在移動互聯(lián)時代，“云+端”的安全管控已成為業(yè)界的熱點和重點。在終端這塊，PC終端的安全管理仍然不可忽視，否則極易成為安全的“重災(zāi)區(qū)”，因為只需要一個不小心的終端用戶便可以感染整個網(wǎng)絡(luò)。 

[[109582]]

如果你是系統(tǒng)管理員，很顯然，所有的善意和友好通訊將無法保證計算機安全在一個合理的級別上。在最開始，你必須在阻止臺式機感染惡意移動代碼、關(guān)閉漏洞并確保用戶的計算機配置正確。如果他們無法點擊惡意軟件運行，或者允許它存在電腦上，那么你已經(jīng)顯著降低了惡意攻擊的威脅。許多措施可以盡量減少攻擊成功的風(fēng)險，例如保護物理環(huán)境、強化操作系統(tǒng)保持補丁更新、使用防病毒掃描程序等，本文將給出終端安全防御的十大最佳實踐，希望大家馬上行動，保護好你的終端。

1、保證安全的物理環(huán)境

物理方面是任何計算機安全計劃的一個基本組成部分。當(dāng)然，關(guān)鍵任務(wù)服務(wù)器應(yīng)該被保護在一扇緊鎖的門后，但常規(guī)的電腦也需要物理保護。根據(jù)你的環(huán)境，個人電腦和筆記本電腦可能需要固定在桌子上。有幾種不同類型的鎖定裝置，從薄橡皮電線到定制的環(huán)繞一臺電腦的硬化金屬外套。如果有人晚上把他們的筆記本放在辦公桌上，它應(yīng)該是安全的。在你的環(huán)境中，還有其他步驟可以用在每臺電腦上。

2、密碼保護啟動

考慮在操作系統(tǒng)加載之前需要一個開機口令。這通常可以在CMOS / BIOS中設(shè)置并被稱為用戶或開機口令。這對便攜式電腦，如筆記本電腦、平板電腦和智能手機尤其重要。小型個人電腦最有可能被竊取。由于大多數(shù)便攜式設(shè)備通常包括個人或機密信息，啟動順序中的密碼保護可能會讓一個非技術(shù)性的小偷無法輕易看到硬盤或存儲RAM上的數(shù)據(jù)。如果啟動口令在平板電腦或智能手機上被重置，通常要求刪除數(shù)據(jù)，所以保密性和隱私是有保障的。

3、密碼保護CMOS

一臺計算機的CMOS / BIOS設(shè)置中包含了許多潛在的安全設(shè)置，如啟動順序、遠(yuǎn)程喚醒，防病毒引導(dǎo)扇區(qū)保護。確保未經(jīng)授權(quán)的用戶無法訪問的CMOS / BIOS設(shè)置是非常重要的。大多數(shù)CMOS / BIOS都允許你設(shè)置一個密碼，以防止未經(jīng)授權(quán)的更改。密碼應(yīng)該不同其他管理密碼，但為了簡單起見，所有機器可用同一密碼。

有些方法可以繞過CMOS / BIOS和啟動密碼。通過使用從主板制造商獲得的特殊的引導(dǎo)軟盤或通過改變主板上的跳線設(shè)置來繞過某些啟動密碼。雖然他們不是100%可靠，一個CMOS / BIOS或啟動密碼可能會阻止一些攻擊發(fā)生。例如，灰帽子攻擊者(可信的會議主持人)過度供應(yīng)給保安蘇打水，他的物理攻擊成功了，因為他可以潛入無人看守的房間，將軟盤放入驅(qū)動器中，并重新啟動服務(wù)器。如果曾經(jīng)在CMOS / BIOS和引導(dǎo)順序密碼保護中禁用了軟盤驅(qū)動器，那么他的攻擊很可能不會成功。

