淺析局域網計算機終端安全防護策略

摘要：本文主要對以下部分對操作系統的選擇；帳戶、口令與身份鑒別；計算機防病毒軟件和防火墻的安裝使用；關閉多余端口、共享與服務；關閉IE瀏覽器自動完成功能；本地安全策略設置等，作研究和探討。

關鍵詞：局域網 計算機 安全防護

隨著信息化、網絡化、辦公自動化的迅速發展，網絡負載的數據量與日俱增，終端承載的業務日益龐大復雜，各種應用服務對網絡和終端的管理要求越來越高。例如，局域網的安全問題，就經常是面對來自Internet的攻擊。因此，要時刻防范這些惡意攻擊，關注局域網的計算機系統安全。只有做到由內至外整體統一的管理防護體系，才能保證業務不間斷的運轉。以下部分對操作系統的選擇；帳戶、口令與身份鑒別；計算機防病毒軟件和防火墻的安裝使用；關閉多余端口、共享與服務；關閉IE瀏覽器自動完成功能；本地安全策略設置等，作研究和探討。

1 操作系統的選擇

目前國內研發的操作系統還沒有達到成熟，所以大多數人還是使用微軟的XP系統。而大家都知道XP系統會有很多的漏洞，這就給不法分子提供了很多的途徑來攻擊安裝了XP系統的計算機。為了避免更多的危險，選擇系統時要盡量選擇原版正版的系統，最好不要選擇比如HOME版的。當然，不管什么系統都要按時安裝系統漏洞補丁，養成良好的習慣是避免計算機遭受攻擊和入侵的開始。

2 帳戶、口令與身份鑒別

一般的系統都會自帶多個系統帳戶，比如test，HelpAssistant等用戶，當然安裝一些應用軟件的時候也會自帶一些用戶，比如安裝ASP.NET的時候就會多出一個名為Asp.net的用戶來。無論有多少個用戶存在，都要刪除多余的帳戶，只留一個系統自帶的管理員帳戶，無法刪除的帳戶也必須要禁用，比如Guest帳戶就無法刪除，但要禁用。最后要取消所有用戶的“密碼永不過期”選項，如圖1所示：

當確定好帳戶以后還要進行口令的設置。在設置系統帳戶口令之前還可以對本地安全設置里的帳戶策略進行設置，其中包括密碼策略和帳戶鎖定策略。通過對密碼策略的設置可以讓密碼的復雜度增加，必須要求密碼要滿足數字、字母和特殊字符三種字符相結合。設定密碼的最少位數，比如10位，加強了密碼的安全性，更加不易被攻擊者破譯，從而增強了計算機的防護能力。如圖2、圖3所示：

如果只靠系統自身的帳戶、密碼還不能滿足你的要求的話，還可以通過安裝第三方身份鑒別軟件進行防護。比如衛士通的USBKey身份登錄鑒別終端軟件，就是一款比較強大的系統登錄身份鑒別防護軟件。

在系統登錄之前其實還有一道安全防線，就是俗稱的“開機密碼”，也就是BIOS密碼，它是存在于計算機主板芯片內的，開機時可以啟動，當設置了開機密碼，以后每次開機都會要先輸入一道密碼才能進入系統登錄界面。還可以同時設置BIOS管理員密碼，可以防止非法修改用戶的開機密碼。

設置好以上密碼后，開啟屏幕保護程序，時間不超過10分鐘，能夠防止計算機管理員用戶不在時，別人能夠使用計算機，以竊取他人私密信息。如圖4所示：

3計算機防病毒軟件和防火墻的安裝使用

在計算機病毒肆意橫行的當今社會，一臺完好的計算計，必須要安裝一個良好的防病毒軟件和有力的防火墻。

計算機病毒一直是計算機安全的主要威脅。能在Internet上傳播的新型病毒，例如通過E-Mail傳播的病毒，增加了這種威脅的程度。病毒的種類和傳染方式也在增加，國際空間的病毒總數已達上萬甚至更多。當然，查看文檔、瀏覽圖像或在Web上填表都不用擔心病毒感染，然而，下載可執行文件和接收來歷不明的E-Mail文件需要特別警惕，否則很容易使系統導致嚴重的破壞。典型的“CIH”病毒就是一可怕的例子。

