无论在默认情况下是允许或是阻止连接,都可以配置默认操作。
防火墙配置文件
可以将防火墙规则和连接安全规则以及其他设置应用于一个或多个防火墙配置文件。
然后将这些配置文件应用于计算机,这取决于连接计算机的位置。
可以配置计算机何时连接到域、专用网络(例如家庭网络)或公用网络(例如Internet展台)的配置文件
防火墙规则和连接安全规则之间如何关联
防火墙规则允许通信通过防火墙,但不确保这些通信的安全。
若要使用IPSec确保通信安全,可以创建连接安全规则。
但是,创建连接安全规则不允许通信通过防火墙。
如果防火墙默认的行为不允许该通信通过,则必须创建防火墙规则来实现此操作。
连接安全规则不应用于程序或服务,它们应用于构成两个终结点的计算机之间。
注意:
作为最佳实践,请为防火墙规则给定一个唯一名称。
唯一名称可以让使用netsh命令进行的管理更容易。
配置规则
因为具有高级安全性的Windows防火墙在默认情况下阻止所有非请求TCP/IP传入通信,因此可能需要对作为服务器、侦听程序或者对等端的程序或服务配置程序、端口和系统服务规则。
当服务器角色或配置更改时,必须根据实际情况对程序、端口和系统服务规则进行管理。
要点:
防火墙规则的设置为标准(连接请求针对此标准来匹配规则)添加了逐渐增长的限制级别。
例如,如果未在“程序和服务”选项卡中指定程序或服务,将允许所有与其他条件相匹配的程序和服务连接。
因此,添加更详细的标准会使规则变得越来越严格,因此,匹配的可能性也就越小。
配置程序或服务设置
若要向规则列表添加程序,必须指定该程序使用的可执行(.exe)文件的完整路径。
在其自己唯一的.exe文件中运行且不受服务容器主持的系统服务被视为程序,且能将其添加到规则列表。
同样,作用于同系统服务且无论用户是否登录到计算机都运行的程序也被视为程序,只要该程序在其自己唯一的.exe文件中运行。
警告:
将主持服务的服务容器或者程序(例如Svchost.exe、Dllhost.exe和Inetinfo.exe)添加到规则中没有进一步限制的规则列表中,可能会使计算机受到安全威胁。
同样,添加这些容器还可能与运行此版本Windows的计算机上的其他服务强化策略发生冲突。
将程序添加到规则列表时,具有高级安全性的Windows防火墙将动态打开(取消阻止)和关闭(阻止)程序所需的端口。
当程序正在运行和侦听传入通信时,具有高级安全性的Windows防火墙将打开所需端口;
当程序未运行或未侦听传入通信时,具有高级安全性的Windows防火墙将关闭这些端口。
由于此动态行为,推荐的方法是将程序添加到规则列表,以允许非请求传入通信通过具有高级安全性的Windows防火墙。
注意
只有在程序使用Windows套接字(Winsock)创建端口分配时,才可使用程序规则以允许非请求传入通信通过具有高级安全性的Windows防火墙。
如果程序不使用Winsock分配端口,必须确定程序使用的端口并将这些端口添加到规则列表。
若要向规则列表添加具有关联的服务安全标识符(SID)的系统服务,可以使用“防火墙规则属性”对话框中的“程序和服务”选项卡。
由于很多服务在进程(如Svchost.exe)中主持,因此,此选项卡提供了更精确的服务控制。
此方法比向规则列表添加Svchost.exe进程更安全。
注意
在其自己唯一的可执行(.exe)文件中运行且不受服务容器主持的系统服务被视为程序。
可将此类系统服务添加到规则列表。
同样,作用相同于系统服务且无论用户是否登录到计算机都运行的程序,只要它在其自己唯一的.exe文件中运行,也被视为程序。
不要将主持服务的服务容器或程序(例如Svchost.exe、Dllhost.exe和Inetinfo.exe)添加到规则列表。
配置端口和协议设置
在某些情况下,如果不能将程序或系统服务添加到规则列表,必须确定程序或系统服务使用哪个或哪些端口,然后将这个或这些端口添加到具有高级安全性的Windows防火墙规则列表。
将端口添加到规则列表时,必须指定协议和端口号(可以指定只有TCP和UDP协议的端口)。
将TCP或UDP端口添加到规则列表时,每当具有高级安全性的Windows防火墙运行时,无论是否有程序或系统服务在该端口侦听传入通信,该端口都处于打开(取消阻止)状态。
因此,如果需要允许非请求传入通信通过具有高级安全性的Windows防火墙,应创建程序规则而不是端口规则。
将程序添加到规则列表时,具有高级安全性的Windows防火墙将动态打开和关闭程序所需的端口。
当程序正在运行和侦听传入通信时,Windows防火墙将打开所需端口;
配置连接安全规则
防火墙和IPSec配置工具
有多种方式配置Windows防火墙和IPSec的设置和选项,包括:
使用具有高级安全性的Windows防火墙MMC管理单元
具有高级安全性的Windows防火墙管理单元使用户可以在一个界面中同时配置防火墙设置和安全(IPSec)设置。
