遠(yuǎn)離不明對象安全攻擊

預(yù)防訪問不明軟件

在使用Windows系統(tǒng)自帶IE瀏覽器上網(wǎng)訪問網(wǎng)頁時，我們有時會看到這樣的提示信息:某個腳本程序正在系統(tǒng)后臺悄悄訪問當(dāng)前網(wǎng)頁背后的不明軟件，如果不明軟件已經(jīng)被標(biāo)注為安全腳本頁面，那倒沒什么問題，但如果不明軟件屬于惡意程序，那這會給本地系統(tǒng)的運行帶來安全威脅。

為了預(yù)防IE瀏覽器訪問到包含惡意攻擊的不明軟件，我們可以對IE瀏覽器進(jìn)行如下設(shè)置，限制其訪問那些沒有標(biāo)記為可安全執(zhí)行腳本的網(wǎng)頁內(nèi)容:首先打開IE瀏覽器窗口，依次點擊“工具”、“Internet選項”命令，彈出Internet選項設(shè)置對話框，點擊“安全”標(biāo)簽，在對應(yīng)標(biāo)簽頁面的“ActiveX控件自動提示”位置處，選擇“禁用”選項。

接著在“ActiveX控件和插件”位置處，將“對標(biāo)記為可安全執(zhí)行腳本的ActiveX控件”選項設(shè)置為“啟用”（如圖1所示），將“對未標(biāo)記為可安全執(zhí)行腳本的ActiveX控件”設(shè)置為“禁用”，單擊“確定”按鈕保存設(shè)置操作。這樣，IE瀏覽器日后就不會輕易訪問潛藏在網(wǎng)頁背后的不明軟件了。

圖1 將選項設(shè)置為啟用

預(yù)防不明用戶連接

為了預(yù)防局域網(wǎng)中的不明用戶遠(yuǎn)程連接本地服務(wù)器系統(tǒng)，我們可以加強對遠(yuǎn)程桌面連接用戶的身份進(jìn)行審核，以便將不明用戶阻擋在外。在對不明用戶身份進(jìn)行審核時，不妨嘗試通過“SecureRDP”外力工具，來過濾各種形式的遠(yuǎn)程用戶連接，包括進(jìn)行主機名稱過濾、客戶端版本過濾、連接時間過濾、IP地址過濾、網(wǎng)卡物理地址過濾等操作，經(jīng)過不同層次的過濾后，那些不明用戶將會無法實施遠(yuǎn)程攻擊，那么服務(wù)器系統(tǒng)的安全性就能得到保證了。

在使用“SecureRDP”工具預(yù)防不明用戶連接時，先將該工具下載安裝到本地服務(wù)器系統(tǒng)中，并開啟它的運行狀態(tài)，彈出主程序窗口，選擇“Logon Filters”面板中的“IP Address”選項卡，在對應(yīng)選項設(shè)置頁面中，將“Enable IP Address Filter”選中，成功激活“SecureRDP”工具內(nèi)置的IP地址過濾功能。點擊“Add”按鈕，進(jìn)入地址過濾添加框，將“Logon Disabled”選中，輸入不明用戶的計算機IP地址。再選中“Logon enabled”選項，將合法用戶使用的計算機IP地址輸入進(jìn)來，要是合法用戶的計算機IP地址位于同一個工作子網(wǎng)，只要在“From”、“To”位置處分別輸入指定子網(wǎng)的開始結(jié)束地址，要想輸入單臺計算機IP地址時，可以在“From”位置處輸入特定IP地址，在“To”位置處不輸入任何內(nèi)容即可。這樣，“SecureRDP”工具日后就能對遠(yuǎn)程連接用戶的IP地址進(jìn)行過濾了。

