構筑更安全的樂園--Windows安全解決方案解析

2003年，Windows用戶經歷了“黑色8月”。8月11日，“沖擊波”(Blaster)病毒爆發，全球約有12.4萬臺Windows 2000/XP系統感染該病毒; 8月20日，名為“Sobig F”的新型蠕蟲病毒變種開始泛濫，它通過郵件系統在Windows網絡中迅速傳播，蹤跡遍布全球60余個國家。兩次利用Windows系統漏洞橫行霸道的病毒，再一次把Microsoft推上了風口浪尖。

每次病毒的大規模爆發，似乎都給Microsoft狂念了一通“緊箍咒”。去年，在天才少年和老牌黑客密集攻擊下，Windows的2003磕磕絆絆。截至2003年12月31日止，Microsoft主頁所發布的安全公告已達51次。此情此景，讓用戶開始重新審視Windows的安全問題。轉眼間進入了2004年，在辭舊迎新的日子里，《微電腦世界》將再次就此展開討論，為您剖析基于Windows的可行性安全解決方案，希望通過大家的共同努力，建立起更安全的Windows樂園！

4個看似與安全無關的話題，卻是用戶長久以來的疑問，在Windows安全的問題上，它們是用戶思想的必經之路。而在剛剛過去的2003年，這些問題重新變得清晰，同時還有了些新的變化。雖然其中的一些未免老生常談，但是在沒有找到最完美的答案之前，我們還要不斷追尋下去……

求證4個問題

1．怎樣看待頻繁出現的安全漏洞？

人們通常將那些可能引發安全問題的軟件瑕疵稱為“安全漏洞”，這一稱呼是相當形象的，他們所導致的后果可能非常嚴重，比如系統被非法入侵、數據丟失等。其實，定義一個讓多方都能夠認同的安全漏洞并不是一件簡單的事，因為并不是所有的安全問題都可以歸結到安全漏洞的層面，很多安全問題的產生是由于用戶的不規范操作或者歷史因素所造成的。舉個例子，在Windows 2000/XP的管理共享功能中，由于安裝者將管理員密碼設定為空或弱密碼，而導致他人通過管理共享入侵系統，就不能被劃定為安全漏洞范疇，用戶操作的不規范才是問題產生的主要因素。另外，FTP使用明文傳遞密碼也不能稱之為安全漏洞，因為這是FTP協議制定時慣用的做法?？偟膩碚f，那些與用戶操作無關，且非歷史因素造成的軟件安全問題，才能夠被定義為安全漏洞。

2．安全漏洞是Windows的專利嗎？

安全漏洞是在軟件編寫過程中遺留下來的。軟件的編寫是一項極其龐大的工程，像一些大型軟件的開發，其代碼行數以千萬計，參與開發的人員也要數千人，由于精力所限或者是在開發過程中協調不夠，軟件在發布后往往會發現存在安全漏洞。需要說明的是，安全漏洞并不僅僅出現在Windows系統之中，在其他非Microsoft軟件產品中，安全漏洞同樣存在，只不過Windows的安全漏洞更容易被其龐大的用戶群放大而已。另外，那些運行在Windows系統之上的應用軟件，在其安全漏洞被他人利用后，也可以自上而下地破壞和攻擊底層的Windows系統。需要注意的是，那些非Windows的系統(比如Linux和Unix系統)也不是沒有漏洞的，它們同樣也會出現各式各樣的安全問題，例如感染病毒、遭受木馬程序和蠕蟲的攻擊等。

