桌面終端安全防護策略課件

桌面終端安全防護策略桌面終端安全防護策略大綱終端安全與注冊表終端安全與安全策略終端安全管理數(shù)據(jù)防泄密標準個人計算機桌面環(huán)境桌面終端安全防護策略終端安全與注冊表桌面終端安全防護策略什么是注冊表Windows注冊表是幫助Windows控制硬件、軟件、用戶環(huán)境和Windows界面的一套數(shù)據(jù)文件，注冊表包含在Windows目錄下兩個文件system.dat和user.dat里，還有它們的備份system.da0和user.da0。從Windows95開始，Microsoft在Windows中引入了注冊表（英文為REGISTRY）的概念（實際上原來在WindowsNT中已有此概念）。如果該注冊表由于某種原因受到了破壞，會使Windows的啟動過程出現(xiàn)異常，嚴重的可能會導致整個Windows系統(tǒng)的完全癱瘓。如何打開注冊表

在修復注冊表前請備份,點“開始”→運行→輸入“regedit”→確定桌面終端安全防護策略注冊表結(jié)構(gòu)劃分11.HKEY_USERS該根鍵保存了存放在本地計算機口令列表中的用戶標識和密碼列表。每個用戶的預配置信息都存儲在HKEY_USERS根鍵中。HKEY_USERS是遠程計算機中訪問的根鍵之一。2.HKEY_CURRENT_USER該根鍵包含本地工作站中存放的當前登錄的用戶信息,包括用戶登錄用戶名和暫存的密碼(注：此密碼在輸入時是隱藏的)。用戶登錄Windows98時，其信息從HKEY_USERS中相應的項拷貝到HKEY_CURRENT_USER中。3.HKEY_CURRENT_CONFIG該根鍵存放著定義當前用戶桌面配置(如顯示器等)的數(shù)據(jù),最后使用的文檔列表（MRU）和其他有關(guān)當前用戶的Windows98中文版的安裝的信息。為HKEY_CURRENT_CONFIG子關(guān)鍵字之間的連接情況。桌面終端安全防護策略注冊表結(jié)構(gòu)劃分24.HKEY_CLASSES_ROOT根據(jù)在Windows98中文版中安裝的應用程序的擴展名,該根鍵指明其文件類型的名稱。5.HKEY_LOCAL_MACHINE該根鍵存放本地計算機硬件數(shù)據(jù),此根鍵下的子關(guān)鍵字包括在SYSTEM.DAT中,用來提供HKEY_LOCAL_MACHINE所需的信息,或者在遠程計算機中可訪問的一組鍵中。該根鍵中的許多子鍵與System.ini文件中設置項類似。圖7顯示了HKEY_LOCAL_MACHINE根鍵下的各個子鍵之間的情況。6.HKEY_DYN_DATA該根鍵存放了系統(tǒng)在運行時動態(tài)數(shù)據(jù)，此數(shù)據(jù)在每次顯示時都是變化的，因此，此根鍵下的信息沒有放在注冊表中。顯示了HKEY_DYN_DATA根鍵下的各個子鍵的情況。桌面終端安全防護策略注冊表部分重要內(nèi)容1(一)HKEY_CLASS_ROOT1.HKEY_CLASS_ROOT/Paint.Pricture/DefaultIcon雙擊窗口右側(cè)的默認字符串，在打開的對話框中刪除原來的“鍵值”，輸入%1。重新啟動后，在“我的電腦”中打開Windows目錄，選擇“大圖標”，然后你看到的Bmp文件的圖標再也不是千篇一律的MSPAINT圖標了，而是每個Bmp文件的略圖（前提是未安裝ACDSee等看圖軟件）。(二)HKEY_CURRENT_USER1.HKEY_CURRENT_USER\ControlPanel\Desktop中新建串值名MenuShowDelay=0可使“開始”菜單中子菜單的彈出速度提高。2.在HKEY_CURRENT_USER\ControlPanel\Deskt-op\WindowsMeterics中新建串值名MinAnimate，值為1啟動動畫效果開關(guān)窗口，值為0取消動畫效果。桌面終端安全防護策略注冊表部分重要內(nèi)容2（三）HKEY_LOCAL_MACHINE1.HKEY_LOCAL_MACHINE\software\microsoft\windows\currentVersion\explorer\usershellfolders保存?zhèn)€人文件夾、收藏夾的路徑。2.HKEY_LOCAL_MACHINE\system\currentControl-Set\control\keyboardLayouts保存鍵盤使用的語言以及各種中文輸入法。3.HKEY_LOCAL_MACHINE\software\microsoft\windows\currentVersion\uninstall保存已安裝的Windows應用程序卸載信息。4.HKEY_LOCAL_MACHINE\system\CurrentControl-Set\services\class保存控制面板-增添硬件設備-設備類型目錄。5.HKEY_LOCAL_MACHINE\system\Current-ControlSet\control\update設置刷新方式。值為00設置為自動刷新，01設置為手工刷新[在資源管理器中按F5]。6.HKEY_LOCAL_MACHINE\software\microsoft\win-dows\currentVersion\run保存由控制面板設定的計算機啟動時運行程序的名稱，其圖標顯示在任務條右邊。在“啟動”文件夾程序運行時圖標也在任務條右邊。7.HKEY_LOCAL_MACHINE\software\microsoft\windows\currentVersion\Policies\Ratings保存IE4.0中文版“安全”\“分級審查”中設置的口令(數(shù)據(jù)加密),若遺忘了口令,刪除Ratings中的數(shù)據(jù)即可解決問題。8.HKEY_LOCAL_MACHINE\software\microsoft\windows\currentVersion\explorer\desktop\nameSpace保存桌面中特殊的圖標,如回收站、收件箱、MSNetwork等。桌面終端安全防護策略注冊表部分重要內(nèi)容3（四）HKEY_USERS1.HKEY_USERS\.Default\software\microsoft\internetexplorer\typeURLs保存IE4.0瀏覽器地址欄中輸入的URL地址列表信息。清除文檔菜單時將被清空。2.HKEY_USERS\.Default\so..\mi..\wi..\current-Version\ex..\menuOrder\startMenu保留程序菜單排序信息。3.HKEY_USERS\.Default\so..\microsoft\windows\current-Version\explorer\RunMRU保存“開始\運行...”中運行的程序列表信息。清除文檔菜單時將被清空。4.HKEY_USERS\.Default\so..\microsoft\windows\current-Version\explorer\RecentDocs保存最近使用的十五個文檔的快捷方式(刪除掉可解決文檔名稱重復的毛病)，清除文檔菜單時將被清空。5.HKEY_USERS\.default\software\microsoft\windows\currentVersion\applets保存Windows應用程序的記錄數(shù)據(jù)。6.HKEY_USERS\.default\software\microsoft\windows\currentVersion\run保存由用戶設定的計算機啟動時運行程序的名稱，其圖標顯示在任務條右側(cè)。桌面終端安全防護策略注冊表使用技巧關(guān)閉“Messenger”服務安全隱患:在Windows2000/XP系統(tǒng)中，默認Messenger服務處于啟動狀態(tài)，不懷好意者可通過"netsend"指令向目標計算機發(fā)送信息。目標計算機會不時地收到他人發(fā)來的騷擾信息，嚴重影響正常使用。解決方法:注冊表“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services”項下的進行管理，其中的每個子鍵就是系統(tǒng)中對應的“服務”“Messenger”服務對應的子鍵是“Messenger”。START鍵值，將該值修改為4即可。桌面終端安全防護策略注冊表使用技巧關(guān)閉"遠程注冊表服務"安全隱患:如果黑客連接到了我們的計算機，而且計算機啟用了遠程注冊表服務(RemoteRegistry)，那么黑客就可遠程設置注冊表中的服務，因此遠程注冊表服務需要特別保護。解決方法:將遠程注冊表服務(RemoteRegistry)的啟動方式設置為禁用。為了避免黑客在入侵我們的計算機后，將該服務從“禁用”轉(zhuǎn)換為“自動啟動”。因此我們有必要將該服務刪除。注冊表“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services"下的RemoteRegistry項，右鍵點擊該項選擇"刪除"，將該項刪除后就無法啟動該服務了。桌面終端安全防護策略注冊表使用技巧關(guān)閉默認共享安全隱患:在Windows2000/XP/2003中，系統(tǒng)默認開啟了一些“共享”，它們是IPC$、c$、d$、e$和admin$。很多黑客和病毒都是通過這個默認共享入侵操作系統(tǒng)的。解決方法:要防范IPC$攻擊應該將注冊表中“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA”的RestrictAnonymous項設置為“1”，禁止IPC$的連接。桌面終端安全防護策略注冊表使用技巧對于c$、d$和admin$等類型的默認共享:"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"項。Windows2000Server或Windows2003，在該項中添加鍵值"AutoShareServer"(類型為"REG_DWORD"，值為"0")。桌面終端安全防護策略注冊表使用技巧禁止病毒啟動服務安全隱患:高級病毒會通過系統(tǒng)服務進行加載。解決方法:運行“regedt32”指令啟用帶權(quán)限分配功能的注冊表編輯器。注冊表中找到"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services"分支接著點擊菜單欄中的"安全→權(quán)限"桌面終端安全防護策略注冊表使用技巧在彈出的Services權(quán)限設置窗口中單擊"添加"按鈕，將Everyone賬號導入進來選中"Everyone"賬號將該賬號的"讀取"權(quán)限設置為"允許"，將它的"完全控制"權(quán)限取消該方法只對沒有獲得管理員權(quán)限的病毒和木馬有效。桌面終端安全防護策略注冊表使用技巧禁止病毒運行安全隱患:很多病毒都是通過注冊表中的RUN值進行加載而實現(xiàn)隨操作系統(tǒng)的啟動而啟動的，我們可以按照“禁止病毒啟動服務”中介紹的方法將病毒和木馬對該鍵值的修改權(quán)限去掉。解決方法:運行“regedt32”指令啟動注冊表編輯器。注冊表"HKEY_CURRENT_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RUN"分支將Everyone對該分支的"讀取"權(quán)限設置為"允許"，取消對"完全控制"權(quán)限的選擇。桌面終端安全防護策略注冊表使用技巧桌面終端安全防護策略注冊表使用技巧IE默認連接首頁被修改攻擊方式：更改：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main\StartPageHKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\StartPage通過修改“StartPage”的鍵值,來達到修改瀏覽者IE默認連接首頁的目的。如不慎瀏覽某一惡意網(wǎng)站“”,該網(wǎng)站就會將你的IE默認連接首頁修改為“”。桌面終端安全防護策略注冊表使用技巧解決方案:1)在Windows啟動后,點擊“開始”→“運行”菜單項,在“打開”欄中鍵入regedit,然后按“確定”。2)展開注冊表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main下,在右半部分窗口中找到串值“StartPage”雙擊,將StartPage的鍵值改為“about:blank”即可;3)展開注冊表到HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main在右半部分窗口中找到串值“StartPage”,然后按2中所述方法處理。桌面終端安全防護策略Win7系統(tǒng)中備份注冊表的方法桌面終端安全防護策略終端安全與安全策略桌面終端安全防護策略建立安全的Windows客戶端1、本地策略設置本地策略設置可以通過本地安全策略控制臺或基于Active