还可以在监视节点中查看当前应用的策略、规则和其他信息。
该管理单元可用于配置要应用于运行此版本Windows计算机的策略的所有设置。
若要为运行早期版本Windows的计算机创建IPSec策略,请使用IP安全策略管理单元。
使用Windows防火墙控制面板
可用于本地计算机的Windows防火墙控制面板也可配置一组有限的设置(由具有高级安全性的Windows防火墙MMC管理单元提供)。
使用IP安全策略MMC管理单元
此MMC管理单元可用于配置运行早期版本(或此版本)Windows的计算机所应用的IPSec策略。
对于运行这些版本Windows的计算机共存的环境,此MMC管理单元将十分有用。
无法使用此管理单元配置具有高级安全性的Windows防火墙设置。
使用IP安全监视器MMC管理单元
此MMC管理单元可以用于监视早期版本Windows上和运行此版本Windows的计算机上的IPSec安全关联。
此管理单元包括统计信息节点,该节点显示用IP安全策略管理单元和用具有高级安全性的Windows防火墙管理单元创建的策略的组合活动的各种统计信息。
Netsh命令
Netsh是可以用于配置网络组件设置的命令行工具。
具有高级安全性的Windows防火墙提供netshadvfirewall上下文,可以使用它配置具有高级安全性的Windows防火墙设置。
使用netshadvfirewall可以创建脚本,以便自动同时为IPv4和IPv6流量配置一组具有高级安全性的Windows防火墙设置。
还可以使用netshadvfirewall命令显示具有高级安全性的Windows防火墙的配置和状态。
还可以使用netshipsec命令来配置连接安全规则,以及使用netshfirewall命令来配置一组更有限的防火墙设置。
组策略设置
具有高级安全性的Windows防火墙提供若干组策略设置,可以用其在使用ActiveDirectory®
域服务的组织中集中配置和管理大量计算机。
使用这些组策略设置可以配置具有高级安全性的Windows防火墙规则和其他设置。
通过导航到“计算机配置/Windows设置/安全设置/具有高级安全性的Windows防火墙”,可以找到此管理单元。
还可以使用Windows防火墙管理模板来应用早期版本Windows中可用的设置。
也可以使用组策略来配置和分发“IP安全策略”管理单元中所创建的IPSec策略。
监视具有高级安全性的Windows防火墙
使用此文件夹同时监视使用具有高级安全性的Windows防火墙管理单元创建的防火墙规则和连接安全规则。
使用此文件夹无法查看使用IP安全策略管理单元创建的策略。
“监视概述”页显示活动的配置文件(域、专用或公用)以及该配置文件的设置。
防火墙
使用此文件夹监视所有启用的防火墙规则,包括活动配置文件的防火墙规则和通过使用组策略对象(GPO)分发的防火墙规则。
只监视活动的(已应用的)防火墙规则。
此文件夹列出所有启用的连接安全规则以及有关其设置的详细信息。
连接安全规则使用Internet协议安全(IPSec)来保护本计算机与其他计算机之间的通讯。
连接安全规则定义用于形成安全关联(SA)的身份验证、密钥交换、数据完整性或加密。
SA定义用于保护从发送方到接收方的通信的安全性。
安全关联
此文件夹列出所有主模式和快速模式SA以及有关其设置和终结点的详细信息。
主模式
此文件夹列出所有主模式SA以及有关其设置和终结点的详细信息。
可以使用此文件夹查看终结点的IP地址。
快速模式
此文件夹列出所有快速模式SA以及有关其设置和终结点的详细信息。
四、自动更新
更新:
是防止或解决某些问题、增强计算机安全性或提高计算机性能的软件附件。
强烈建议启用Windows自动更新,这样Windows便可以在有可用更新时为计算机安装安全更新和重要更新或推荐更新。
许多软件发行商都会在提供程序更新或新版本时通知用户。
启用或禁用自动更新
若要让Windows在可获得重要更新时安装这些更新,需要启用自动更新。
重要更新可以让用户受益匪浅,例如,获得更高的安全性和可靠性。
也可以将Windows设置为自动安装推荐的更新,这些更新可以处理非关键的问题,并帮助增强计算体验。
可选更新不会自动下载或安装。
打开WindowsUpdate。
在左侧窗格中,单击“更改设置”。
选择所需选项。
选择windows安装更新的方法,可选项有
1自动安装更新(推荐)---可设置自动更新时间
2下载更新,但让我选择是否安装更新
3检查更新,但是让我选择是否下载和安装更新
4从不检查更新(不推荐)
推荐更新
下载、安装或通知更新时包括推荐的更新,如果不选择,则对于推荐更新是不会自动更新的
检查更新
点击检查更新后,系统会直接连接到微软服务器进行更新数据的核实,如果有更新,则自动根据设置进行更新下载、安装
