刘晖，自由撰稿人，微软最有价值专家（MVP），精通Windows技术。曾在各计算机类杂志上发表过大量原创文章，并已出版多本原创和翻译的微软技术图书，包括《Windows安全指南》、《精通Windows XP》、《Windows 7使用大全》等Windows操作系统技术。<br>    汤雷，（湖北武汉）微软MCSE，曾多年从事计算机和Windows网络管理、软件研发等工作。对于Winldows管理、优化及实践有着丰富的经验，精通Wirldows Server服务器平台和客户端操作系统，具有丰富的管理经验。在软件研发工作上，开发过基于中小型数据库的管理系统，为用户提供数据库管理、优化及技术支持等服务。从200 7年起主要从事管理工作，致力于普及Windows使用知识和技巧，发现新功能，提升管理者的管理效能，提高用户的应用技巧。<br>    张诚，网名Asuka，IT基础架构专家，毕业于上海海洋大学，现就职于某大型国企信息中心。两次获得微软全球最有价值专家（MVP）称号，担任微软Technet特约讲师。他是微软中文社区Wiridows版的版主，ITECN技术博客作者，熟悉Windows操作系统和Active Directorv，具有多年微软服务器产品的项目和培训经验，现致力于促进绿色IT事业的发展。

    《Windows 7安全指南》适合对Windows系统有基本了解和使用经验，并且对系统以及软件的安全性不够放心的人群。相信通过阅读《Windows 7安全指南》，您将对Windows 7的安全性有一个全新的认识，并且能更好地将其应用到实际使用中，不仅可以保护您的系统，而且可以让具体的使用更加便利、简单。<br>    在客户端操作系统领域，Windows的使用率是最高的。对于微软最新的Windows 7操作系统，虽然可以说是目前安全性最高的操作系统，但受限于所谓的“木桶原理”，如果在使用中不注意，依然可能遇到潜在的安全隐患，并可能导致严重后果。<br>    对于目前较新版本的Windows系统，已经将安全性放在了第一位。系统中的大部分默认设置都是以保证安全为前提的。然而安全性和易用性就像鱼和熊掌，永远不可兼得。因此，在实际使用的过程中，我们可能还需要根据具体情况调整设置，提高易用性。如何在这两者之间进行取舍？如何能够在提高易用性的同时尽可能保证安全？这就是《Windows 7安全指南》要介绍的内容。<br>    《Windows 7安全指南》将从具体应用角度出发，介绍Windows 7系统在不同场合需要注意的安全选项，介绍此类选项的用途，以及建议的设置方式。另外，《Windows 7安全指南》还将从更高层面的原理和原则进行介绍，这些内容不仅适合Windows 7，还可用于其他任何主流的客户端操作系统。

    对于缺少的软件，例如缺少网络防火墙、反病毒软件或者反问谍软件，只要安装了支持WIM的软件，然后重新启动系统，操作中心就可以识别出新安装的软件，并更新相应类别的状态。但如果自己不知道有哪些安全软件是兼容windows 7的，例如，还没有安装反病毒软件，希望使用一个微软推荐的软件，则可以单击相应的类别（例如，反病毒软件对应的“恶意软件保护”类别），然后单击“查找程序”按钮，这样系统会自动调用浏览器访问微软网站上的相关页面，在那里可以看到微软推荐的所有软件，并可下载和试用。<br>    对于错误的设置，操作中心则会在对应的类别下提供一个“还原设置”按钮，只要单击这个按钮，不用知道具体有哪些设置需要改变，操作中心就会自动将不安全的设置修改为推荐的安全的设置。<br>    如果已经安装了反病毒软件，但操作中心无法检测到该软件的存在，依然报告说没有安装反病毒软件，这时候可以单击对应类别下的“关闭有关×××的消息”链接，这样的内容就会被操作中心隐藏，不再反复提示。<br>    另外还可能存在一种情况，为了满足使用上的特殊需要，我们可能需要使用一些不够安全的设置，例如，确实需要禁用用户账户控制功能（虽然强烈推荐不这样做），或者确实需要使用不够安全的Intemet EXplorer设置，但操作中心总会频繁地告诉我们这样做不够安全，显得有些烦人。这时候我们可以告诉操作中心，自己需要它监视哪些类别的安全问题，同时忽略哪些类别的安全问题。方法很简单，只要单击操作中心主窗口左侧的“更改操作中心设置”链接，随后可以看到如图1-38所示的界面。<br>    在这里可以根据实际需要进行选择，例如，如果不希望操作中心频繁通知我们已经知道的安全问题，可将对应的类别反选。如果随后希望重新看到相关类别的通知，也只需要在这里将其选中即可。

