讓補丁更新更聰明

大家都知道，及時進行補丁升級、堵住安全漏洞，可以有效預(yù)防各種非法漏洞攻擊。但在實際工作過程中，很多終端用戶常常忘記去更新升級漏洞補丁，我們必須對癥下藥，讓安全漏洞補丁更新吃上“聰明藥”，才能更好地進行漏洞安全防護。

圖1 指定運行時間

在內(nèi)網(wǎng)或外網(wǎng)部署有WSUS服務(wù)器的情況下，為了能讓終端計算機聰明地從WSUS服務(wù)器那里自動獲取補丁更新，我們必須進行如下設(shè)置操作：首先開啟系統(tǒng)自動更新功能。只要依次點擊“開始”、“控制面板”命令，進入系統(tǒng)控制面板窗口，雙擊其中的“Windows Update”圖標(biāo)，點擊“更改設(shè)置”按鈕，彈出如圖1所示的設(shè)置窗口。在“自動安裝更新”設(shè)置項處，指定好系統(tǒng)在線更新功能的運行時間，確保該時間與實際工作時間錯開，同時選中“下載更新，但是讓我選擇是否安裝更新”選項，確認(rèn)后保存設(shè)置操作即可。當(dāng)然，也可以通過配置組策略方式，讓下載后的補丁程序自動進行安裝操作，只要依次單擊“開始”、“運行”命令，彈出系統(tǒng)運行對話框，輸入“gpedit.msc”命令并回車，展開系統(tǒng)組策略編輯窗口。在該窗口左側(cè)列表中，將鼠標(biāo)定位到“本地計算機策略”、“計算機配置”、“管理模板”、“Windows組件”、“Windows Update”節(jié)點上，雙擊該節(jié)點下的“配置自動更新”選項，切換到如圖2所示的選項設(shè)置對話框，在這里將自動更新類型選擇為“自動下載并計劃安裝”選項，同時設(shè)置好計劃安裝的時間，確定后退出設(shè)置對話框。

圖2 選擇自動更新類型

其次，指定好Intranet Microsoft更新服務(wù)位置。當(dāng)希望終端計算機聰明地從內(nèi)網(wǎng)的特定WSUS服務(wù)器獲取補丁更新時，必須將鼠標(biāo)定位到系統(tǒng)組策略編輯界面的“本地計算機策略”、“計算機配置”、“管理模板”、“Windows組件”、“Windows Update” 節(jié)點上，雙擊該節(jié)點下的“指定Intranet Microsoft更新服務(wù)位置”選項，打開如圖3所示的選項設(shè)置對話框，選中“已啟用”選項，同時在“檢測更新設(shè)置 Intranet更新服務(wù)”、“設(shè)置Intranet統(tǒng)計服務(wù)器”文本框中，輸入“http://xxx.xxx.xxx.xxx”（這里的“xxx.xxx.xxx.xxx”為內(nèi)網(wǎng)中的WSUS服務(wù)器地址），確認(rèn)后退出設(shè)置對話框即可。值得注意的是，如果在安裝WSUS服務(wù)器時，選用了Windows Server Update Services 3.0 SP1網(wǎng)站，那這里就需要輸入“http://xxx.xxx.xxx.xxx:8530”了。

圖3 選中“已啟用”選項

完成上述操作后，組策略設(shè)置還沒有立即生效，因為終端計算機系統(tǒng)默認(rèn)每隔90分鐘，才刷新一次組策略配置，刷新時間或許會隨機偏移0到30分鐘。要想讓終端系統(tǒng)快速地刷新組策略設(shè)置，我們可以在系統(tǒng)運行對話框中，執(zhí)行字符串命令“gpupdate /force”或“secedit/refreshpolicy”。 組策略配置生效后，終端計算機系統(tǒng)默認(rèn)會在20分鐘后，才能掃描到WSUS服務(wù)器上的可用補丁程序，只有當(dāng)終端系統(tǒng)與WSUS服務(wù)器進行連接后，該終端才會顯示在WSUS服務(wù)器管理控制臺上。如果不希望等待20分鐘，而是立即連接WSUS服務(wù)器時，可以在系統(tǒng)運行對話框中，執(zhí)行字符串命令“wuauclt.exe/detectnow”，來進行手工啟用掃描連接。

