預(yù)防訪問不明軟件

在使用Windows系統(tǒng)自帶IE瀏覽器上網(wǎng)訪問網(wǎng)頁(yè)時(shí)，我們有時(shí)會(huì)看到這樣的提示信息:某個(gè)腳本程序正在系統(tǒng)后臺(tái)悄悄訪問當(dāng)前網(wǎng)頁(yè)背后的不明軟件，如果不明軟件已經(jīng)被標(biāo)注為安全腳本頁(yè)面，那倒沒什么問題，但如果不明軟件屬于惡意程序，那這會(huì)給本地系統(tǒng)的運(yùn)行帶來安全威脅。

為了預(yù)防IE瀏覽器訪問到包含惡意攻擊的不明軟件，我們可以對(duì)IE瀏覽器進(jìn)行如下設(shè)置，限制其訪問那些沒有標(biāo)記為可安全執(zhí)行腳本的網(wǎng)頁(yè)內(nèi)容:首先打開IE瀏覽器窗口，依次點(diǎn)擊“工具”、“Internet選項(xiàng)”命令，彈出Internet選項(xiàng)設(shè)置對(duì)話框，點(diǎn)擊“安全”標(biāo)簽，在對(duì)應(yīng)標(biāo)簽頁(yè)面的“ActiveX控件自動(dòng)提示”位置處，選擇“禁用”選項(xiàng)。

接著在“ActiveX控件和插件”位置處，將“對(duì)標(biāo)記為可安全執(zhí)行腳本的ActiveX控件”選項(xiàng)設(shè)置為“啟用”（如圖1所示），將“對(duì)未標(biāo)記為可安全執(zhí)行腳本的ActiveX控件”設(shè)置為“禁用”，單擊“確定”按鈕保存設(shè)置操作。這樣，IE瀏覽器日后就不會(huì)輕易訪問潛藏在網(wǎng)頁(yè)背后的不明軟件了。

圖1 將選項(xiàng)設(shè)置為啟用

預(yù)防不明用戶連接

為了預(yù)防局域網(wǎng)中的不明用戶遠(yuǎn)程連接本地服務(wù)器系統(tǒng)，我們可以加強(qiáng)對(duì)遠(yuǎn)程桌面連接用戶的身份進(jìn)行審核，以便將不明用戶阻擋在外。在對(duì)不明用戶身份進(jìn)行審核時(shí)，不妨嘗試通過“SecureRDP”外力工具，來過濾各種形式的遠(yuǎn)程用戶連接，包括進(jìn)行主機(jī)名稱過濾、客戶端版本過濾、連接時(shí)間過濾、IP地址過濾、網(wǎng)卡物理地址過濾等操作，經(jīng)過不同層次的過濾后，那些不明用戶將會(huì)無法實(shí)施遠(yuǎn)程攻擊，那么服務(wù)器系統(tǒng)的安全性就能得到保證了。

在使用“SecureRDP”工具預(yù)防不明用戶連接時(shí)，先將該工具下載安裝到本地服務(wù)器系統(tǒng)中，并開啟它的運(yùn)行狀態(tài)，彈出主程序窗口，選擇“Logon Filters”面板中的“IP Address”選項(xiàng)卡，在對(duì)應(yīng)選項(xiàng)設(shè)置頁(yè)面中，將“Enable IP Address Filter”選中，成功激活“SecureRDP”工具內(nèi)置的IP地址過濾功能。點(diǎn)擊“Add”按鈕，進(jìn)入地址過濾添加框，將“Logon Disabled”選中，輸入不明用戶的計(jì)算機(jī)IP地址。再選中“Logon enabled”選項(xiàng)，將合法用戶使用的計(jì)算機(jī)IP地址輸入進(jìn)來，要是合法用戶的計(jì)算機(jī)IP地址位于同一個(gè)工作子網(wǎng)，只要在“From”、“To”位置處分別輸入指定子網(wǎng)的開始結(jié)束地址，要想輸入單臺(tái)計(jì)算機(jī)IP地址時(shí)，可以在“From”位置處輸入特定IP地址，在“To”位置處不輸入任何內(nèi)容即可。這樣，“SecureRDP”工具日后就能對(duì)遠(yuǎn)程連接用戶的IP地址進(jìn)行過濾了。