既然安全漏洞分布的范圍如此廣泛，那么為什么大家一提到安全漏洞總是最先想到Windows呢？其原因主要體現在三個方面: 一是操作系統受到的安全威脅與它的普及程度密切相關。Windows在桌面領域的優勢不容質疑，而在服務器端操作系統中，它同樣占據了相當客觀的市場份額，因此它的安全問題所影響的人群會更加廣泛，同時引發的關注也就越多; 二是用戶應用水平的不同所造成的。前面提到，Linux和Unix同樣存在著安全漏洞，但是由于其管理者普遍的應用水平較高，在系統出現安全問題時往往能夠應對自如。而Windows用戶則涵蓋了服務器端的IT管理人員、桌面辦公用戶以及家庭消費者，他們的應急處理能力參差不齊，很多用戶的安全意識相對淡薄，對于突發事件的反應比較遲緩，往往不能適時地采取必要的防范手段，從而導致了嚴重的后果; 最后，對于那些別有用心的電腦黑客來說，Windows確實是最美味的蛋糕。攻擊Windows系統，黑客們可以輕而易舉地將所制造的危害最大化，實現他們一夜之間臭名遠揚的夢想，其他的操作系統目前很難給他們提供這樣的機會。

3．Windows與Linux/Unix哪個更安全？

混亂平息之后，人們總是習慣性地比較Windows、Linux與Unix的安全性。而Windows和Linux兩大陣營的廠商恐怕又開始了激烈的辯論。在唇槍舌劍的氣氛中，各式各樣的理論充斥其中，往往更讓用戶迷惑。其實，無論是對于專業人士，還是普通用戶，都很難找到最準確的答案。

信息安全涉及的領域十分寬泛，在IT領域，針對不同系統的安全暫時還沒有統一的測試標準。雖然，目前也有一些常用的安全評定標準(例如美國國家安全局所頒布的可信任計算機系統評量標準)，但是在全球范圍內，它的推廣力度還十分有限，在很多國家的本地化進程也不夠深入。因此，只能作為用戶在軟件采購過程中的參考。

針對Windows和Linux/Unix系統的安全性問題，筆者查閱了一些第三方機構的研究報告。從CERT所公布的安全漏洞列表看來，從2001年開始，Linux/Unix平臺每年都有一定數量的安全漏洞出現，并呈現逐年遞增的趨勢。但是由于用戶數量和應用水平的不同，現階段Linux/Unix系統安全漏洞的影響范圍還十分有限。但是，隨著版本多樣性的逐漸減弱，它們的安全隱患會逐漸暴露出來。也就是說，以往只有在Windows系統中才能大面積爆發的安全問題，不久在Linux/Unix中也有可能出現了。

毋庸置疑，Linux因內核公開而被公認為比Windows開放。但是，操作系統的開放性和安全性能否畫等號呢？答案是否定的。Aberdeen公布的研究報告顯示，開放源代碼的操作系統和Mac OS X這樣的Unix系統并不像人們想像的那樣安全，它們同樣也存在著安全漏洞。今天，我們很難比較Windows、Linux、Unix究竟哪個更安全，可以肯定的是Windows的安全問題所造成的影響會更大。

4．用戶有必要因為安全問題而放棄Windows嗎？

曾經聽到Microsoft狂熱的支持者喊出他的誓言: “愛它就要包容它的全部！”，Linux迷們恐怕也有相同的看法吧。但有趣的是，筆者很少見到有人從一個Windows用戶變成徹頭徹尾的Linux Fans，也沒有見過Windows用戶徹底放棄他最初的選擇。在你來我往的紛爭中，用戶竟然成為了最堅定的因素。會不會放棄Windows？這似乎是媒體更加關心的話題。

的確，Windows的安全性近來飽受質疑。但是看看Linux/Unix陣營中的情況如何呢？2003年9月，在“沖擊波”和“SobigF”爆發后不久，CERT公布了兩種非Windows系統的安全漏洞。其中一個存在于Sendmail軟件中，另一個是基于Unix系統的名為OpenSSH漏洞，它所造成的惡劣影響與“沖擊波”相比不相上下，已經或可能殃及Cisco、RedHat、Sun和IBM等公司的產品。他們的出現從另一個角度策動了新一輪關于軟件安全的爭論，微軟和開源系統又一次針鋒相對。