Directory域的GPO在運行WindowsXPProfessional的任何計算機上進行配置。本地策略設置包括“審核策略”、“用戶權(quán)利指派”和“安全選項”。2、審核策略設置審核策略確定要向管理員報告的安全事件，以便記錄具有指定事件類別的用戶或系統(tǒng)活動。管理員可以監(jiān)視與安全有關(guān)的活動，如誰訪問某個對象、用戶何時登錄或注銷計算機、是否對審核策略設置進行過更改?；谒羞@些原因，Microsoft建議您為管理員創(chuàng)建一個可在您的環(huán)境中實施的審核策略。通過組策略對象編輯器在以下位置配置WindowsXP的審核策略設置:計算機配置\Windows設置\安全設置\本地策略\審核策略桌面終端安全防護策略建立安全的Windows客戶端設置EC桌面計算機EC便攜式計算機SSLF桌面計算機SSLF便攜式計算機審核帳戶登錄事件成功成功成功、失敗成功、失敗審核帳戶管理成功成功成功、失敗成功、失敗審核目錄服務訪問沒有定義沒有定義沒有定義沒有定義審核登錄事件成功成功成功、失敗成功、失敗審核對象訪問無審核無審核失敗失敗審核策略更改成功成功成功成功審核特權(quán)使用無審核無審核失敗失敗審核過程追蹤無審核無審核無審核無審核審核系統(tǒng)事件成功成功成功成功審核策略設置建議

