远离不明对象安全攻击

预防访问不明软件

在使用Windows系统自带IE浏览器上网访问网页时，我们有时会看到这样的提示信息:某个脚本程序正在系统后台悄悄访问当前网页背后的不明软件，如果不明软件已经被标注为安全脚本页面，那倒没什么问题，但如果不明软件属于恶意程序，那这会给本地系统的运行带来安全威胁。

为了预防IE浏览器访问到包含恶意攻击的不明软件，我们可以对IE浏览器进行如下设置，限制其访问那些没有标记为可安全执行脚本的网页内容:首先打开IE浏览器窗口，依次点击“工具”、“Internet选项”命令，弹出Internet选项设置对话框，点击“安全”标签，在对应标签页面的“ActiveX控件自动提示”位置处，选择“禁用”选项。

接着在“ActiveX控件和插件”位置处，将“对标记为可安全执行脚本的ActiveX控件”选项设置为“启用”（如图1所示），将“对未标记为可安全执行脚本的ActiveX控件”设置为“禁用”，单击“确定”按钮保存设置操作。这样，IE浏览器日后就不会轻易访问潜藏在网页背后的不明软件了。

图1 将选项设置为启用

预防不明用户连接

为了预防局域网中的不明用户远程连接本地服务器系统，我们可以加强对远程桌面连接用户的身份进行审核，以便将不明用户阻挡在外。在对不明用户身份进行审核时，不妨尝试通过“SecureRDP”外力工具，来过滤各种形式的远程用户连接，包括进行主机名称过滤、客户端版本过滤、连接时间过滤、IP地址过滤、网卡物理地址过滤等操作，经过不同层次的过滤后，那些不明用户将会无法实施远程攻击，那么服务器系统的安全性就能得到保证了。

在使用“SecureRDP”工具预防不明用户连接时，先将该工具下载安装到本地服务器系统中，并开启它的运行状态，弹出主程序窗口，选择“Logon Filters”面板中的“IP Address”选项卡，在对应选项设置页面中，将“Enable IP Address Filter”选中，成功激活“SecureRDP”工具内置的IP地址过滤功能。点击“Add”按钮，进入地址过滤添加框，将“Logon Disabled”选中，输入不明用户的计算机IP地址。再选中“Logon enabled”选项，将合法用户使用的计算机IP地址输入进来，要是合法用户的计算机IP地址位于同一个工作子网，只要在“From”、“To”位置处分别输入指定子网的开始结束地址，要想输入单台计算机IP地址时，可以在“From”位置处输入特定IP地址，在“To”位置处不输入任何内容即可。这样，“SecureRDP”工具日后就能对远程连接用户的IP地址进行过滤了。

图2 过滤远程连接用户主机名称

图3 返回的结果信息

要过滤远程连接用户的主机名称时，只要切换到“Logon Filters”面 板 的“Computer Name”选项设置页面，将“Enable computer name Filter”选中（如图2所示），成功激活“SecureRDP”工具内置的主机名称过滤功能。接着按下“Add”按钮，弹出计算机过滤设置框，输入不明用户所使用的计算机名称即可。值得注意的是，“SecureRDP”工具允许使用通配符功能来进行过滤主机操作，合理利用这项功能可以灵活定制过滤范围，改善主机过滤效率，预防不明用户随意与服务器系统建立远程桌面连接。

对允许远程连接的用户来说，我们还可以使用时间过滤功能，限制它们的操作时间，以保证服务器系统始终高效运行。在主程序界面的“Logon Filters”面板中，点击“Time Restriction”选项卡，选中该选项设置页面中的“Enable Time Restriction Filter”选项，启用时间限制功能，同时定义好合适的远程桌面连接时间。如果允许合法用户任何时间都能进行远程连接时，可以将“All day”选中，要设置特定的远程连接时间时，只要先选中“Between x and x”选项，再定义好正确的时间范围即可。经过上述设置操作后，依次点击“SecureRDP”操作 界 面 中 的“file”、“Apply Configuration”命令，让上述设置参数立即生效。

预防不明会话连接

有的时候，我们会发现服务器系统的运行速度突然变慢，在排除手工运行程序等因素外，遇到这类问题，很可能是服务器系统正在遭受不明会话连接。为了预防这种不明会话连接继续威胁服务器系统的稳定运行，我们可以利用Windows系统内置的“net session”命令，切断已经存在的不明会话连接。

