桌面安全可謂是公司網(wǎng)絡(luò)的第一道防線。通過部署恰當(dāng)?shù)陌踩呗?，可以阻止惡意軟件和病毒在爆發(fā)后持續(xù)惡化，甚或可以完全避免此類事件發(fā)生。公司網(wǎng)絡(luò)內(nèi)的桌面安全通常由配置了強(qiáng)制組策略的中央服務(wù)器進(jìn)行管理。當(dāng)PC 系統(tǒng)登錄到網(wǎng)絡(luò)時(shí)，會(huì)在域控制器中進(jìn)行身份認(rèn)證，并接收啟動(dòng)腳本，這些腳本控制著網(wǎng)絡(luò)上的計(jì)算機(jī)行為。這種集中控制簡化了大型網(wǎng)絡(luò)的管理。

[[249361]]

一、評(píng)估桌面安全

1. 用戶分類

談到桌面安全時(shí)，最主要的安全考慮一定是用戶。網(wǎng)絡(luò)中的用戶可隨意訪問組織資源，這就帶來了安全隱患。雖然大多數(shù)用戶不會(huì)故意破壞網(wǎng)絡(luò)，但是當(dāng)用戶忽略了最佳實(shí)踐而打開了來源未經(jīng)驗(yàn)證的電子郵件和附件時(shí)，就會(huì)產(chǎn)生意想不到的后果。因此，根據(jù)安全標(biāo)記對(duì)用戶進(jìn)行分類以及對(duì)訪問權(quán)限進(jìn)行分級(jí)就顯得分外重要。

• 訪客：這種級(jí)別的用戶只有很有限的訪問權(quán)限，不允許修改本機(jī)上的任何文件或設(shè)置。該級(jí)別限制網(wǎng)絡(luò)訪問，對(duì)可訪問的網(wǎng)絡(luò)共享文件僅有只讀權(quán)限。
• 用戶：這是網(wǎng)絡(luò)上最常見的用戶類型，是員工在登錄后獲得的標(biāo)準(zhǔn)權(quán)限。一般來說，除了基本的打印和屏幕選項(xiàng)，用戶還能夠編輯本地設(shè)置。網(wǎng)絡(luò)共享被劃分為不同區(qū)域，允許特定部門用戶訪問相關(guān)的網(wǎng)絡(luò)共享。
• 高級(jí)用戶：這個(gè)名稱有時(shí)指執(zhí)行基本管理任務(wù)(如修改標(biāo)準(zhǔn)用戶和訪客的密碼)的主管。高級(jí)用戶可在自己的桌面PC 上修改本地設(shè)置，但不能進(jìn)行域級(jí)別修改。
• 管理員：這個(gè)級(jí)別對(duì)桌面系統(tǒng)以及網(wǎng)絡(luò)資源具有最高的訪問權(quán)限。管理員被賦予最高級(jí)別的訪問權(quán)限，可根據(jù)需要修改網(wǎng)絡(luò)和桌面設(shè)置。管理員用戶名和密碼無論何時(shí)均為機(jī)密信息，不得與任何非授權(quán)人士共享。

2. 流程及執(zhí)行

IT 安全策略一般包含在IT 部門的安全和流程文檔中，傳達(dá)的是公司在桌面和網(wǎng)絡(luò)操作方面的立場。文件明確了如下內(nèi)容：

• 新用戶加入組織后應(yīng)如何行事，IT 部門應(yīng)如何確定、分配其用戶權(quán)限;
•  以可接受的方式合理使用公司資源，包括網(wǎng)絡(luò)、郵件和打印服務(wù);
• •在使用IT 設(shè)備和資源時(shí)哪些行為不正確，哪些行為視為違反IT 策略。

文件在擬定并在組織內(nèi)分發(fā)后，將由IT 部門決定如何遵守并實(shí)施IT 安全策略。文件會(huì)對(duì)基本概念(如密碼安全最佳實(shí)踐)和員工在工作時(shí)間登錄系統(tǒng)后的操作進(jìn)行規(guī)范。多數(shù)公司采取彈性工作制，意味著用戶可通過遠(yuǎn)程桌面服務(wù)(如終端服務(wù)器)從家里接入公司網(wǎng)絡(luò)遠(yuǎn)程工作。這種情況也應(yīng)由IT 安全部門管控，可訪問此類資源的用戶須了解接入公司網(wǎng)絡(luò)后的責(zé)任。

3. 數(shù)據(jù)保護(hù)技術(shù)

在上述多個(gè)場景中，安全措施已經(jīng)到位，可持續(xù)保護(hù)接入公司網(wǎng)絡(luò)的用戶及其隱私。涉及的技術(shù)因網(wǎng)絡(luò)不同而不同，取決于組織所采用的特定業(yè)務(wù)應(yīng)用的要求。我們對(duì)幾種相

