摘要：本文主要對以下部分對操作系統(tǒng)的選擇；帳戶、口令與身份鑒別；計算機防病毒軟件和防火墻的安裝使用；關(guān)閉多余端口、共享與服務(wù)；關(guān)閉IE瀏覽器自動完成功能；本地安全策略設(shè)置等，作研究和探討。

關(guān)鍵詞：局域網(wǎng) 計算機 安全防護

隨著信息化、網(wǎng)絡(luò)化、辦公自動化的迅速發(fā)展，網(wǎng)絡(luò)負載的數(shù)據(jù)量與日俱增，終端承載的業(yè)務(wù)日益龐大復(fù)雜，各種應(yīng)用服務(wù)對網(wǎng)絡(luò)和終端的管理要求越來越高。例如，局域網(wǎng)的安全問題，就經(jīng)常是面對來自Internet的攻擊。因此，要時刻防范這些惡意攻擊，關(guān)注局域網(wǎng)的計算機系統(tǒng)安全。只有做到由內(nèi)至外整體統(tǒng)一的管理防護體系，才能保證業(yè)務(wù)不間斷的運轉(zhuǎn)。以下部分對操作系統(tǒng)的選擇；帳戶、口令與身份鑒別；計算機防病毒軟件和防火墻的安裝使用；關(guān)閉多余端口、共享與服務(wù)；關(guān)閉IE瀏覽器自動完成功能；本地安全策略設(shè)置等，作研究和探討。

1 操作系統(tǒng)的選擇

目前國內(nèi)研發(fā)的操作系統(tǒng)還沒有達到成熟，所以大多數(shù)人還是使用微軟的XP系統(tǒng)。而大家都知道XP系統(tǒng)會有很多的漏洞，這就給不法分子提供了很多的途徑來攻擊安裝了XP系統(tǒng)的計算機。為了避免更多的危險，選擇系統(tǒng)時要盡量選擇原版正版的系統(tǒng)，最好不要選擇比如HOME版的。當然，不管什么系統(tǒng)都要按時安裝系統(tǒng)漏洞補丁，養(yǎng)成良好的習慣是避免計算機遭受攻擊和入侵的開始。

2 帳戶、口令與身份鑒別

一般的系統(tǒng)都會自帶多個系統(tǒng)帳戶，比如test，HelpAssistant等用戶，當然安裝一些應(yīng)用軟件的時候也會自帶一些用戶，比如安裝ASP.NET的時候就會多出一個名為Asp.net的用戶來。無論有多少個用戶存在，都要刪除多余的帳戶，只留一個系統(tǒng)自帶的管理員帳戶，無法刪除的帳戶也必須要禁用，比如Guest帳戶就無法刪除，但要禁用。最后要取消所有用戶的“密碼永不過期”選項，如圖1所示：

當確定好帳戶以后還要進行口令的設(shè)置。在設(shè)置系統(tǒng)帳戶口令之前還可以對本地安全設(shè)置里的帳戶策略進行設(shè)置，其中包括密碼策略和帳戶鎖定策略。通過對密碼策略的設(shè)置可以讓密碼的復(fù)雜度增加，必須要求密碼要滿足數(shù)字、字母和特殊字符三種字符相結(jié)合。設(shè)定密碼的最少位數(shù)，比如10位，加強了密碼的安全性，更加不易被攻擊者破譯，從而增強了計算機的防護能力。如圖2、圖3所示：

如果只靠系統(tǒng)自身的帳戶、密碼還不能滿足你的要求的話，還可以通過安裝第三方身份鑒別軟件進行防護。比如衛(wèi)士通的USBKey身份登錄鑒別終端軟件，就是一款比較強大的系統(tǒng)登錄身份鑒別防護軟件。

在系統(tǒng)登錄之前其實還有一道安全防線，就是俗稱的“開機密碼”，也就是BIOS密碼，它是存在于計算機主板芯片內(nèi)的，開機時可以啟動，當設(shè)置了開機密碼，以后每次開機都會要先輸入一道密碼才能進入系統(tǒng)登錄界面。還可以同時設(shè)置BIOS管理員密碼，可以防止非法修改用戶的開機密碼。

設(shè)置好以上密碼后，開啟屏幕保護程序，時間不超過10分鐘，能夠防止計算機管理員用戶不在時，別人能夠使用計算機，以竊取他人私密信息。如圖4所示：

3計算機防病毒軟件和防火墻的安裝使用

在計算機病毒肆意橫行的當今社會，一臺完好的計算計，必須要安裝一個良好的防病毒軟件和有力的防火墻。

計算機病毒一直是計算機安全的主要威脅。能在Internet上傳播的新型病毒，例如通過E-Mail傳播的病毒，增加了這種威脅的程度。病毒的種類和傳染方式也在增加，國際空間的病毒總數(shù)已達上萬甚至更多。當然，查看文檔、瀏覽圖像或在Web上填表都不用擔心病毒感染，然而，下載可執(zhí)行文件和接收來歷不明的E-Mail文件需要特別警惕，否則很容易使系統(tǒng)導(dǎo)致嚴重的破壞。典型的“CIH”病毒就是一可怕的例子。

為了防止病毒、木馬入侵計算機，及時更新病毒庫，正確設(shè)置好防火墻策略，并定時全盤查殺，才能更好的預(yù)防攻擊者的攻擊與入侵。

4 關(guān)閉多余端口、共享與服務(wù)

