【IT168专稿】杀毒软件总是心太软，恶意软件总是层出不穷。不能上网了，系统太慢，又中招了。病毒、木马、恶意软件总是让我们疲于奔命，杀毒软件总是躺在那里安心睡觉，领导在月底考核的时候总免不了要问几句，为什么最近各部门对IT部门的不满情绪越来越高涨。

　　我们该怎么办？总是被动的去清理现场吗？总是为了这些杀毒软件也查不出毒的讨厌家伙满车间跑吗？现在就教你从源头上下功夫，从一开始就把客户端的防毒策略做好，让自己高枕无忧。
　　一、使用NTFS格式格式化磁盘分区
　　很多网管为了Ghost方便，喜欢将系统盘格式化成FAT格式。其实从Ghost8.0开始便支持NTFS格式分区的备份与恢复了，比较经典的8.3版的Ghost对NTFS格式分区的支持更加完美，因此无需担心系统备份与恢复问题。

　　NTFS格式是微软NT系列系统开始引进的新的分区格式，提供比FAT更好的性能，并且支持权限管理，这里也是推荐NTFS格式的最主要原因，因为后面的一些应用是基于NTFS的权限之上的。

　　换个角度看，毕竟NTFS是FAT发展多年后的产物，在技术上更新，性能当然也会更好，相信微软是没错的。 因此强烈建议在安装系统的时候使用NTFS格式格式化系统盘，如果系统已经安装好了，可以使用Convert命令进行转换(图1)。

图1

　　二、用代理服务器上网
　　如果让内网所有的电脑都是通过交换机、防火墙、路由器等设备直接上网，危险性则非常大，且客户端一多，管理起来就麻烦，虽然可以在防火墙、交换机上设置相应的规则，但也不能保证百密无一疏。

　　因此在内网增加一台代理服务器无疑是非常好的的解决方案，在交换机或路由器等设备上设置只允许代理服务器上网，这样管理起来就方便多了。另外代理服务器建使用微软的ISA来做，不仅起到代理的作用还能做软件防火墙，设置相应的过滤条件也要方便得多。并且管理的时候只需要管理代理服务器这一台电脑，其他客户端基本上就不用去管了(图2)。

图2

　　三、禁用Guest帐户
　　Guest帐户常常会成为一些后门程序的“温床”，并且网上也有很多文章介绍如何通过Guest帐户得到管理员权限的方法，因此打好安全第一仗，禁用Guest帐户绝对是毫不手软的事。
　　依次进入“控制面板→用户帐户”，单击“来宾帐户”，单击“禁用来宾帐户”将来宾帐户禁用(图3)。

图3

　　四、默认帐户更名
　　除了禁用来宾帐户，如果想让一些想依赖系统默认帐户的后门程序彻底失去作用，可以将系统默认的管理员帐户及来宾帐户改名，从而让入侵者找不着北。

　　运行“gpedit.msc”程序打开组策略编辑器，依次定位到“计算机配置→Windows设置→安全设置→本地策略→安全选项”，在右侧找到“帐户：重命名系统管理员帐户”和“帐户：重命名来宾帐户”这两项，双击打开，将这两个帐户分别改成不易猜测的帐户名称(图4)。

图4

　　五、只给User权限
　　为了防止客户端随意安装软件，有必要对客户端的权限进行相应的设置，无论是工作在域环境还是工作组环境，分配给终端用户使用的帐户，建议只给User组权限，从而让用户无权安装软件。
  

图 5

　　使用过这一招的朋友一定知道，只给User权限之后，有些程序会不能运行或者运行后会有这样那样的问题，这时NTFS权限就派上用场了。将不能运行的程序目录设置为用户“完全控制”，大部分情况下问题就会得以解决了。

图 6

　　不过这样之后，也不能保证所有的程序都可以正常运行，可能会有极个别对运行权限非常苛刻的程序不能运行，这样的话，最多给用户划分到Power Users组，这样即使用户安装软件，也不会对系统文件造成影响。

　　总之，对于用户帐户该归哪个组的问题，要坚持不给管理员组的权限，从而尽可能的保证系统的安全。

　　六、丢掉IE，掉用第三方非IE核心浏览器
　　树大招风，IE因为为系统本身附带的，因此市场占有率最高，而恶意程序及木马也喜欢针对IE浏览器下手，一些网页中的恶意脚本也喜欢利用IE浏览器的漏洞。因此建议换用第三方的非IE核心的浏览器，如firefox、Opera、K-Meleon等，从而有效保证网页浏览及针对IE的恶意程序这一块的安全性。

　　虽然我们可以约束自己，但我们不能管住终端用户的手，即使给他们安装了Firefox浏览器，但是浏览网页还是使用IE浏览器怎么办呢？

　　同样这里要发挥NTFS伟大作用，利用NTFS当然还是利用它的权限，在权限中，将IE浏览器所在的“Internet Explorer”文件夹，把针对终端用户帐户的权限全部去除，或者直接将“拒绝”下面所有的项打勾，“确定”之后，该用户就没有访问IE浏览器程序的权限了(图7)。
  

图 7

　　权限设置之后，使用对应的帐户登录之后便不能访问IE浏览器了，即使双击“Internet Explorer”文件夹，也会提示无权访问(图8)。
  

图 8

　　权限设置之后，就彻底杜绝了依赖于IE的恶意软件以及病毒、木马等，在“权限”这把双刃剑之下，所有的依赖于IE的恶意软件、病毒、木马都只能停在门外，因找不到“宿主”的“iexplore.exe”程序，再大的本领也无济于事了。

　　七、杀毒软件要防卸载
　　尽管进行了帐户权限的设置，安全性大大加强了，但是杀毒软件仍然是少不了的，尽管很多时候它都“无视”病毒的存在。对于企业来说，选择网络版杀毒软件也是非常必要的，不仅方便部署，也方便集中管理。不过企业中，总有一些不安分的用户，喜欢展示自己的计算机才能，嫌杀毒软件没用，私自将其卸载的不在少数。而网络版杀毒软件大部分都有客户端的防卸载功能，以Symantec的企业版为例。在“客户端管理员专用选项”对话框中，切换到“安全”标签，勾选“锁定用户卸载Symantec AntiVirus服务的能力”及“卸载Symantec AntiVirus客户端需要密码”这两项，一方面防止用户私自卸载，另一方面自己管理时因需要可以凭密码卸载(图9)。
  

图 9

　　八、使用内网行为管理软件
　　上面的这些方法都可以在一定的程序上加强客户端的安全，但这种手工管理的方法工作量还是比较大的，对于一些客户端不多的小企业来说，工作量还可以承受，对于中、大型企业来说，这种手工各个客户端设置的方法显示就不适宜了。这时一些内网行为管理软件就派上用场了，针对中、大型企业来说，因为规模大，投资这类软件性价比还是非常高的。

　　比如IP-guard、Winmanager、网路岗等软件，不仅可以轻松控制客户端的行为，如限制软件的运行，还可以过滤特定的网站，并且在控制台可以针对特定的某一组计算机进行设置，大大提高了工作效率。

　　安全问题永远都是大家所关心的话题，客户端的安全防护也是大家一直探讨的话题，每一种安全方案在带来安全的同时，同样也会存在一定的弊端，如限制过多，客户端抵触情绪较大等。但总的来说，追求企业内网的安全，是我们永远的目标，不仅可以减少自己的“体力活”，也可以让我们将有限的时间投入到无限的知识学习中去，从而不断成长，将企业网络管得更好。