讓登錄監(jiān)控更聰明

在公共場合下，加強系統(tǒng)的登錄監(jiān)控操作，可以防止不法分子破壞局域網(wǎng)中的重要主機系統(tǒng)。為了讓登錄監(jiān)控更聰明，在Vista以上版本系統(tǒng)中，可以通過Windows系統(tǒng)內(nèi)置的登錄監(jiān)控功能，來自動監(jiān)控用戶登錄系統(tǒng)的狀態(tài)，監(jiān)控結(jié)果會在下次成功登錄系統(tǒng)的時候智能顯示在系統(tǒng)桌面上，到那時就可以直觀地了解到究竟有哪些用戶悄悄登錄過重要主機系統(tǒng)了。

在進行具體登錄監(jiān)控操作時，可以依次點擊“開始”、“運行”命令，展開系統(tǒng)運行對話框，在其中執(zhí)行“gpedit.msc”命令，彈出系統(tǒng)組策略編輯窗口。在該窗口左側(cè)列表中，逐一展開“本地計算機策略”、“計算機配置”、“管理模板”、“Windows 組 件”、“Windows登錄選項”節(jié)點，找到指定節(jié)點下的“在用戶登錄期間顯示有關(guān)以前登錄的信息”系統(tǒng)組策略，同時用鼠標(biāo)雙擊該選項，彈出如圖4所示的組策略屬性對話框。

圖4 組策略屬性對話框

缺省狀態(tài)下，系統(tǒng)登錄監(jiān)控功能選項并沒有被選中啟用，這個時候，我們必須重新選中“已啟動”選項，確認(rèn)后退出設(shè)置對話框，這樣，重要主機系統(tǒng)就支持監(jiān)控登錄功能了。日后有不法分子趁我們不在重要主機現(xiàn)場偷偷進行系統(tǒng)登錄操作時，這個登錄操作就會被Windows系統(tǒng)自動監(jiān)控保存下來。

在我們下次登錄系統(tǒng)時，上次的監(jiān)控內(nèi)容就會自動出現(xiàn)在我們眼前，從中可以查看到不法分子的登錄賬號名稱、登錄時間等，依照這些監(jiān)控結(jié)果，就能對不法分子的賬號進行刪除或停用，以確保系統(tǒng)始終能夠安全工作。

圖5 安全策略對話框

讓賬號追蹤更聰明

有一些黑客或木馬程序，為了達到偷偷攻擊他人的目的，常常會在被攻擊系統(tǒng)中偷偷生成一個陌生賬號，并以此對目標(biāo)主機進行監(jiān)控和控制。為了防止這種安全事故發(fā)生，我們需要想方設(shè)法，及時追蹤到系統(tǒng)帳號的變化狀態(tài)，以便能夠在第一時間發(fā)現(xiàn)并刪除陌生賬號，讓黑客或木馬無法通過它發(fā)動惡意攻擊。

要達到上述控制目的，我們不妨利用系統(tǒng)賬號的審核功能，以及針對特定系統(tǒng)事件的附加任務(wù)功能，讓賬號追蹤操作變得更聰明，日后當(dāng)賬號出現(xiàn)異常變化時，我們能在第一時間接受到報警提示，下面就是具體的實現(xiàn)步驟：

首先開啟賬號的審核功能。逐一點擊“開始”、“運行”命令，展開系統(tǒng)運行對話框，輸入“secpol.msc”命令并回車，彈出系統(tǒng)安全策略編輯界面。在該界面左側(cè)列表中，依次展開“安全設(shè)置”、“本地策略”、“審核策略”節(jié)點，找到該節(jié)點下的“審核賬戶管理”選項并用鼠標(biāo)雙擊之，切換到如圖5所示的安全策略對話框，選中“成功”、“失敗”選項，單擊“確定”按鈕保存設(shè)置操作。這樣，黑客或木馬程序日后企圖在本地系統(tǒng)生成陌生賬號時，無論帳號創(chuàng)建操作是否成功，其操作痕跡都能被追蹤、記憶下來。

其次手工生成賬號創(chuàng)建事件。逐一選擇“開始”、“設(shè)置”、“控制面板”命令，雙擊系統(tǒng)控制面板中的“用戶賬戶”圖標(biāo)，進入用戶賬戶列表界面，用鼠標(biāo)右鍵單擊空白位置，單擊右鍵菜單中的“新用戶”命令，隨意創(chuàng)建一個賬號名稱。切換到系統(tǒng)桌面上，用鼠標(biāo)右鍵單擊“我的電腦”或“計算機”圖標(biāo)，點擊右鍵菜單中的“管理”命令，展開計算機管理窗口，依次跳轉(zhuǎn)到“系統(tǒng)工具”、“事件查看 器”、“Windows 日 志”、“系統(tǒng)”節(jié)點上，在指定節(jié)點下就能發(fā)現(xiàn)剛才的賬號創(chuàng)建事件了。針對該事件選項，我們可以附加報警任務(wù)，以便將系統(tǒng)賬號的變化狀態(tài)第一時間報告給管理員或計算機主人。

