安全意识专题 | 管理桌面安全

桌面安全可谓是公司网络的第一道防线。通过部署恰当的安全策略，可以阻止恶意软件和病毒在爆发后持续恶化，甚或可以完全避免此类事件发生。公司网络内的桌面安全通常由配置了强制组策略的中央服务器进行管理。当PC 系统登录到网络时，会在域控制器中进行身份认证，并接收启动脚本，这些脚本控制着网络上的计算机行为。这种集中控制简化了大型网络的管理。

[[249361]]

一、评估桌面安全

1. 用户分类

谈到桌面安全时，最主要的安全考虑一定是用户。网络中的用户可随意访问组织资源，这就带来了安全隐患。虽然大多数用户不会故意破坏网络，但是当用户忽略了最佳实践而打开了来源未经验证的电子邮件和附件时，就会产生意想不到的后果。因此，根据安全标记对用户进行分类以及对访问权限进行分级就显得分外重要。

访客：这种级别的用户只有很有限的访问权限，不允许修改本机上的任何文件或设置。该级别限制网络访问，对可访问的网络共享文件仅有只读权限。
用户：这是网络上最常见的用户类型，是员工在登录后获得的标准权限。一般来说，除了基本的打印和屏幕选项，用户还能够编辑本地设置。网络共享被划分为不同区域，允许特定部门用户访问相关的网络共享。
高级用户：这个名称有时指执行基本管理任务(如修改标准用户和访客的密码)的主管。高级用户可在自己的桌面PC 上修改本地设置，但不能进行域级别修改。
管理员：这个级别对桌面系统以及网络资源具有最高的访问权限。管理员被赋予最高级别的访问权限，可根据需要修改网络和桌面设置。管理员用户名和密码无论何时均为机密信息，不得与任何非授权人士共享。

2. 流程及执行

IT 安全策略一般包含在IT 部门的安全和流程文档中，传达的是公司在桌面和网络操作方面的立场。文件明确了如下内容：

新用户加入组织后应如何行事，IT 部门应如何确定、分配其用户权限;
以可接受的方式合理使用公司资源，包括网络、邮件和打印服务;
•在使用IT 设备和资源时哪些行为不正确，哪些行为视为违反IT 策略。

文件在拟定并在组织内分发后，将由IT 部门决定如何遵守并实施IT 安全策略。文件会对基本概念(如密码安全最佳实践)和员工在工作时间登录系统后的操作进行规范。多数公司采取弹性工作制，意味着用户可通过远程桌面服务(如终端服务器)从家里接入公司网络远程工作。这种情况也应由IT 安全部门管控，可访问此类资源的用户须了解接入公司网络后的责任。

3. 数据保护技术

在上述多个场景中，安全措施已经到位，可持续保护接入公司网络的用户及其隐私。涉及的技术因网络不同而不同，取决于组织所采用的特定业务应用的要求。我们对几种相

关技术及其安全威胁防护方式大致归纳如下：

单点登录(SSO)是一种登录凭证方法，通过单一用户名和密码授权用户访问多种资源。用户的访问权限由系统管理员决定。可以将SSO 门户作为启动平台，用户在工作时需要的应用(如邮件和办公生产力套件)从这些平台启动。这样做的主要好处是每个应用均可启动自己的安全窗口，也就是说，应用可通过会话管理器有效管理。所以，如果系统管理员检测到非法访问，就会中断会话，锁定用户账号。
加密为网络上的本地用户以及通过互联网从远程站点连接的用户添加了一个额外的安全层。加密的工作机制是在一端使用密码对传输进行编码，然后在另一端进行解码。密钥只与会话相关各方共享，这种安全连接使外部无法解密获取有意义的信息。加密用于许多技术，如远程桌面应用程序、安全网页浏览、基于文本和视频的通信等等。
虚拟专用网络(科学)是一种通过加密来保护通信的方法，在客户端和网络之间创建了一个虚拟隧道。即使身在他国，也会感觉和公司处在同一网络。这意味着您能够浏览网络资源(如映射的网络驱动器)，并能如同在办公桌边一样浏览公司的内网。唯一的缺点是，如果组织无法为此服务提供足够的带宽，会出现时延问题。

4. 哪些桌面安全组件最易受攻击?

