在移動(dòng)互聯(lián)時(shí)代，“云+端”的安全管控已成為業(yè)界的熱點(diǎn)和重點(diǎn)。在終端這塊，PC終端的安全管理仍然不可忽視，否則極易成為安全的“重災(zāi)區(qū)”，因?yàn)橹恍枰粋€(gè)不小心的終端用戶便可以感染整個(gè)網(wǎng)絡(luò)。 

如果你是系統(tǒng)管理員，很顯然，所有的善意和友好通訊將無法保證計(jì)算機(jī)安全在一個(gè)合理的級(jí)別上。在最開始，你必須在阻止臺(tái)式機(jī)感染惡意移動(dòng)代碼、關(guān)閉漏洞并確保用戶的計(jì)算機(jī)配置正確。如果他們無法點(diǎn)擊惡意軟件運(yùn)行，或者允許它存在電腦上，那么你已經(jīng)顯著降低了惡意攻擊的威脅。許多措施可以盡量減少攻擊成功的風(fēng)險(xiǎn)，例如保護(hù)物理環(huán)境、強(qiáng)化操作系統(tǒng)保持補(bǔ)丁更新、使用防病毒掃描程序等，本文將給出終端安全防御的十大最佳實(shí)踐，希望大家馬上行動(dòng)，保護(hù)好你的終端。

1、保證安全的物理環(huán)境

物理方面是任何計(jì)算機(jī)安全計(jì)劃的一個(gè)基本組成部分。當(dāng)然，關(guān)鍵任務(wù)服務(wù)器應(yīng)該被保護(hù)在一扇緊鎖的門后，但常規(guī)的電腦也需要物理保護(hù)。根據(jù)你的環(huán)境，個(gè)人電腦和筆記本電腦可能需要固定在桌子上。有幾種不同類型的鎖定裝置，從薄橡皮電線到定制的環(huán)繞一臺(tái)電腦的硬化金屬外套。如果有人晚上把他們的筆記本放在辦公桌上，它應(yīng)該是安全的。在你的環(huán)境中，還有其他步驟可以用在每臺(tái)電腦上。

2、密碼保護(hù)啟動(dòng)

考慮在操作系統(tǒng)加載之前需要一個(gè)開機(jī)口令。這通常可以在CMOS / BIOS中設(shè)置并被稱為用戶或開機(jī)口令。這對(duì)便攜式電腦，如筆記本電腦、平板電腦和智能手機(jī)尤其重要。小型個(gè)人電腦最有可能被竊取。由于大多數(shù)便攜式設(shè)備通常包括個(gè)人或機(jī)密信息，啟動(dòng)順序中的密碼保護(hù)可能會(huì)讓一個(gè)非技術(shù)性的小偷無法輕易看到硬盤或存儲(chǔ)RAM上的數(shù)據(jù)。如果啟動(dòng)口令在平板電腦或智能手機(jī)上被重置，通常要求刪除數(shù)據(jù)，所以保密性和隱私是有保障的。

3、密碼保護(hù)CMOS

一臺(tái)計(jì)算機(jī)的CMOS / BIOS設(shè)置中包含了許多潛在的安全設(shè)置，如啟動(dòng)順序、遠(yuǎn)程喚醒，防病毒引導(dǎo)扇區(qū)保護(hù)。確保未經(jīng)授權(quán)的用戶無法訪問的CMOS / BIOS設(shè)置是非常重要的。大多數(shù)CMOS / BIOS都允許你設(shè)置一個(gè)密碼，以防止未經(jīng)授權(quán)的更改。密碼應(yīng)該不同其他管理密碼，但為了簡單起見，所有機(jī)器可用同一密碼。

有些方法可以繞過CMOS / BIOS和啟動(dòng)密碼。通過使用從主板制造商獲得的特殊的引導(dǎo)軟盤或通過改變主板上的跳線設(shè)置來繞過某些啟動(dòng)密碼。雖然他們不是100%可靠，一個(gè)CMOS / BIOS或啟動(dòng)密碼可能會(huì)阻止一些攻擊發(fā)生。例如，灰帽子攻擊者(可信的會(huì)議主持人)過度供應(yīng)給保安蘇打水，他的物理攻擊成功了，因?yàn)樗梢詽撊霟o人看守的房間，將軟盤放入驅(qū)動(dòng)器中，并重新啟動(dòng)服務(wù)器。如果曾經(jīng)在CMOS / BIOS和引導(dǎo)順序密碼保護(hù)中禁用了軟盤驅(qū)動(dòng)器，那么他的攻擊很可能不會(huì)成功。

