windows7的安全策略原理及应用

windows7的安全策略的

原理及应用

张耀华东理工大学

-----------------------------------------------【摘要】windows7在安全与加密方面相对于以前版本有很大的创新与优化，在安全性与易用性上也有这很大的提高。本文通过对window7对加密，权

限等技术的讨论来了解windows7的安全方面的情况。

【关键词】EFS加密，BitLocker，数字签名

1windows7中的账户

1.1什么是用户账户

如若一台计算机被多个用户使用，则必定会遇到每个用户对自己隐私，重要文件保护的问题，windows7每个用户账户给每个用户一个相对独立的管理与利用空间。每当用一个账户登陆windows7时，将告诉windows7这个账户所拥有的对相应文件与文件夹或者个人首选项（如桌面背景等）管理与使用的权限。通过用户帐户，您可以在拥有自己的文件和设置的情况下与多个人共享计算机。每个人都可以使用用户名和密码访问其用户帐户。

（①windows帮助和支持，什么是用户账户？）

1.2账户类型

Windows7账户类型与前几个版本一样分为三类：

1.标准用户

拥有正常使用计算机进行工作的用户。

2.管理员

拥有对计算机最高权限，对计算机有完全访问权，可以对计算机做出任何修改。还可以对其他非管理员账户进行管理。

3.来宾（Guest）

临时使用计算机的用户。（可以在管理员控制面板的其他用户管理中禁用）账户的创建(图1-1):

图1-1（创建用户路径）

之后设置用户名密码，完成用户的创建。

1.3账户的管理权限与维护(以管理员账户为例）

1.3.1账户密码管理

长期使用同一个密码增加了密码的被盗率，windows7对此也给出了解决方案：-------------------------------------------------------------------------------【参考】

①（windows帮助和支持，什么是用户账户？）

在开始中搜索中输入secpol.msc打开本地安全策略，在账户策略->密码策略中可以更改“密码必须符合复杂性要求”,“密码长度最小值”等各种设置（如图1-2）。这样windows7将强制要求用户定期更改密码，并且密码必须符合策略要求。

图1-2

1.3.2丢失账户密码

密码丢失经常发生，windows7对这种情况给出了解决方案（前提需要一个动存储，以下以u盘为例）：进入控制面板—>用户账户和家庭安全->用户账户->点击“创建密码重设盘”再（如图1-3）跟据向导先后选择目标u盘，输入当前账户密码。然后创建就完成了，而后你将发现在u盘中有文件userkey.psw。(如图1-4）

图1-3(单击创建密码重设盘）图1-4

有了密码重设盘，这样在忘记开机密码是，只要把u盘或其他插入电脑，在用户登录界面的密码输入框下面将会出现“重设密码”单击进入重设密码向导重新设置开机密码，进入系统。

然而现在u盘等移动存储的遗失率也很高，万一密码重设盘丢失该如何解决呢？这个问题好办，用同样地方式在另外新的u盘上载创建一个密码重设盘。系统将会记住当前的u 盘为重设盘，之前的u盘将自动失效。用户不必担心数据丢失。

(其他标准用户的操作同上）

1.3.3用户对文件的权限设置

用户对自己的文件可以进行权限的设置来保护自己文件的安全，具体方式：右键单击需要设置权限的文件或者文件夹->选择属性->安全->选择编辑->选择组或用户（图1-5）进行相应的权限设置（如图1-6）。

图1-5图1-6

用户对某个组或者用户设置了权限后（如拒绝访问），在用其他用户账户登录时将无法访问（除了管理员的强制访问）。

1.3.4用户账户控制（UAC）

I什么是UAC

UAC开始于Windows Vista，在Windows7中对其进行了优化，在保证其安全性的同时，减少了其弹窗的频率，改善了其的易用性。那UAC有什么功能？由于某一些程序的运行需要管理员权限，在Windows Vista以前的版本这些程序在标准用户账户登录系统时是不可以运行的。有了UAC后，Windows7即使在管理员身份进入系统时依然以标准用户使用系统。在遇到需要管理员权限时将会出现窗口提示用户需要管理员权限，要求用户授权（管理员账户登录时）或者提供管理员密码（标准用户登录时）。

II UAC的优点

i大部分应用程序可以在没有管理员权限的情况下运行。

ii要求管理员权限的应用程序会在必要时向用户显示提升提示。

iii执行常规任务是不必再提供管理员权限。

iv对于需要管理员特权的功能，操作系统使用盾牌图标提示出来。

v就算使用管理员账户登录，Windows7默认使用标准用户权限运行应用程序。

①(Window7安全指南电子工业出版社p59Line15)

III对UAC的基本设置

如果相对UAC进行自定义设置的话，在控制面板->系统和安全->操作中心（如图1-7），选择更改用户控制设置（图1-8）（一共有四种级别，从不通知到始终通知）—>确定完成设置。

图1-7图1-8

1.3.5管理员高级权限

管理员具有其他标准用户更高的权限：

I以管理员身份进入控制面板—>用户账户和家庭安全->用户账户->管理其他用户，可以对其他标准用户进行更改，删除其他标准用户密码，还可以直接删除用户。

II进入管理员账户可以以管理员的身份访问标准用户设置了权限的文件。

III管理员可以对C盘的一些系统文件进行修改。

----------------------------------------------------------------------------------------------------------------------【参考】①(Window7安全指南电子工业出版社p59Line15)