圖2 過濾遠(yuǎn)程連接用戶主機名稱

圖3 返回的結(jié)果信息

要過濾遠(yuǎn)程連接用戶的主機名稱時，只要切換到“Logon Filters”面 板 的“Computer Name”選項設(shè)置頁面，將“Enable computer name Filter”選中（如圖2所示），成功激活“SecureRDP”工具內(nèi)置的主機名稱過濾功能。接著按下“Add”按鈕，彈出計算機過濾設(shè)置框，輸入不明用戶所使用的計算機名稱即可。值得注意的是，“SecureRDP”工具允許使用通配符功能來進(jìn)行過濾主機操作，合理利用這項功能可以靈活定制過濾范圍，改善主機過濾效率，預(yù)防不明用戶隨意與服務(wù)器系統(tǒng)建立遠(yuǎn)程桌面連接。

對允許遠(yuǎn)程連接的用戶來說，我們還可以使用時間過濾功能，限制它們的操作時間，以保證服務(wù)器系統(tǒng)始終高效運行。在主程序界面的“Logon Filters”面板中，點擊“Time Restriction”選項卡，選中該選項設(shè)置頁面中的“Enable Time Restriction Filter”選項，啟用時間限制功能，同時定義好合適的遠(yuǎn)程桌面連接時間。如果允許合法用戶任何時間都能進(jìn)行遠(yuǎn)程連接時，可以將“All day”選中，要設(shè)置特定的遠(yuǎn)程連接時間時，只要先選中“Between x and x”選項，再定義好正確的時間范圍即可。經(jīng)過上述設(shè)置操作后，依次點擊“SecureRDP”操作 界 面 中 的“file”、“Apply Configuration”命令，讓上述設(shè)置參數(shù)立即生效。

預(yù)防不明會話連接

有的時候，我們會發(fā)現(xiàn)服務(wù)器系統(tǒng)的運行速度突然變慢，在排除手工運行程序等因素外，遇到這類問題，很可能是服務(wù)器系統(tǒng)正在遭受不明會話連接。為了預(yù)防這種不明會話連接繼續(xù)威脅服務(wù)器系統(tǒng)的穩(wěn)定運行，我們可以利用Windows系統(tǒng)內(nèi)置的“net session”命令，切斷已經(jīng)存在的不明會話連接。

在切斷不明會話連接之前，要先查看一下本地系統(tǒng)的會話狀態(tài)。依次點擊“開始”、“運行”選項，彈出系統(tǒng)運行文本框，輸入“cmd”命令并回車，打開MS-DOS工作窗口。在該窗口命令提示符下，執(zhí)行“net session”命令，從返回的結(jié)果信息中（如圖3所示），可以一目了然地看到本地系統(tǒng)的會話連接狀態(tài)。當(dāng)發(fā)現(xiàn)有不明會話連接時，可以使用“net session”命令的“/delete”參數(shù)，強行斷開自己不熟悉的會話連接，以避免該系統(tǒng)遭遇惡意攻擊。

例如，當(dāng)看到一臺計算機名稱為“abc”的陌生計算機與本地建立會話時，為了預(yù)防它影響系統(tǒng)運行安全，可以通過“net session \abc /delete”命令，強制切斷“abc”計算機的會話連接，同時關(guān)閉由該會話打開的數(shù)據(jù)文件。值得注意的是，要是上述命令沒有指定計算機名稱，直接執(zhí)行字符串命令“net session /delete”時，那么與本地計算機建立的所有會話都會被強行斷開。當(dāng)然，在使用“net session”命令斷開特定會話連接前，建議用戶要保持慎重，因為這項操作容易帶來數(shù)據(jù)丟失風(fēng)險。

圖4 篩選設(shè)置框

圖5 選中“已啟用”選項

預(yù)防不明網(wǎng)站攻擊

在上網(wǎng)瀏覽網(wǎng)頁的時候，經(jīng)常會誤入一些不明網(wǎng)站，潛藏在該網(wǎng)站背后的病毒、木馬程序，可能會在悄無聲息中對本地系統(tǒng)發(fā)動攻擊。為了預(yù)防不明網(wǎng)站攻擊，我們可以巧妙利用IE瀏覽器自帶的SmartScreen篩選器功能，智能審核當(dāng)前正在訪問的陌生網(wǎng)站是否安全。

