打造更安全的系統 從控制許可權開始

2022-08-18 22:54:22 字數 2527 閱讀 7615

在系統頻繁的中招之後,我們認識到不要使用具有管理員許可權的賬號登入

windows以便避開惡意軟體。這個提醒怎樣說都不過分。然而,還需要採取一些同 樣重要的措施來保護windows避免受到惡意軟體的影響。下面我將解釋所有這些措施:

1.鎖定windows的幾個最初的步驟

下面是你鎖定windows的幾個基本步驟

·在每一台主機上執行你的整個網路的硬體防火牆和軟體防火牆,如包含windows

xpsp2的windows防火牆。

·使用工具軟體保證windows和所有其它的軟體都及時採用最新的公升級軟體和服務包。如果你僅管理少量的系統,你可以使用自動公升級工具。如果你管理大量的計算機,你可以使用windows伺服器公升級服務。

防毒軟體合作夥伴網頁。

·使用最新的間諜軟體防護工具,如微軟的windows antispyware。

2.以較低的許可權執行windows

正如你們所了解的那樣,如果沒有管理員許可權的某個人執行應用程式可能會導致應用程式崩潰。處理這個不方便的問題通常是很簡單的。例如,計算機遊戲通常在「%system root%\program files」的路徑下面儲存資料檔案。這個路徑在遊戲的子目錄下面而不是在使用者配置檔案的下面。通過允許沒有許可權的使用者「全面控制」這個程式的子目錄,你就可以執行這個遊戲,而不管你擁有什麼許可權。

下面是以較低的許可權很方便地執行應用程式的一些資源:

·windows 2000和以上版本的windows有乙個名為「runas」的工具。這個工具能夠讓你以沒有許可權的賬號登入之後使用乙個管理員的賬號執行具體的應用程式。

·名為dropmyrights的工具軟體採取相反的方式。當你使用管理員的賬號登入時,這個工具軟體能夠讓你在執行

瀏覽器

和電子郵件客戶端軟體等風險最大的應用程式時放棄管理員的許可權。如果你管理乙個大型的網路,你也許應該看一下啟用組策略功能的dropmyrights軟體。

請記住,當你以沒有許可權的使用者身份訪問某些**時,某些**可能無法訪問。例如,啟用ssl功能的**和某些使用activex控制項的**可能會不工作。privbar是乙個現成的工具,可以跟蹤哪一些ie瀏覽器的檔案是以管理員的許可權執行的,哪一些不是以管理員的許可權執行的。

3.不要執行**不可靠的**

下面這個忠告顯然是對安全團體內部的安全人員提出來的:不要執行來自你不信賴的**的**。通過避開提供不適當內容的可疑**或者避免使用盜版軟體以及在使用p2p檔案共享服務時極為小心,你可以顯著降低在這些領域的風險。你應該了解什麼是

釣魚

攻擊以及如何避開釣魚攻擊。接下來,無論是在家裡還是在工作中,你都應該使用強有力的口令,最好使用智慧卡和其它型別的身份識別工具。

4.安裝計算機時保護新的系統

當安裝新的計算機時,要記住有很多

蠕蟲

在網際網路上積極活動,甚至在許多企業網路中活動。因此,在你實施上述措施之前,你需要採取簡單的步驟保護那個系統:

·如果使用基於網路的安裝技術,如遠端安裝服務,要建立乙個專門建立新系統網路。這種新系統不允許直接與具有潛在危險的網路建立直接的通訊。

·如果使用其它自動化建立系統的程式,如帶有sysprep程式的磁碟映象,使用軟體防火牆設定這個映象。

·如果手工安裝系統,應該關閉網路進行系統安裝和啟動防火牆功能,然後再接入網路,或者在系統處於硬體防火牆保護的情況下進行系統安裝。

幸運的是windows xp sp2和windows server 2003 sp1的預設設定就啟用了windows防火牆功能。大多數計算機廠商在計算機產品出廠時都預裝了上述兩種

作業系統

5.相關資源

下面是為it專業人員提供的一些額外的資源,以幫助他們鎖定windows:

·antivirus defense-in-depth guide

(防毒縱深防禦指南)提供了避開惡意軟體的更詳細的指南。

·windows server 2003安全指南

提供了根據伺服器的任務增強安全的詳細指南。

·windows xp安全指南

揭示了如何增強windows xp的安全。

·威脅和應對措施:windows server 2003和windows xp系統的安全設定

可以作為其它安全指南的參考檔案,包括關於windows中提供的安全設定的資訊和使用(或者不使用)這些安全設定可能產生的後果。

·windows 2000伺服器安全解決方案

:雖然這個解決方案已經有好幾年時間了,但是,這個解決方案提供了根據任務增強windows 2000伺服器安全的指南。

SAAS系統的安全控制簡介

saas系統的安全控制簡介 list 控制url資源 資料提取,在action提取資料時,以會話所在租戶作為方法引數 資料修改控制,驗證被操作的資料所屬租戶與會話租戶是否一致 實現的方法,通過hibernate的事件機制進行驗證 基於acl機制的資料共享控制 實現方法 存放物件id,可訪問人,訪問方...

從場帶到功能 如何打造企業專屬的支付系統

suo.im 4heqxf 上圖是乙個很典型的平台商業模式。在這個平台商業模式中有三個主要的角色,使用者 商戶和平台。當使用者在平台上發起交易的時候,需要向平台進行支付。如果使用者覺得平台服務不到位,可以申請退款。而在平台商業模式中,一般是由底下的店鋪來提供服務的,所以平台很有可能向商戶進行分潤。p...

失控 放棄集中控制,打造自組織的活系統

特邀資深經理人bigtree撰稿。蜜蜂分群的時候,統治者不是蜂后,蜂后只能跟著,是蜂後的女兒們負責蜂群應該何時何地安頓下來。五 六名無名工蜂負責偵察可能安置蜂巢的樹洞和牆洞,它們回來後用約定的舞蹈向蜂群報告,偵察員的舞蹈越誇張,說明它主張使用的地點越好。接著,一些頭目們根據舞蹈的強烈程度,核查幾個備...