桌面終端安全防護策略建立安全的Windows客戶端3、審核帳戶登錄事件如果啟用此策略設置，則生成用于憑據(jù)驗證的事件。這些事件是在對于憑據(jù)具有權(quán)威性的計算機上發(fā)生的。對于域帳戶，域控制器具有權(quán)威性；而對于本地帳戶，本地計算機具有權(quán)威性。在域環(huán)境中，大多數(shù)帳戶登錄事件在對于域帳戶具有權(quán)威性的域控制器的安全日志中發(fā)生。然而，這些事件也可能在組織的其他計算機上發(fā)生，具體取決于用于登錄的帳戶。“審核帳戶登錄事件”設置僅針對EC環(huán)境配置為“成功”；而對于SSLF環(huán)境則配置為“成功”和“失敗”。桌面終端安全防護策略建立安全的Windows客戶端4、審核帳戶管理此策略設置用于跟蹤以下企圖：新建用戶或組、重命名用戶或組、啟用或禁用用戶帳戶、更改帳戶密碼、啟用對帳戶管理事件的審核。如果啟用此審核策略設置，管理員可以跟蹤事件，以檢測惡意創(chuàng)建、意外創(chuàng)建和授權(quán)創(chuàng)建用戶帳戶和組帳戶的情況。對于EC環(huán)境，“審核帳戶管理”設置配置為“成功”；對于SSLF環(huán)境則配置為“成功”和“失敗”。5、審核目錄服務訪問啟用此策略設置只是為了對域控制器執(zhí)行審核任務。因此，未在工作站級別定義該設置。此策略設置不適用于運行WindowsXPProfessional的計算機。因此，對于本章中論述的兩種環(huán)境，確?！皩徍四夸浄赵L問”設置被配置為“沒有定義”。6、審核登錄事件此策略設置生成記錄創(chuàng)建和銷毀登錄會話的事件。這些事件在所訪問的計算機上發(fā)生。為進行交互式登錄，將在所登錄的計算機上生成這些事件。如果執(zhí)行網(wǎng)絡登錄是為了訪問共享，則將在宿主所訪問資源的計算機上生成這些事件。桌面終端安全防護策略建立安全的Windows客戶端如果將“審核登錄事件”設置配置為“無審核”，則很難或無法確定哪些用戶訪問或嘗試訪問了組織中的計算機。對于EC環(huán)境，請將“審核登錄事件”設置配置為記錄“成功”事件。對于SSLF環(huán)境，請將此策略設置配置為“成功”和“失敗”事件。7、審核對象訪問就其自身而言，本策略設置不會導致任何事件被審核。它確定是否審核某個用戶對于具有指定的系統(tǒng)訪問控制列表(SACL)的對象的訪問，這些對象可以是文件、文件夾、注冊表項或打印機。桌面終端安全防護策略建立安全的Windows客戶端SACL由訪問控制項(ACE)組成。每個ACE包含三部分信息：審核的安全主體（用戶、計算機或組）。要審核的特定訪問類型，稱作訪問掩碼。一個標記，表示是審核失敗的訪問事件，還是審核成功的訪問事件或兩者全部都進行審核。如果將“審核對象訪問”設置配置為“成功”，則每當用戶成功訪問具有指定SACL的對象時均會生成一個審核項目。如果將此策略設置配置為“失敗”，則每當用戶嘗試訪問具有指定SACL的對象失敗時均會生成一個審核項目。組織應該僅定義它們配置SACL時想要啟用的操作。例如，可能需要在可執(zhí)行文件上啟用“寫入和添加數(shù)據(jù)審核”設置以跟蹤那些文件的更改或替換操作，因為計算機病毒、蠕蟲和特洛伊木馬通常會以可執(zhí)行文件為目標。同樣，可能需要跟蹤訪問或更改敏感文檔的時間。桌面終端安全防護策略建立安全的Windows客戶端對于EC環(huán)境，將“審核對象訪問”設置配置為“無審核”；對于SSLF環(huán)境則配置為“失敗”。啟用此設置之后，下列過程才會生效。為文件或文件夾定義審核規(guī)則（1）使用Windows資源管理器定位該文件或文件夾，然后選擇它。（2）單擊“文件”菜單并選擇“屬性”。（3）單擊“安全”選項卡，然后單擊“高級”按鈕。（4）單擊“審核”選項卡。（5）單擊“添加”按鈕，隨后將出現(xiàn)“選擇用戶、計算機或組”對話框。（6）單擊“對象類型...”按鈕，在“對象類型”對話框中選擇要查找對象類型。注意：“用戶”、“組”和“內(nèi)置安全性原則”對象類型會默認選中。（7）單擊“位置...”按鈕，在“位置”對話框中選擇域或本地計算機。桌面終端安全防護策略建立安全的Windows客戶端（8）在“選擇用戶或組”對話框中，鍵入要審核的組或用戶的名稱。然后在“輸入要選擇的對象名稱”對話框中，鍵入AuthenticatedUsers（審核所有經(jīng)過身份驗證的用戶的訪問），然后單擊“確定”。此時將顯示“審核項目”對話框。（9）使用“審核項目”對話框確定要針對文件或文件夾進行審核的訪問類型。注意：記住，每次訪問都會在事件日志中生成多個事件，這會導致日志迅速變大。（10）在“審核項目”對話框中，選擇“列出文件夾/讀取數(shù)據(jù)”旁邊的“成功”和“失敗”，然后單擊“確定”。（11）已啟用的審核項目將出現(xiàn)在“高級安全設置”對話框的“審核”選項卡下面。（12）單擊“確定”關(guān)閉“屬性”對話框。桌面終端安全防護策略桌面終端安全防護策略建立安全的Windows客戶端8、審核策略更改此策略設置確定是否審核對權(quán)限分配策略、Windows防火墻策略、信任策略進行更改或者對審核策略本身進行更改的每個事件。您可以通過推薦的設置查看攻擊者試圖提升的任何帳戶特權(quán)，例如添加“調(diào)試程序”特權(quán)或“備份文件和目錄”特權(quán)。9、審核特權(quán)使用此策略設置確定是否對用戶行使用戶權(quán)限的每個實例進行審核。如果將此值配置為“成功”，則每當成功行使用戶權(quán)限時均會生成一個審核項目。如果將此值配置為“失敗”，則每當行使用戶權(quán)限成功時均會生成一個審核項目。此策略設置可生成非常多的事件記錄。對于EC環(huán)境中的計算機，“審核特權(quán)使用”設置被配置為“無審核”，而對于SSLF環(huán)境則配置為“失敗”以審核所有使用特權(quán)的不成功嘗試。桌面終端安全防護策略建立安全的Windows客戶端10、審核過程追蹤此策略設置確定是否審核事件的詳細跟蹤信息，如程序激活、進程退出、句柄復制和間接對象訪問等。啟用“審核過程追蹤”將生成大量事件，因此通常將它設置為“無審核”。但是，在事件響應期間，即過程詳細日志開始記錄和這些過程被啟動的時間，此設置會發(fā)揮很大的作用。11、審核系統(tǒng)事件此策略設置非常重要，因為它允許您監(jiān)視成功和失敗的系統(tǒng)事件，并提供這些事件的記錄，從而幫助確定未經(jīng)授權(quán)的系統(tǒng)訪問的實例。系統(tǒng)事件包括啟動或關(guān)閉環(huán)境中的計算機、全部事件日志或其他影響整個系統(tǒng)的安全相關(guān)事件。用戶權(quán)限分配設置除了WindowsXPProfessional中的許多特權(quán)組之外，還可以為特定用戶和組分配普通用戶沒有的用戶權(quán)限。不要向其中添加任何用戶或組。要將用戶權(quán)限的值設置為“沒有定義”，請不要啟用此設置。