各個操作系統(tǒng)的引導(dǎo)加載程序，例如Linux的LILO，允許設(shè)置啟動密碼。當(dāng)然，這無法阻止某人從具有類似文件系統(tǒng)的另一個硬盤引導(dǎo)和接管機器。這就是為什么接下來的步驟非常重要。

4、禁止USB和CD引導(dǎo)

禁止從USB存儲設(shè)備和光盤驅(qū)動器引導(dǎo)啟動可以防止從這些設(shè)備上感染引導(dǎo)區(qū)病毒，并且阻止攻擊者通過在計算機上加載一個不同的操作系統(tǒng)來繞過操作系統(tǒng)安全。

5、加固操作系統(tǒng)

通過刪除不必要的軟件，禁用不需要的服務(wù)，并鎖定訪問減少操作系統(tǒng)的攻擊面：

通過關(guān)閉不需要的服務(wù)減少系統(tǒng)的攻擊面。

安裝安全軟件。

安全配置軟件設(shè)置。

定期并迅速更新系統(tǒng)補丁。

將網(wǎng)絡(luò)隔離到可信區(qū)域并且基于系統(tǒng)的通信需求和互聯(lián)網(wǎng)公開度將系統(tǒng)放置到這些區(qū)域。

加強認(rèn)證過程。

限制管理員的數(shù)量(和特權(quán))。

6、保持補丁更新

攻擊者最好的朋友是未打補丁的系統(tǒng)。在大多數(shù)情況下，所使用的漏洞已經(jīng)廣為人知， 而受影響的廠商已經(jīng)發(fā)布了補丁程序供系統(tǒng)管理員更新。不幸的是，世界上很大一部分人不會經(jīng)常更新補丁，而攻擊者對未打補丁的系統(tǒng)攻擊成功率是非常高的。一個連續(xù)的補丁管理計劃對保護任何平臺，任何操作系統(tǒng)，不管它是否直接連接到互聯(lián)網(wǎng)都是至關(guān)重要的。

基本上，任何技術(shù)系統(tǒng)保持最新的軟件都是至關(guān)重要的， 因為隨著時間的推移廠商找到并修復(fù)了漏洞。不要讓漏洞一直存在于你的系統(tǒng)中等待攻擊者利用。

7、使用防病毒掃描程序(實時掃描)

在當(dāng)今世界，防病毒掃描程序(AV)是必不可少的。它應(yīng)該被強制部署在桌面上，自動更新，并且應(yīng)啟動實時保護。盡管在你的電子郵件網(wǎng)關(guān)上部署防病毒掃描程序是一個很好的輔助或附加選擇，如果你只在一個潛在位置部署防病毒掃描程序，選擇桌面。為什么?因為無論惡意軟件來自(電子郵件、存儲設(shè)備、無線、宏、互聯(lián)網(wǎng)，智能手機，平板電腦，P2P或IM)何方，它必須在桌面來發(fā)動破壞。通過在桌面上部署防病毒解決方案，你可以確保無論它是如何到達那里，它將會被阻止。電子郵件和防病毒網(wǎng)關(guān)的解決方案在大部分時間上是有效的，但如果惡意軟件通過其他方法或意想不到的端口進來，它們將會失敗。

防病毒解決方案應(yīng)該啟用實時保護，以便它掃描每個文件，因為涉及到系統(tǒng)或檢測計算機內(nèi)存，所以它可以防止惡意軟件執(zhí)行。有時，為了性能，用戶會禁用實時功能。拒絕這些請求，但實時掃描即使它會影響些性能，卻是你對抗感染的最好保護。

8、使用桌面防火墻軟件

與防病毒掃描程序同樣重要的是防火墻。防火墻在簡單的端口過濾上已經(jīng)走過了漫長的道路。今天的設(shè)備狀態(tài)檢測系統(tǒng)能夠通過直接運行在計算機上的軟件分析發(fā)生在三至七層的威脅。防火墻能夠整理單獨的事件為一個威脅描述(如端口掃描)并可以按名稱識別攻擊(如teardrop碎片攻擊)。每一臺電腦都應(yīng)該通過防火墻軟件保護。