其實，絕對的“安全”并不存在。IT用戶最終需要的并不是一個密不透風的“鐵桶陣”，而是一個適合自身業務應用的工作平臺。在個人桌面端，Windows出色的易用性牢牢鎖住了用戶的心; 在服務器領域，Windows的易操作、Unix的嚴謹和Linux的開放三分天下。到現在為止，還沒有產品能夠在易用性和開放性之間實現最完美的平衡。這也就注定了在一段時間之內，用戶依然會沿著目前的道路走下去。Windows用戶不必因此失去信心，Linux用戶也要繼續堅持。同時，軟件供應商今天的努力決定了用戶明天的選擇。我們看到，Linux廠商在改善產品易用性方面進行了很多努力，而Microsoft也宣稱Windows Longhorn版本將在安全性方面邁出一大步。但是，在這些努力變成現實之前，任何以偏概全的辯白都顯得那么蒼白無力。

在多元化的今天，選擇可能成為一種負擔。關于軟件安全的每次爭論，都是對用戶信心的考驗。對于用戶來說，在一切尚未塵埃落定之前，利用好現有的系統和軟件，使之更好地為企業服務，才是最現實的選擇。在這個過程中，人的作用是決定性的。無論您選擇了什么樣的操作系統，管理和維護方式將最終決定它將以什么樣的狀態去為您服務。當外界的紛爭漸漸散去，企業的IT管理能力成為扭轉信息系統安全狀況的關鍵！

加強信息系統的安全管理，是目前解決軟件安全問題最精準的答案了。既然“安全”是相對的，那么我們就需要通過管理和維護將這種相對性提升到最高的水平。本次專題就將與您一同解析基于Windows的企業安全解決方案，并為個人用戶提供實際的安全操作指導。而對于企業來說，這些還遠遠不夠，完善的企業安全策略是解決方案能否成功的首要條件。

企業安全策略談

下面我們將主要圍繞企業級Windows的安全策略進行討論。需要說明的是，將本次專題定位于Windows倒不是因為它有多強大，主要的原因是今天任何一個企業都很難把Microsoft排斥在外，其信息系統都或多或少地包含了一些Microsoft元素，況且下面所討論的很多內容對于其他系統的用戶同樣具有借鑒意義。

一、技術為先

對于一個企業，它的安全策略首先應該是立體的，從網絡邊界的防火墻，到內部的防病毒體系和補丁修復系統，都是最基本的安全防范措施。下面就為您列出4種主要的Windows安全管理手段，它們多少有些老生長談，但在沒有找到更好的解決方法之前，它們仍然是我們組建Windows安全體系的最佳準則。

1．讓防火墻真正發揮作用

無論是企業或是個人，防火墻都是非常必要的。在IT系統與Internet相連的必經之路上，它是抵御外來入侵、保衛系統安全的大門。不過，是鋁合金的防盜門，還是木質柵欄門，就與防火墻主人的配置和使用能力密切相關了?，F實的情況是，很多用戶認為購買并安裝了防火墻就高枕無憂了。事實上，這是極端危險的。在“沖擊波”泛濫時，很多安裝了防火墻的企業同樣遭受到攻擊就是這個道理。其中，防火墻配置的不到位是造成這一狀況的主要原因。

在此我們不會與您詳細討論不同種類防火墻的配置問題，只希望能夠讓每個用戶都意識到這個問題的緊迫性。無論您使用的是Microsoft ISA Server，還是其他第三方產品，都需要通過合理配置來提升它的工作效能。在具體的防火墻配置過程中，大致需要注意以下幾點: (1)安全級別的定義。安全級別越高，就會禁用越多的系統服務和通信端口，也就意味著用戶在使用上所獲得的自由就越少。網絡管理員需要根據實際應用的需要，綜合考慮選擇適宜的安全級別; (2)定制必要的服務選項。對于那些用戶很少使用，但卻存在重大的安全隱患的服務，我們應該毫不猶豫地關閉它們。比如Telnet，它采用不加密的通信方式，很容易成為黑客們攻擊系統的捷徑。(3)建立完善的過濾和監測機制。這樣即便外來攻擊發生，也能迅速找到入侵的原因和經過，及時采取彌補措施。