第1部分 Windows安全<br>第1章 安装和设置 2<br>1.1 安装前的准备工作 2<br>1.1.1 安装介质的选择 2<br>1.1.2 将补丁和更新集成到安装文件中 3<br>1.2 安装过程中的注意事项 8<br>1.2.1 Administrator账户的问题 8<br>1.2.2 来自网络的威胁 10<br>1.2.3 隐藏分区的问题 10<br>1.3 初次使用中的设置 12<br>1.3.1 新建账户并创建密码 14<br>1.3.1.1 账户和账户组的概念 15<br>1.3.1.2 创建账户和账户组 17<br>1.3.1.3 设置安全的密码 19<br>1.3.2 忘记密码后的操作 22<br>1.3.2.1 密码提示 22<br>1.3.2.2 密码重设盘 23<br>1.3.2.3 其他破解工具 24<br>1.3.3 管理其他账户 30<br>1.3.3.1 重设其他账户的密码 30<br>.1.3.3.2 设置其他账户的环境 30<br>1.3.3.3 管理配置文件 33<br>1.3.4 其他选项 35<br>1.3.4.1 自动播放 35<br>1.3.4.2 Syskey 37<br>1.3.4.3 操作中心 39<br>1.4 其他安全功能 43<br>1.4.1 更安全的64位系统 43<br>1.4.2 更安全的系统内核 49<br><br>第2章 账户安全 52<br>2.1 用户账户基础 52<br>2.1.1 创建用户账户 52<br>2.1.2 登录过程和访问令牌 54<br>2.1.3 深入理解配置文件 55<br>2.1.3.1 Windows XP的配置文件<br>2.1.3.1 名称空间 55<br>2.1.3.2 Windows 7的配置文件<br>2.1.3.2 名称空间 57<br>2.2 用户账户控制（UAC） 59<br>2.2.1 什么是UAC 60<br>2.2.2 配置UAC 62<br>2.2.2.1 修改默认提示级别 63<br>2.2.2.2 用策略控制UAC 64<br>2.2.2.3 UAC的高级设置技巧 68<br>2.2.2.4 解决应用程序兼容问题 70<br>2.3 文件和注册表虚拟化 73<br>2.3.1 什么是虚拟化 73<br>2.3.2 为什么要使用虚拟化 74<br>2.3.3 虚拟化对用户有什么影响 76<br>2.4 管理存储的凭据 77<br>2.4.1 添加Windows或普通凭据 77<br>2.4.2 添加基于证书的凭据 78<br>2.4.3 编辑Windows保管库项 79<br>2.4.4 备份和还原Windows保管库 79<br>2.4.5 删除Windows保管库项 80<br><br>第3章 策略安全 81<br>3.1 账户策略 82<br>3.1.1 密码策略 82<br>3.1.1.1 策略介绍 82<br>3.1.1.2 建议的设置 84<br>3.1.2 账户锁定策略 85<br>3.1.2.1 策略介绍 85<br>3.1.2.2 建议的设置 86<br>3.2 本地策略 86<br>3.2.1 审核策略 86<br>3.2.1.1 策略介绍 87<br>3.2.1.2 启用审核 88<br>3.2.1.3 查看审核记录 89<br>3.2.2 用户权限分配 93<br>3.2.3 安全选项 110<br>3.3 高级安全Windows防火墙 134<br>3.4 网络列表管理器策略 134<br>3.5 公钥策略 135<br>3.6 软件限制策略 135<br>3.6.1 软件限制策略简介 136<br>3.6.1.1 证书规则 139<br>3.6.1.2 哈希规则 140<br>3.6.1.3 网络区域规则 141<br>3.6.1.4 路径规则 141<br>3.6.2 软件限制策略使用建议 142<br>3.7 应用程序控制策略 144<br>3.7.1 规则的类型及其创建过程 145<br>3.7.2 