在組策略對象編輯器的下列位置配置用戶權(quán)限分配設置：計算機配置\Windows設置\安全設置\本地策略\用戶權(quán)利指派桌面終端安全防護策略建立安全的Windows客戶端設置EC桌面計算機EC便攜式計算機SSLF桌面計算機SSLF便攜式計算機從網(wǎng)絡訪問此計算機沒有定義沒有定義AdministratorsAdministrators以操作系統(tǒng)方式操作NoOneNoOneNoOneNoOne調(diào)整進程的內(nèi)存配額沒有定義沒有定義Administrators、LocalService、NetworkServiceAdministrators、LocalService、NetworkService在本地登錄Users、AdministratorsUsers、AdministratorsUsers、AdministratorsUsers、Administrators通過終端服務允許登錄沒有定義沒有定義NoOneNoOne備份文件和目錄沒有定義沒有定義AdministratorsAdministrators跳過遍歷檢查沒有定義沒有定義Administrators、UsersAdministrators、Users更改系統(tǒng)時間AdministratorsAdministratorsAdministratorsAdministrators創(chuàng)建頁面文件AdministratorsAdministratorsAdministratorsAdministrators桌面終端安全防護策略建立安全的Windows客戶端設置EC桌面計算機EC便攜式計算機SSLF桌面計算機SSLF便攜式計算機創(chuàng)建永久共享對象沒有定義沒有定義NoOneNoOne創(chuàng)建記號對象沒有定義沒有定義NoOneNoOne調(diào)試程序AdministratorsAdministratorsNoOneNoOne拒絕從網(wǎng)絡訪問這臺計算機Support_388945a0、GuestSupport_388945a0、GuestSupport_388945a0、GuestSupport_388945a0、Guest拒絕作為批作業(yè)登錄沒有定義沒有定義Support_388945a0、GuestSupport_388945a0、Guest拒絕本地登錄沒有定義沒有定義Support_388945a0、Guest、任何服務帳戶Support_388945a0、Guest、任何服務帳戶通過終端服務拒絕登錄沒有定義沒有定義EveryoneEveryone允許計算機和用戶帳戶被信任以便用于委任沒有定義沒有定義NoOneNoOne桌面終端安全防護策略建立安全的Windows客戶端設置EC桌面計算機EC便攜式計算機SSLF桌面計算機SSLF便攜式計算機從遠端系統(tǒng)強制關(guān)機AdministratorsAdministratorsAdministratorsAdministrators產(chǎn)生安全審核LocalService、NetworkServiceLocalService、NetworkServiceLocalService、NetworkServiceLocalService、NetworkService增加進度優(yōu)先級AdministratorsAdministratorsAdministratorsAdministrators裝載和卸載設備驅(qū)動程序AdministratorsAdministratorsAdministratorsAdministrators內(nèi)存中鎖定頁NoOneNoOneNoOneNoOne作為批處理作業(yè)登錄沒有定義沒有定義NoOneNoOne作為服務登錄沒有定義沒有定義NetworkService、LocalServiceNetworkService、LocalService管理審核和安全日志AdministratorsAdministratorsAdministratorsAdministrators桌面終端安全防護策略建立安全的Windows客戶端設置EC桌面計算機EC便攜式計算機SSLF桌面計算機SSLF便攜式計算機修改固件環(huán)境值AdministratorsAdministratorsAdministratorsAdministrators執(zhí)行卷維護任務AdministratorsAdministratorsAdministratorsAdministrators配置單一進程沒有定義沒有定義AdministratorsAdministrators配置系統(tǒng)性能AdministratorsAdministratorsAdministratorsAdministrators從插接工作站中取出計算機Administrators、UsersAdministrators、UsersAdministrators、UsersAdministrators、Users替換進程級記號LocalService、NetworkServiceLocalService、NetworkServiceLocalService、NetworkServiceLocalService、NetworkService還原文件和目錄沒有定義沒有定義AdministratorsAdministrators關(guān)閉系統(tǒng)Administrators、UsersAdministrators、UsersAdministrators、UsersAdministrators、Users取得文件或其它對象的所有權(quán)AdministratorsAdministratorsAdministratorsAdministrators桌面終端安全防護策略建立安全的Windows客戶端桌面終端安全防護策略建立安全的Windows客戶端安全選項計算機配置\Windows設置\安全設置\本地策略\安全選項賬戶設置EC桌面計算機EC便攜式計算機SSLF桌面計算機SSLF便攜式計算機帳戶：管理員帳戶狀態(tài)沒有定義沒有定義已啟用已啟用帳戶：來賓帳戶狀態(tài)已禁用已禁用已禁用已禁用帳戶：使用空白密碼的本地帳戶只允許進行控制臺登錄已啟用已啟用已啟用已啟用帳戶：重命名系統(tǒng)管理員帳戶推薦推薦推薦推薦帳戶：重命名來賓帳戶推薦推薦推薦推薦桌面終端安全防護策略建立安全的Windows客戶端審核設置EC桌面計算機EC便攜式計算機SSLF桌面計算機SSLF便攜式計算機審計：對全局系統(tǒng)對象的訪問進行審計沒有定義沒有定義已禁用已禁用審計：對備份和還原權(quán)限的使用進行審計沒有定義沒有定義已禁用已禁用審計：如果無法紀錄安全審計則立即關(guān)閉系統(tǒng)沒有定義沒有定義沒有定義沒有定義桌面終端安全防護策略建立安全的Windows客戶端設備設置EC桌面計算機EC便攜式計算機SSLF桌面計算機SSLF便攜式計算機設備：允許不登錄脫離沒有定義沒有定義已禁用已禁用設備：允許格式化和彈出可移動媒體Administrator、InteractiveUsersAdministrator、InteractiveUsersAdministratorsAdministrators設備：防止用戶安裝打印機驅(qū)動程序已啟用已禁用已啟用已禁用設備：只有本地登錄的用戶才能訪問