另外，需要提醒一下Windows XP的用戶，Microsoft已經在該系統中內置了個人Internet連接防火墻——ICF(Internet Connection Firewall)，如果您還沒有啟用它，那么請盡快讓它發揮作用。比較遺憾的是，目前ICF的默認在“未啟動”狀態，用戶必須通過手工操作來選中該功能。不過，在即將發布的Windows XP SP2中，Microsoft會將其默認狀態更改為“啟動”狀態。

2．及時升級和更新

在沒有找到更好的方法之前，及時升級和更新軟件是對付安全漏洞的最有效手段，Windows用戶尤其如此。在Microsoft專業開發者大會(PDC 2003)上，Bill Gates表示，從以往的經驗來看，用戶只要合理地配置防火墻，并及時進行軟件升級，就可以遠離病毒和蠕蟲的侵擾。

目前，Microsoft發布的補丁程序大致分為2種，即Hotfix和Service Pack。前者是專門針對某一具體安全問題的修復程序，在Hotfix補丁積累到一定數量后，Microsoft會將這些補丁打包成為Service Pack補丁包，其中還包括了一些服務插件。它們與Windows的安全密切相關，因為安裝了Hotfix和Service Pack的系統不一定安全，但沒有安裝這些補丁程序的系統一定不安全。

為了保證Windows的及時更新，請經常運行“開始”*“程序”*“Windows Update”，連接到Windows Update站點檢查更新狀況。對于桌面用戶來說，Windows Update是最容易忽視的操作，雖然只需要幾次鼠標點擊，但用戶卻往往不清楚如何操作，有的即便知道也很少使用。這些未能及時升級的電腦一旦連接到局域網中，就會成為挑戰企業信息安全的“大敵”。因此，怎樣讓Windows桌面用戶及時升級，已經成為了廣大網管員最為頭痛的問題。好在目前這一狀況有望得到改善，在Windows Server 2003中，Microsoft為用戶提供了免費的軟件更新服務(Software Update Service，簡稱SUS)。它適用于中小型Windows網絡，用戶可以通過它在服務器端下載最新Hotfix和Service Pack程序，并分發給網絡中每個用戶手中，很好地解決了局域網中的Windows更新問題。Windows 2000的用戶也可以免費使用這一服務，本文的后半部分就將詳細介紹SUS的部署和使用方法。

3．防毒軟件

防毒軟件為我們布下了天羅地網，讓您的Windows具有了抵御病毒的“免疫力”。如果您到現在還沒有安裝防病毒軟件，那么就是非常不負責任的行為了。因為在Windows病毒肆虐的日子里，這些惡性病毒會在短時間內迅速感染您親友和同事的電腦，甚至可能殃及到您地址列表中所有的聯系人。

至于安裝什么防毒軟件，就取決于用戶的實際情況了。對于那些有資金實力的用戶，不妨選擇Norton AntiVirus這樣功能全面的防毒軟件; 而那些資金有限、且很少連接到Internet的用戶也可以使用Grisoft AVG 6 Anti-Virus System這樣的免費防毒軟件，同樣可以獲得比較好的效果。

4．安全檢查列表

Windows的易操作性至今無人超越，但同時它開放了過多的系統服務和通信端口，無形中帶來了安全危機。以往的事實證明，這些通常是黑客們長驅直入的主要通道。例如，在Windows 2000系統中，IIS在默認狀態下自動啟動，大多數桌面用戶并不使用它所提供的Web服務功能，但由于沒有及時關閉該功能，很多用戶遭受到了黑客的攻擊。

