在Windows7出来后,许多电脑和笔记本用户可能觉得这个新系统比原来的微软系统要安全。新的操作系统添加了更多安全特性,提供了许多很好的安全设置,而且也修补了许多历史遗留的安全漏洞。以Windows7为例,它改变了默认用户账户控制级别,所以增加了可疑程序的运行难度。
虽然用户感觉良好,但危机却潜藏其中。下面我们列出使用windows 7的十大戒律,确保你的台式机或笔记本电脑都能安全运行。本文推荐的很多工具都是免费的,而且比起一台不安全的电脑,所支付的成本也是要划算很多。这些建议非常适合windows 7,其中很多建议还适用于Vista或XP电脑。
1. 使用新硬件
现在的新硬件——主板,BIOS,CPU,硬盘以及系统——都包含了更多的安全性能,有些甚至在操作系统安装前就自带了。比如,TPM(Trusted Platform Modules)就将密码安全直接写入硬盘或其他组件,统一的可扩展硬件界面(UEFI)固件而不是传统的BIOS,Intel的vPro安全以及管理技术。例如,带有UEFI和TPM的电脑在每次启动的时候都会检测电脑的固件,并启动二进制确认未感染恶意软件。
如果你是在既有电脑上操作,可考虑做一个完整备份,然后安装最新的操作系统。
即便你是使用原有电脑,也可改用增加了加密技术的新硬盘。支持OPAL存储规格的硬盘可让各公司管理过个供应商的加密盘——还可以减少购买额外加密硬盘的成本。后市硬盘通常回使用转换工具来加速或简化硬盘替换。
如果没有自加密硬盘,可以使用全盘加密软件,如windows BitLocker或第三方工具。
2. 使用最新的OS版本且自动更新OS和应用
如果你使用的不是操作系统的最新版本,那就要升级到最新版本。而且,要确保软件被设置为自动更新而且会在很多更新自动应用后关机。安全泄露频繁也是因为应用没有使用已发布很久的重要安全补丁。
电脑供应商或许会内置一些更新工具。例如,联想公司内置了旨在展示所有BIOS和驱动更新的升级进程。你还可以手动检测应用更新,只是步骤稍微麻烦一点。
“第三方软件通常是安全入侵的向量。”windows 专家和ZDNet博主Ed Bott说,Flash,Adobe Reader和Java 是三个最大的目标。虽然许多程序有自动更新检测器,但是Bott却认为有必要尽快利用Ninite或Secunia Personal Software Inspector这样的工具,因为这些工具可以自动为电脑上的应用进行自动更新检测。
3. 使用windows提供的新型安全工具 (或是第三方软件)
Windows 7通过Actions Center提供了大量安全控件和工具,还通过控制面板提供了其他工具,包括:
Windows 防火墙:这些基本设置可以阻止一些简单攻击,你可以用高级设置进行特殊设置。还有一些第三方防火墙程序可用。
微软的Microsoft Security Essentials和Windows Defender。这些工具可以保护电脑免受病毒,间谍软件和其他恶意软件的侵袭。
显然,另一种选择是投资到第三方安全软件,如单独的反病毒软件,翻垃圾软件和其他程序,或是安全套件,如赛门铁克的产品。
4. 安装用户账户
以往在Windows中,默认账户具有管理员特权——这意味着程序可能进行不安全的操作而且不需要询问用户是否同意。从Vista开始,微软就添加了用户账户控制(UAC),用户账户控制会要求非管理员用户先获得许可才能运行一些特定软件或特定操作。而在Windows 7中,UAC仍会保护系统,只是不会碍事儿。
即便如此,这种功能仍然通过下列几种方式为保障用户安全作出了贡献:
为每个用户创建非管理员账户。
禁用或移除了不被使用或不应该出现的用户账户。
除非在必要情况下,一般禁用“guest”账户。如果有必要,需要使用密码来提升优先级别,以此来禁止有人对系统进行未授权的更改。
可考虑重命名管理员账户,这样就不容易被入侵者一眼看出。
5. 设置密码
设置主要的windows密码以及锁系统的时间,设置屏保,这样就需要密码才能恢复。
同样,根据系统信息的敏感度,可以考虑其他方法来代替密码,如:
•指纹识别器;
