Windows系統(tǒng)緊急安全配置指南

申請免費(fèi)試用、咨詢電話：400-8352-114

導(dǎo)言

本配置手冊不是全面的windows系統(tǒng)安全配置手冊，只是指導(dǎo)windows用戶，通過簡易的、且不需要付任何費(fèi)用的方法來避免受到主流攻擊影響。本手冊在每次出現(xiàn)重大漏洞時(shí)將做出修訂。目前手冊中的內(nèi)容包括可有效對抗在2008年10月24出現(xiàn)的RPC漏洞（MS08-067）影響。

最新漏洞情況通報(bào)

本報(bào)告的修訂針對2008年10月24出現(xiàn)的RPC漏洞（MS08-067）作出，這是一個(gè)針對139、445端口的RPC服務(wù)進(jìn)行攻擊的漏洞。可以直接獲取系統(tǒng)控制權(quán)。

根據(jù)MS的消息該攻擊無法穿透DEP保護(hù)，因此對正版用戶，該漏洞對XPSP2以上版本（含SP2）和Server2003SP1（含SP1）系統(tǒng)無效。因此主要受到威脅的用戶應(yīng)該是，windows2000和windowsxpsp2以前版本用戶。

但由于一些盜版?zhèn)鞑ブ校蝗藶榻档土税踩墑e或者修改過安全機(jī)制，因此上述信息只能供參考。

基本處置建議

在重大遠(yuǎn)程漏洞發(fā)生時(shí)，對于不需要實(shí)時(shí)連接的系統(tǒng)，可以考慮先斷網(wǎng)檢測安全配置，然后采用調(diào)整防火墻和安全策略的方式保證聯(lián)網(wǎng)打補(bǔ)丁時(shí)段的安全再打補(bǔ)丁。

單機(jī)防火墻配置

相關(guān)介紹： 

單機(jī)防火墻是一個(gè)重要的安全環(huán)節(jié)，有很多免費(fèi)的和付費(fèi)的防火墻品牌，主流反病毒產(chǎn)品往往也自帶防火墻，從windowsXP版本開始windows也自帶了一個(gè)防火墻。

桌面用戶、工作站用戶

桌面系統(tǒng)是指以瀏覽、下載、游戲、工作等與用戶直接操作交互為主要應(yīng)用方式，其多數(shù)網(wǎng)絡(luò)操作為用戶主動對外發(fā)起連接，而不是憑借本地監(jiān)聽端口為外部用戶提供服務(wù)。利用這一特性我們可以作出如下配置。

配置為禁止外部發(fā)起連接模式

桌面系統(tǒng)如果不提供共享打印，不需要在局域網(wǎng)游戲（如CS、FIFA等）中作為主機(jī)使用，可以通過設(shè)置為禁止發(fā)布發(fā)起連接模式，來阻斷所有向本主機(jī)發(fā)起的連接的。進(jìn)行有關(guān)設(shè)置不會影響到操作者的瀏覽、聊天、下載、在線視頻、常見網(wǎng)游等操作。

效果：本節(jié)操作可以不依賴其他補(bǔ)丁和配置，獨(dú)立防范MS08-067攻擊。

優(yōu)點(diǎn)：不僅可以阻斷MS08-067攻擊，而且可以阻斷所有相同的針對主機(jī)固定端口的攻擊。

缺點(diǎn)：如果主機(jī)提供打印共享、網(wǎng)絡(luò)共享目錄等服務(wù)則會失效，在CS、Fifa等游戲中無法作為host使用?？赡芘c藍(lán)波寬帶撥號程序沖突。

WindowsVista、WindowsServer2003自帶防火墻支持配置為禁止外部發(fā)起連接模式。

用戶可按照下列圖示步驟，配置windows自帶防火墻。

Step1：在控制面板中找到防火墻。

Step2：選擇更改設(shè)置，此時(shí)vista系統(tǒng)的安全機(jī)制可能需要灰屏確認(rèn)，請選擇是。

Step3：啟動防火墻并選擇阻止所有傳入連接。