因此，在Windows安裝完畢后，用戶應該及時關閉那些不必要的系統服務和用戶賬號，以便在不影響應用的前提下獲得最大的安全保障。為此，Microsoft為各個版本的Windows用戶提供了內容詳實的安全檢查列表(CheckList)，進入http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/chklist/default.asp 站點即可查找到相關的列表。Windows桌面用戶也可以參考本刊2003年第16期《Windows服務“輕裝總動員”》一文，來定制自己需要的服務，這樣不僅提升了系統的安全性，還可以加快Windows的運行速度。需要說明的是，安全檢查列表中的操作對于用戶來說并不復雜，關閉的某些功能也不會帶來使用上的障礙，只是目前很多用戶還不清楚怎樣使用它，或者說還未養成良好的習慣。在本文的后半部分，我們就將圍繞一個典型的安全檢查列表，為您講述其具體的配置過程。

5．數據備份

一定要養成日常備份的好習慣，這樣即便是遭到了災難性的打擊，也能做到“手中有糧，心中不慌”。目前，Windows病毒大多以干擾系統運行為目的，專門破壞硬件的病毒并不多見。因此，只要合理地分配自己的硬盤空間、適時地備份數據，個人用戶完全可以坦然面對病毒的侵害。企業用戶則需要建立一套完善而系統的備份機制，并且定期將數據備份到磁帶機、網絡存儲服務器等專門的存儲設備中。在系統備份軟件方面，PowerQuest Drive Image、Norton Ghost 2003都是不錯的選擇。切記: 業務數據是系統中最重要的財富，“數據是金”，無論對企業還是個人。

二、管理為王

安全的問題歸根到底是管理的問題，從防火墻的配置，到系統更新，再到數據定期備份，人的作用永遠是決定性的。因此，企業的安全策略也需要圍繞著人來制定。通常，一個企業的安全策略包含了決策層、管理層以及用戶層3個方面的內容，它們的權力和職責各不相同，通過相互的協作構成企業立體的安全防護體系。

首先，企業的領導者要充分意識到企業信息安全的重要性，懂得通過相應的規章制度來對員工進行約束，并建立相應的培訓機制，幫助員工養成良好的使用習慣。一旦出現問題，應該分清責任，獎懲分明; 第二，企業的網管員應該擔負起系統日常維護的任務，除了備份重要數據、跟蹤最新的安全更新信息外，還要在系統的優化、客戶端監控方面多下功夫，保證企業信息系統健康運行，同時要擔負起指導用戶應用的任務; 最后，企業的每個員工都要努力提升自己的應用水平，養成經常更新軟件和病毒代碼的好習慣，同時克服自己的好奇心，不輕易打開那些未知的郵件和應用程序，從底層確保信息系統的安全。

信息安全是一項系統工程，它涉及的內容可能比我們想像的還要廣博。不過，從目前的形勢看來，管理永遠是其中最核心的部分。今天的我們身處在一個“管理為王”的時代，那些技術暫時無法解決的問題，可以通過有效的管理手段來化解。同時，與其他的傳統行業相比，IT技術真正的成熟期還沒有到來，這就意味著用戶需要投入更多的管理精力，通過強有力的管理措施在最大限度內保證自己的利益不受侵害。

實戰Windows系統安全

企業整體的安全策略，需要通過相應的技術手段去實現。在此我們并沒有將那些實施相對復雜、且需要企業進行二次投入的安全解決方案納入其中，而是選擇了一些Microsoft或第三方廠商免費提供的方案?？催^之后您也許就會發現: 原來還有這么多免費的途徑可以提升IT系統的安全性，且它們的可實施性都是非常高的。特別是中小企業用戶，下面的措施可以讓您的IT系統輕松提高一個安全等級，并且無需增加新的IT投資。

一、部署SUS(基于Windows 2000 Server SP2系統)

1．軟硬件環境與安裝

軟件操作環境: 服務器端Windows 2000 Server SP2，IIS 5.0，IE 5.5; 安裝分區采用NTFS格式，系統分區也為NTFS格式?？蛻舳藶閃indows 2000/XP Professional系統。

