从操作系统出发 保护网络安全（二）

三、关闭不需要的服务

　　我们的操作系统在刚启动的时候，就需要开启很多服务。其实，这其中的一些服务，我们在平时根本用不动。现在把他开着，反而增加了被病毒等攻击的危险。

　　我们查看系统的服务进程，就可以发现，大多数的服务的“启动类型”都被设置为自动。也就是说，当系统启动的时候，这些服务不管需不需要，都会被自动启动。如此的话，即会增加系统启动的时间，又会影响系统与网络的安全性。所以，我们对有些不需要的服务，要把他的启动类型设置为“手动”，甚至设置为停止，终止这些服务。通过这里，我们可以放心大胆的关掉不需要的服务。因为这里只是关掉服务，而不是删除服务。下次遇到问题的时候，再进行开启也是一样。

　　如可以关掉自动更新服务。这个服务若开启的话，就上表示允许WINDOWS系统在连机的情况下，自动从网上检测和下载更新。我在管理公司电脑的时候，一般都把这个服务停掉。我不需要这个自动更新功能，弄不好的话，还给我下个跟现有系统应用有冲突的补丁下来，那我就头大了。

　　还有，每次程序出故障，如浏览器出现错误或者EXCLE文件出现问题时，是否被那个错误发送报告骚扰过。其实，我是不想作为微软产品的免费试验品。故坚决的把应用程序错误报告服务关掉。这个服务的作用是当程序发生错误时，自动弹一个错误报告，然后提醒用户是否要把这个错误发送给微软。我想大部分人在看到这个对话框的时候，总是无可奈何的选择“否”。那我们现在还不如一开始就把这个服务停止掉，不让他挑出这个烦人的对话框好呢。

　　再如，一些ICMP等协议，也可以关掉。我们有时候在连不上网络的时候，会利用PING命令看网络连通状况。其实，这个命令就是通过ICMP协议实现的。但是，现在这个协议也被很多病毒或者木马利用，作为破坏企业网络的工具之一。如”ping death”病毒。顾名思义，这个命令就是通过网络，不断的向特定的机器，如企业服务器进行PING命令，发送数据包，最好导致服务器崩溃的目的。所以，一般来说，ICMP服务只有网络管理员才用的到，普通用户没必要使用，完全可以关闭掉。特别是对于文件服务器、邮箱服务器这些企业中重要的电脑设备，一定要把这个服务关闭掉，缩小被攻击的危险。

　　像类似的不安全服务还有很多，如远程登陆服务、FTP服务等等，这些服务在没有必要的时候，都可以把他们停止掉。如此的话，可以最大限度的保障企业网络的安全。其实，这些服务就好象一幢房子的一个个房间门，门多了，别人入侵的机会就多了。若我们把这些门用砖堵死或者用保险锁锁住，则病毒入侵的机会就会少许多了。等到我们需要的时候，再把这门打开。

　　不过，要注意一点，就是在关闭服务之前，你有必要要去了解，这些服务主要提供了什么功能，跟哪些应用相关。而不是不管三七二十一，先把服务关了再说。出了问题再来进行调试。这是不行的。不然的话，我们后续维护的工作量会很大，因为有时候我们自己也不知道到底是否是由于关闭这个服务所造成的故障。所以，先弄清楚这些服务被哪些应用所用，然后，再去关掉他。这么操作相对来说，比较保险一点。

　　四、安全来自于严格的权限控制

　　有些人在给企业用户设置权限的时候，为了管理的方便，往往会给员工一个管理员的权限，或者一个超级用户（POWER USER）的权限。

　　不错，若给他们这些权限，表面上看确实可以给让我们省心一点。如用户需要什么软件了，可以自己装；系统时间不准了，可以自己调；甚至电脑名字不喜欢，可以自己取一个等等。这些操作现在他们都有权限了，不需要我们，他们就可以进行更改，确实可以让我们少跑很多路。

　　但是，这些过高的权限，也给我们带来了非常大的麻烦。如用户有时候在接收到邮件的时候，可能会有附件，而附件的话，又是病毒的温床。但是，作为用户，他们是没有这个能力去判断这封邮件是否有病毒。当发现是病毒的时候，往往已经太晚了，电脑已经中招了。所以，此时，我们若只给他们一个普通用户的权限的话，则很多病毒因为需要在管理员角色下才能运行，才能修改系统配置。所以，我们设置合理权限的话，就可以避免这种病毒在我们电脑中耀武扬威。