各個(gè)操作系統(tǒng)的引導(dǎo)加載程序，例如Linux的LILO，允許設(shè)置啟動(dòng)密碼。當(dāng)然，這無法阻止某人從具有類似文件系統(tǒng)的另一個(gè)硬盤引導(dǎo)和接管機(jī)器。這就是為什么接下來的步驟非常重要。

4、禁止USB和CD引導(dǎo)

禁止從USB存儲(chǔ)設(shè)備和光盤驅(qū)動(dòng)器引導(dǎo)啟動(dòng)可以防止從這些設(shè)備上感染引導(dǎo)區(qū)病毒，并且阻止攻擊者通過在計(jì)算機(jī)上加載一個(gè)不同的操作系統(tǒng)來繞過操作系統(tǒng)安全。

5、加固操作系統(tǒng)

通過刪除不必要的軟件，禁用不需要的服務(wù)，并鎖定訪問減少操作系統(tǒng)的攻擊面：

通過關(guān)閉不需要的服務(wù)減少系統(tǒng)的攻擊面。

安裝安全軟件。

安全配置軟件設(shè)置。

定期并迅速更新系統(tǒng)補(bǔ)丁。

將網(wǎng)絡(luò)隔離到可信區(qū)域并且基于系統(tǒng)的通信需求和互聯(lián)網(wǎng)公開度將系統(tǒng)放置到這些區(qū)域。

加強(qiáng)認(rèn)證過程。

限制管理員的數(shù)量(和特權(quán))。

6、保持補(bǔ)丁更新

攻擊者最好的朋友是未打補(bǔ)丁的系統(tǒng)。在大多數(shù)情況下，所使用的漏洞已經(jīng)廣為人知， 而受影響的廠商已經(jīng)發(fā)布了補(bǔ)丁程序供系統(tǒng)管理員更新。不幸的是，世界上很大一部分人不會(huì)經(jīng)常更新補(bǔ)丁，而攻擊者對(duì)未打補(bǔ)丁的系統(tǒng)攻擊成功率是非常高的。一個(gè)連續(xù)的補(bǔ)丁管理計(jì)劃對(duì)保護(hù)任何平臺(tái)，任何操作系統(tǒng)，不管它是否直接連接到互聯(lián)網(wǎng)都是至關(guān)重要的。

基本上，任何技術(shù)系統(tǒng)保持最新的軟件都是至關(guān)重要的， 因?yàn)殡S著時(shí)間的推移廠商找到并修復(fù)了漏洞。不要讓漏洞一直存在于你的系統(tǒng)中等待攻擊者利用。

7、使用防病毒掃描程序(實(shí)時(shí)掃描)

在當(dāng)今世界，防病毒掃描程序(AV)是必不可少的。它應(yīng)該被強(qiáng)制部署在桌面上，自動(dòng)更新，并且應(yīng)啟動(dòng)實(shí)時(shí)保護(hù)。盡管在你的電子郵件網(wǎng)關(guān)上部署防病毒掃描程序是一個(gè)很好的輔助或附加選擇，如果你只在一個(gè)潛在位置部署防病毒掃描程序，選擇桌面。為什么?因?yàn)闊o論惡意軟件來自(電子郵件、存儲(chǔ)設(shè)備、無線、宏、互聯(lián)網(wǎng)，智能手機(jī)，平板電腦，P2P或IM)何方，它必須在桌面來發(fā)動(dòng)破壞。通過在桌面上部署防病毒解決方案，你可以確保無論它是如何到達(dá)那里，它將會(huì)被阻止。電子郵件和防病毒網(wǎng)關(guān)的解決方案在大部分時(shí)間上是有效的，但如果惡意軟件通過其他方法或意想不到的端口進(jìn)來，它們將會(huì)失敗。

防病毒解決方案應(yīng)該啟用實(shí)時(shí)保護(hù)，以便它掃描每個(gè)文件，因?yàn)樯婕暗较到y(tǒng)或檢測計(jì)算機(jī)內(nèi)存，所以它可以防止惡意軟件執(zhí)行。有時(shí)，為了性能，用戶會(huì)禁用實(shí)時(shí)功能。拒絕這些請(qǐng)求，但實(shí)時(shí)掃描即使它會(huì)影響些性能，卻是你對(duì)抗感染的最好保護(hù)。

8、使用桌面防火墻軟件

與防病毒掃描程序同樣重要的是防火墻。防火墻在簡單的端口過濾上已經(jīng)走過了漫長的道路。今天的設(shè)備狀態(tài)檢測系統(tǒng)能夠通過直接運(yùn)行在計(jì)算機(jī)上的軟件分析發(fā)生在三至七層的威脅。防火墻能夠整理單獨(dú)的事件為一個(gè)威脅描述(如端口掃描)并可以按名稱識(shí)別攻擊(如teardrop碎片攻擊)。每一臺(tái)電腦都應(yīng)該通過防火墻軟件保護(hù)。