硬件推薦環境: 主頻在Pentium Ⅲ 700MHz以上，512 MB內存，6GB剩余硬盤空間。在這種環境中，SUS大約可以支持15000個用戶。

SUS的安裝非常簡單，用戶按照提示操作即可。需要注意的是: 補丁程序請下載選擇保存到本地硬盤; 另外，在設定補丁語言類型時，請根據網絡中操作系統的語言種類進行選擇。

2．配置過程

安裝完畢后，系統自動打開SUS管理程序。它基于Web界面，用戶也可從“管理工具”界面中直接運行。首先，是服務器同步。即SUS從Windows Update站點下載所有的Windows 2000 SP2之后的補丁程序，并保存到本地硬盤中。在SUS管理界面中選擇“Synchronize Server”*“Synchronize Now”即可(如圖1所示)。以后，同步操作就不必采用這種手動方式了，用戶可以通過SUS的“Synchronize Schedule”計劃功能實現自動同步，這樣可以避免錯過那些重大的安全更新。另外，用戶也可以從Microsoft網站訂閱安全更新通知，只需在http://go.microsoft.com/fwlink/?linkid=6931站點登記即可。需要提醒您的是，第一次同步所花費的時間比較長，這主要是因為目前SUS只通過語言類型來約束補丁下載，不能讓用戶任意選擇補丁進行下載。

服務器同步完畢后，系統會自動切換到批準界面(“Approve Updates”界面)，在此用戶需要指定允許哪些安全更新可以在局域網中發布。

3．發布SUS客戶端

SUS客戶端的名稱為“Windows Automatic Updates Client”，它支持Windows 2000 Server SP2以上的操作系統，用戶可以通過Windows組策略中的軟件發布功能來自動安裝它。您可以根據操作系統的語言種類選擇對應的SUS客戶端，其中文版本下載地址為http://download.microsoft.com/download/win2000platform/Update/June2002/NT5/CN/wuau22chs.msi 。另外，Windows 2000 SP3、Windows XP SP1、Windows Server 2003中已經內置了SUS客戶端。

4． SUS客戶端參數配置

SUS部署完成后，客戶端就可以實時地從SUS服務器中下載并安裝最新的補丁程序了。但前提是需要預先修改客戶端注冊表。為此Microsoft特別為用戶提供了一個專門的管理模板，下載地址為http://download.microsoft.com/download/2/d/c/2dc07364-2fcb-4b82-adc7-2553915997b3/wuau.adm，通過它您可以設定客戶端怎樣完成補丁程序的下載和安裝、SUS服務器的名稱以及客戶端完成補丁安裝后是否重啟計算機等。這樣，不同的Windows系統就可以直接從SUS服務器中獲得所需的安全更新信息了。用戶登錄到系統后，如果有未安裝的安全更新，在其屏幕右下方的系統托盤區中自動顯示更新提示(如圖2所示)。另外，客戶端的Windows Update.log文件中也會保存系統的更新日志。

二、安全列表

Microsoft網站為我們提供了各式各樣的安全檢查列表(Checklist)，您只要訪問http://www.microsoft.com/technet/security/chklist/default.asp站點即可找到。Checklist為用戶提供了系統安全的基本保證。目前，已有的Checklist包括Windows 9x/NT/2000/XP系統，以及IE、IIS4.0/5.0等。但是，這些安全檢查手段對于Windows Server 2003同樣有效。鑒于目前Windows 2000系列在企業中的應用較為廣泛，在此就與大家一起詳細分析一下Windows 2000 Server的Checklist(如圖3所示)。在附表中，我們在Microsoft提的Windows 2000 Server Checklist基礎上對安全檢查操作進行了總結，具體結果如附表所示。

總結下來，Windows 2000 Server的用戶大致需要進行以下的配置，以保證系統的安全性。

上面的設置大部分可以通過Windows組策略中的安全策略來實現，在Windows域中，用戶可以批量應用這些設置。它們只能算是Windows系統對于安全的最基本需求，更具體的安全設定還應該與服務器在企業網絡中所扮演的角色聯系起來，為不同的Windows服務器“量身定做”個性化的安全檢查列表。