规则的审核 151<br>3.7.3 自定义错误信息和规则的<br>3.7.3 导入\导出 152<br>3.8 IP安全策略 153<br>3.9 高级审核策略设置 153<br><br>第4章 补丁和更新 154<br>4.1 Windows漏洞多的事实 154<br>4.2 手工打补丁 156<br>4.2.1 Windows Update和Microsoft<br>4.2.1 Update 156<br>4.2.2 扫描和安装更新 157<br>4.3 自动打补丁 159<br>4.3.1 配置和使用自动更新 159<br>4.3.2 延迟重启 161<br>4.4 局域网中更强大的更新 162<br>4.4.1 更新文件的重复使用 162<br>4.4.2 BITS的使用和配置 164<br>4.4.3 使用WSUS搭建内部更新<br>4.4.3 服务器 166<br>4.4.3.1 WSUS的安装和配置 167<br>4.4.3.2 客户端的配置 172<br>4.5 使用MBSA执行安全性扫描 177<br><br>第5章 数据安全 179<br>5.1 NTFS权限简介 179<br>5.1.1 FAT32和NTFS文件系统对比 180<br>5.1.2 获得NTFS分区 181<br>5.2 NTFS权限设置 183<br>5.2.1 设置权限 185<br>5.2.2 判断有效权限 187<br>5.3 NTFS权限高级应用 188<br>5.3.1 权限的继承 188<br>5.3.2 获取所有权 190<br>5.3.3 权限设置的注意事项 191<br>5.4 EFS加密 191<br>5.4.1 加密和解密文件 192<br>5.4.2 证书的备份和还原 193<br>5.4.3 EFS的高级用法 195<br>5.4.3.1 EFS加密文件的共享 195<br>5.4.3.2 加密可移动存储介质 196<br>5.4.3.3 使用恢复代理 197<br>5.4.3.4 EFS的使用注意事项 200<br>5.5 Office文档安全 201<br>5.5.1 使用密码保护文档 202<br>5.5.2 使用IRM保护文档 202<br>5.5.2.1 创建IRM保护的文档 203<br>5.5.2.2 查看IRM保护的文档 207<br>5.6 文件的彻底删除和反删除 210<br>5.6.1 彻底粉碎文件 211<br>5.6.2 恢复被误删除的文件 212<br><br>第2部分 网络安全<br>第6章 无线网络安全 218<br>6.1 常见的无线网络标准 219<br>6.2 加密方式的选择 220<br>6.3 SSID 222<br>6.4 MAC地址过滤 223<br>6.5 其他注意事项 224<br><br>第7章 局域网安全 227<br>7.1 设置共享 227<br>7.1.1 简单文件共享和家庭组 228<br>7.1.2 高级文件共享 232<br>7.1.3 公用文件夹 235<br>7.1.4 管理共享 236<br>7.1.4.1 查看和管理共享 236<br>7.1.4.2 查看和管理会话 237<br>7.1.4.3 查看和管理打开的文件 238<br>7.1.5 默认的管理共享 239<br>7.2 控制数据的访问 240<br>7.2.1 网络用户的身份验证 241<br>7.2.2 管理保存的密码 242<br>7.2.3 共享权限和NTFS权限的配合 243<br><br>第8章 网络防火墙 244<br>8.1 Windows防火墙 245<br>8.1.1 启用和禁用防火墙 245<br>8.1.2 使用“例外” 248<br>8.1.3 网络位置 250<br>8.2 高级安全Windows防火墙 252<br>8.2.1 创建入站规则和出站规则 254<br>8.2.2 查看和管理规则 259<br>8.3 配置网络列表管理器策略 260<br><br>第3部分 病毒和恶意软件<br>第9章 安全上网 264<br>9.1 安全浏览网页 264<br>9.1.1 Internet Explorer的一般性<br>9.1.1 设置 265<br>9.1.1.1 常规和安全选项 265<br>9.1.1.2 信息栏 