CD-ROM沒有定義沒有定義已禁用已禁用設備：只有本地登錄的用戶才能訪問軟盤沒有定義沒有定義已禁用已禁用設備：未簽名驅(qū)動程序的安裝操作允許安裝但發(fā)出警告允許安裝但發(fā)出警告允許安裝但發(fā)出警告允許安裝但發(fā)出警告桌面終端安全防護策略建立安全的Windows客戶端交互式登錄設置EC桌面計算機EC便攜式計算機SSLF桌面計算機SSLF便攜式計算機交互式登錄：不顯示上次的用戶名已啟用已啟用已啟用已啟用交互式登錄：不需要按Ctrl+Alt+Del已禁用已禁用已禁用已禁用交互式登錄：用戶試圖登錄時消息文字此系統(tǒng)僅限授權(quán)用戶使用。嘗試進行未經(jīng)授權(quán)訪問的個人將受到起訴。此系統(tǒng)僅限授權(quán)用戶使用。嘗試進行未經(jīng)授權(quán)訪問的個人將受到起訴。此系統(tǒng)僅限授權(quán)用戶使用。嘗試進行未經(jīng)授權(quán)訪問的個人將受到起訴。此系統(tǒng)僅限授權(quán)用戶使用。嘗試進行未經(jīng)授權(quán)訪問的個人將受到起訴。交互式登錄：用戶試圖登錄時消息標題繼續(xù)在沒有適當授權(quán)的情況下使用是違法行為。繼續(xù)在沒有適當授權(quán)的情況下使用是違法行為。繼續(xù)在沒有適當授權(quán)的情況下使用是違法行為。繼續(xù)在沒有適當授權(quán)的情況下使用是違法行為。交互式登錄：可被緩沖保存的前次登錄個數(shù)（在域控制器不可用的情況下）2202交互式登錄：在密碼到期前提示用戶更改密碼14天14天14天14天交互式登錄：要求域控制器身份驗證以脫離工作站已啟用已禁用已啟用已禁用交互式登錄：智能卡移除操作鎖定工作站鎖定工作站鎖定工作站鎖定工作站桌面終端安全防護策略建立安全的Windows客戶端Microsoft網(wǎng)絡客戶端設置EC桌面計算機EC便攜式計算機SSLF桌面計算機SSLF便攜式計算機Microsoft網(wǎng)絡客戶：數(shù)字簽字的通信（總是）已啟用已啟用已啟用已啟用Microsoft網(wǎng)絡客戶：數(shù)字簽字的通信（若服務器同意）已啟用已啟用已啟用已啟用Microsoft網(wǎng)絡客戶：發(fā)送未加密的密碼到第三方SMB服務器已禁用已禁用已禁用已禁用Microsoft網(wǎng)絡服務器設置EC桌面計算機EC便攜式計算機SSLF桌面計算機SSLF便攜式計算機Microsoft網(wǎng)絡服務器：在掛起會話之前所需的空閑時間15分鐘15分鐘15分鐘15分鐘Microsoft網(wǎng)絡服務器：數(shù)字簽字的通信（總是）已啟用已啟用已啟用已啟用Microsoft網(wǎng)絡服務器：數(shù)字簽字的通信（若客戶同意）已啟用已啟用已啟用已啟用桌面終端安全防護策略建立安全的Windows客戶端網(wǎng)絡訪問