桌面防火墻軟件(也稱為基于主機的防火墻或個人防火墻軟件)，可以保護電腦免受內(nèi)部和外部的威脅，通常對阻止未經(jīng)授權(quán)的軟件應(yīng)用程序(如木馬)啟動向外通訊流量有著額外的優(yōu)勢。許多防病毒掃描程序提供防火墻組合包。

9、保證安全的網(wǎng)絡(luò)共享權(quán)限

最常見的一種方式是攻擊者或蠕蟲通過沒有密碼或弱密碼的網(wǎng)絡(luò)共享入侵系統(tǒng)(比如NetBIOS或SMB)。通過網(wǎng)絡(luò)遠(yuǎn)程訪問文件夾和文件需應(yīng)用訪問控制列表(DACLs)的最小特權(quán)原則和具備復(fù)雜的密碼。

默認(rèn)情況下，允許Windows分配，大多數(shù)系統(tǒng)管理員， Everyone用戶組擁有整個操作系統(tǒng)和每個新創(chuàng)建的共享完全控制或讀取權(quán)限。這是相反的最小特權(quán)原則(也許應(yīng)該被稱為大多數(shù)特權(quán)原則)。為了解決這個問題，你最起碼應(yīng)該，首先將Everyone組的完全控制變更為Authenticated Users組的完全控制。雖然這不是比原來的設(shè)置真正意義上的更安全，但它會停止未經(jīng)授權(quán)的用戶，如匿名和來賓用戶在默認(rèn)情況下獲得資源的完全控制。

許多Windows系統(tǒng)管理員也認(rèn)為是可接受Everyone組可以完全控制所有的共享文件，因為底層的NTFS權(quán)限通常并不是很寬松，所需的有效權(quán)限更加嚴(yán)格。如果你100%的準(zhǔn)確配置NTFS權(quán)限確實如此。但是違背了縱深防御原則(洋蔥模型)。更好的策略是將共享和NTFS權(quán)限分配給最小的組和用戶列表。這樣一來，如果你不小心設(shè)置的NTFS文件權(quán)限過于開放，共享權(quán)限也可以彌補這一不足。

10、使用加密

大多數(shù)計算機系統(tǒng)有很多加密機會。Linux和Unix管理員應(yīng)該使用SSH代替Telnet或FTP來管理他們的電腦。后者在網(wǎng)絡(luò)上以明文工作，而SSH是進行加密的。如果你必須使用FTP，請考慮使用SSL和數(shù)字證書加密通信后的FTP服務(wù)。為了加密后的FTP正常工作，在客戶端和服務(wù)器必須同時支持相同的加密機制。使用Windows IPSec策略需要加密服務(wù)器和客戶端之間的通信。

加密文件系統(tǒng)(EFS)是Windows中最激動人心的功能之一。EFS聯(lián)機加密和解密保護文件和文件夾。一旦用戶接通時，EFS會自動為用戶恢復(fù)代理生成公用/私有密鑰對。如果未經(jīng)授權(quán)的用戶試圖訪問受EFS保護的文件時，它們將被拒絕訪問。打開EFS，右鍵單擊一個文件或文件夾，選擇Properties選項， 單擊屬性部分的高級按鈕，然后選擇加密內(nèi)容以便保護數(shù)據(jù)。因為EFS是聯(lián)機加密和解密的，它無法阻止授權(quán)用戶登錄后的惡意軟件事件。然而，當(dāng)授權(quán)用戶沒有登錄時EFS可以保護文件夾和文件。這在某些情況下可能會阻止惡意攻擊，比如常見的蠕蟲攻擊在一個文件服務(wù)器上橫行，破壞所有的數(shù)據(jù)文件(如VBS.Newlove蠕蟲一樣)。由于EFS可以協(xié)助提供額外的保護， 最終用戶幾乎是看不見的，并且性能影響最小，這種強化保護是值得考慮的。