桌面安全本身有诸多缺陷。近年来，保持网络安全和稳定已成为系统管理员的巨大挑战。有些需要重点关注安全的领域与用户相关，特别是用户将台式PC 用作主要工作站时。这意味着应用程序需要通过组策略进行监控和锁定，并且特定的网站和域名需要特定的防火墙来限制访问。最易出现漏洞的领域包括：

(1) 邮件

这是网络上最常被访问的资源。邮件具有用户密集型的特点，因为它是许多组织中的主要通信方式。用户每天会收到数百封电子邮件，邮件服务器则要处理数千封邮件和附件。网络犯罪分子使用电子邮件通过各种方法来欺骗用户，使其忽略掉安全细节。这些方法包括：

网络钓鱼：这是一个相对较新的电子邮件欺诈方法，实现方法简单得让人惊讶。犯罪组织会下载网上银行的登录页面或其他类似门户的网页，然后将其托管在自己的Web 服务器上，再发送看似来自相关服务提供商的电子邮件，通知用户必须立即登录，以完成安全程序。电子邮件中的链接实际上是一个超文本链接，将毫不知情的用户重定向到犯罪分子的Web 服务器上托管的假冒网站。这个Web服务器配备了一个击键记录器，可以获取用户输入的任何东西，然后被网络犯罪分子用来登录和感染用户的账户。
受感染附件：有时候，电子邮件来自一个完全合法的来源，用户没有理由不信任，但是该可信来源的机器会被病毒感染，病毒再自我复制，通过群发邮件程序进行传播。附件通常被标记为发票或报价单之类的合法的商业文件。在这些情况下，只要打开附件就可能感染用户的PC。许多情况下，只有当公司的邮件服务器上的电子邮件队列开始产生大量出站流量时，才能检测到感染。

最新类型的Crypto 软件似乎能自动打开电子邮件，感染机器。这种恶意软件特别讨厌，它使用非常强大的加密密码来加密用户数据，让人无法恢复电脑上的用户文件。针对这些情况的最佳解决办法通常是文件恢复。

(2) 即时通讯

早至互联网中继聊天(IRC)之初，程序员就可以通过即时消息(IM)应用程序发送附件。随着时间的流逝，这些程序越来越复杂，文件和数据的传输效率也越来越高。对于当前的桌面用户来说，在与一个未知来源聊天时，接收和打开附件可能会让他们的桌面PC 和公司网络感染病毒和恶意软件。正因为如此，在公司网络中应谨慎使用IM 应用程序。有时甚至不需要附件就能释放漏洞，比如，用户的聊天应用程序中如果存在安全漏洞，攻击者就可以远程执行某些脚本。

(3) 社交网络

任何鼓励文件共享的基于Web 的平台在公司网络中使用时都应该极度小心。利用复杂的脚本和应用程序，黑客和网络犯罪分子可以毫不费力地进入被感染的桌面PC。即使看起来无害的照片也可能嵌入恶意软件，因此用户在工作场所访问任何社交媒体服务时都要格外小心。

(4) 浏览器

与上述各例一样，互联网浏览器也会将组织暴露给互联网上的各种不安全因素。如果浏览器没有安装最新的安全补丁，就可能导致网络被渗透，所以，系统管理员务必要关注补丁周期，及时安装补丁。用户应始终留心自己在公司桌面上查看的内容，而在通过组织网络连接时应避免使用私人Web 邮件服务。

(5) 社会工程

犯罪分子以企业和家庭用户为目标，对他们进行电话诈骗，这种做法再度流行。犯罪分子一般通过电话联系用户，自称来自IT 部门或大型IT 公司，试图通过远程桌面应用程序或者诱骗用户下载能够绕过网络安全的恶意软件来访问用户的电脑。从未经验证的电话来源接受指示绝不可取，接到此类电话后，用户应与其部门经理或IT 部门确认后再进行下一步的行动。

二、桌面安全意识项目

IT 部门应为组织内部用户提供专门培训，让上述安全问题深入人心。通常，第一步是在用户的入职手续中加入基本的培训，以便在接触到IT 策略文件以及相关策略和程序之、初就懂得如何保护自己的桌面PC 和公司网络。近期，重大的恶意软件事件频发，比如WannaCry 和Crypto 变种。所以，建议进行一些基本的培训，解释清楚勒索软件对用户文件的所作所为，让用户对于此类恶意软件感染桌面和企业网络后造成的后果有更深入的理解。

三、桌面安全意识建议及资源

为安全事故做好准备，可能只会遭遇轻微的系统中断，否则，则可能会面临数据完全丢失这个灾难。

抗桌面用户所面临的不断增长的安全漏洞威胁：