【IT168 专稿】网络技术的发展已经不容许一个企业不建立自己的内部局域网了。任何企业都需要员工直接通过网络来共享资源，通过内部局域网访问外部网络。然而随着网络技术的发展，黑客与病毒技术也随之提高，特别是近些年，网络安全问题越来越得到企业管理者的重视。那么我们应该如何预防企业的安全隐患呢？当然只有知道了企业网络安全隐患后我们才能够有的放矢的去解决这些问题。今天笔者就和各位IT168的读者讨论下如何设置才能预防企业网络终端五大安全隐患。

     阻止空密码弱口令：
    企业网络安全是以员工计算机单机安全为基础的，如果普通计算机上存在着很多安全隐患，轻易被病毒和黑客入侵的话，网络的安全也无从谈起。

    危险指数：★★★★★

    隐患症状：
    根据笔者的经验，普通员工使用的计算机最容易出现的安全隐患就是帐户密码为空或者采用弱口令设置自己的密码。一般来说病毒和黑客工具都具备自动扫描功能，可以扫描到当前网络中每台计算机操作系统的用户名，然后通过自己的密码字典来暴力破解系统密码，如果员工计算机的帐号采用了弱口令（比较简单的密码）或者空口令（不用输入密码直接回车进行登录）。这时系统就会被病毒与黑客轻松入侵。

    应对方法：
    对付员工计算机系统空密码与弱口令的方法非常简单，只需要把帐户设置一个复杂的密码即可，这个工作可以由网络管理员带领所有员工一起进行，也可以在网络管理员为员工计算机安装操作系统时完成。具体方法如下。

    第一步：在桌面“我的电脑”上点鼠标右键选择“管理”。（如图1）

图1

    第二步：在打开的“计算机管理”窗口中我们找到“系统工具->本地用户和组”。（如图2）

图2

    第三步：点“用户”选项，这时在窗口右边区域就能看到当前系统存在的所有帐户信息了。例如笔者的计算机有administrator和user两个帐户。（如图3）

图3

    第四步：一般来说默认的administrator应该用于管理使用，平时员工使用计算机尽量使用其他帐户。例如本人要给名为user的帐户设置一个负责密码，防止空口令和弱密码现象的发生。那么应该在user名称上点鼠标右键选择“设置密码”。（如图4）

图4 点击大图

    第五步：在“为user设置密码”的窗口中设置相应的新密码即可。（如图5）

图5

    当然这里输入的密码应该是比较复杂的，最好是数字和字母交替，大小写交替的形式。密码越复杂本地计算机被病毒和黑客入侵的机率越低。

    危险指数：四星

    隐患症状：
    一般来说当我们安装完操作系统后来宾GUEST帐户是默认关闭的，但是在使用过程有两种情况会使这个帐户被非法打开。第一种是由于浏览页面或者插别人的U盘造成自己中毒，病毒会自动将这个来宾GUEST帐户非法打开，方便自己进行传播和入侵；第二种情况经常出现在XP系统中，由于XP系统在共享网络中的文件资源和打印机时经常出现无法正常访问的情况，网上很多文章给出了开启GUEST帐户来解决的方法，所以很多XP系统的用户为了方便共享就手动把这个帐户开启了，这样就使得病毒与黑客乘虚而入。

    应对方法：
    对于第一种情况我们直接把GUEST这个来宾帐户禁用即可，方法是按照上面介绍的方法打开“计算机管理->系统工具->本地用户和组->用户”，然而在guest帐户名称上点鼠标右键，选择“属性”。在弹出的GUEST属性窗口的常规标签中把“帐户已停用”前打上对勾，确定后GUEST帐户前出现了一个红色的禁止叉子，这样就将禁止该帐户的使用，阻止病毒和黑客通过GUEST来宾帐户入侵。（如图6）

图6

    不过对于第二种情况我们就不能盲目的禁用GUEST了，因为一旦禁用来宾帐户，那么网络资源，文件资源和打印机又将无法使用。所以我们应该保证在GUEST帐户禁用的情况下，让这些资源可以顺利使用。这时我们就需要通过组策略来完成。

    第一步：通过任务栏的“开始->运行”，输入gpedit.msc后回车，打开组策略编辑器。（如图7）

图7

    第二步：在组策略编辑器中找到“计算机配置->windows 设置->安全设置->本地策略->安全选项”。（如图8）

图8 点击大图

    第三步：在安全选项的右边找到“网络访问:本地帐户的共享和安全模式”。双击该选项，将默认的“仅来宾—本地用户以来宾身份验证”修改为“经典—本地帐户以自己的身份验证”（如图9）

图9

设置完毕后只要我们当前使用的帐户不是空密码就可以随意的和使用windows 2000一样的访问别的计算机的共享资源了，访问时输入授权的帐号和密码即可。从而解决了必须开启GUEST来宾帐户才能访问共享的问题。