當(dāng)成功啟用SmartScreen篩選器功能后，它會智能判斷當(dāng)前正在訪問網(wǎng)頁有沒有可疑行為，如果探測到不明網(wǎng)站會產(chǎn)生一些危險操作，例如，自動執(zhí)行下載安裝操作，或悄悄竊取用戶上網(wǎng)隱私，SmartScreen篩選器功能會自動發(fā)出警報，提示用戶小心操作。而且，該功能還會根據(jù)已經(jīng)生成的惡意網(wǎng)站黑名單，判斷當(dāng)前正在訪問網(wǎng)站和下載文件是否在列表中，一旦匹配的話，它會智能顯示紅色警告，告訴用戶為了安全起見已攔截該網(wǎng)站。

一旦看到IE瀏覽器的SmartScreen篩選器功能被停用時，不妨手工啟用它，來預(yù)防不明網(wǎng)站攻擊。只要先啟動IE瀏覽程序，逐一選擇“工具”、“SmartScreen篩選器”、“啟用SmartScreen篩選器”選項，就能成功開啟篩選檢查功能。當(dāng)該功能已被運行時，選擇IE瀏覽器工具菜單項中的“關(guān)閉SmartScreen篩選器”命令，進(jìn)入如圖4所的篩選設(shè)置框。在這里可以將不明站點手工提交到惡意網(wǎng)站列表中，等Microsoft公司審核確認(rèn)后，其他用戶再次訪問相同的不明站點時，SmartScreen功能將會智能提醒用戶。逐一選擇“工具”、“SmartScreen 篩 選 器”、“報告不安全網(wǎng)站”選項，在其后界面中能看到SmartScreen篩選器的網(wǎng)站報告信息。

預(yù)防下載不明程序

一些身份不明的程序，有時不經(jīng)過用戶的同意，會自動利用系統(tǒng)的一些漏洞，下載保存到本地計算機硬盤中。為了預(yù)防不明程序的下載安全威脅，我們不妨采取下面的措施，堵住一切可能引起自動下載的安全漏洞:

首先培養(yǎng)自己到合法站點下載的習(xí)慣。所謂合法站點，主要包括政府機關(guān)、企事業(yè)單位的官方站點，或者市面上一些知名度較高的站點，這些站點背后潛藏有不明程序的可能性不大，最多也就是多一些讓人討厭的廣告或宣傳畫面，不過它們幾乎不會出現(xiàn)自動下載的現(xiàn)象。其次關(guān)閉瀏覽器的自動下載功能。例如，在使用IE瀏覽器瀏覽站點時，只要逐一點擊“工具”、“Internet選項”命令，切換到Internet選項設(shè)置對話框，點選“安全”選項卡，在對應(yīng)選項設(shè)置頁面中單擊“自定義級別”按鈕，彈出自定義安全設(shè)置頁面。將“文件下載”選擇為“禁用”，單擊“確定”按鈕退出設(shè)置對話框，就能限制不明程序的自動下載操作。

在同時安裝有多個不同類型瀏覽器的情況下，可以嘗試關(guān)閉瀏覽器下載進(jìn)程，來堵住自動下載漏洞。依次點擊“開始”、“運行”命令，展開系統(tǒng)運行對話框，輸入“gpedit.msc”命令并回車，打開組策略編輯窗口。在該編輯窗口左側(cè)列表中，逐一點擊“本地計算機策略”、“計算機配置”、“管理 模 板”、“Windows組 件”、“Internet Explorer”、“安全功能”、“限制文件下載”分支選項，找到“所有進(jìn)程”組策略，用鼠標(biāo)雙擊之，選中其后界面中的“已啟用”選項（如圖5所示），確認(rèn)后返回即可。