在移动互联时代,“云+端”的安全管控已成为业界的热点和重点。在终端这块,PC终端的安全管理仍然不可忽视,否则极易成为安全的“重灾区”,因为只需要一个不小心的终端用户便可以感染整个网络。
如果你是系统管理员,很显然,所有的善意和友好通讯将无法保证计算机安全在一个合理的级别上。在最开始,你必须在阻止台式机感染恶意移动代码、关闭漏洞并确保用户的计算机配置正确。如果他们无法点击恶意软件运行,或者允许它存在电脑上,那么你已经显着降低了恶意攻击的威胁。许多措施可以尽量减少攻击成功的风险,例如保护物理环境、强化操作系统保持补丁更新、使用防病毒扫描程序等,本文将给出终端安全防御的十大最佳实践,希望大家马上行动,保护好你的终端。
1、保证安全的物理环境
物理方面是任何计算机安全计划的一个基本组成部分。当然,关键任务服务器应该被保护在一扇紧锁的门后,但常规的电脑也需要物理保护。根据你的环境,个人电脑和笔记本电脑可能需要固定在桌子上。有几种不同类型的锁定装置,从薄橡皮电线到定制的环绕一台电脑的硬化金属外套。如果有人晚上把他们的笔记本放在办公桌上,它应该是安全的。在你的环境中,还有其他步骤可以用在每台电脑上。
2、密码保护启动
考虑在操作系统加载之前需要一个开机口令。这通常可以在CMOS / BIOS中设置并被称为用户或开机口令。这对便携式电脑,如笔记本电脑、平板电脑和智能手机尤其重要。小型个人电脑最有可能被窃取。由于大多数便携式设备通常包括个人或机密信息,启动顺序中的密码保护可能会让一个非技术性的小偷无法轻易看到硬盘或存储RAM上的数据。如果启动口令在平板电脑或智能手机上被重置,通常要求删除数据,所以保密性和隐私是有保障的。
3、密码保护CMOS
一台计算机的CMOS / BIOS设置中包含了许多潜在的安全设置,如启动顺序、远程唤醒,防病毒引导扇区保护。确保未经授权的用户无法访问的CMOS / BIOS设置是非常重要的。大多数CMOS / BIOS都允许你设置一个密码,以防止未经授权的更改。密码应该不同其他管理密码,但为了简单起见,所有机器可用同一密码。
有些方法可以绕过CMOS / BIOS和启动密码。通过使用从主板制造商获得的特殊的引导软盘或通过改变主板上的跳线设置来绕过某些启动密码。虽然他们不是100%可靠,一个CMOS / BIOS或启动密码可能会阻止一些攻击发生。例如,灰帽子攻击者(可信的会议主持人)过度供应给保安苏打水,他的物理攻击成功了,因为他可以潜入无人看守的房间,将软盘放入驱动器中,并重新启动服务器。如果曾经在CMOS / BIOS和引导顺序密码保护中禁用了软盘驱动器,那么他的攻击很可能不会成功。
各个操作系统的引导加载程序,例如Linux的LILO,允许设置启动密码。当然,这无法阻止某人从具有类似文件系统的另一个硬盘引导和接管机器。这就是为什么接下来的步骤非常重要。
4、禁止USB和CD引导
禁止从USB存储设备和光盘驱动器引导启动可以防止从这些设备上感染引导区病毒,并且阻止攻击者通过在计算机上加载一个不同的操作系统来绕过操作系统安全。
5、加固操作系统
通过删除不必要的软件,禁用不需要的服务,并锁定访问减少操作系统的攻击面:
·通过关闭不需要的服务减少系统的攻击面。
·安装安全软件。
·安全配置软件设置。
·定期并迅速更新系统补丁。
·将网络隔离到可信区域并且基于系统的通信需求和互联网公开度将系统放置到这些区域。
·加强认证过程。
·限制管理员的数量(和特权)。
6、保持补丁更新
攻击者最好的朋友是未打补丁的系统。在大多数情况下,所使用的漏洞已经广为人知, 而受影响的厂商已经发布了补丁程序供系统管理员更新。不幸的是,世界上很大一部分人不会经常更新补丁,而攻击者对未打补丁的系统攻击成功率是非常高的。一个连续的补丁管理计划对保护任何平台,任何操作系统,不管它是否直接连接到互联网都是至关重要的。
基本上,任何技术系统保持最新的软件都是至关重要的, 因为随着时间的推移厂商找到并修复了漏洞。不要让漏洞一直存在于你的系统中等待攻击者利用。
7、使用防病毒扫描程序(实时扫描)