關(guān)技術(shù)及其安全威脅防護(hù)方式大致歸納如下：

• 單點(diǎn)登錄(SSO)是一種登錄憑證方法，通過單一用戶名和密碼授權(quán)用戶訪問多種資源。用戶的訪問權(quán)限由系統(tǒng)管理員決定?？梢詫SO 門戶作為啟動(dòng)平臺(tái)，用戶在工作時(shí)需要的應(yīng)用(如郵件和辦公生產(chǎn)力套件)從這些平臺(tái)啟動(dòng)。這樣做的主要好處是每個(gè)應(yīng)用均可啟動(dòng)自己的安全窗口，也就是說，應(yīng)用可通過會(huì)話管理器有效管理。所以，如果系統(tǒng)管理員檢測到非法訪問，就會(huì)中斷會(huì)話，鎖定用戶賬號(hào)。
• 加密為網(wǎng)絡(luò)上的本地用戶以及通過互聯(lián)網(wǎng)從遠(yuǎn)程站點(diǎn)連接的用戶添加了一個(gè)額外的安全層。加密的工作機(jī)制是在一端使用密碼對(duì)傳輸進(jìn)行編碼，然后在另一端進(jìn)行解碼。密鑰只與會(huì)話相關(guān)各方共享，這種安全連接使外部無法解密獲取有意義的信息。加密用于許多技術(shù)，如遠(yuǎn)程桌面應(yīng)用程序、安全網(wǎng)頁瀏覽、基于文本和視頻的通信等等。
• 虛擬專用網(wǎng)絡(luò)(VPN)是一種通過加密來保護(hù)通信的方法，在客戶端和網(wǎng)絡(luò)之間創(chuàng)建了一個(gè)虛擬隧道。即使身在他國，也會(huì)感覺和公司處在同一網(wǎng)絡(luò)。這意味著您能夠?yàn)g覽網(wǎng)絡(luò)資源(如映射的網(wǎng)絡(luò)驅(qū)動(dòng)器)，并能如同在辦公桌邊一樣瀏覽公司的內(nèi)網(wǎng)。唯一的缺點(diǎn)是，如果組織無法為此服務(wù)提供足夠的帶寬，會(huì)出現(xiàn)時(shí)延問題。

4. 哪些桌面安全組件最易受攻擊?

桌面安全本身有諸多缺陷。近年來，保持網(wǎng)絡(luò)安全和穩(wěn)定已成為系統(tǒng)管理員的巨大挑戰(zhàn)。有些需要重點(diǎn)關(guān)注安全的領(lǐng)域與用戶相關(guān)，特別是用戶將臺(tái)式PC 用作主要工作站時(shí)。這意味著應(yīng)用程序需要通過組策略進(jìn)行監(jiān)控和鎖定，并且特定的網(wǎng)站和域名需要特定的防火墻來限制訪問。最易出現(xiàn)漏洞的領(lǐng)域包括：

(1) 郵件

這是網(wǎng)絡(luò)上最常被訪問的資源。郵件具有用戶密集型的特點(diǎn)，因?yàn)樗窃S多組織中的主要通信方式。用戶每天會(huì)收到數(shù)百封電子郵件，郵件服務(wù)器則要處理數(shù)千封郵件和附件。網(wǎng)絡(luò)犯罪分子使用電子郵件通過各種方法來欺騙用戶，使其忽略掉安全細(xì)節(jié)。這些方法包括：

• 網(wǎng)絡(luò)釣魚：這是一個(gè)相對(duì)較新的電子郵件欺詐方法，實(shí)現(xiàn)方法簡單得讓人驚訝。犯罪組織會(huì)下載網(wǎng)上銀行的登錄頁面或其他類似門戶的網(wǎng)頁，然后將其托管在自己的Web 服務(wù)器上，再發(fā)送看似來自相關(guān)服務(wù)提供商的電子郵件，通知用戶必須立即登錄，以完成安全程序。電子郵件中的鏈接實(shí)際上是一個(gè)超文本鏈接，將毫不知情的用戶重定向到犯罪分子的Web 服務(wù)器上托管的假冒網(wǎng)站。這個(gè)Web服務(wù)器配備了一個(gè)擊鍵記錄器，可以獲取用戶輸入的任何東西，然后被網(wǎng)絡(luò)犯罪分子用來登錄和感染用戶的賬戶。
• 受感染附件：有時(shí)候，電子郵件來自一個(gè)完全合法的來源，用戶沒有理由不信任，但是該可信來源的機(jī)器會(huì)被病毒感染，病毒再自我復(fù)制，通過群發(fā)郵件程序進(jìn)行傳播。附件通常被標(biāo)記為發(fā)票或報(bào)價(jià)單之類的合法的商業(yè)文件。在這些情況下，只要打開附件就可能感染用戶的PC。許多情況下，只有當(dāng)公司的郵件服務(wù)器上的電子郵件隊(duì)列開始產(chǎn)生大量出站流量時(shí)，才能檢測到感染。