三、安全漏洞掃描工具

為了直觀地檢驗SUS部署后的效果，您可以通過Microsoft的免費安全檢測工具——Microsoft 基準安全分析器(MBSA)來進行實際的檢測。MBSA可以掃描 Windows NT 4.0/2000/XP/Server 2003、IIS 4.0/5.0、IE 5.01以上、SQL Server 7.0/2000、Office 2000/XP以及Exchange Server等眾多產品的安全漏洞，并且在掃描后會給出補丁程序的下載地址。它同時支持單機和網絡掃描模式，與SUS相比，MBSA支持更多的操作系統和更大的檢測范圍，是對Windows Update的有益補充，用戶可以將它與SUS結合起來使用。MBSA的最新版本為1.1.1版，下載地址為http://download.microsoft.com/download/8/e/e/8ee73487-4d36-4f7f-92f2-2bdc5c5385b3/mbsasetup.msi。

除了MBSA之外，很多著名的網絡管理軟件和網絡殺毒軟件都提供了漏洞的檢測與修補功能，但是它們的價格相對較為昂貴，對于中小企業用戶來說，是一筆不小的負擔。不過，目前一些第三方廠商提供了免費或共享漏洞掃描工具，它們的功能非常實用，是網管員查找安全漏洞的好幫手。

1．LANguard Network Security Scanner

一款聲譽頗高的漏洞檢測軟件，支持Windows XP/2000/NT/9x系統，但是由于操作系統本身的局限，它在Windows 9x系統中功能有所限制。該產品包含了完整的補丁管理機制，在對用戶網絡進行檢測后，可以詳細報告操作系統和應用程序中存在的安全漏洞以及需要安裝的補丁程序。下載地址為http://www.gfi.com。

2．Shadow Security Scanner

與LANguard Network Security Scanner類似的漏洞掃描工具，支持Windows XP/2000/NT/9x系統，下載地址為http://www.safety-lab.com/en。

3．Retia Network Security Scanner

由著名的安全廠商Eeye出品，支持Windows XP/2000/NT/9x系統，下載地址為http://www.eeye.com。

結語:渴望簡單的安全

至此，筆者的心中仍然有疑問: “到底需要投入多少精力在安全上？”。為了獲得相對的安全，用戶付出的太多了，大到企業的安全策略，小到防火墻的設置，都要親歷親為。雖然軟件廠商在提升產品的安全性上進行了諸多努力，但對于用戶來說，這些技術應用起來還是過于復雜了。如果說，在安全相對性的問題上，用戶與廠商已經不存在什么分歧。那么，目前的焦點是——如何讓安全更簡單！

“讓安全更簡單”，是軟件廠商不可推卸的責任。好在今天的IT廠商也正在朝這個目標努力著。2003年11月，Bill Gates宣布將在8個月之內讓Windows的安全問題得到“翻天覆地”的改進。而用戶也對Microsoft的下一代操作系統Windows Longhorn表現出了強烈的期待。很多業內人士認為: 作為Microsoft真正重視安全問題后推出的第一個操作系統，Longhorn在安全性方面的改變將是革命性的。雖然，Longhorn的發布日期一再推遲，但對用戶仍然可以算是一個好消息，因為前期的測試越嚴謹，就意味著正式發布的產品越成熟、越安全。Longhorn能讓我們的安全美夢成真嗎？我們拭目以待。

