遠離不明對象安全攻擊

預防訪問不明軟件

在使用Windows系統自帶IE瀏覽器上網訪問網頁時，我們有時會看到這樣的提示信息:某個腳本程序正在系統后臺悄悄訪問當前網頁背后的不明軟件，如果不明軟件已經被標注為安全腳本頁面，那倒沒什么問題，但如果不明軟件屬于惡意程序，那這會給本地系統的運行帶來安全威脅。

為了預防IE瀏覽器訪問到包含惡意攻擊的不明軟件，我們可以對IE瀏覽器進行如下設置，限制其訪問那些沒有標記為可安全執行腳本的網頁內容:首先打開IE瀏覽器窗口，依次點擊“工具”、“Internet選項”命令，彈出Internet選項設置對話框，點擊“安全”標簽，在對應標簽頁面的“ActiveX控件自動提示”位置處，選擇“禁用”選項。

接著在“ActiveX控件和插件”位置處，將“對標記為可安全執行腳本的ActiveX控件”選項設置為“啟用”（如圖1所示），將“對未標記為可安全執行腳本的ActiveX控件”設置為“禁用”，單擊“確定”按鈕保存設置操作。這樣，IE瀏覽器日后就不會輕易訪問潛藏在網頁背后的不明軟件了。

圖1 將選項設置為啟用

預防不明用戶連接

為了預防局域網中的不明用戶遠程連接本地服務器系統，我們可以加強對遠程桌面連接用戶的身份進行審核，以便將不明用戶阻擋在外。在對不明用戶身份進行審核時，不妨嘗試通過“SecureRDP”外力工具，來過濾各種形式的遠程用戶連接，包括進行主機名稱過濾、客戶端版本過濾、連接時間過濾、IP地址過濾、網卡物理地址過濾等操作，經過不同層次的過濾后，那些不明用戶將會無法實施遠程攻擊，那么服務器系統的安全性就能得到保證了。

在使用“SecureRDP”工具預防不明用戶連接時，先將該工具下載安裝到本地服務器系統中，并開啟它的運行狀態，彈出主程序窗口，選擇“Logon Filters”面板中的“IP Address”選項卡，在對應選項設置頁面中，將“Enable IP Address Filter”選中，成功激活“SecureRDP”工具內置的IP地址過濾功能。點擊“Add”按鈕，進入地址過濾添加框，將“Logon Disabled”選中，輸入不明用戶的計算機IP地址。再選中“Logon enabled”選項，將合法用戶使用的計算機IP地址輸入進來，要是合法用戶的計算機IP地址位于同一個工作子網，只要在“From”、“To”位置處分別輸入指定子網的開始結束地址，要想輸入單臺計算機IP地址時，可以在“From”位置處輸入特定IP地址，在“To”位置處不輸入任何內容即可。這樣，“SecureRDP”工具日后就能對遠程連接用戶的IP地址進行過濾了。

圖2 過濾遠程連接用戶主機名稱

圖3 返回的結果信息

要過濾遠程連接用戶的主機名稱時，只要切換到“Logon Filters”面 板 的“Computer Name”選項設置頁面，將“Enable computer name Filter”選中（如圖2所示），成功激活“SecureRDP”工具內置的主機名稱過濾功能。接著按下“Add”按鈕，彈出計算機過濾設置框，輸入不明用戶所使用的計算機名稱即可。值得注意的是，“SecureRDP”工具允許使用通配符功能來進行過濾主機操作，合理利用這項功能可以靈活定制過濾范圍，改善主機過濾效率，預防不明用戶隨意與服務器系統建立遠程桌面連接。

對允許遠程連接的用戶來說，我們還可以使用時間過濾功能，限制它們的操作時間，以保證服務器系統始終高效運行。在主程序界面的“Logon Filters”面板中，點擊“Time Restriction”選項卡，選中該選項設置頁面中的“Enable Time Restriction Filter”選項，啟用時間限制功能，同時定義好合適的遠程桌面連接時間。如果允許合法用戶任何時間都能進行遠程連接時，可以將“All day”選中，要設置特定的遠程連接時間時，只要先選中“Between x and x”選項，再定義好正確的時間范圍即可。經過上述設置操作后，依次點擊“SecureRDP”操作 界 面 中 的“file”、“Apply Configuration”命令，讓上述設置參數立即生效。

預防不明會話連接

有的時候，我們會發現服務器系統的運行速度突然變慢，在排除手工運行程序等因素外，遇到這類問題，很可能是服務器系統正在遭受不明會話連接。為了預防這種不明會話連接繼續威脅服務器系統的穩定運行，我們可以利用Windows系統內置的“net session”命令，切斷已經存在的不明會話連接。