295<br>9.1.2 Internet Explorer的安全设置和<br>9.1.2 隐私选项 299<br>9.1.2.1 加密网站甄别 299<br>9.1.2.2 仿冒网站筛选 304<br>9.2 安全收发电子邮件 305<br>9.2.1 安全使用电子邮件的一些<br>9.1.2 注意事项 306<br>9.2.1.1 垃圾邮件 306<br>9.2.1.2 防范染毒邮件 309<br>9.2.1.3 防范钓鱼邮件 310<br>9.2.2 Windows Live Mail中的邮件<br>9.1.2 安全特性 310<br>9.2.2.1 防范垃圾邮件 310<br>9.2.2.2 防范染毒邮件 315<br>9.2.2.3 防范钓鱼邮件 316<br>9.3 软件安装时的注意事项 318<br>9.3.1 从可信的来源下载软件 319<br>9.3.2 安装时的注意事项 321<br>9.3.3 签名 322<br>9.3.3.1 校验码 322<br>9.3.3.2 数字签名 323<br>9.4 防范通过IM软件进行的诈骗 325<br>9.4.1 社会工程学诈骗 325<br>9.4.2 好奇心害死猫 326<br>9.4.3 天上岂能掉馅饼 326<br><br>第10章 防范恶意软件 328<br>10.1 面对恶意软件 329<br>10.1.1 关于恶意软件 329<br>10.1.2 恶意软件的危害 330<br>10.1.3 防范恶意软件的一般原则 332<br>10.2 使用MSE 333<br>10.2.1 实时监控 334<br>10.2.2 扫描 336<br>10.2.3 修改MSE的选项 337<br><br>第4部分 其他安全问题<br>第11章 家长控制 342<br>11.1 家长控制功能使用的前提<br>11.1 条件 342<br>11.2 启用和设置家长控制 346<br>11.2.1 设置可访问的网页内容 346<br>11.2.2 设置可用时间 348<br>11.2.3 设置可玩的游戏 348<br>11.2.4 设置允许和拒绝使用的程序 351<br>11.3 控制的结果 353<br>11.3.1 登录时间的限制 353<br>11.3.2 网页浏览的限制 353<br>11.3.3 运行游戏的限制 354<br>11.3.4 软件使用的限制 354<br>11.4 查看活动记录 355<br><br>第12章 BitLocker与BitLocker To Go 359<br>12.1 使用BitLocker的前提条件 360<br>12.2 启用BitLocker 364<br>12.3 BitLocker的灾难恢复 367<br>12.4 BitLocker的关闭 369<br>12.4.1 禁用BitLocker 369<br>12.4.2 解密系统盘 369<br>12.5 其他有关BitLocker的<br>12.5 注意事项 370<br>12.5.1 纯TPM模式 370<br>12.5.2 混合模式 372<br>12.6 使用BitLocker To Go保护<br>12.6 可移动存储设备 374<br>12.6.1 准备工作 374<br>12.6.2 对设备进行加密 375<br>12.6.3 加密设备的管理 376<br>12.6.4 加密后设备的读取 377<br>12.6.5 忘记密码后的恢复 379<br><br>第13章 备份和还原 381<br>13.1 文件的备份和还原 381<br>13.1.1 文件备份的重要原则 382<br>13.1.1.1 备份什么内容 382<br>13.1.1.2 备份到哪里 386<br>13.1.1.3 怎么备份 387<br>13.1.2 文件的备份和还原 387<br>13.1.2.1 备份和还原需要频繁<br>13.1.2.1 变动的文件 387<br>13.1.2.2 备份和还原不需要频繁<br>13.1.2.2 变动的文件 393<br>13.1.3 使用卷影副本功能 395<br>13.1.4 为文件进行异地备份 398<br>13.2 系统的备份和还原 403<br>13.2.1 系统的备份 403<br>13.2.2 灾难后的还原 405