背景知識:SMS Vs SUS

為了幫助用戶在Windows域環境中進行補丁程序管理，Microsoft提供了SMS(Systems Management Server系統管理服務器)和SUS(Software Update Services，軟件更新服務)2種安全管理手段。其作用都是實現Windows中補丁程序的統一下載與分發，將網管員從繁瑣而機械的勞動中解脫出來，并有效地提升了系統升級的即時性。其中，SMS適用于大中型網絡，它適用于全系列的Windows操作系統，不但可用于軟件更新信息的發布，還可以進行資產管理和遠程故障處理。但是比較遺憾的是，它并不是免費的，這就意味著用戶需要增加管理成本。同時，SMS的使用方法也比較復雜，用戶需要一個了解和熟悉的過程。日前，SMS的最新版本為2003版。

與SMS相比，SUS最大的優勢就在于它是免費的。SUS適合中小型Windows網絡，目前還只能應用于Windows 2000 SP2以上的系統，且要求企業已經完成了AD(活動目錄)的部署。SUS與Windows Update同樣采用了HTTP協議，客戶端都是使用BITS服務下載補丁程序。其最新版本為SUS 1.0 With SP1，下載地址為http://download.microsoft.com/download/0/b/9/0b97f864-2408-4748-ad96-3691e2451006/SUS10SP1.exe。其SUS 2.0版本有望在近期推出。

從名稱上看來，SUS將會覆蓋所有Microsoft軟件的更新服務的。但在現階段，它還僅支持Windows Server 2003/XP/2000系統中Hotfix和Service Pack的日常更新，同時還包括了Windows組件(例如IE、Outlook Express、Windows Media Player等)的安全更新。SUS不支持非操作系統部分的安全更新，例如Office、SQL Server、Exchange Server等應用程序。不過，相信在不久的將來，SUS就會將這些應用程序的更新包容進來，成為軟件更新的“多面手”。

桌面用戶安全操作流程

▲啟動個人防火墻: Windows XP用戶請迅速啟動ICF，其他Windows用戶可以安裝個人防火墻軟件。ICF的啟動方法是，選擇“開始”*“控制面板”*“網絡連接”，右鍵點擊需要保護的Internet連接，在快捷菜單中選擇“屬性”選項，進入“高級”選項卡，選中“通過限制或者阻止來自Internet的對此計算機的訪問來保護我的計算機和網絡”復選項。

▲Windows升級: 經常運行“開始”*“程序”*“Windows Update”，保證Windows永遠新鮮。

▲修改IE設置: 對瀏覽器中的Cooikes加以限制，在IE 6中，選擇“工具”*“Internet選項”，在彈出的對話框中選擇“隱私”選項卡，點擊“高級”按鈕，選中“覆蓋自動cookie處理”復選框，并在“第三方Cookie”項目中選擇“拒絕”選項，點擊 “確定”按鈕。

▲遠離郵件病毒: 建議關閉郵件程序的預覽窗格，這樣可以大大降低被未查出的病毒感染的幾率。最新版本的Microsoft Outlook和Outlook Express已經能夠在默認狀態下智能化阻止腳本文件和危險附件進入系統，用戶選擇“工具”*“選項”*“安全”進行查看。

▲WLAN環境的安全設定: 如果工作WLAN中，您需要通過MAC(媒體訪問控制)地址的過濾來提升系統的安全性。雖然MAC地址在傳輸過程中并不加密，黑客偽裝起來非常容易，僅MAC地址過濾確實為他們設置一些障礙，讓他們轉而尋找加容易攻擊的對象。

▲取消共享服務: 如果您并不需要Windows中的Internet連接共享功能，不妨將其取消。只要在Windows XP服務列表中的“Internet Connection Firewall (ICF)/Internet Connection Sharing (ICS)”服務，或者Windows 2000服務列表中的“Internet Connection Sharing”服務設定為“已禁用”或“手動”狀態即可。

▲取消遠程注冊服務: 遠程注冊(Remote Registry，在Windows 2000中為“Remote Registry Service”)，它的作用是為其他用戶遠程控制注冊表提供支持。很明顯，這項服務絕大多數用戶并不需要，還蘊藏著很多安全隱患，因此最好是把該項服務設置為“已禁用”狀態，至少也要設定為“手動”狀態。

原文轉自：http://www.kjueaiud.com