最新類型的Crypto 軟件似乎能自動(dòng)打開電子郵件，感染機(jī)器。這種惡意軟件特別討厭，它使用非常強(qiáng)大的加密密碼來加密用戶數(shù)據(jù)，讓人無法恢復(fù)電腦上的用戶文件。針對(duì)這些情況的最佳解決辦法通常是文件恢復(fù)。

(2) 即時(shí)通訊

早至互聯(lián)網(wǎng)中繼聊天(IRC)之初，程序員就可以通過即時(shí)消息(IM)應(yīng)用程序發(fā)送附件。隨著時(shí)間的流逝，這些程序越來越復(fù)雜，文件和數(shù)據(jù)的傳輸效率也越來越高。對(duì)于當(dāng)前的桌面用戶來說，在與一個(gè)未知來源聊天時(shí)，接收和打開附件可能會(huì)讓他們的桌面PC 和公司網(wǎng)絡(luò)感染病毒和惡意軟件。正因?yàn)槿绱耍诠揪W(wǎng)絡(luò)中應(yīng)謹(jǐn)慎使用IM 應(yīng)用程序。有時(shí)甚至不需要附件就能釋放漏洞，比如，用戶的聊天應(yīng)用程序中如果存在安全漏洞，攻擊者就可以遠(yuǎn)程執(zhí)行某些腳本。

(3) 社交網(wǎng)絡(luò)

任何鼓勵(lì)文件共享的基于Web 的平臺(tái)在公司網(wǎng)絡(luò)中使用時(shí)都應(yīng)該極度小心。利用復(fù)雜的腳本和應(yīng)用程序，黑客和網(wǎng)絡(luò)犯罪分子可以毫不費(fèi)力地進(jìn)入被感染的桌面PC。即使看起來無害的照片也可能嵌入惡意軟件，因此用戶在工作場所訪問任何社交媒體服務(wù)時(shí)都要格外小心。

(4) 瀏覽器

與上述各例一樣，互聯(lián)網(wǎng)瀏覽器也會(huì)將組織暴露給互聯(lián)網(wǎng)上的各種不安全因素。如果瀏覽器沒有安裝最新的安全補(bǔ)丁，就可能導(dǎo)致網(wǎng)絡(luò)被滲透，所以，系統(tǒng)管理員務(wù)必要關(guān)注補(bǔ)丁周期，及時(shí)安裝補(bǔ)丁。用戶應(yīng)始終留心自己在公司桌面上查看的內(nèi)容，而在通過組織網(wǎng)絡(luò)連接時(shí)應(yīng)避免使用私人Web 郵件服務(wù)。

(5) 社會(huì)工程

犯罪分子以企業(yè)和家庭用戶為目標(biāo)，對(duì)他們進(jìn)行電話詐騙，這種做法再度流行。犯罪分子一般通過電話聯(lián)系用戶，自稱來自IT 部門或大型IT 公司，試圖通過遠(yuǎn)程桌面應(yīng)用程序或者誘騙用戶下載能夠繞過網(wǎng)絡(luò)安全的惡意軟件來訪問用戶的電腦。從未經(jīng)驗(yàn)證的電話來源接受指示絕不可取，接到此類電話后，用戶應(yīng)與其部門經(jīng)理或IT 部門確認(rèn)后再進(jìn)行下一步的行動(dòng)。

二、桌面安全意識(shí)項(xiàng)目

IT 部門應(yīng)為組織內(nèi)部用戶提供專門培訓(xùn)，讓上述安全問題深入人心。通常，第一步是在用戶的入職手續(xù)中加入基本的培訓(xùn)，以便在接觸到IT 策略文件以及相關(guān)策略和程序之、初就懂得如何保護(hù)自己的桌面PC 和公司網(wǎng)絡(luò)。近期，重大的惡意軟件事件頻發(fā)，比如WannaCry 和Crypto 變種。所以，建議進(jìn)行一些基本的培訓(xùn)，解釋清楚勒索軟件對(duì)用戶文件的所作所為，讓用戶對(duì)于此類惡意軟件感染桌面和企業(yè)網(wǎng)絡(luò)后造成的后果有更深入的理解。

三、桌面安全意識(shí)建議及資源

為安全事故做好準(zhǔn)備，可能只會(huì)遭遇輕微的系統(tǒng)中斷，否則，則可能會(huì)面臨數(shù)據(jù)完全丟失這個(gè)災(zāi)難。

抗桌面用戶所面臨的不斷增長的安全漏洞威脅：

• 最終用戶安全意識(shí)
• 反網(wǎng)絡(luò)釣魚
• 進(jìn)行安全意識(shí)培訓(xùn)，抗擊勒索軟件

【本文是51CTO專欄作者“綠盟科技博客”的原創(chuàng)稿件，轉(zhuǎn)載請(qǐng)通過51CTO聯(lián)系原作者獲取授權(quán)】

戳這里，看該作者更多好文