桌面防火墻軟件(也稱為基于主機(jī)的防火墻或個(gè)人防火墻軟件)，可以保護(hù)電腦免受內(nèi)部和外部的威脅，通常對(duì)阻止未經(jīng)授權(quán)的軟件應(yīng)用程序(如木馬)啟動(dòng)向外通訊流量有著額外的優(yōu)勢。許多防病毒掃描程序提供防火墻組合包。

9、保證安全的網(wǎng)絡(luò)共享權(quán)限

最常見的一種方式是攻擊者或蠕蟲通過沒有密碼或弱密碼的網(wǎng)絡(luò)共享入侵系統(tǒng)(比如NetBIOS或SMB)。通過網(wǎng)絡(luò)遠(yuǎn)程訪問文件夾和文件需應(yīng)用訪問控制列表(DACLs)的最小特權(quán)原則和具備復(fù)雜的密碼。

默認(rèn)情況下，允許Windows分配，大多數(shù)系統(tǒng)管理員， Everyone用戶組擁有整個(gè)操作系統(tǒng)和每個(gè)新創(chuàng)建的共享完全控制或讀取權(quán)限。這是相反的最小特權(quán)原則(也許應(yīng)該被稱為大多數(shù)特權(quán)原則)。為了解決這個(gè)問題，你最起碼應(yīng)該，首先將Everyone組的完全控制變更為Authenticated Users組的完全控制。雖然這不是比原來的設(shè)置真正意義上的更安全，但它會(huì)停止未經(jīng)授權(quán)的用戶，如匿名和來賓用戶在默認(rèn)情況下獲得資源的完全控制。

許多Windows系統(tǒng)管理員也認(rèn)為是可接受Everyone組可以完全控制所有的共享文件，因?yàn)榈讓拥腘TFS權(quán)限通常并不是很寬松，所需的有效權(quán)限更加嚴(yán)格。如果你100%的準(zhǔn)確配置NTFS權(quán)限確實(shí)如此。但是違背了縱深防御原則(洋蔥模型)。更好的策略是將共享和NTFS權(quán)限分配給最小的組和用戶列表。這樣一來，如果你不小心設(shè)置的NTFS文件權(quán)限過于開放，共享權(quán)限也可以彌補(bǔ)這一不足。

10、使用加密

大多數(shù)計(jì)算機(jī)系統(tǒng)有很多加密機(jī)會(huì)。Linux和Unix管理員應(yīng)該使用SSH代替Telnet或FTP來管理他們的電腦。后者在網(wǎng)絡(luò)上以明文工作，而SSH是進(jìn)行加密的。如果你必須使用FTP，請(qǐng)考慮使用SSL和數(shù)字證書加密通信后的FTP服務(wù)。為了加密后的FTP正常工作，在客戶端和服務(wù)器必須同時(shí)支持相同的加密機(jī)制。使用Windows IPSec策略需要加密服務(wù)器和客戶端之間的通信。

加密文件系統(tǒng)(EFS)是Windows中最激動(dòng)人心的功能之一。EFS聯(lián)機(jī)加密和解密保護(hù)文件和文件夾。一旦用戶接通時(shí)，EFS會(huì)自動(dòng)為用戶恢復(fù)代理生成公用/私有密鑰對(duì)。如果未經(jīng)授權(quán)的用戶試圖訪問受EFS保護(hù)的文件時(shí)，它們將被拒絕訪問。打開EFS，右鍵單擊一個(gè)文件或文件夾，選擇Properties選項(xiàng)， 單擊屬性部分的高級(jí)按鈕，然后選擇加密內(nèi)容以便保護(hù)數(shù)據(jù)。因?yàn)镋FS是聯(lián)機(jī)加密和解密的，它無法阻止授權(quán)用戶登錄后的惡意軟件事件。然而，當(dāng)授權(quán)用戶沒有登錄時(shí)EFS可以保護(hù)文件夾和文件。這在某些情況下可能會(huì)阻止惡意攻擊，比如常見的蠕蟲攻擊在一個(gè)文件服務(wù)器上橫行，破壞所有的數(shù)據(jù)文件(如VBS.Newlove蠕蟲一樣)。由于EFS可以協(xié)助提供額外的保護(hù)， 最終用戶幾乎是看不見的，并且性能影響最小，這種強(qiáng)化保護(hù)是值得考慮的。