在切断不明会话连接之前，要先查看一下本地系统的会话状态。依次点击“开始”、“运行”选项，弹出系统运行文本框，输入“cmd”命令并回车，打开MS-DOS工作窗口。在该窗口命令提示符下，执行“net session”命令，从返回的结果信息中（如图3所示），可以一目了然地看到本地系统的会话连接状态。当发现有不明会话连接时，可以使用“net session”命令的“/delete”参数，强行断开自己不熟悉的会话连接，以避免该系统遭遇恶意攻击。

例如，当看到一台计算机名称为“abc”的陌生计算机与本地建立会话时，为了预防它影响系统运行安全，可以通过“net session \abc /delete”命令，强制切断“abc”计算机的会话连接，同时关闭由该会话打开的数据文件。值得注意的是，要是上述命令没有指定计算机名称，直接执行字符串命令“net session /delete”时，那么与本地计算机建立的所有会话都会被强行断开。当然，在使用“net session”命令断开特定会话连接前，建议用户要保持慎重，因为这项操作容易带来数据丢失风险。

图4 筛选设置框

图5 选中“已启用”选项

预防不明网站攻击

在上网浏览网页的时候，经常会误入一些不明网站，潜藏在该网站背后的病毒、木马程序，可能会在悄无声息中对本地系统发动攻击。为了预防不明网站攻击，我们可以巧妙利用IE浏览器自带的SmartScreen筛选器功能，智能审核当前正在访问的陌生网站是否安全。

当成功启用SmartScreen筛选器功能后，它会智能判断当前正在访问网页有没有可疑行为，如果探测到不明网站会产生一些危险操作，例如，自动执行下载安装操作，或悄悄窃取用户上网隐私，SmartScreen筛选器功能会自动发出警报，提示用户小心操作。而且，该功能还会根据已经生成的恶意网站黑名单，判断当前正在访问网站和下载文件是否在列表中，一旦匹配的话，它会智能显示红色警告，告诉用户为了安全起见已拦截该网站。

一旦看到IE浏览器的SmartScreen筛选器功能被停用时，不妨手工启用它，来预防不明网站攻击。只要先启动IE浏览程序，逐一选择“工具”、“SmartScreen筛选器”、“启用SmartScreen筛选器”选项，就能成功开启筛选检查功能。当该功能已被运行时，选择IE浏览器工具菜单项中的“关闭SmartScreen筛选器”命令，进入如图4所的筛选设置框。在这里可以将不明站点手工提交到恶意网站列表中，等Microsoft公司审核确认后，其他用户再次访问相同的不明站点时，SmartScreen功能将会智能提醒用户。逐一选择“工具”、“SmartScreen 筛 选 器”、“报告不安全网站”选项，在其后界面中能看到SmartScreen筛选器的网站报告信息。

预防下载不明程序

一些身份不明的程序，有时不经过用户的同意，会自动利用系统的一些漏洞，下载保存到本地计算机硬盘中。为了预防不明程序的下载安全威胁，我们不妨采取下面的措施，堵住一切可能引起自动下载的安全漏洞:

首先培养自己到合法站点下载的习惯。所谓合法站点，主要包括政府机关、企事业单位的官方站点，或者市面上一些知名度较高的站点，这些站点背后潜藏有不明程序的可能性不大，最多也就是多一些让人讨厌的广告或宣传画面，不过它们几乎不会出现自动下载的现象。其次关闭浏览器的自动下载功能。例如，在使用IE浏览器浏览站点时，只要逐一点击“工具”、“Internet选项”命令，切换到Internet选项设置对话框，点选“安全”选项卡，在对应选项设置页面中单击“自定义级别”按钮，弹出自定义安全设置页面。将“文件下载”选择为“禁用”，单击“确定”按钮退出设置对话框，就能限制不明程序的自动下载操作。

在同时安装有多个不同类型浏览器的情况下，可以尝试关闭浏览器下载进程，来堵住自动下载漏洞。依次点击“开始”、“运行”命令，展开系统运行对话框，输入“gpedit.msc”命令并回车，打开组策略编辑窗口。在该编辑窗口左侧列表中，逐一点击“本地计算机策略”、“计算机配置”、“管理 模 板”、“Windows组 件”、“Internet Explorer”、“安全功能”、“限制文件下载”分支选项，找到“所有进程”组策略，用鼠标双击之，选中其后界面中的“已启用”选项（如图5所示），确认后返回即可。