讓安全防護吃上“聰明藥”

讓補丁更新更聰明

大家都知道，及時進行補丁升級、堵住安全漏洞，可以有效預防各種非法漏洞攻擊。但在實際工作過程中，很多終端用戶常常忘記去更新升級漏洞補丁，我們必須對癥下藥，讓安全漏洞補丁更新吃上“聰明藥”，才能更好地進行漏洞安全防護。

圖1 指定運行時間

在內網或外網部署有WSUS服務器的情況下，為了能讓終端計算機聰明地從WSUS服務器那里自動獲取補丁更新，我們必須進行如下設置操作：首先開啟系統自動更新功能。只要依次點擊“開始”、“控制面板”命令，進入系統控制面板窗口，雙擊其中的“Windows Update”圖標，點擊“更改設置”按鈕，彈出如圖1所示的設置窗口。在“自動安裝更新”設置項處，指定好系統在線更新功能的運行時間，確保該時間與實際工作時間錯開，同時選中“下載更新，但是讓我選擇是否安裝更新”選項，確認后保存設置操作即可。當然，也可以通過配置組策略方式，讓下載后的補丁程序自動進行安裝操作，只要依次單擊“開始”、“運行”命令，彈出系統運行對話框，輸入“gpedit.msc”命令并回車，展開系統組策略編輯窗口。在該窗口左側列表中，將鼠標定位到“本地計算機策略”、“計算機配置”、“管理模板”、“Windows組件”、“Windows Update”節點上，雙擊該節點下的“配置自動更新”選項，切換到如圖2所示的選項設置對話框，在這里將自動更新類型選擇為“自動下載并計劃安裝”選項，同時設置好計劃安裝的時間，確定后退出設置對話框。

圖2 選擇自動更新類型

其次，指定好Intranet Microsoft更新服務位置。當希望終端計算機聰明地從內網的特定WSUS服務器獲取補丁更新時，必須將鼠標定位到系統組策略編輯界面的“本地計算機策略”、“計算機配置”、“管理模板”、“Windows組件”、“Windows Update” 節點上，雙擊該節點下的“指定Intranet Microsoft更新服務位置”選項，打開如圖3所示的選項設置對話框，選中“已啟用”選項，同時在“檢測更新設置 Intranet更新服務”、“設置Intranet統計服務器”文本框中，輸入“http://xxx.xxx.xxx.xxx”（這里的“xxx.xxx.xxx.xxx”為內網中的WSUS服務器地址），確認后退出設置對話框即可。值得注意的是，如果在安裝WSUS服務器時，選用了Windows Server Update Services 3.0 SP1網站，那這里就需要輸入“http://xxx.xxx.xxx.xxx:8530”了。

圖3 選中“已啟用”選項

完成上述操作后，組策略設置還沒有立即生效，因為終端計算機系統默認每隔90分鐘，才刷新一次組策略配置，刷新時間或許會隨機偏移0到30分鐘。要想讓終端系統快速地刷新組策略設置，我們可以在系統運行對話框中，執行字符串命令“gpupdate /force”或“secedit/refreshpolicy”。 組策略配置生效后，終端計算機系統默認會在20分鐘后，才能掃描到WSUS服務器上的可用補丁程序，只有當終端系統與WSUS服務器進行連接后，該終端才會顯示在WSUS服務器管理控制臺上。如果不希望等待20分鐘，而是立即連接WSUS服務器時，可以在系統運行對話框中，執行字符串命令“wuauclt.exe/detectnow”，來進行手工啟用掃描連接。

讓登錄監控更聰明

在公共場合下，加強系統的登錄監控操作，可以防止不法分子破壞局域網中的重要主機系統。為了讓登錄監控更聰明，在Vista以上版本系統中，可以通過Windows系統內置的登錄監控功能，來自動監控用戶登錄系統的狀態，監控結果會在下次成功登錄系統的時候智能顯示在系統桌面上，到那時就可以直觀地了解到究竟有哪些用戶悄悄登錄過重要主機系統了。

在進行具體登錄監控操作時，可以依次點擊“開始”、“運行”命令，展開系統運行對話框，在其中執行“gpedit.msc”命令，彈出系統組策略編輯窗口。在該窗口左側列表中，逐一展開“本地計算機策略”、“計算機配置”、“管理模板”、“Windows 組 件”、“Windows登錄選項”節點，找到指定節點下的“在用戶登錄期間顯示有關以前登錄的信息”系統組策略，同時用鼠標雙擊該選項，彈出如圖4所示的組策略屬性對話框。

圖4 組策略屬性對話框

缺省狀態下，系統登錄監控功能選項并沒有被選中啟用，這個時候，我們必須重新選中“已啟動”選項，確認后退出設置對話框，這樣，重要主機系統就支持監控登錄功能了。日后有不法分子趁我們不在重要主機現場偷偷進行系統登錄操作時，這個登錄操作就會被Windows系統自動監控保存下來。

在我們下次登錄系統時，上次的監控內容就會自動出現在我們眼前，從中可以查看到不法分子的登錄賬號名稱、登錄時間等，依照這些監控結果，就能對不法分子的賬號進行刪除或停用，以確保系統始終能夠安全工作。