圖2 過濾遠(yuǎn)程連接用戶主機(jī)名稱

圖3 返回的結(jié)果信息

要過濾遠(yuǎn)程連接用戶的主機(jī)名稱時(shí)，只要切換到“Logon Filters”面 板 的“Computer Name”選項(xiàng)設(shè)置頁(yè)面，將“Enable computer name Filter”選中（如圖2所示），成功激活“SecureRDP”工具內(nèi)置的主機(jī)名稱過濾功能。接著按下“Add”按鈕，彈出計(jì)算機(jī)過濾設(shè)置框，輸入不明用戶所使用的計(jì)算機(jī)名稱即可。值得注意的是，“SecureRDP”工具允許使用通配符功能來進(jìn)行過濾主機(jī)操作，合理利用這項(xiàng)功能可以靈活定制過濾范圍，改善主機(jī)過濾效率，預(yù)防不明用戶隨意與服務(wù)器系統(tǒng)建立遠(yuǎn)程桌面連接。

對(duì)允許遠(yuǎn)程連接的用戶來說，我們還可以使用時(shí)間過濾功能，限制它們的操作時(shí)間，以保證服務(wù)器系統(tǒng)始終高效運(yùn)行。在主程序界面的“Logon Filters”面板中，點(diǎn)擊“Time Restriction”選項(xiàng)卡，選中該選項(xiàng)設(shè)置頁(yè)面中的“Enable Time Restriction Filter”選項(xiàng)，啟用時(shí)間限制功能，同時(shí)定義好合適的遠(yuǎn)程桌面連接時(shí)間。如果允許合法用戶任何時(shí)間都能進(jìn)行遠(yuǎn)程連接時(shí)，可以將“All day”選中，要設(shè)置特定的遠(yuǎn)程連接時(shí)間時(shí)，只要先選中“Between x and x”選項(xiàng)，再定義好正確的時(shí)間范圍即可。經(jīng)過上述設(shè)置操作后，依次點(diǎn)擊“SecureRDP”操作 界 面 中 的“file”、“Apply Configuration”命令，讓上述設(shè)置參數(shù)立即生效。

預(yù)防不明會(huì)話連接

有的時(shí)候，我們會(huì)發(fā)現(xiàn)服務(wù)器系統(tǒng)的運(yùn)行速度突然變慢，在排除手工運(yùn)行程序等因素外，遇到這類問題，很可能是服務(wù)器系統(tǒng)正在遭受不明會(huì)話連接。為了預(yù)防這種不明會(huì)話連接繼續(xù)威脅服務(wù)器系統(tǒng)的穩(wěn)定運(yùn)行，我們可以利用Windows系統(tǒng)內(nèi)置的“net session”命令，切斷已經(jīng)存在的不明會(huì)話連接。

在切斷不明會(huì)話連接之前，要先查看一下本地系統(tǒng)的會(huì)話狀態(tài)。依次點(diǎn)擊“開始”、“運(yùn)行”選項(xiàng)，彈出系統(tǒng)運(yùn)行文本框，輸入“cmd”命令并回車，打開MS-DOS工作窗口。在該窗口命令提示符下，執(zhí)行“net session”命令，從返回的結(jié)果信息中（如圖3所示），可以一目了然地看到本地系統(tǒng)的會(huì)話連接狀態(tài)。當(dāng)發(fā)現(xiàn)有不明會(huì)話連接時(shí)，可以使用“net session”命令的“/delete”參數(shù)，強(qiáng)行斷開自己不熟悉的會(huì)話連接，以避免該系統(tǒng)遭遇惡意攻擊。

例如，當(dāng)看到一臺(tái)計(jì)算機(jī)名稱為“abc”的陌生計(jì)算機(jī)與本地建立會(huì)話時(shí)，為了預(yù)防它影響系統(tǒng)運(yùn)行安全，可以通過“net session \abc /delete”命令，強(qiáng)制切斷“abc”計(jì)算機(jī)的會(huì)話連接，同時(shí)關(guān)閉由該會(huì)話打開的數(shù)據(jù)文件。值得注意的是，要是上述命令沒有指定計(jì)算機(jī)名稱，直接執(zhí)行字符串命令“net session /delete”時(shí)，那么與本地計(jì)算機(jī)建立的所有會(huì)話都會(huì)被強(qiáng)行斷開。當(dāng)然，在使用“net session”命令斷開特定會(huì)話連接前，建議用戶要保持慎重，因?yàn)檫@項(xiàng)操作容易帶來數(shù)據(jù)丟失風(fēng)險(xiǎn)。

圖4 篩選設(shè)置框

圖5 選中“已啟用”選項(xiàng)

預(yù)防不明網(wǎng)站攻擊

在上網(wǎng)瀏覽網(wǎng)頁(yè)的時(shí)候，經(jīng)常會(huì)誤入一些不明網(wǎng)站，潛藏在該網(wǎng)站背后的病毒、木馬程序，可能會(huì)在悄無聲息中對(duì)本地系統(tǒng)發(fā)動(dòng)攻擊。為了預(yù)防不明網(wǎng)站攻擊，我們可以巧妙利用IE瀏覽器自帶的SmartScreen篩選器功能，智能審核當(dāng)前正在訪問的陌生網(wǎng)站是否安全。

