远离不明对象安全攻击

2015-11-30 08:27
网络安全和信息化 2015年4期
关键词:IP地址浏览器命令

预防访问不明软件

在使用Windows系统自带IE浏览器上网访问网页时,我们有时会看到这样的提示信息:某个脚本程序正在系统后台悄悄访问当前网页背后的不明软件,如果不明软件已经被标注为安全脚本页面,那倒没什么问题,但如果不明软件属于恶意程序,那这会给本地系统的运行带来安全威胁。

为了预防IE浏览器访问到包含恶意攻击的不明软件,我们可以对IE浏览器进行如下设置,限制其访问那些没有标记为可安全执行脚本的网页内容:首先打开IE浏览器窗口,依次点击“工具”、“Internet选项”命令,弹出Internet选项设置对话框,点击“安全”标签,在对应标签页面的“ActiveX控件自动提示”位置处,选择“禁用”选项。

接着在“ActiveX控件和插件”位置处,将“对标记为可安全执行脚本的ActiveX控件”选项设置为“启用”(如图1所示),将“对未标记为可安全执行脚本的ActiveX控件”设置为“禁用”,单击“确定”按钮保存设置操作。这样,IE浏览器日后就不会轻易访问潜藏在网页背后的不明软件了。

图1 将选项设置为启用

预防不明用户连接

为了预防局域网中的不明用户远程连接本地服务器系统,我们可以加强对远程桌面连接用户的身份进行审核,以便将不明用户阻挡在外。在对不明用户身份进行审核时,不妨尝试通过“SecureRDP”外力工具,来过滤各种形式的远程用户连接,包括进行主机名称过滤、客户端版本过滤、连接时间过滤、IP地址过滤、网卡物理地址过滤等操作,经过不同层次的过滤后,那些不明用户将会无法实施远程攻击,那么服务器系统的安全性就能得到保证了。

在使用“SecureRDP”工具预防不明用户连接时,先将该工具下载安装到本地服务器系统中,并开启它的运行状态,弹出主程序窗口,选择“Logon Filters”面板中的“IP Address”选项卡,在对应选项设置页面中,将“Enable IP Address Filter”选中,成功激活“SecureRDP”工具内置的IP地址过滤功能。点击“Add”按钮,进入地址过滤添加框,将“Logon Disabled”选中,输入不明用户的计算机IP地址。再选中“Logon enabled”选项,将合法用户使用的计算机IP地址输入进来,要是合法用户的计算机IP地址位于同一个工作子网,只要在“From”、“To”位置处分别输入指定子网的开始结束地址,要想输入单台计算机IP地址时,可以在“From”位置处输入特定IP地址,在“To”位置处不输入任何内容即可。这样,“SecureRDP”工具日后就能对远程连接用户的IP地址进行过滤了。

图2 过滤远程连接用户主机名称

图3 返回的结果信息

要过滤远程连接用户的主机名称时,只要切换到“Logon Filters”面 板 的“Computer Name”选项设置页面,将“Enable computer name Filter”选中(如图2所示),成功激活“SecureRDP”工具内置的主机名称过滤功能。接着按下“Add”按钮,弹出计算机过滤设置框,输入不明用户所使用的计算机名称即可。值得注意的是,“SecureRDP”工具允许使用通配符功能来进行过滤主机操作,合理利用这项功能可以灵活定制过滤范围,改善主机过滤效率,预防不明用户随意与服务器系统建立远程桌面连接。

对允许远程连接的用户来说,我们还可以使用时间过滤功能,限制它们的操作时间,以保证服务器系统始终高效运行。在主程序界面的“Logon Filters”面板中,点击“Time Restriction”选项卡,选中该选项设置页面中的“Enable Time Restriction Filter”选项,启用时间限制功能,同时定义好合适的远程桌面连接时间。如果允许合法用户任何时间都能进行远程连接时,可以将“All day”选中,要设置特定的远程连接时间时,只要先选中“Between x and x”选项,再定义好正确的时间范围即可。经过上述设置操作后,依次点击“SecureRDP”操作 界 面 中 的“file”、“Apply Configuration”命令,让上述设置参数立即生效。

预防不明会话连接

有的时候,我们会发现服务器系统的运行速度突然变慢,在排除手工运行程序等因素外,遇到这类问题,很可能是服务器系统正在遭受不明会话连接。为了预防这种不明会话连接继续威胁服务器系统的稳定运行,我们可以利用Windows系统内置的“net session”命令,切断已经存在的不明会话连接。

