网络通信 频道

把住源头 企业内网客户端防毒攻略

  【IT168专稿】杀毒软件总是心太软,恶意软件总是层出不穷。不能上网了,系统太慢,又中招了。病毒、木马、恶意软件总是让我们疲于奔命,杀毒软件总是躺在那里安心睡觉,领导在月底考核的时候总免不了要问几句,为什么最近各部门对IT部门的不满情绪越来越高涨。

  我们该怎么办?总是被动的去清理现场吗?总是为了这些杀毒软件也查不出毒的讨厌家伙满车间跑吗?现在就教你从源头上下功夫,从一开始就把客户端的防毒策略做好,让自己高枕无忧。
  一、使用NTFS格式格式化磁盘分区
  很多网管为了Ghost方便,喜欢将系统盘格式化成FAT格式。其实从Ghost8.0开始便支持NTFS格式分区的备份与恢复了,比较经典的8.3版的Ghost对NTFS格式分区的支持更加完美,因此无需担心系统备份与恢复问题。

  NTFS格式是微软NT系列系统开始引进的新的分区格式,提供比FAT更好的性能,并且支持权限管理,这里也是推荐NTFS格式的最主要原因,因为后面的一些应用是基于NTFS的权限之上的。

  换个角度看,毕竟NTFS是FAT发展多年后的产物,在技术上更新,性能当然也会更好,相信微软是没错的。 因此强烈建议在安装系统的时候使用NTFS格式格式化系统盘,如果系统已经安装好了,可以使用Convert命令进行转换(图1)。


图1

  二、用代理服务器上网
  如果让内网所有的电脑都是通过交换机、防火墙、路由器等设备直接上网,危险性则非常大,且客户端一多,管理起来就麻烦,虽然可以在防火墙、交换机上设置相应的规则,但也不能保证百密无一疏。

  因此在内网增加一台代理服务器无疑是非常好的的解决方案,在交换机或路由器等设备上设置只允许代理服务器上网,这样管理起来就方便多了。另外代理服务器建使用微软的ISA来做,不仅起到代理的作用还能做软件防火墙,设置相应的过滤条件也要方便得多。并且管理的时候只需要管理代理服务器这一台电脑,其他客户端基本上就不用去管了(图2)。


图2

  三、禁用Guest帐户
  Guest帐户常常会成为一些后门程序的“温床”,并且网上也有很多文章介绍如何通过Guest帐户得到管理员权限的方法,因此打好安全第一仗,禁用Guest帐户绝对是毫不手软的事。
  依次进入“控制面板→用户帐户”,单击“来宾帐户”,单击“禁用来宾帐户”将来宾帐户禁用(图3)。


图3

  四、默认帐户更名
  除了禁用来宾帐户,如果想让一些想依赖系统默认帐户的后门程序彻底失去作用,可以将系统默认的管理员帐户及来宾帐户改名,从而让入侵者找不着北。

  运行“gpedit.msc”程序打开组策略编辑器,依次定位到“计算机配置→Windows设置→安全设置→本地策略→安全选项”,在右侧找到“帐户:重命名系统管理员帐户”和“帐户:重命名来宾帐户”这两项,双击打开,将这两个帐户分别改成不易猜测的帐户名称(图4)。


图4

  五、只给User权限
  为了防止客户端随意安装软件,有必要对客户端的权限进行相应的设置,无论是工作在域环境还是工作组环境,分配给终端用户使用的帐户,建议只给User组权限,从而让用户无权安装软件。
  


图 5

  使用过这一招的朋友一定知道,只给User权限之后,有些程序会不能运行或者运行后会有这样那样的问题,这时NTFS权限就派上用场了。将不能运行的程序目录设置为用户“完全控制”,大部分情况下问题就会得以解决了。


图 6

  不过这样之后,也不能保证所有的程序都可以正常运行,可能会有极个别对运行权限非常苛刻的程序不能运行,这样的话,最多给用户划分到Power Users组,这样即使用户安装软件,也不会对系统文件造成影响。

  总之,对于用户帐户该归哪个组的问题,要坚持不给管理员组的权限,从而尽可能的保证系统的安全。

  六、丢掉IE,掉用第三方非IE核心浏览器
  树大招风,IE因为为系统本身附带的,因此市场占有率最高,而恶意程序及木马也喜欢针对IE浏览器下手,一些网页中的恶意脚本也喜欢利用IE浏览器的漏洞。因此建议换用第三方的非IE核心的浏览器,如firefox、Opera、K-Meleon等,从而有效保证网页浏览及针对IE的恶意程序这一块的安全性。

  虽然我们可以约束自己,但我们不能管住终端用户的手,即使给他们安装了Firefox浏览器,但是浏览网页还是使用IE浏览器怎么办呢?

  同样这里要发挥NTFS伟大作用,利用NTFS当然还是利用它的权限,在权限中,将IE浏览器所在的“Internet Explorer”文件夹,把针对终端用户帐户的权限全部去除,或者直接将“拒绝”下面所有的项打勾,“确定”之后,该用户就没有访问IE浏览器程序的权限了(图7)。
  


图 7

  权限设置之后,使用对应的帐户登录之后便不能访问IE浏览器了,即使双击“Internet Explorer”文件夹,也会提示无权访问(图8)。
  


图 8

  权限设置之后,就彻底杜绝了依赖于IE的恶意软件以及病毒、木马等,在“权限”这把双刃剑之下,所有的依赖于IE的恶意软件、病毒、木马都只能停在门外,因找不到“宿主”的“iexplore.exe”程序,再大的本领也无济于事了。

  七、杀毒软件要防卸载
  尽管进行了帐户权限的设置,安全性大大加强了,但是杀毒软件仍然是少不了的,尽管很多时候它都“无视”病毒的存在。对于企业来说,选择网络版杀毒软件也是非常必要的,不仅方便部署,也方便集中管理。不过企业中,总有一些不安分的用户,喜欢展示自己的计算机才能,嫌杀毒软件没用,私自将其卸载的不在少数。而网络版杀毒软件大部分都有客户端的防卸载功能,以Symantec的企业版为例。在“客户端管理员专用选项”对话框中,切换到“安全”标签,勾选“锁定用户卸载Symantec AntiVirus服务的能力”及“卸载Symantec AntiVirus客户端需要密码”这两项,一方面防止用户私自卸载,另一方面自己管理时因需要可以凭密码卸载(图9)。
  


图 9

  八、使用内网行为管理软件
  上面的这些方法都可以在一定的程序上加强客户端的安全,但这种手工管理的方法工作量还是比较大的,对于一些客户端不多的小企业来说,工作量还可以承受,对于中、大型企业来说,这种手工各个客户端设置的方法显示就不适宜了。这时一些内网行为管理软件就派上用场了,针对中、大型企业来说,因为规模大,投资这类软件性价比还是非常高的。

  比如IP-guard、Winmanager、网路岗等软件,不仅可以轻松控制客户端的行为,如限制软件的运行,还可以过滤特定的网站,并且在控制台可以针对特定的某一组计算机进行设置,大大提高了工作效率。

  安全问题永远都是大家所关心的话题,客户端的安全防护也是大家一直探讨的话题,每一种安全方案在带来安全的同时,同样也会存在一定的弊端,如限制过多,客户端抵触情绪较大等。但总的来说,追求企业内网的安全,是我们永远的目标,不仅可以减少自己的“体力活”,也可以让我们将有限的时间投入到无限的知识学习中去,从而不断成长,将企业网络管得更好。

0
相关文章