最后在賬號創(chuàng)建事件上添加報警任務(wù)。選中發(fā)現(xiàn)到的賬號創(chuàng)建事件選項，并用鼠標(biāo)右鍵單擊之，點擊右鍵菜單中的“附加任務(wù)到事件”命令，展開添加報警任務(wù)對話框，依照向?qū)υ挼奶崾荆仍O(shè)置好報警任務(wù)名稱，同時指定好特定的報警提示方式，Windows系統(tǒng)在缺省狀態(tài)下，為用戶提供了三種報警方式，一是自動發(fā)出報警提示消息，二是自動發(fā)送電子郵件，三是自動運行指定應(yīng)用程序。為了讓追蹤效果更直觀，不妨選中發(fā)出報警消息方式，來實現(xiàn)追蹤報警目的。在選用了“顯示消息”選項后，依照提示定義好報警消息內(nèi)容，例如可以將報警提示消息輸入為“系統(tǒng)賬號狀態(tài)有異常，請及時查看”，最后按下“完成”按鈕，退出報警任務(wù)添加向?qū)υ捒颉?/p>

經(jīng)過上述設(shè)置操作后，賬號追蹤就會變得更聰明了，一旦有黑客或木馬程序偷偷在系統(tǒng)后臺生成陌生賬號時，系統(tǒng)帳號的異常變化狀態(tài)會被自動追蹤捕捉到，同時生成相關(guān)日志事件，這時附加在對應(yīng)事件上的報警任務(wù)會立即啟動運行，到時我們就可以從系統(tǒng)屏幕上看到“系統(tǒng)賬號狀態(tài)有異常，請及時查看”之類的報警提示消息，依照該提示消息我們必須立即采取安全措施進行預(yù)防，確保系統(tǒng)不會受到黑客或木馬的非法攻擊。

圖6 編輯對話框

讓加密屏保更聰明

如果終端計算機系統(tǒng)正在啟動過程中，計算機主人這時有急事突然離開現(xiàn)場，而系統(tǒng)又支持自動登錄功能時，那么不法分子就有機會偷偷訪問系統(tǒng)中的隱私數(shù)據(jù)，或進行其他一些破壞操作。為了避免類似這樣的安全隱患發(fā)生，我們可以想辦法讓W(xué)indows系統(tǒng)在成功完成登錄操作后，聰明地啟用屏幕密碼保護功能，讓不法分子無機可趁。

首先逐一點擊“開始”、“運行”選項，展開系統(tǒng)運行對話框，在其中執(zhí)行“regedit”命令，開啟系統(tǒng)注冊表編輯器運行狀態(tài)。從注冊表編輯界面左側(cè)顯示窗口中，找到“HKEY_CURRENT_USERControl Paneldesktop”注冊表節(jié)點選項?？纯丛摴?jié)點下有沒有“ScreenSaveActive”字 符 串鍵值，要是無法找到該鍵值時，不妨用鼠標(biāo)右擊指定節(jié)點選項，逐一選擇快捷菜單中的“新建”、“字符串值”命令，將新建鍵值名稱設(shè)置為“ScreenSaveActive”，再用鼠標(biāo)雙擊該鍵值，切換到如圖6所示的編輯對話框，在其中輸入“1”，確認(rèn)后退出設(shè)置對話框，這樣系統(tǒng)屏幕保護功能就會被啟用。

再次用鼠標(biāo)右鍵單擊“HKEY_CURRENT_USERControl Paneldesktop”注冊表節(jié)點選項，從彈出的右鍵菜單中逐一點擊“新建”、“字符串值”命令，將新建鍵值名稱設(shè)置為“ScreenSaverlsSecure”，之后進入該鍵值編輯對話框，輸入數(shù)字“1”，確認(rèn)后Windows系統(tǒng)就會被強制啟用密碼保護功能了。

結(jié)束上述設(shè)置操作后，重新啟動Windows系統(tǒng)，在登錄成功后的一分鐘內(nèi)，要是沒有對系統(tǒng)進行任何操作，密碼保護的屏幕保護程序會被自動啟動，那么，不法分子在不知道密碼的情況下將無法登錄到系統(tǒng)進行破壞或偷窺操作。