當(dāng)成功啟用SmartScreen篩選器功能后，它會(huì)智能判斷當(dāng)前正在訪問網(wǎng)頁(yè)有沒有可疑行為，如果探測(cè)到不明網(wǎng)站會(huì)產(chǎn)生一些危險(xiǎn)操作，例如，自動(dòng)執(zhí)行下載安裝操作，或悄悄竊取用戶上網(wǎng)隱私，SmartScreen篩選器功能會(huì)自動(dòng)發(fā)出警報(bào)，提示用戶小心操作。而且，該功能還會(huì)根據(jù)已經(jīng)生成的惡意網(wǎng)站黑名單，判斷當(dāng)前正在訪問網(wǎng)站和下載文件是否在列表中，一旦匹配的話，它會(huì)智能顯示紅色警告，告訴用戶為了安全起見已攔截該網(wǎng)站。

一旦看到IE瀏覽器的SmartScreen篩選器功能被停用時(shí)，不妨手工啟用它，來預(yù)防不明網(wǎng)站攻擊。只要先啟動(dòng)IE瀏覽程序，逐一選擇“工具”、“SmartScreen篩選器”、“啟用SmartScreen篩選器”選項(xiàng)，就能成功開啟篩選檢查功能。當(dāng)該功能已被運(yùn)行時(shí)，選擇IE瀏覽器工具菜單項(xiàng)中的“關(guān)閉SmartScreen篩選器”命令，進(jìn)入如圖4所的篩選設(shè)置框。在這里可以將不明站點(diǎn)手工提交到惡意網(wǎng)站列表中，等Microsoft公司審核確認(rèn)后，其他用戶再次訪問相同的不明站點(diǎn)時(shí)，SmartScreen功能將會(huì)智能提醒用戶。逐一選擇“工具”、“SmartScreen 篩 選 器”、“報(bào)告不安全網(wǎng)站”選項(xiàng)，在其后界面中能看到SmartScreen篩選器的網(wǎng)站報(bào)告信息。

預(yù)防下載不明程序

一些身份不明的程序，有時(shí)不經(jīng)過用戶的同意，會(huì)自動(dòng)利用系統(tǒng)的一些漏洞，下載保存到本地計(jì)算機(jī)硬盤中。為了預(yù)防不明程序的下載安全威脅，我們不妨采取下面的措施，堵住一切可能引起自動(dòng)下載的安全漏洞:

首先培養(yǎng)自己到合法站點(diǎn)下載的習(xí)慣。所謂合法站點(diǎn)，主要包括政府機(jī)關(guān)、企事業(yè)單位的官方站點(diǎn)，或者市面上一些知名度較高的站點(diǎn)，這些站點(diǎn)背后潛藏有不明程序的可能性不大，最多也就是多一些讓人討厭的廣告或宣傳畫面，不過它們幾乎不會(huì)出現(xiàn)自動(dòng)下載的現(xiàn)象。其次關(guān)閉瀏覽器的自動(dòng)下載功能。例如，在使用IE瀏覽器瀏覽站點(diǎn)時(shí)，只要逐一點(diǎn)擊“工具”、“Internet選項(xiàng)”命令，切換到Internet選項(xiàng)設(shè)置對(duì)話框，點(diǎn)選“安全”選項(xiàng)卡，在對(duì)應(yīng)選項(xiàng)設(shè)置頁(yè)面中單擊“自定義級(jí)別”按鈕，彈出自定義安全設(shè)置頁(yè)面。將“文件下載”選擇為“禁用”，單擊“確定”按鈕退出設(shè)置對(duì)話框，就能限制不明程序的自動(dòng)下載操作。

在同時(shí)安裝有多個(gè)不同類型瀏覽器的情況下，可以嘗試關(guān)閉瀏覽器下載進(jìn)程，來堵住自動(dòng)下載漏洞。依次點(diǎn)擊“開始”、“運(yùn)行”命令，展開系統(tǒng)運(yùn)行對(duì)話框，輸入“gpedit.msc”命令并回車，打開組策略編輯窗口。在該編輯窗口左側(cè)列表中，逐一點(diǎn)擊“本地計(jì)算機(jī)策略”、“計(jì)算機(jī)配置”、“管理 模 板”、“Windows組 件”、“Internet Explorer”、“安全功能”、“限制文件下載”分支選項(xiàng)，找到“所有進(jìn)程”組策略，用鼠標(biāo)雙擊之，選中其后界面中的“已啟用”選項(xiàng)（如圖5所示），確認(rèn)后返回即可。