　　同时，有一些用户，还老是喜欢拿公司的电脑做实验。如有些用户可能是想学点计算机知识，但是家里可能没电脑，或者有电脑的怕把电脑弄坏，不知道修理。反正公司里的电脑有人维护，他们就光明正大的把公司电脑当作“小白鼠”。在网上、论坛上逛逛，看到修改注册表可以更改电脑任务栏显示风格，就手言了。在公司的电脑上修改了起来。一不小心，改了不该改的地方，系统就崩溃了，不能启动。最糟糕的是，他们在更改注册表之前，根本没有注册表备份的概念。结果呢，只好由我们出马，收拾残局。而有些比较有钻研的员工，还会尝试着更改IP地址，甚至是MAC地址，企图饶过我们路由器的控制，达到随意上网的目的。结果呢，一不小心，就造成了网络冲突。所以说，我们在权限设置的时候，应该给普通员工一个普通用户的权限即可。如此的话，可以最大限度的限制他们对于电脑操作系统无意或者有意的破坏，从而保证企业整个网络的安全。

　　若给用户比较高的权限，他们还会做一件事情。就是从网络上下游戏，然后安装。他们虽然不会在中午上班时间打游戏，他们就在中午打。中午休息时间休闲一下，确实也不是什么大问题。但是，我们知道，网上的游戏的话，病毒比较多，特别是一些小游戏。你用户自己下载、装的话，还不知道什么时候就种病毒了呢。所以，我们公司的电脑设置了比较严格的权限，一般用户都无法自己按照程序。若需要安装的话，就必须向我们提出申请。如此的话，对于保护公司网络的安全，避免病毒的侵袭，有比较明显的作用。我们这么做的目的，主要不是说不给员工玩游戏。我们公司在这方面管理还是比较人性的。在员工的电脑上，都有5-10款小游戏，以供他们中午休息时做消遣之用。但是，用户若要自己上网下游戏、安装，那是肯定不行的，被明令禁止的。

　　所以，我个人认为，保护企业操作系统安全，保护企业网络安全，要从操作系统的权限管理开始。要给予每个员工合理的权限。在权限管理的原则上，我遵循的是宁可少给，也不可多给。

　五、定期进行漏洞扫描

　　现在微软的东西用的实在不怎么让人放心，时不时的给你来个漏洞，包括操作系统的漏洞、OFFCIE办公软件的漏洞、邮件等系统的漏洞等等。上面我谈到过，出于系统兼容性的考虑（还有就是为了省去正版验证的麻烦），我建议企业用户关闭微软的自动更新服务。所以，有漏洞的话，系统就不会自动打补丁。怎么办呢？我们就要定期的对系统进行漏洞扫描，特别是当出现某个重大的漏洞或者有病毒大规模爆发，像上次的熊猫烧香病毒，要及时的进行漏洞扫描，通过漏洞扫描并及时给漏洞打上对应的补丁，是防止病毒入侵最好的方法之一。

　　不怎么喜欢用微软提供的漏洞扫描程序，我个人觉得没有安全感。我现在喜欢用的是杀毒软件字带的漏洞扫描工具。这些工具不仅可以帮你扫描出系统中存在的安全漏洞，而且，还可以帮你从网上下载相关的补丁并进行安装。所以，操作对用户来说，是最简单不过了。而且，还可以省去微软正板验证的麻烦。

　　我现在的做法是，对整个公司的电脑采用统一的漏洞管理。我有一台电脑专门用来做测试，定期对其利用杀毒软件的漏洞扫描工具对其进行漏洞扫描。若发现有新的漏洞的话，就及时打上补丁，并进行测试，跟现有的应用软件是否有冲突。若没有的话，则通过补丁管理工具，给整个网络上的所有电脑都打上补丁。若测试时，不幸发现对某些应用系统有冲突的话，我就会先放放，看其有什么危害性，在决定如何处理。若危害性大的话，除了哪些装有冲突的应用软件的电脑外，其他的我都给打上补丁。若危害小的话，这个补丁我就不打了。

　　最后我仍然要提醒大家的一句话就是，话可以乱说，但是，补丁不可以随便打。在打补丁之前，一定要先经过严格的测试。否则的话，补丁不但不能帮你解决问题，而且，很有可能会给你的系统稳定埋下了一颗定时炸弹。