在当今世界,防病毒扫描程序(AV)是必不可少的。它应该被强制部署在桌面上,自动更新,并且应启动实时保护。尽管在你的电子邮件网关上部署防病毒扫描程序是一个很好的辅助或附加选择,如果你只在一个潜在位置部署防病毒扫描程序,选择桌面。为什么?因为无论恶意软件来自(电子邮件、存储设备、无线、宏、互联网,智能手机,平板电脑,P2P或IM)何方,它必须在桌面来发动破坏。通过在桌面上部署防病毒解决方案,你可以确保无论它是如何到达那里,它将会被阻止。电子邮件和防病毒网关的解决方案在大部分时间上是有效的,但如果恶意软件通过其他方法或意想不到的端口进来,它们将会失败。
防病毒解决方案应该启用实时保护,以便它扫描每个文件,因为涉及到系统或检测计算机内存,所以它可以防止恶意软件执行。有时,为了性能,用户会禁用实时功能。拒绝这些请求,但实时扫描即使它会影响些性能,却是你对抗感染的最好保护。
8、使用桌面防火墙软件
与防病毒扫描程序同样重要的是防火墙。防火墙在简单的端口过滤上已经走过了漫长的道路。今天的设备状态检测系统能够通过直接运行在计算机上的软件分析发生在三至七层的威胁。防火墙能够整理单独的事件为一个威胁描述(如端口扫描)并可以按名称识别攻击(如teardrop碎片攻击)。每一台电脑都应该通过防火墙软件保护。
桌面防火墙软件(也称为基于主机的防火墙或个人防火墙软件),可以保护电脑免受内部和外部的威胁,通常对阻止未经授权的软件应用程序(如木马)启动向外通讯流量有着额外的优势。许多防病毒扫描程序提供防火墙组合包。
9、保证安全的网络共享权限
最常见的一种方式是攻击者或蠕虫通过没有密码或弱密码的网络共享入侵系统(比如NetBIOS或SMB)。通过网络远程访问文件夹和文件需应用访问控制列表(DACLs)的最小特权原则和具备复杂的密码。
默认情况下,允许Windows分配,大多数系统管理员, Everyone用户组拥有整个操作系统和每个新创建的共享完全控制或读取权限。这是相反的最小特权原则(也许应该被称为大多数特权原则)。为了解决这个问题,你最起码应该,首先将Everyone组的完全控制变更为Authenticated Users组的完全控制。虽然这不是比原来的设置真正意义上的更安全,但它会停止未经授权的用户,如匿名和来宾用户在默认情况下获得资源的完全控制。
许多Windows系统管理员也认为是可接受Everyone组可以完全控制所有的共享文件,因为底层的NTFS权限通常并不是很宽松,所需的有效权限更加严格。如果你100%的准确配置NTFS权限确实如此。但是违背了纵深防御原则(洋葱模型)。更好的策略是将共享和NTFS权限分配给最小的组和用户列表。这样一来,如果你不小心设置的NTFS文件权限过于开放,共享权限也可以弥补这一不足。
10、使用加密
大多数计算机系统有很多加密机会。Linux和Unix管理员应该使用SSH代替Telnet或FTP来管理他们的电脑。后者在网络上以明文工作,而SSH是进行加密的。如果你必须使用FTP,请考虑使用SSL和数字证书加密通信后的FTP服务。为了加密后的FTP正常工作,在客户端和服务器必须同时支持相同的加密机制。使用Windows IPSec策略需要加密服务器和客户端之间的通信。
加密文件系统(EFS)是Windows中最激动人心的功能之一。EFS联机加密和解密保护文件和文件夹。一旦用户接通时,EFS会自动为用户恢复代理生成公用/私有密钥对。如果未经授权的用户试图访问受EFS保护的文件时,它们将被拒绝访问。打开EFS,右键单击一个文件或文件夹,选择Properties选项, 单击属性部分的高级按钮,然后选择加密内容以便保护数据。因为EFS是联机加密和解密的,它无法阻止授权用户登录后的恶意软件事件。然而,当授权用户没有登录时EFS可以保护文件夹和文件。这在某些情况下可能会阻止恶意攻击,比如常见的蠕虫攻击在一个文件服务器上横行,破坏所有的数据文件(如VBS.Newlove蠕虫一样)。由于EFS可以协助提供额外的保护, 最终用户几乎是看不见的,并且性能影响最小,这种强化保护是值得考虑的。