在切断不明会话连接之前,要先查看一下本地系统的会话状态。依次点击“开始”、“运行”选项,弹出系统运行文本框,输入“cmd”命令并回车,打开MS-DOS工作窗口。在该窗口命令提示符下,执行“net session”命令,从返回的结果信息中(如图3所示),可以一目了然地看到本地系统的会话连接状态。当发现有不明会话连接时,可以使用“net session”命令的“/delete”参数,强行断开自己不熟悉的会话连接,以避免该系统遭遇恶意攻击。

例如,当看到一台计算机名称为“abc”的陌生计算机与本地建立会话时,为了预防它影响系统运行安全,可以通过“net session \abc /delete”命令,强制切断“abc”计算机的会话连接,同时关闭由该会话打开的数据文件。值得注意的是,要是上述命令没有指定计算机名称,直接执行字符串命令“net session /delete”时,那么与本地计算机建立的所有会话都会被强行断开。当然,在使用“net session”命令断开特定会话连接前,建议用户要保持慎重,因为这项操作容易带来数据丢失风险。

图4 筛选设置框

图5 选中“已启用”选项

预防不明网站攻击

在上网浏览网页的时候,经常会误入一些不明网站,潜藏在该网站背后的病毒、木马程序,可能会在悄无声息中对本地系统发动攻击。为了预防不明网站攻击,我们可以巧妙利用IE浏览器自带的SmartScreen筛选器功能,智能审核当前正在访问的陌生网站是否安全。

当成功启用SmartScreen筛选器功能后,它会智能判断当前正在访问网页有没有可疑行为,如果探测到不明网站会产生一些危险操作,例如,自动执行下载安装操作,或悄悄窃取用户上网隐私,SmartScreen筛选器功能会自动发出警报,提示用户小心操作。而且,该功能还会根据已经生成的恶意网站黑名单,判断当前正在访问网站和下载文件是否在列表中,一旦匹配的话,它会智能显示红色警告,告诉用户为了安全起见已拦截该网站。

一旦看到IE浏览器的SmartScreen筛选器功能被停用时,不妨手工启用它,来预防不明网站攻击。只要先启动IE浏览程序,逐一选择“工具”、“SmartScreen筛选器”、“启用SmartScreen筛选器”选项,就能成功开启筛选检查功能。当该功能已被运行时,选择IE浏览器工具菜单项中的“关闭SmartScreen筛选器”命令,进入如图4所的筛选设置框。在这里可以将不明站点手工提交到恶意网站列表中,等Microsoft公司审核确认后,其他用户再次访问相同的不明站点时,SmartScreen功能将会智能提醒用户。逐一选择“工具”、“SmartScreen 筛 选 器”、“报告不安全网站”选项,在其后界面中能看到SmartScreen筛选器的网站报告信息。

预防下载不明程序

一些身份不明的程序,有时不经过用户的同意,会自动利用系统的一些漏洞,下载保存到本地计算机硬盘中。为了预防不明程序的下载安全威胁,我们不妨采取下面的措施,堵住一切可能引起自动下载的安全漏洞:

首先培养自己到合法站点下载的习惯。所谓合法站点,主要包括政府机关、企事业单位的官方站点,或者市面上一些知名度较高的站点,这些站点背后潜藏有不明程序的可能性不大,最多也就是多一些让人讨厌的广告或宣传画面,不过它们几乎不会出现自动下载的现象。其次关闭浏览器的自动下载功能。例如,在使用IE浏览器浏览站点时,只要逐一点击“工具”、“Internet选项”命令,切换到Internet选项设置对话框,点选“安全”选项卡,在对应选项设置页面中单击“自定义级别”按钮,弹出自定义安全设置页面。将“文件下载”选择为“禁用”,单击“确定”按钮退出设置对话框,就能限制不明程序的自动下载操作。

在同时安装有多个不同类型浏览器的情况下,可以尝试关闭浏览器下载进程,来堵住自动下载漏洞。依次点击“开始”、“运行”命令,展开系统运行对话框,输入“gpedit.msc”命令并回车,打开组策略编辑窗口。在该编辑窗口左侧列表中,逐一点击“本地计算机策略”、“计算机配置”、“管理 模 板”、“Windows组 件”、“Internet Explorer”、“安全功能”、“限制文件下载”分支选项,找到“所有进程”组策略,用鼠标双击之,选中其后界面中的“已启用”选项(如图5所示),确认后返回即可。

猜你喜欢
IP地址浏览器命令
只听主人的命令
铁路远动系统几种组网方式IP地址的申请和设置
反浏览器指纹追踪
移防命令下达后
IP地址切换器(IPCFG)
基于SNMP的IP地址管理系统开发与应用
公安网络中IP地址智能管理的研究与思考
这是人民的命令
环球浏览器
浏览器