設置EC桌面計算機EC便攜式計算機SSLF桌面計算機SSLF便攜式計算機網(wǎng)絡訪問：允許匿名SID/名稱轉(zhuǎn)換已禁用已禁用已禁用已禁用網(wǎng)絡訪問：不允許SAM帳戶的匿名枚舉已啟用已啟用已啟用已啟用網(wǎng)絡訪問：不允許SAM帳戶和共享的匿名枚舉已啟用已啟用已啟用已啟用網(wǎng)絡訪問：不允許為網(wǎng)絡身份驗證儲存憑據(jù)或.NETPassports已啟用已啟用已啟用已啟用網(wǎng)絡訪問：讓“每個人”權(quán)限應用于匿名用戶已禁用已禁用已禁用已禁用網(wǎng)絡訪問：可匿名訪問的命名管道沒有定義沒有定義網(wǎng)絡訪問：可遠程訪問的注冊表路徑?jīng)]有定義沒有定義網(wǎng)絡訪問：可匿名訪問的共享沒有定義沒有定義comcfg、dfs$comcfg、dfs$網(wǎng)絡訪問：本地帳戶的共享和安全模式經(jīng)典-本地用戶以自己的身份驗證經(jīng)典-本地用戶以自己的身份驗證經(jīng)典-本地用戶以自己的身份驗證經(jīng)典-本地用戶以自己的身份驗證桌面終端安全防護策略建立安全的Windows客戶端桌面終端安全防護策略檢查列表驗證NTFS的使用保護本地安全策略設置系統(tǒng)文件和目錄權(quán)限保護文件共享啟用ICF配置軟件限制策略刪除不必要的服務、協(xié)議、用戶和組建立IP安全策略安裝防病毒軟件系統(tǒng)自動升級防病毒軟件自動升級查看安全日志查看系統(tǒng)用戶和共享桌面終端安全防護策略終端安全管理桌面終端安全防護策略桌面終端系統(tǒng)管理的問題(1)遍布各個辦公場所的開放式信息插座如何防止外來非法電腦接入?內(nèi)部不符合安全規(guī)定的電腦接入網(wǎng)絡如何處理？外來非法電腦接入可能帶來的問題竊取內(nèi)部資料文件截獲重要人物收發(fā)的E-mail、密碼賬戶等(監(jiān)聽、ARP欺騙)外來電腦本身帶病毒、木馬，影響網(wǎng)絡安全運行內(nèi)部不符合安全規(guī)定的電腦接入網(wǎng)絡容易成為肉機被木馬、黑客、病毒直接攻擊本身帶病毒、木馬，影響網(wǎng)絡安全運行違反內(nèi)部的安全規(guī)定，危害公司信息安全47桌面終端安全防護策略桌面終端系統(tǒng)管理的問題(2)桌面終端的信息安全管理問題公司內(nèi)部大量的機密文件將文件從終端傳送出去的手段通過U盤、軟盤Copy通過網(wǎng)絡共享Copy通過MSN/QQ外傳通過E-Mail發(fā)送出去……48桌面終端安全防護策略桌面終端系統(tǒng)管理的問題(3)桌面終端的系統(tǒng)安全管理問題頻繁的操作系統(tǒng)補丁和漏洞安全設置漏洞：口令、屏幕保護、可寫共享違反管理規(guī)定：在內(nèi)部網(wǎng)絡撥號上網(wǎng)、使用非法黑客軟件、使用BT下載工具、訪問不該訪問的網(wǎng)站這些問題輕則導致電腦感染病毒/木馬，重則危害整個網(wǎng)絡的安全運行49桌面終端安全防護策略桌面終端系統(tǒng)管理的問題(4)數(shù)量太多，數(shù)以千計，管理困難如何在成百上千臺電腦中快速定位某個IP的機器？如何批量管理、設置桌面電腦（如防火墻設置）？統(tǒng)一打補丁、統(tǒng)一設置安全策略、統(tǒng)一檢查可疑注冊表項等等如何對非法操作行為進行管理和監(jiān)控？撥號、安裝非法軟件、使用外部郵箱、BT下載、非法COPY文件如何發(fā)現(xiàn)網(wǎng)絡流量已經(jīng)有異常的電腦？它已經(jīng)被中招，或者正在破壞網(wǎng)絡的安全運行還有其它……桌面終端的軟件、硬件資產(chǎn)及配置統(tǒng)計，變更報告如何快速、批量安裝軟件，提高管理效率如何遠程維護，提高管理效率50桌面終端安全防護策略為什么今天終端安全管理問題如此重要越來越多的安全威脅：病毒、木馬、間諜件、黑客工具等單靠幾個設備、幾個產(chǎn)品解決安全問題的時代已經(jīng)過去解決安全問題是一個綜合系統(tǒng)工程（管理＋技術(shù)）’83’95’2002’2004’Now--’1999計算機病毒防病毒軟件Internet興起

