windows7的安全策略的原理及应用张耀华东理工大学-----------------------------------------------【摘要】windows7在安全与加密方面相对于以前版本有很大的创新与优化，在安全性与易用性上也有这很大的提高。

本文通过对window7对加密，权限等技术的讨论来了解windows7的安全方面的情况。

【关键词】EFS加密，BitLocker，数字签名1windows7中的账户1.1什么是用户账户如若一台计算机被多个用户使用，则必定会遇到每个用户对自己隐私，重要文件保护的问题，windows7每个用户账户给每个用户一个相对独立的管理与利用空间。

每当用一个账户登陆windows7时，将告诉windows7这个账户所拥有的对相应文件与文件夹或者个人首选项（如桌面背景等）管理与使用的权限。

通过用户帐户，您可以在拥有自己的文件和设置的情况下与多个人共享计算机。

每个人都可以使用用户名和密码访问其用户帐户。

（①windows帮助和支持，什么是用户账户？）1.2账户类型Windows7账户类型与前几个版本一样分为三类：1.标准用户拥有正常使用计算机进行工作的用户。

2.管理员拥有对计算机最高权限，对计算机有完全访问权，可以对计算机做出任何修改。

还可以对其他非管理员账户进行管理。

3.来宾（Guest）临时使用计算机的用户。

（可以在管理员控制面板的其他用户管理中禁用）账户的创建(图1-1):图1-1（创建用户路径）之后设置用户名密码，完成用户的创建。

1.3账户的管理权限与维护(以管理员账户为例）1.3.1账户密码管理长期使用同一个密码增加了密码的被盗率，windows7对此也给出了解决方案：-------------------------------------------------------------------------------【参考】①（windows帮助和支持，什么是用户账户？）在开始中搜索中输入secpol.msc打开本地安全策略，在账户策略->密码策略中可以更改“密码必须符合复杂性要求”,“密码长度最小值”等各种设置（如图1-2）。

这样windows7将强制要求用户定期更改密码，并且密码必须符合策略要求。

图1-21.3.2丢失账户密码密码丢失经常发生，windows7对这种情况给出了解决方案（前提需要一个动存储，以下以u盘为例）：进入控制面板—>用户账户和家庭安全->用户账户->点击“创建密码重设盘”再（如图1-3）跟据向导先后选择目标u盘，输入当前账户密码。

然后创建就完成了，而后你将发现在u盘中有文件userkey.psw。

(如图1-4）图1-3(单击创建密码重设盘）图1-4有了密码重设盘，这样在忘记开机密码是，只要把u盘或其他插入电脑，在用户登录界面的密码输入框下面将会出现“重设密码”单击进入重设密码向导重新设置开机密码，进入系统。

然而现在u盘等移动存储的遗失率也很高，万一密码重设盘丢失该如何解决呢？这个问题好办，用同样地方式在另外新的u盘上载创建一个密码重设盘。

系统将会记住当前的u 盘为重设盘，之前的u盘将自动失效。

用户不必担心数据丢失。

(其他标准用户的操作同上）1.3.3用户对文件的权限设置用户对自己的文件可以进行权限的设置来保护自己文件的安全，具体方式：右键单击需要设置权限的文件或者文件夹->选择属性->安全->选择编辑->选择组或用户（图1-5）进行相应的权限设置（如图1-6）。

图1-5图1-6用户对某个组或者用户设置了权限后（如拒绝访问），在用其他用户账户登录时将无法访问（除了管理员的强制访问）。

1.3.4用户账户控制（UAC）I什么是UACUAC开始于Windows Vista，在Windows7中对其进行了优化，在保证其安全性的同时，减少了其弹窗的频率，改善了其的易用性。

那UAC有什么功能？由于某一些程序的运行需要管理员权限，在Windows Vista以前的版本这些程序在标准用户账户登录系统时是不可以运行的。

有了UAC后，Windows7即使在管理员身份进入系统时依然以标准用户使用系统。

在遇到需要管理员权限时将会出现窗口提示用户需要管理员权限，要求用户授权（管理员账户登录时）或者提供管理员密码（标准用户登录时）。

II UAC的优点i大部分应用程序可以在没有管理员权限的情况下运行。

ii要求管理员权限的应用程序会在必要时向用户显示提升提示。

iii执行常规任务是不必再提供管理员权限。

iv对于需要管理员特权的功能，操作系统使用盾牌图标提示出来。

v就算使用管理员账户登录，Windows7默认使用标准用户权限运行应用程序。

①(Window7安全指南电子工业出版社p59Line15)III对UAC的基本设置如果相对UAC进行自定义设置的话，在控制面板->系统和安全->操作中心（如图1-7），选择更改用户控制设置（图1-8）（一共有四种级别，从不通知到始终通知）—>确定完成设置。

图1-7图1-81.3.5管理员高级权限管理员具有其他标准用户更高的权限：I以管理员身份进入控制面板—>用户账户和家庭安全->用户账户->管理其他用户，可以对其他标准用户进行更改，删除其他标准用户密码，还可以直接删除用户。