在切斷不明會話連接之前，要先查看一下本地系統的會話狀態。依次點擊“開始”、“運行”選項，彈出系統運行文本框，輸入“cmd”命令并回車，打開MS-DOS工作窗口。在該窗口命令提示符下，執行“net session”命令，從返回的結果信息中（如圖3所示），可以一目了然地看到本地系統的會話連接狀態。當發現有不明會話連接時，可以使用“net session”命令的“/delete”參數，強行斷開自己不熟悉的會話連接，以避免該系統遭遇惡意攻擊。

例如，當看到一臺計算機名稱為“abc”的陌生計算機與本地建立會話時，為了預防它影響系統運行安全，可以通過“net session \abc /delete”命令，強制切斷“abc”計算機的會話連接，同時關閉由該會話打開的數據文件。值得注意的是，要是上述命令沒有指定計算機名稱，直接執行字符串命令“net session /delete”時，那么與本地計算機建立的所有會話都會被強行斷開。當然，在使用“net session”命令斷開特定會話連接前，建議用戶要保持慎重，因為這項操作容易帶來數據丟失風險。

圖4 篩選設置框

圖5 選中“已啟用”選項

預防不明網站攻擊

在上網瀏覽網頁的時候，經常會誤入一些不明網站，潛藏在該網站背后的病毒、木馬程序，可能會在悄無聲息中對本地系統發動攻擊。為了預防不明網站攻擊，我們可以巧妙利用IE瀏覽器自帶的SmartScreen篩選器功能，智能審核當前正在訪問的陌生網站是否安全。

當成功啟用SmartScreen篩選器功能后，它會智能判斷當前正在訪問網頁有沒有可疑行為，如果探測到不明網站會產生一些危險操作，例如，自動執行下載安裝操作，或悄悄竊取用戶上網隱私，SmartScreen篩選器功能會自動發出警報，提示用戶小心操作。而且，該功能還會根據已經生成的惡意網站黑名單，判斷當前正在訪問網站和下載文件是否在列表中，一旦匹配的話，它會智能顯示紅色警告，告訴用戶為了安全起見已攔截該網站。

一旦看到IE瀏覽器的SmartScreen篩選器功能被停用時，不妨手工啟用它，來預防不明網站攻擊。只要先啟動IE瀏覽程序，逐一選擇“工具”、“SmartScreen篩選器”、“啟用SmartScreen篩選器”選項，就能成功開啟篩選檢查功能。當該功能已被運行時，選擇IE瀏覽器工具菜單項中的“關閉SmartScreen篩選器”命令，進入如圖4所的篩選設置框。在這里可以將不明站點手工提交到惡意網站列表中，等Microsoft公司審核確認后，其他用戶再次訪問相同的不明站點時，SmartScreen功能將會智能提醒用戶。逐一選擇“工具”、“SmartScreen 篩 選 器”、“報告不安全網站”選項，在其后界面中能看到SmartScreen篩選器的網站報告信息。

預防下載不明程序

一些身份不明的程序，有時不經過用戶的同意，會自動利用系統的一些漏洞，下載保存到本地計算機硬盤中。為了預防不明程序的下載安全威脅，我們不妨采取下面的措施，堵住一切可能引起自動下載的安全漏洞:

首先培養自己到合法站點下載的習慣。所謂合法站點，主要包括政府機關、企事業單位的官方站點，或者市面上一些知名度較高的站點，這些站點背后潛藏有不明程序的可能性不大，最多也就是多一些讓人討厭的廣告或宣傳畫面，不過它們幾乎不會出現自動下載的現象。其次關閉瀏覽器的自動下載功能。例如，在使用IE瀏覽器瀏覽站點時，只要逐一點擊“工具”、“Internet選項”命令，切換到Internet選項設置對話框，點選“安全”選項卡，在對應選項設置頁面中單擊“自定義級別”按鈕，彈出自定義安全設置頁面。將“文件下載”選擇為“禁用”，單擊“確定”按鈕退出設置對話框，就能限制不明程序的自動下載操作。

在同時安裝有多個不同類型瀏覽器的情況下，可以嘗試關閉瀏覽器下載進程，來堵住自動下載漏洞。依次點擊“開始”、“運行”命令，展開系統運行對話框，輸入“gpedit.msc”命令并回車，打開組策略編輯窗口。在該編輯窗口左側列表中，逐一點擊“本地計算機策略”、“計算機配置”、“管理 模 板”、“Windows組 件”、“Internet Explorer”、“安全功能”、“限制文件下載”分支選項，找到“所有進程”組策略，用鼠標雙擊之，選中其后界面中的“已啟用”選項（如圖5所示），確認后返回即可。