外部網(wǎng)絡攻擊網(wǎng)關(guān)型防火墻代理服務器Internet攻擊加劇

DDoS攻擊蠕蟲病毒網(wǎng)關(guān)型防火墻安全漏洞掃描入侵檢測系統(tǒng)蠕蟲病毒泛濫變種蠕蟲病毒攻擊工具泛濫……網(wǎng)關(guān)型防病毒內(nèi)網(wǎng)防火墻個人防火墻SpyWare泛濫釣魚網(wǎng)站新病毒傳播通道MSN/QQ/注入式病毒內(nèi)部無線AP接入如何保護內(nèi)部網(wǎng)安全?階段攻擊目標安全威脅防護手段51桌面終端安全防護策略頻繁發(fā)生的安全事件原因分析認識上：對內(nèi)部網(wǎng)絡安全管理的重要性認識不足很多是從內(nèi)部桌面終端直接進入環(huán)境上：需要保護的對象太多/應用環(huán)境復雜桌面終端的數(shù)量太多，數(shù)以千計內(nèi)部人員計算機水平差距大，大量的訪客要求接入網(wǎng)絡技術(shù)上：缺乏有效的技術(shù)和管理手段不能及時掌握所有電腦系統(tǒng)的安全(漏洞)狀況不能及時發(fā)現(xiàn)被感染/攻擊/中招的電腦管理和技術(shù)手段脫節(jié)，令行禁不止投入上：資源投入限制不能為保障安全投入過多的資源和費用52桌面終端安全防護策略安全接入管理綜合型桌面管理產(chǎn)品集準入控制、安全管理、傳統(tǒng)桌面管理功能于一體以解決桌面安全管理問題為主，同時兼顧傳統(tǒng)桌面管理需求努力成為世界領先的終端安全管理產(chǎn)品系統(tǒng)安全文件安全傳統(tǒng)桌面管理(提升效率)網(wǎng)絡準入控制強制遵守組織安全策略禁止非法用戶隨意接入軟件部署資產(chǎn)發(fā)現(xiàn)使用監(jiān)控遠程維護設備定位防病毒管理補丁管理策略遵循漏洞管理安全加固外聯(lián)控制個人防火墻桌面終端安全防護策略一體化安全防御54桌面終端安全防護策略試圖訪問網(wǎng)絡的端點設備安全策略設置安全評估安全憑證檢驗網(wǎng)絡交換機防火墻安全策略部署實施服務器管理任務/指令下達安全策略創(chuàng)建/評估SNMPAgent系統(tǒng)構(gòu)成Agent非802.1x接入802.1x接入外來防火墻訪問控制桌面終端安全防護策略網(wǎng)絡準入控制效果建立終端接入管理機制注冊登記接入檢查安全隔離安全通知安全修復外來終端無法接入或自動進入訪客區(qū)不安全的終端訪問受限只能訪問指定的服務器和網(wǎng)絡＋準入控制認證服務器訪客區(qū)工作區(qū)修復區(qū)身份＋安全狀態(tài)+硬件ID桌面終端安全防護策略802.1x網(wǎng)絡準入控制技術(shù)外來電腦（無Agent）進入GuestVLAN不符合安全的桌面電腦進入修復區(qū)進行自我修復合法且符合安全要求的進入工作區(qū)＋Radius訪客區(qū)VLAN工作區(qū)修復區(qū)VLAN身份＋安全狀態(tài)+硬件ID802.1XVLAN動態(tài)切換EAPoverLAN57桌面終端安全防護策略EoU網(wǎng)絡準入控制技術(shù)EAPoverUDP認證通過ACL來控制終端訪問動態(tài)下載ACL和重定向URL依據(jù)終端身份及安全狀態(tài)終端可以通過HUB、無線AP、VPN接入只要中間有支持NAC-L2/3-IP的設備＋Radius訪客可訪問資源安全區(qū)資源修復區(qū)資源身份＋安全狀態(tài)+硬件IDEAPoverUDPACL訪問控制58桌面終端安全防護策略基于探測器的準入控制通過ARP干擾實現(xiàn)在網(wǎng)絡設備不支持802.1x或NAC-L2/3-IP的情況下作為其他網(wǎng)絡準入控制技術(shù)的補充未安裝Agent的終端接入網(wǎng)絡，可以對其HTTP訪問進行重定向59桌面終端安全防護策略一般部署Internet遠程接入分支機構(gòu)移動終端VPN接入Radius主Radius備應用服務器區(qū)后臺資源補丁服務器防病毒服務器應用服務器DB準入控制策略LDAP接入用戶賬戶故障故障故障60桌面終端安全防護策略防止非法傳送文件總體思路：技術(shù)＋管理＋威懾防止Copy方式外傳U盤使用監(jiān)管，禁止/審計將文件從終端COPY到U盤禁止/審計將文件從終端COPY到軟盤禁止/審計以共享方式COPY文件到其它計算機防止網(wǎng)絡傳送阻止/審計訪問外部的WebMail阻止/審計使用外部的SMTP/POP3服務器阻止/審計使用MSN/QQ傳送文件阻止本機終端開啟FTP等網(wǎng)絡服務(個人防火墻)61桌面終端安全防護策略安全策略管理（一）桌面終端安全檢查口令、屏幕保護、共享、加入Windows域可疑注冊表、可疑文件木馬、間諜件等往往會生成注冊表操作系統(tǒng)是否安裝了必要的補丁桌面系統(tǒng)的防病毒系統(tǒng)設置是否安裝了防病毒軟件病毒特征碼是否更新62桌面終端安全防護策略安全策略管理（二）桌面終端安全加固禁止危險進程、非法軟件的運行內(nèi)置雙向防火墻，網(wǎng)絡訪問控制訪問，控制桌面PC的訪問其它IP被訪問，控制其它IP訪問該桌面PC桌面終端操作系統(tǒng)的補丁安裝自動安裝、用戶手工安裝多種模式Windows的本地安全策略自動分發(fā)禁止桌面用戶修改注冊表、IP地址、IE的設置、添加網(wǎng)絡打印機等統(tǒng)一設置服務啟動方式，關(guān)閉不需要的服務63桌面終端安全防護策略安全策略管理（三）桌面終端操作監(jiān)管非法外聯(lián)行為的監(jiān)管(禁止或?qū)徲?Modem撥號USB大容量存儲設備GPRS無線網(wǎng)卡CDMA無線網(wǎng)卡無線以太網(wǎng)卡紅外藍牙同時使用兩個以上網(wǎng)絡端口特殊軟件的使用監(jiān)管(禁止或?qū)徲?MSN/QQBT/電驢訪問外部網(wǎng)站、郵件服務器的監(jiān)管(禁止或?qū)徲?軟件、硬件配置變更監(jiān)管(自動報告)管理員自行定義的白名單/黑名單軟件的監(jiān)管(禁止或?qū)徲?64桌面終端安全防護策略安全策略管理（四）網(wǎng)絡異常分析發(fā)現(xiàn)廣播、流量異常的終端，防止其破壞網(wǎng)絡安全管理員可以定義流量的行為模式支持：廣播、流量大小、TCP連接、端口掃描等異常檢測異常分析的意義發(fā)現(xiàn)被未知病毒、Spyware、木馬感染的計算機發(fā)現(xiàn)員工私自使用黑客或者網(wǎng)絡工具掃描、破壞網(wǎng)絡避免病毒、木馬快速擴散異常分析是LeagView的獨特功能65桌面終端安全防護策略集中控制、批量管理補丁管理軟件分發(fā)資產(chǎn)管理遠程監(jiān)控66桌面終端安全防護策略補丁管理補丁服務器自動獲取微軟系統(tǒng)補丁支持內(nèi)外網(wǎng)隔離支持中繼器補丁情況統(tǒng)計：包括全部補丁、已裝補丁、需裝補丁靈活的補丁安裝策略管理員可指定補丁安裝時間、安裝方式支持推（PUSH）和拉（PULL）支持快速安裝支持斷點續(xù)傳支持補丁測試、安裝授權(quán)客戶端可以看到哪些補丁可以安裝67桌面終端安全防護策略軟件分發(fā)支持自動強制安裝、交互式安裝等多種方式對安裝包格式無特殊要求非常靈活的安裝條件按照操作系統(tǒng)、軟件分組，按照部門、網(wǎng)段等可以設置策略避免網(wǎng)絡擁塞斷點續(xù)傳支持大規(guī)模分發(fā)流量控制下載時間通過算法隨機錯開支持中繼，二級接力詳細的查詢、統(tǒng)計、報表68桌面終端安全防護策略資產(chǎn)管理在線資產(chǎn)管理資產(chǎn)統(tǒng)計硬件資產(chǎn)統(tǒng)計軟件資產(chǎn)統(tǒng)計軟件、硬件資產(chǎn)變更報告CPU/內(nèi)存/硬盤/內(nèi)部插卡等的變化自動報告軟件配置變化自動報告資產(chǎn)編號管理與財務的資產(chǎn)管理融合69桌面終端安全防護策略遠程協(xié)助和管理遠程監(jiān)控強行監(jiān)控遠程協(xié)助需對方確認、不能修改密碼高級客戶端客戶端可以禁止遠程協(xié)助，可以修改密碼70桌面終端安全防護策略數(shù)據(jù)防泄密桌面終端安全防護策略數(shù)據(jù)泄密現(xiàn)狀分析-公司痛點第一：昨天剛放在公司知識管理系統(tǒng)或ISO管理系統(tǒng)上的SOP文件，今天就出現(xiàn)在百度文庫上。第二：公司花了許多時間及金錢開發(fā)的新產(chǎn)品，卻在產(chǎn)品上市時，即遇到競爭對手一模一樣的產(chǎn)品。原來設計圖早已外流。第三：公司員工在外出差時，不慎將移動硬盤遺失，硬盤內(nèi)有許多公司內(nèi)部的重要機密文件。第四：寄送郵件時，不慎將重要機密文件，寄給錯誤的收件者。第五：員工將筆記本帶回家工作，卻不慎遭黑客入侵，導致公司機密文件外泄。第六：離職員工將機密文件帶到下一個公司、或者另外開設一家公司，與前公司進行商業(yè)競爭。桌面終端安全防護策略數(shù)據(jù)泄密現(xiàn)狀分析-新聞案例July,2010維基解密的網(wǎng)站在《紐約時報》《衛(wèi)報》和《鏡報》配合下，在網(wǎng)上公開了多達9.2萬份的駐阿美軍秘密文件Jan,2011《環(huán)球時報-環(huán)球網(wǎng)》報道：法國著名汽車公司雷諾6日宣布，該公司3名“處于戰(zhàn)略重要地位”的高管涉嫌將電動汽車商業(yè)機密外泄，被無限期停職。July,2011香港警隊泄密戰(zhàn)術(shù)訓練手冊網(wǎng)上任下載July,2011百度文庫曝千名業(yè)主信息上海警方抓獲2泄密嫌犯今年５月，從事保險工作的袁某將一份含有東方城市花園一期１７００余名業(yè)主個人信息的文檔上傳到百度文庫，用以交換下載其他文檔。桌面終端安全防護策略百度文庫大量泄露用戶信息：準確率達50%桌面終端安全防護策略數(shù)據(jù)泄密現(xiàn)狀分析-調(diào)研報告《了解21世紀IT環(huán)境的安全復雜性》的全球調(diào)研報告by波耐蒙研究所(PonemonInstitute)Feb,2011去年有77%的受訪機構(gòu)曾遭遇數(shù)據(jù)泄漏數(shù)據(jù)泄漏的主因是設備丟失或被盜其次為網(wǎng)絡攻擊、不安全的移動設備、Web2.0和文件共享應用程序，以及無意地發(fā)送電子郵件給錯誤的收件人。最易泄漏的數(shù)據(jù)類型是客戶信息和知識產(chǎn)權(quán)最常丟失的信息類型包括客戶信息(52%)、知識產(chǎn)權(quán)(33%)員工信息(31%)公司計劃(16%)。該調(diào)研訪問了2,400多名IT安全管理人員桌面終端安全防護策略保護機密文件的宗旨桌面終端安全防護策略機密文件管控示意業(yè)務助理阿美業(yè)務部門文件業(yè)務同仁可編輯可打印研發(fā)部門文件如新產(chǎn)品規(guī)格表研發(fā)部門人員可修改可打印其他部門人員只讀人事財務部門文件如財報、薪資表非人事財務部門人員皆不可閱讀桌面終端安全防護策略機密文件管控模式桌面終端安全防護策略機密文件管控模式桌面終端安全防護策略實現(xiàn)模式1.身份確認2.下載密鑰上傳使用政策ClientAgent