    补丁，自动更新应双管齐下
    由于企业网络中大部分员工都没有网络基础知识，所以大部分人都忽略了打补丁弥补漏洞这个问题，以至于很多员工计算机都有巨大的安全隐患。

    危险指数：五星

    隐患症状：
    不管是windows XP系统还是windows 2000系统都没有合理的安装上系统补丁。通过“我的电脑->属性”，在常规标签下应该可以看出当前系统的补丁安装情况。对于windows XP系统来说应该安装SP2补丁服务包，而windows 2000系统需要安装SP4补丁服务包。如果没有安装最新补丁服务包，那么诸如冲击波，震荡波，魔波等漏洞病毒就可以轻松的入侵到操作系统中。

    应对方法：
    如果你的系统补丁安装情况没有达到上文所说的XP SP2和2000 SP4，那么你需要从网上下载相应的SP补丁服务包，并安装在本机，安装完毕后务必重新启动计算机，在安装过程中也请将网线拔掉，防止安装补丁过程中感染病毒。

    当然即使你的补丁服务安装包满足了上面提到的情况，你的系统也不是高枕无忧，补丁服务包每隔 一段时间才会推出一个，一般来说在新的补丁服务包推出之前这段时间的漏洞防范是通过安装小补丁来完成的。目前最有效的安装小补丁方法就是通过系统的UPDATE来完成。

    第一步：在“我的电脑”上点鼠标右键选择“属性”。

    第二步：在“系统属性”窗口中选择“自动更新”标签。

    第三步：将自动更新设置为“自动（推荐）”即可，然而再设置一个自动下载并安装更新的时间。（如图10）

图10

    这样每当微软公司推出新补丁后，我们的操作系统都会自动连接更新站点来下载新补丁，并在设置的时间进行安装。我们的电脑也可以防住99%的漏洞病毒。

    危险指数：五星

    隐患症状：
    一台没有安装防火墙的计算机将不具备任何防范黑客入侵的能力，而一台没有安装杀毒软件的计算机也将无法拥有抵御病毒入侵的能力。因此如果计算机在所谓的“裸奔”情况下运行，那么我们的系统出问题的可能性会大大提高，黑客与病毒可以在没有任何阻拦的情况下给网络带来威胁。

    应对方法：
    实际上对于这种隐患的防范方法很简单，安装必要的杀毒软件与防火墙即可。

    杀毒软件方面根据笔者经验来说，国外的性能和系统资源占用率方面比较好，推荐使用norton和卡巴斯基。不过不管使用哪种杀毒软件用户需要注意一点的就是病毒库问题，安装杀毒软件是简单的事，但是要想起到必要的作用需要不段的更新病毒定义库，基本上每周都要让你的杀毒软件更新一次，否则一个使用旧病毒定义库的杀毒软件和不安装杀毒软件没有什么区别。

    防火墙方面笔者建议直接使用系统自带的即可，我们通过“开始->控制面板->Windows 防火墙”来启动他，在防火墙设置窗口中选择“启用（推荐）”，然而确定就完成了开启XP系统内置防火墙的操作，在防范黑客上系统内置的防火墙一点也不输于其他专业防火墙。（如图11）

图11

    危险指数：三星

    隐患症状：
    很多用户并没有太多的安全知识，因此由于他们具备管理员权限，所以在访问网络的时候难免会因为不小心执行某带毒程序而感染病毒，或者不小心下载并安装了一个非法插件和流氓软件使系统的运行速度变得越来越缓慢，笔者就曾经接触过一位员工的普通计算机，上面安装了所有的恶意软件，几乎所有流氓插件都出现在浏览器中，对于这样的系统网络管理员也只有重新安装系统这一条解决方案。

    应对方法：
    不要给普通员工管理员权限，可以根据企业实际情况为每个计算机创建一个特定权限的帐户，让每个员工使用这个特定权限的帐户登录系统，例如不给他们安装权限，当他们要安装程序时需要询问网络管理员，由网络管理员进行安装操作。

    当然不给员工足够的权限也有一些缺点，那就是员工在使用计算机过程中会感到非常不方便，而且一旦权限没有设置正确，员工也会因为权限问题而影响正常工作，到时候还得重新设置帐户权限，最后的结果可能又回到管理员权限了。因此是否该给员工管理员权限应该由网络管理员根据企业内部实际情况去设置。

    总结：
企业网络的安全隐患主要分两大类，一类是单机隐患，另一类是网络隐患。不管是哪种隐患都会对企业的网络安全造成危害。本篇文章主要为各位读者介绍员工单机上存在的安全隐患和解决办法。下篇文章笔者将从网络构成方式存在的隐患，服务类别出现的隐患和企业管理制度上的问题等多方面分析另外五个存在于企业网络内部的安全隐患。

    相关链接：巧设置预防企业网络十大安全隐患（上）
    相关链接：巧设置预防企业网络十大安全隐患（下）