一般情況下，在用戶安裝好系統(tǒng)以后，系統(tǒng)會自帶很多共享與服務(wù)，同時也會自動打開很多默認端口。如果我們在不知情的情況下，這是很危險的。這些共享、服務(wù)和端口將成為黑客們攻擊計算機，入侵計算機的良好途徑。

因為系統(tǒng)默認的共享都是基于SERVER服務(wù)開啟的情況下的，所以只要我們把SERVER服務(wù)關(guān)閉，就可以關(guān)閉系統(tǒng)的默認共享了。從本地服務(wù)里找到server這一項，右擊選擇屬性，把啟動類型改成“已禁用”，如圖5所示：

除了這些還有一些共享也是要關(guān)閉的，比如在本地連接屬性里的“Microsoft網(wǎng)絡(luò)的文件和打印機共享”。

另外介紹兩種手動關(guān)閉共享的方法。第一種，打開注冊項“HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters”，找到“AutoShareServer”修改它的值為“0”；第二種方法是編寫一個“.bat”文件，把它加載到開機啟動項里，每次開機時先執(zhí)行關(guān)閉共享的“bat”文件，同樣可以起到關(guān)閉共享的作用。具體內(nèi)容如下:

Net share c$ /delete

Net share d$ /delete

Net share e$ /delete

把上面內(nèi)容復(fù)制到txt文件中，修改文件名稱后綴為bat即可。

如果有些端口是想要留下來的，那么你可以通過TCP端口和UDP端口的賽選進行計算機的端口控制。具體方法如下：

打開“本地連接”，選擇“屬性”，雙擊“Internet協(xié)議（TCP/IP）”，選擇“高級”。在“高級TCP/IP設(shè)置”選項卡里選擇“選項”一欄，點擊“屬性”，就可以對TCP端口和UDP端口進行賽選了。如圖6所示：

除了上述關(guān)閉端口方法外，你可以手動關(guān)閉一些計算機端口。首先可以用命令“netstat an”來查看你的計算機都開啟了哪些端口，然后編寫一個bat文件，內(nèi)容如下：

Ipseccmd w REG p “HFUT_SECU”r“Block TCP/端口號”f

*+0:端口號:TCP n Block x >nul

需要關(guān)閉多少端口添加相應(yīng)的命令就可以了。

除了多余的端口和共享要關(guān)閉外，多余的服務(wù)也是要禁用的，因為這些服務(wù)可能也會給那些攻擊者提供途徑，一般情況下用戶是用不到這些服務(wù)的。下面列出一些多余的服務(wù)，讀者可以參考。

DHCP Client，F(xiàn)ax Service，Messenger，Telnet，Workstation，Wireless Zero Configuration，Telephony等等。

5 關(guān)閉IE瀏覽器自動完成功能

打開IE瀏覽器任務(wù)欄里“工具”→“Internet選項”→“內(nèi)容”→“自動完成”。

把“提示我保存密碼”和“表單上的用戶名和密碼”兩項勾去掉。這樣就可以保證用戶在使用IE瀏覽器登錄應(yīng)用系統(tǒng)時用戶名和密碼不被記錄了，可以有效地防止攻擊者竊取用戶的帳戶相關(guān)信息。如圖7所示：

6 本地安全策略設(shè)置

上面簡單提出了用戶密碼安全設(shè)置的方法和步驟，現(xiàn)在來說說本地策略的基本設(shè)置。首先，“審核策略”中所有策略對應(yīng)的“安全設(shè)置”都設(shè)置成“成功，失敗”，這樣無論審核成功還是失敗就可以記錄相關(guān)審核信息，給計算機用戶維護計算機，管理計算機帶來一些重要的信息。還能夠及時發(fā)現(xiàn)一些非常規(guī)或不明應(yīng)用程序的運行。設(shè)置如圖8所示：

“安全選項”設(shè)置中也有很多地方要注意的，設(shè)置好這些策略，能夠更好的防護你的計算機。如，停用“交互式登錄：不顯示上次登錄的用戶名”，設(shè)置用戶登錄密碼修改提示，啟用“審計：如無法紀錄安全審計則立即關(guān)閉系統(tǒng)”，刪除“網(wǎng)絡(luò)訪問：可匿名訪問的共享”和“網(wǎng)絡(luò)訪問：可匿名訪問的注冊表路徑”中的所有表項。

7 結(jié)束語

大多數(shù)網(wǎng)絡(luò)安全事件都是先由局域網(wǎng)傳播的，后影響到網(wǎng)關(guān)，然后影響到網(wǎng)絡(luò)終端計算機，為此，要根據(jù)實際情況，進一步作好局域網(wǎng)計算機終端安全防護策略。首先，對局域網(wǎng)終端機進行全面的安全檢測，包括對操作系統(tǒng)以及系統(tǒng)軟件的漏洞、病毒、木馬和蠕蟲、流氓軟件等的檢測，找出系統(tǒng)的安全隱患，分析并提出系統(tǒng)安全報告；其次，針對檢測發(fā)現(xiàn)的系統(tǒng)安全隱患，對終端主機進行修復(fù)，消除主機系統(tǒng)存在的安全隱患；三是通過下發(fā)安全策略實時監(jiān)控主機和網(wǎng)絡(luò)運行的狀態(tài)，對侵入終端的病毒和木馬等有害進程及時報警，并采取隔離清除等技術(shù)手段防止進一步擴散。