圖5 安全策略對話框

讓賬號追蹤更聰明

有一些黑客或木馬程序，為了達到偷偷攻擊他人的目的，常常會在被攻擊系統中偷偷生成一個陌生賬號，并以此對目標主機進行監控和控制。為了防止這種安全事故發生，我們需要想方設法，及時追蹤到系統帳號的變化狀態，以便能夠在第一時間發現并刪除陌生賬號，讓黑客或木馬無法通過它發動惡意攻擊。

要達到上述控制目的，我們不妨利用系統賬號的審核功能，以及針對特定系統事件的附加任務功能，讓賬號追蹤操作變得更聰明，日后當賬號出現異常變化時，我們能在第一時間接受到報警提示，下面就是具體的實現步驟：

首先開啟賬號的審核功能。逐一點擊“開始”、“運行”命令，展開系統運行對話框，輸入“secpol.msc”命令并回車，彈出系統安全策略編輯界面。在該界面左側列表中，依次展開“安全設置”、“本地策略”、“審核策略”節點，找到該節點下的“審核賬戶管理”選項并用鼠標雙擊之，切換到如圖5所示的安全策略對話框，選中“成功”、“失敗”選項，單擊“確定”按鈕保存設置操作。這樣，黑客或木馬程序日后企圖在本地系統生成陌生賬號時，無論帳號創建操作是否成功，其操作痕跡都能被追蹤、記憶下來。

其次手工生成賬號創建事件。逐一選擇“開始”、“設置”、“控制面板”命令，雙擊系統控制面板中的“用戶賬戶”圖標，進入用戶賬戶列表界面，用鼠標右鍵單擊空白位置，單擊右鍵菜單中的“新用戶”命令，隨意創建一個賬號名稱。切換到系統桌面上，用鼠標右鍵單擊“我的電腦”或“計算機”圖標，點擊右鍵菜單中的“管理”命令，展開計算機管理窗口，依次跳轉到“系統工具”、“事件查看 器”、“Windows 日 志”、“系統”節點上，在指定節點下就能發現剛才的賬號創建事件了。針對該事件選項，我們可以附加報警任務，以便將系統賬號的變化狀態第一時間報告給管理員或計算機主人。

最后在賬號創建事件上添加報警任務。選中發現到的賬號創建事件選項，并用鼠標右鍵單擊之，點擊右鍵菜單中的“附加任務到事件”命令，展開添加報警任務對話框，依照向導對話的提示，先設置好報警任務名稱，同時指定好特定的報警提示方式，Windows系統在缺省狀態下，為用戶提供了三種報警方式，一是自動發出報警提示消息，二是自動發送電子郵件，三是自動運行指定應用程序。為了讓追蹤效果更直觀，不妨選中發出報警消息方式，來實現追蹤報警目的。在選用了“顯示消息”選項后，依照提示定義好報警消息內容，例如可以將報警提示消息輸入為“系統賬號狀態有異常，請及時查看”，最后按下“完成”按鈕，退出報警任務添加向導對話框。

經過上述設置操作后，賬號追蹤就會變得更聰明了，一旦有黑客或木馬程序偷偷在系統后臺生成陌生賬號時，系統帳號的異常變化狀態會被自動追蹤捕捉到，同時生成相關日志事件，這時附加在對應事件上的報警任務會立即啟動運行，到時我們就可以從系統屏幕上看到“系統賬號狀態有異常，請及時查看”之類的報警提示消息，依照該提示消息我們必須立即采取安全措施進行預防，確保系統不會受到黑客或木馬的非法攻擊。

圖6 編輯對話框

讓加密屏保更聰明

如果終端計算機系統正在啟動過程中，計算機主人這時有急事突然離開現場，而系統又支持自動登錄功能時，那么不法分子就有機會偷偷訪問系統中的隱私數據，或進行其他一些破壞操作。為了避免類似這樣的安全隱患發生，我們可以想辦法讓Windows系統在成功完成登錄操作后，聰明地啟用屏幕密碼保護功能，讓不法分子無機可趁。

首先逐一點擊“開始”、“運行”選項，展開系統運行對話框，在其中執行“regedit”命令，開啟系統注冊表編輯器運行狀態。從注冊表編輯界面左側顯示窗口中，找到“HKEY_CURRENT_USERControl Paneldesktop”注冊表節點選項。看看該節點下有沒有“ScreenSaveActive”字 符 串鍵值，要是無法找到該鍵值時，不妨用鼠標右擊指定節點選項，逐一選擇快捷菜單中的“新建”、“字符串值”命令，將新建鍵值名稱設置為“ScreenSaveActive”，再用鼠標雙擊該鍵值，切換到如圖6所示的編輯對話框，在其中輸入“1”，確認后退出設置對話框，這樣系統屏幕保護功能就會被啟用。

再次用鼠標右鍵單擊“HKEY_CURRENT_USERControl Paneldesktop”注冊表節點選項，從彈出的右鍵菜單中逐一點擊“新建”、“字符串值”命令，將新建鍵值名稱設置為“ScreenSaverlsSecure”，之后進入該鍵值編輯對話框，輸入數字“1”，確認后Windows系統就會被強制啟用密碼保護功能了。

結束上述設置操作后，重新啟動Windows系統，在登錄成功后的一分鐘內，要是沒有對系統進行任何操作，密碼保護的屏幕保護程序會被自動啟動，那么，不法分子在不知道密碼的情況下將無法登錄到系統進行破壞或偷窺操作。