管理服務器ClientAgent文件管理者/政策制定者-編輯文件-制定文件-加密閱讀者-文件解密文件可儲存在網(wǎng)站服務器、文件服務器、光盤、磁盤，或者以e-mail方式傳送儲存文件使用政策DatabaseAccountsystem桌面終端安全防護策略演示桌面終端安全防護策略個人計算機安全小技巧桌面終端安全防護策略用戶口令安全選擇強口令 不要使用姓名、生日以及它們的簡單組合作為口令 口令應該保證一定的長度和復雜度 長度最好在8位以上 最好包含大小寫字母、數(shù)字和其它字符的組合桌面終端安全防護策略選擇強口令 易記并且強度高密碼推薦： 1.以符號隔開的短句，如：

I＃Want#Apple 2.長句的首字母

Wiwy,ilttr. WhenIwasyoung,Ilistenedtotheradio. 3.詩詞的首字母

cqmyg##ysdss(床前明月光，疑是地上霜)用戶口令安全桌面終端安全防護策略啟用密碼策略 使用Windows2000中的賬號策略設置： 1.啟用密碼的復雜性要求 2.限制密碼的最小長度 3.設定密碼的最大存留期 4.設置賬號的鎖定次數(shù) 5.設置賬號的鎖定時間

用戶口令安全桌面終端安全防護策略其它建議 1.新建一賬號，賦予administrator權(quán)限，給該賬號設置一個強的口令； 2.將原來的administrator賬號改為普通用戶； 3.禁用系統(tǒng)的guest賬號； 4.在多用戶系統(tǒng)，為了保證其它用戶賬號不存在弱口令，系統(tǒng)管理員可以采用密碼審計工具進行模擬的破解分析。用戶口令安全桌面終端安全防護策略IP安全策略的啟用啟用本機的IP安全策略

可以實現(xiàn)對本機的簡單訪問控制。 示例：禁止其它系統(tǒng)對本機的Ping操作 如果IP安全策略提供的控制不符合要求，可以考慮采用個人防火墻系統(tǒng)。桌面終端安全防護策略收發(fā)郵件的安全 郵件病毒：愛蟲、Sircam、Nimda、……

安全目標：1.避免感染計算機病毒或木馬程序2.避免通過郵件發(fā)送的機密文件被網(wǎng)絡竊聽桌面終端安全防護策略郵件病毒的機理1.利用IE瀏覽器存在的MIME漏洞來實現(xiàn)。2.當IE在解釋郵件時，由于未能正確處理“Content-Type:audio/x-wav;”，導致附件自動下載，而且更為嚴重的是下載結(jié)束后自動打開附件，整個過程中并不提示用戶，這就導致病毒自身獲取本地權(quán)限執(zhí)行附件內(nèi)容。

桌面終端安全防護策略郵件病毒的防范1.運行防病毒軟件，實現(xiàn)實時的病毒檢測；2.在進行病毒檢測之前不要運行郵件的附件；3.對IE和OutlookExpress進行安全設置；4.對IE和OutlookExpress進行安全升級修補安全漏洞；5.針對由腳本編寫的附件型郵件病毒，可以將vbs、js的文件關(guān)聯(lián)到“記事本”。桌面終端安全防護策略IE和OutlookExpress安全設置

1.打開InternetExplorer 2.依次用鼠標點擊：工具

Internet選項安全 3.點擊受限站點，查看其安全級別是否為高 4.打開OutlookExpress 5.依次用鼠標點擊：工具選項…安全 6.將“安全區(qū)域”設置為“受限站點區(qū)域”郵件病毒的防范桌面終端安全防護策略文件關(guān)聯(lián)重定向打開資源管理器依次點擊：工具文件夾選項在擴展名離查找后綴為vbs、vbe、js、jse的條目用鼠標選中該條目，點擊更改，在出現(xiàn)的打開方式對話框中查找記事本，然后選擇確定郵件病毒的防范桌面終端安全防護策略避免郵件中的附件被網(wǎng)絡竊聽在將附件利用郵件進行傳送前進行加密

對于Word、Excel文檔，可以用系統(tǒng)本身的加密功能進行加密；對于其它文件，可以采用Winzip進行加密；如果安全要求高，可以安裝PGP套件。桌面終端安全防護策略郵件防病毒小技巧（1）病毒感染OE后，會從通訊簿里按照字母順序分別向聯(lián)系人發(fā)送帶毒郵件。解決技巧： 可以在OE的通訊簿中加入一個名為“!0000”的聯(lián)系人。如果感染病毒，OE從通訊簿中首先選取“!0000”，而“!0000”是一個無效的地址，發(fā)送失敗，OE就會放棄繼續(xù)發(fā)送，從而有效地防止病毒的入侵。桌面終端安全防護策略很多嵌入在HTML格式郵件中的病毒代碼會在預覽的時候執(zhí)行。絕大多數(shù)的郵件型病毒是由VBScript和JScript編寫的，或是在HTML格式郵件中嵌入Script，可以通過下列方法禁止執(zhí)行VBScript(JScript)文件防治郵件型病毒。對于Win9X系統(tǒng)，在Windows目錄找到WScript.exe和JScript.exe，更改其名稱或者干脆刪除對于WindowsNT4.0以上系統(tǒng)，可以通過控制面板中“添加/刪除程序”項來安全刪除WSH。郵件防病毒小技巧（2）桌面終端安全防護策略

1.微軟IE的一些版本存在安全漏洞，可能導致用戶在瀏覽網(wǎng)頁時泄漏信息設置下載并運行惡意代碼；2.網(wǎng)頁中的ActiveX控件從而可以創(chuàng)建任意文件，修改注冊表，甚至可以下載并運行惡意軟件。瀏覽網(wǎng)頁安全桌面終端安全防護策略安全措施

1.IE升級2.設置IE安全級別3.禁用不安全的ActiveX對象4.禁用

對象瀏覽網(wǎng)頁安全桌面終端安全防護策略禁用不安全的使用

對象1.依次點擊“開始”“運行”2.鍵入命令regsvr32scrrun.dll/u3.點擊確定瀏覽網(wǎng)頁安全桌面終端安全防護策略瀏覽網(wǎng)頁安全禁用不安全的ActiveX控件可能帶來訪問網(wǎng)頁的問題：頻繁