查看更新历史纪录,该功能提供了vista所有更新的安装纪录,点击已安装的更新,可以查看计算机上安装过的更新程序,对这些程序是可以进行卸载的
还原和安装隐藏更新
隐藏更新是已请求Windows不通知用户或自动安装的更新。
为了增强计算机的安全性和性能,建议安装所有重要更新和推荐更新。
在左侧窗格中,单击“还原隐藏的更新”。
选择要安装的更新,然后单击“还原”。
若要查看是否已选择了所有重要更新和推荐更新,请检查“类型”列中每个更新名称旁边的信息。
Windows将会检查更新,然后提示用户安装已还原的更新以及任何可用的新更新。
尝试还原的某些更新可能不会显示在Windows提供的更新列表中。
仅当Windows发现一个较新的更新解决了与用户尝试还原的更新相同的问题时,更新才会出现在列表中。
恶意软件防护
恶意软件保护包括两部分内容:
病毒防护和windowsdefender
病毒防护需要用户单独安装杀毒软件,杀毒软件的种类非常多,需要用户自行选择
五、WINDOWSDEFENDER
在使用计算机的同时运行反间谍软件非常重要。
间谍软件和其他可能不需要的软件会在用户连接到Internet时尝试自行安装到计算机上。
如果使用CD、DVD或其他可移动介质安装程序,它也会感染计算机。
可能不需要的或恶意软件并非仅在安装后才能运行,它还会被编程为随时运行。
WindowsDefender提供了三种途径来帮助阻止间谍软件和其他可能不需要的软件感染计算机。
实时保护:
当间谍软件或其他可能不需要的软件试图在计算机上自行安装或运行时,WindowsDefender会发出警报。
如果程序试图更改重要的Windows设置,它也会发出警报。
SpyNet社区:
联机MicrosoftSpyNet社区可帮助用户查看其他人是如何响应未按风险分类的软件的。
查看社区中其他成员是否允许使用此软件,能够帮助用户选择是否允许此软件在计算机上运行。
同样,如果加入社区,用户的选择也将添加到社区分级以帮助其他人作出选择。
扫描选项:
使用WindowsDefender可以扫描可能已安装到计算机上的间谍软件和其他可能不需要的软件,定期计划扫描,还可以自动删除扫描过程中检测到的任何恶意软件。
使用WindowsDefender时,更新定义非常重要。
定义是一些文件,它们就像一本不断更新的有关潜在软件威胁的百科全书。
WindowsDefender使用这些定义来确定它所检测的软件是否为间谍软件或其他可能不需要的软件,然后发出警报提示用户潜在的风险。
为了帮助用户保持定义为最新,WindowsDefender与WindowsUpdate一起运行,以便在发布新定义时自动进行安装。
还可将WindowsDefender设置为在扫描之前联机检查更新的定义。
WindowsDefender的警报等级
警报等级可帮助用户选择如何响应间谍软件和可能不需要的软件。
WindowsDefender将建议用户删除间谍软件,而不是被检测为恶意或不需要的所有软件。
此表中的信息可在WindowsDefender检测到计算机中可能不需要的软件时帮助用户决定如何处理。
警告级别
含义
操作
严重
范围广或异常的恶意程序,与病毒或蠕虫类似,会对用户的隐私和计算机安全造成负面影响,并损害计算机。
立即删除此软件。
高
可能搜集个人信息并对用户的隐私产生负面影响或损害计算机的程序,例如,通常在用户未指示或未同意的情况下,搜集信息或更改设置。
中
可能影响用户的隐私或更改计算机对计算体验产生负面影响的程序,例如,搜集个人信息或更改设置。
复查警报详细信息,查看为何会检测到此软件。
如果不喜欢软件的操作方式,或如果不了解和信任发行者,则考虑阻止或删除此软件。
低
可能不需要的软件会搜集有关用户或计算机的信息,或更改计算机的运行方式,但它按照协议操作,安装时会显示许可条款。
除非此软件在用户未指示的情况下安装,否则它通常会作为有益软件在计算机上运行。
如果用户不确定是否允许其运行,则复查警报详细信息或查看用户是否了解和信任该软件的发行者。
未分类
除非在用户未指示的情况下安装到计算机,否则通常为有益程序。
如果了解和信任此软件,则允许其运行。
如果不了解该软件或发行者,则复查警报详细信息以确定如何操作。
如果用户是SpyNet社区的成员,请检查社区分级以查看其他用户是否信任该软件。
WindowsDefender实时保护
当间谍软件或其他可能不需要的软件试图在计算机上安装或运行时,实时间谍软件保护会发出警报。
根据警报等级,可以选择下列操作之一应用到软件:
忽略:
允许软件在计算机上安装或运行。
如果在下次扫描过程中此软件仍在运行,或此软件试图更改计算机上与安全相关的设置,则WindowsDefender将再次发出有关此软件的警报。
隔离:
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 课程名称 安全 设置