為了防止病毒、木馬入侵計算機，及時更新病毒庫，正確設置好防火墻策略，并定時全盤查殺，才能更好的預防攻擊者的攻擊與入侵。

4 關閉多余端口、共享與服務

一般情況下，在用戶安裝好系統以后，系統會自帶很多共享與服務，同時也會自動打開很多默認端口。如果我們在不知情的情況下，這是很危險的。這些共享、服務和端口將成為黑客們攻擊計算機，入侵計算機的良好途徑。

因為系統默認的共享都是基于SERVER服務開啟的情況下的，所以只要我們把SERVER服務關閉，就可以關閉系統的默認共享了。從本地服務里找到server這一項，右擊選擇屬性，把啟動類型改成“已禁用”，如圖5所示：

除了這些還有一些共享也是要關閉的，比如在本地連接屬性里的“Microsoft網絡的文件和打印機共享”。

另外介紹兩種手動關閉共享的方法。第一種，打開注冊項“HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters”，找到“AutoShareServer”修改它的值為“0”；第二種方法是編寫一個“.bat”文件，把它加載到開機啟動項里，每次開機時先執行關閉共享的“bat”文件，同樣可以起到關閉共享的作用。具體內容如下:

Net share c$ /delete

Net share d$ /delete

Net share e$ /delete

把上面內容復制到txt文件中，修改文件名稱后綴為bat即可。

如果有些端口是想要留下來的，那么你可以通過TCP端口和UDP端口的賽選進行計算機的端口控制。具體方法如下：

打開“本地連接”，選擇“屬性”，雙擊“Internet協議（TCP/IP）”，選擇“高級”。在“高級TCP/IP設置”選項卡里選擇“選項”一欄，點擊“屬性”，就可以對TCP端口和UDP端口進行賽選了。如圖6所示：

除了上述關閉端口方法外，你可以手動關閉一些計算機端口。首先可以用命令“netstat an”來查看你的計算機都開啟了哪些端口，然后編寫一個bat文件，內容如下：

Ipseccmd w REG p “HFUT_SECU”r“Block TCP/端口號”f

*+0:端口號:TCP n Block x >nul

需要關閉多少端口添加相應的命令就可以了。

除了多余的端口和共享要關閉外，多余的服務也是要禁用的，因為這些服務可能也會給那些攻擊者提供途徑，一般情況下用戶是用不到這些服務的。下面列出一些多余的服務，讀者可以參考。

DHCP Client，Fax Service，Messenger，Telnet，Workstation，Wireless Zero Configuration，Telephony等等。

5 關閉IE瀏覽器自動完成功能

打開IE瀏覽器任務欄里“工具”→“Internet選項”→“內容”→“自動完成”。

把“提示我保存密碼”和“表單上的用戶名和密碼”兩項勾去掉。這樣就可以保證用戶在使用IE瀏覽器登錄應用系統時用戶名和密碼不被記錄了，可以有效地防止攻擊者竊取用戶的帳戶相關信息。如圖7所示：

6 本地安全策略設置

上面簡單提出了用戶密碼安全設置的方法和步驟，現在來說說本地策略的基本設置。首先，“審核策略”中所有策略對應的“安全設置”都設置成“成功，失敗”，這樣無論審核成功還是失敗就可以記錄相關審核信息，給計算機用戶維護計算機，管理計算機帶來一些重要的信息。還能夠及時發現一些非常規或不明應用程序的運行。設置如圖8所示：

“安全選項”設置中也有很多地方要注意的，設置好這些策略，能夠更好的防護你的計算機。如，停用“交互式登錄：不顯示上次登錄的用戶名”，設置用戶登錄密碼修改提示，啟用“審計：如無法紀錄安全審計則立即關閉系統”，刪除“網絡訪問：可匿名訪問的共享”和“網絡訪問：可匿名訪問的注冊表路徑”中的所有表項。

7 結束語

大多數網絡安全事件都是先由局域網傳播的，后影響到網關，然后影響到網絡終端計算機，為此，要根據實際情況，進一步作好局域網計算機終端安全防護策略。首先，對局域網終端機進行全面的安全檢測，包括對操作系統以及系統軟件的漏洞、病毒、木馬和蠕蟲、流氓軟件等的檢測，找出系統的安全隱患，分析并提出系統安全報告；其次，針對檢測發現的系統安全隱患，對終端主機進行修復，消除主機系統存在的安全隱患；三是通過下發安全策略實時監控主機和網絡運行的狀態，對侵入終端的病毒和木馬等有害進程及時報警，并采取隔離清除等技術手段防止進一步擴散。