•智能卡识别器;
•面部识别;
•RSA软件和外部令牌;
•密码姿态(安卓平板);
•另一个选择是双要素验证,如指纹识别和密码。
6. 添加/激活反盗窃工具
投资,安装和激活可以锁定系统的反盗窃工具;控制IP路径;报告,获取和发送图片;甚至是电脑被盗后连接到互联网时清除电脑信息。Absolute Software的Lojack 就是一例。
联想等供应商正将Absolute的Compu Trace Agent嵌入BIOS中,这样一来,即便有人想清除或替换硬盘,代理也会自动重新安装。
硬盘具备反盗窃技术的电脑可为你带来更多案情服务,如自动锁定主板直至收到解锁密码,如果机器长时间未联网或当用户登录失败次数过多的时候就锁定或清除信息。Intel反盗窃就是典型的第三方安全产品,如CompusTrace,每年多花3美金,和WinMagic 全盘加密产品的反盗窃选项一样。
7. 关闭共享和其他不需要的服务
Windows 让你共享电脑上的资源,如文件共享(共享的文件夹)和打印共享。你电脑上的互联网连接管理功能可以让你将每个网络定义成公共场所使用,家庭网络或工作网络。如果你设置有误,那么通过网络中的其他电脑就会看到你的共享文件夹。
Bott称,如果你位于防火墙之后,那么当电脑的互联网连接器工具询问你的网络环境时,你可以说是家用或工作用网络。但是如果你直接连接到互联网,或是没有硬件路由,而是直接通过网线连接到调制解调器,或是你连接到公共场所的Wifi热点,则有必要指明是公共网络。这样可确保禁用本地共享。
通常,禁用任何服务或是删除不需要的程序。例如,如果你确定不需要某个应用,可以卸载。如果电脑上有互联网信息服务(IIS)运行,但你用不着,则可以禁用。
8. 保护Web浏览器和其他应用的安全
Web浏览器访问网站不受你或你公司的控制。这些网站都可能向你的电脑传播恶意软件。
现在,浏览器的安全性能更胜一筹,如隐私浏览对话模式,可以不保存个人信息或是cookies以及对话历史记录。只是,这样对生产力会有干扰。
检查每个浏览器的安全选项,选择有用的一项,如Firefox的“有网站安装插件的时候通知我”和“拦截攻击”。
ExtremeLabs.com管理总监Tom Henderson建议将微软IE浏览器设置为最高安全级别。
此外,找一找可增强浏览器安全性的扩展和插件。例如,NoScript Firefox插件只允许受信任网站执行Javascript,Java,Flash和其他插件。
PDF阅读器或许在JavaScript攻击面前很脆弱。要确保你的PDF阅读器是安全的;考虑在里面禁用JavaScript。
9. 关闭自动运行
AutoRun是Windows XP和Vista中病毒和其他恶意软件的主要威胁向量。这一功能会让操作系统在新驱动(如网络驱动,CD或闪存)的根目录中检测到autorun.inf文件时会自动执行程序。所以,如果你还没有决定使用Windows 7,那么要确保操作系统完成了所有安全更新。
如果是使用Windows 7,所有的安全设置都是“禁止自动运行”。当你附加外部媒体,如CD,DvD,SD卡和USB闪存时,会弹出一个对话框问你师傅运行程序,但是默认情况下,不会自动运行。
10. 考虑列一个应用白名单以及其他控件
列白名单是指为允许在你电脑上运行的程序列出的名单,包括你的邮件程序可能接收的邮箱地址,浏览器会连接的网站以及操作系统需要运行的应用。列白名单可能不一定适合邮件或网页浏览,但是却可以有效阻止那些你不想要看到的程序运行——如恶意软件或零日攻击——是一个较好的辅助工具。
Windows 7包含AppLocker,这是一个列白名单的功能或者你也可以购买第三方产品。对于家庭用户而言,Windows 7有十分强大的家长控制功能,此功能可通过设置时间段,设置网站来限制访问。
即便是对原有的Windows 系统,要增加安全性能也不需要花费大量时间和金钱。
原文链接:http://security.networksasia.net/content/microsoft-windows-10-security-commandments?page=0%2C0