II进入管理员账户可以以管理员的身份访问标准用户设置了权限的文件。

III管理员可以对C盘的一些系统文件进行修改。

----------------------------------------------------------------------------------------------------------------------【参考】①(Window7安全指南电子工业出版社p59Line15)2EFS加密原理与使用2.1常用加密方式2.1.1对称加密这是最普遍的加密方式，指的是把文件通过一个固定算法来转化成了另一种表现方式（密文），在没有这个算法相对应的解密算法的用户将无法对其进行正确的解密，从而无读取文件。

加密算法和解密算法合称为Key。

这样以来，如若A用户与B用户要秘密传送文件，只A要把加密后的文件与Key分别发给B，B用Key解密读取就可以了。

对称加密优点在于速度快，效率高。

2.1.2非对称加密对于对称加密具有很多缺陷，如Key只有一个，则必然涉及Key的发送问题，发送则又一定几率被盗。

这样只要有A，B加密文件的Key，任何人都可以读取文件。

i什么是公私钥加密非对称加密很好的解决了这个问题。

这种算法运用的加密密钥与解密密钥是两个不同的密钥，用Key1加密的文件必须用Key2来解密，用Key2密钥加密的必须用Key1解密（即公钥与私钥）。

这样要是A要给B发加密文件，A发给B的是用B的公钥（公开）加密的密文，B使用自己的私钥解密。

这样避免了Key的传递，提高了安全性。

非对称加密的核心是运用一种特殊的数学函数——单向陷门函数，即从一个方向求值是容易的。

但是逆向求值却十分困难，从而在实际上不可行。

①(计算机导论郭卫斌杨建国主编华理计算机系教材P224Line5）ii非对称加密优缺点与解决方案优点：安全性很高，只要私钥没有泄露，其安全性有保障且可以长期使用。

缺点：由于非对称加密运算量相对于对称加密大的多，其加密解密效率变得十分低下，运用在实际不易用。

解决方法：由于对称加密的软肋是Key的保护，这样就可以用非对称加密技术来加密对称加密的Key。

这样很好的解决了非对称加密的效率问题。

2.2EFS加密2.2.1什么是EFSEFS加密完全基于非对称加密的一套加密系统，windows7中用这加密系统保护用户数据。

2.2.2用EFS加密文件Windows7在每一个用户第一次使用EFS加密文件时自动为用户生成一套非对称加密的公钥与私钥（私钥即证书）。

具体加密步骤如下：选择需要加密的文件->右键单击选择属性->选择高级看到窗口（如图2-1）—>勾选在加密内容以保护数据->确定完成(如图2-2）文件名变成绿色详见电子版)。

如果要取消保护，以相同步骤取消加密的选择确定取消保护即可。

图2-1图2-2----------------------------------------------------------------------------------------------------------------------【参考】①(计算机导论郭卫斌杨建国主编华理计算机系教材P224Line5）2.2.3EFS加密的特性i易用性EFS在对文件解密是并不需要在打开文件时输入密码解密，因为在用户登录系统时，系统已经承认用户的合法性，不需要密码的验证解密，但是这并不是系统没有对文件进行加密，因为用其他用户登录时无法打开文件。

这一点用户要在观念上该变。

ii安全性EFS基于非对称加密，安全性毋庸置疑。

2.2.4EFS证书备份与恢复管理I为什么要备份证书（私钥）系统生成的证书只能在当前的用户使用，在计算机使用过程中难免会遇到系统的崩溃或者系统的重装。

这样原来的用户信息就会丢失，原先加密的文件将失去解密的私钥，永远不会得到解密，用户的数据将不可以被恢复。

II证书的备份、恢复i备份：具体步骤：打开控制面板->用户账户与家庭安全->用户账户->进入管理文件加密证书（图2-3）->在弹出的窗口中点击下一步->选择使用此证书，下一步->选择保存路径（推荐保存在移动存储器中），输入密码（图2-4）->单击下一步完成备份。

图2-3图2-4备份完后在相应的存储中会有文件证书.pfx（如图2-5）图2-5图2-6ii恢复：找到备份的证书文件，直接双击进入导入向导（图2-6）->单击下一步->输入密码->下一步->导入->系统提示导入成功。

这样在新的环境就可以读取以前加密的文件。

（建议将证书保存在一个安全的地方并记住密码）3BitLocker3.1BitLocker原理与应用I什么是BitLockerBitLocker始于Wndows Vista，在Windows7中兼容，这是比EFS更加严密的加密防护。

是把磁盘从底层的每一个字节进行加密，针对离线攻击而设计，安全性很高。

II BitLocker的优缺点优点：BitLocker主要用于加密操作系统所在的卷，保护重要的系统文件在启动前不被破解。

所以文件都被高强度的加密，即使黑客将硬盘挂接到其他的计算机，也无法用破解用户账户数据库文件的手段获得系统使用权。

（将硬盘挂接在其他的计算机并设为从盘就可以破解其的使用权限）。