企業終端安全防御的十大最佳實踐
- 時間:2014-07-31
- 來源:
遠光軟件(來源:TechTarget中國 作者:佚名)
在移動互聯時代,“云+端”的安全管控已成為業界的熱點和重點。在終端這塊,PC終端的安全管理仍然不可忽視,否則極易成為安全的“重災區”,因為只需要一個不小心的終端用戶便可以感染整個網絡。
如果你是系統管理員,很顯然,所有的善意和友好通訊將無法保證計算機安全在一個合理的級別上。在最開始,你必須在阻止臺式機感染惡意移動代碼、關閉漏洞并確保用戶的計算機配置正確。如果他們無法點擊惡意軟件運行,或者允許它存在電腦上,那么你已經顯著降低了惡意攻擊的威脅。許多措施可以盡量減少攻擊成功的風險,例如保護物理環境、強化操作系統保持補丁更新、使用防病毒掃描程序等,本文將給出終端安全防御的十大最佳實踐,希望大家馬上行動,保護好你的終端。
1、保證安全的物理環境
物理方面是任何計算機安全計劃的一個基本組成部分。當然,關鍵任務服務器應該被保護在一扇緊鎖的門后,但常規的電腦也需要物理保護。根據你的環境,個人電腦和筆記本電腦可能需要固定在桌子上。有幾種不同類型的鎖定裝置,從薄橡皮電線到定制的環繞一臺電腦的硬化金屬外套。如果有人晚上把他們的筆記本放在辦公桌上,它應該是安全的。在你的環境中,還有其他步驟可以用在每臺電腦上。
2、密碼保護啟動
考慮在操作系統加載之前需要一個開機口令。這通常可以在CMOS/BIOS中設置并被稱為用戶或開機口令。這對便攜式電腦,如筆記本電腦、平板電腦和智能手機尤其重要。小型個人電腦最有可能被竊取。由于大多數便攜式設備通常包括個人或機密信息,啟動順序中的密碼保護可能會讓一個非技術性的小偷無法輕易看到硬盤或存儲RAM上的數據。如果啟動口令在平板電腦或智能手機上被重置,通常要求刪除數據,所以保密性和隱私是有保障的。
3、密碼保護CMOS
一臺計算機的CMOS/BIOS設置中包含了許多潛在的安全設置,如啟動順序、遠程喚醒,防病毒引導扇區保護。確保未經授權的用戶無法訪問的CMOS/BIOS設置是非常重要的。大多數CMOS/BIOS都允許你設置一個密碼,以防止未經授權的更改。密碼應該不同其他管理密碼,但為了簡單起見,所有機器可用同一密碼。
有些方法可以繞過CMOS/BIOS和啟動密碼。通過使用從主板制造商獲得的特殊的引導軟盤或通過改變主板上的跳線設置來繞過某些啟動密碼。雖然他們不是100%可靠,一個CMOS / BIOS或啟動密碼可能會阻止一些攻擊發生。例如,灰帽子攻擊者(可信的會議主持人)過度供應給保安蘇打水,他的物理攻擊成功了,因為他可以潛入無人看守的房間,將軟盤放入驅動器中,并重新啟動服務器。如果曾經在CMOS/BIOS和引導順序密碼保護中禁用了軟盤驅動器,那么他的攻擊很可能不會成功。
各個操作系統的引導加載程序,例如Linux的LILO,允許設置啟動密碼。當然,這無法阻止某人從具有類似文件系統的另一個硬盤引導和接管機器。這就是為什么接下來的步驟非常重要。
4、禁止USB和CD引導
禁止從USB存儲設備和光盤驅動器引導啟動可以防止從這些設備上感染引導區病毒,并且阻止攻擊者通過在計算機上加載一個不同的操作系統來繞過操作系統安全。
5、加固操作系統
通過刪除不必要的軟件,禁用不需要的服務,并鎖定訪問減少操作系統的攻擊面:
通過關閉不需要的服務減少系統的攻擊面。
安裝安全軟件。
安全配置軟件設置。
定期并迅速更新系統補丁。
將網絡隔離到可信區域并且基于系統的通信需求和互聯網公開度將系統放置到這些區域。
加強認證過程。
限制管理員的數量(和特權)