从操作系统出发 保护网络安全(上)

关闭不需要的服务

　　我们的操作系统在刚启动的时候，就需要开启很多服务。其实，这其中的一些服务，我们在平时根本用不动。现在把他开着，反而增加了被病毒等攻击的危险。

　　我们查看系统的服务进程，就可以发现，大多数的服务的“启动类型”都被设置为自动。也就是说，当系统启动的时候，这些服务不管需不需要，都会被自动启动。如此的话，即会增加系统启动的时间，又会影响系统与网络的安全性。所以，我们对有些不需要的服务，要把他的启动类型设置为“手动”，甚至设置为停止，终止这些服务。通过这里，我们可以放心大胆的关掉不需要的服务。因为这里只是关掉服务，而不是删除服务。下次遇到问题的时候，再进行开启也是一样。

　　如可以关掉自动更新服务。这个服务若开启的话，就上表示允许WINDOWS系统在连机的情况下，自动从网上检测和下载更新。我在管理公司电脑的时候，一般都把这个服务停掉。我不需要这个自动更新功能，弄不好的话，还给我下个跟现有系统应用有冲突的补丁下来，那我就头大了。

　　还有，每次程序出故障，如浏览器出现错误或者EXCLE文件出现问题时，是否被那个错误发送报告骚扰过。其实，我是不想作为微软产品的免费试验品。故坚决的把应用程序错误报告服务关掉。这个服务的作用是当程序发生错误时，自动弹一个错误报告，然后提醒用户是否要把这个错误发送给微软。我想大部分人在看到这个对话框的时候，总是无可奈何的选择“否”。那我们现在还不如一开始就把这个服务停止掉，不让他挑出这个烦人的对话框好呢。

　　再如，一些ICMP等协议，也可以关掉。我们有时候在连不上网络的时候，会利用PING命令看网络连通状况。其实，这个命令就是通过ICMP协议实现的。但是，现在这个协议也被很多病毒或者木马利用，作为破坏企业网络的工具之一。如”ping death”病毒。顾名思义，这个命令就是通过网络，不断的向特定的机器，如企业服务器进行PING命令，发送数据包，最好导致服务器崩溃的目的。所以，一般来说，ICMP服务只有网络管理员才用的到，普通用户没必要使用，完全可以关闭掉。特别是对于文件服务器、邮箱服务器这些企业中重要的电脑设备，一定要把这个服务关闭掉，缩小被攻击的危险。

　　像类似的不安全服务还有很多，如远程登陆服务、FTP服务等等，这些服务在没有必要的时候，都可以把他们停止掉。如此的话，可以最大限度的保障企业网络的安全。其实，这些服务就好象一幢房子的一个个房间门，门多了，别人入侵的机会就多了。若我们把这些门用砖堵死或者用保险锁锁住，则病毒入侵的机会就会少许多了。等到我们需要的时候，再把这门打开。

　　不过，要注意一点，就是在关闭服务之前，你有必要要去了解，这些服务主要提供了什么功能，跟哪些应用相关。而不是不管三七二十一，先把服务关了再说。出了问题再来进行调试。这是不行的。不然的话，我们后续维护的工作量会很大，因为有时候我们自己也不知道到底是否是由于关闭这个服务所造成的故障。所以，先弄清楚这些服务被哪些应用所用，然后，再去关掉他。这么操作相对来说，比较保险一点。

　四、安全来自于严格的权限控制

　　有些人在给企业用户设置权限的时候，为了管理的方便，往往会给员工一个管理员的权限，或者一个超级用户（POWER USER）的权限。

　　不错，若给他们这些权限，表面上看确实可以给让我们省心一点。如用户需要什么软件了，可以自己装；系统时间不准了，可以自己调；甚至电脑名字不喜欢，可以自己取一个等等。这些操作现在他们都有权限了，不需要我们，他们就可以进行更改，确实可以让我们少跑很多路。

　　但是，这些过高的权限，也给我们带来了非常大的麻烦。如用户有时候在接收到邮件的时候，可能会有附件，而附件的话，又是病毒的温床。但是，作为用户，他们是没有这个能力去判断这封邮件是否有病毒。当发现是病毒的时候，往往已经太晚了，电脑已经中招了。所以，此时，我们若只给他们一个普通用户的权限的话，则很多病毒因为需要在管理员角色下才能运行，才能修改系统配置。所以，我们设置合理权限的话，就可以避免这种病毒在我们电脑中耀武扬威。

　　同时，有一些用户，还老是喜欢拿公司的电脑做实验。如有些用户可能是想学点计算机知识，但是家里可能没电脑，或者有电脑的怕把电脑弄坏，不知道修理。反正公司里的电脑有人维护，他们就光明正大的把公司电脑当作“小白鼠”。在网上、论坛上逛逛，看到修改注册表可以更改电脑任务栏显示风格，就手言了。在公司的电脑上修改了起来。一不小心，改了不该改的地方，系统就崩溃了，不能启动。最糟糕的是，他们在更改注册表之前，根本没有注册表备份的概念。结果呢，只好由我们出马，收拾残局。而有些比较有钻研的员工，还会尝试着更改IP地址，甚至是MAC地址，企图饶过我们路由器的控制，达到随意上网的目的。结果呢，一不小心，就造成了网络冲突。所以说，我们在权限设置的时候，应该给普通员工一个普通用户的权限即可。如此的话，可以最大限度的限制他们对于电脑操作系统无意或者有意的破坏，从而保证企业整个网络的安全。