让安全防护吃上“聪明药”

让补丁更新更聪明

大家都知道，及时进行补丁升级、堵住安全漏洞，可以有效预防各种非法漏洞攻击。但在实际工作过程中，很多终端用户常常忘记去更新升级漏洞补丁，我们必须对症下药，让安全漏洞补丁更新吃上“聪明药”，才能更好地进行漏洞安全防护。

图1 指定运行时间

在内网或外网部署有WSUS服务器的情况下，为了能让终端计算机聪明地从WSUS服务器那里自动获取补丁更新，我们必须进行如下设置操作：首先开启系统自动更新功能。只要依次点击“开始”、“控制面板”命令，进入系统控制面板窗口，双击其中的“Windows Update”图标，点击“更改设置”按钮，弹出如图1所示的设置窗口。在“自动安装更新”设置项处，指定好系统在线更新功能的运行时间，确保该时间与实际工作时间错开，同时选中“下载更新，但是让我选择是否安装更新”选项，确认后保存设置操作即可。当然，也可以通过配置组策略方式，让下载后的补丁程序自动进行安装操作，只要依次单击“开始”、“运行”命令，弹出系统运行对话框，输入“gpedit.msc”命令并回车，展开系统组策略编辑窗口。在该窗口左侧列表中，将鼠标定位到“本地计算机策略”、“计算机配置”、“管理模板”、“Windows组件”、“Windows Update”节点上，双击该节点下的“配置自动更新”选项，切换到如图2所示的选项设置对话框，在这里将自动更新类型选择为“自动下载并计划安装”选项，同时设置好计划安装的时间，确定后退出设置对话框。

图2 选择自动更新类型

其次，指定好Intranet Microsoft更新服务位置。当希望终端计算机聪明地从内网的特定WSUS服务器获取补丁更新时，必须将鼠标定位到系统组策略编辑界面的“本地计算机策略”、“计算机配置”、“管理模板”、“Windows组件”、“Windows Update” 节点上，双击该节点下的“指定Intranet Microsoft更新服务位置”选项，打开如图3所示的选项设置对话框，选中“已启用”选项，同时在“检测更新设置 Intranet更新服务”、“设置Intranet统计服务器”文本框中，输入“http://xxx.xxx.xxx.xxx”（这里的“xxx.xxx.xxx.xxx”为内网中的WSUS服务器地址），确认后退出设置对话框即可。值得注意的是，如果在安装WSUS服务器时，选用了Windows Server Update Services 3.0 SP1网站，那这里就需要输入“http://xxx.xxx.xxx.xxx:8530”了。

图3 选中“已启用”选项

完成上述操作后，组策略设置还没有立即生效，因为终端计算机系统默认每隔90分钟，才刷新一次组策略配置，刷新时间或许会随机偏移0到30分钟。要想让终端系统快速地刷新组策略设置，我们可以在系统运行对话框中，执行字符串命令“gpupdate /force”或“secedit/refreshpolicy”。 组策略配置生效后，终端计算机系统默认会在20分钟后，才能扫描到WSUS服务器上的可用补丁程序，只有当终端系统与WSUS服务器进行连接后，该终端才会显示在WSUS服务器管理控制台上。如果不希望等待20分钟，而是立即连接WSUS服务器时，可以在系统运行对话框中，执行字符串命令“wuauclt.exe/detectnow”，来进行手工启用扫描连接。

让登录监控更聪明

在公共场合下，加强系统的登录监控操作，可以防止不法分子破坏局域网中的重要主机系统。为了让登录监控更聪明，在Vista以上版本系统中，可以通过Windows系统内置的登录监控功能，来自动监控用户登录系统的状态，监控结果会在下次成功登录系统的时候智能显示在系统桌面上，到那时就可以直观地了解到究竟有哪些用户悄悄登录过重要主机系统了。

在进行具体登录监控操作时，可以依次点击“开始”、“运行”命令，展开系统运行对话框，在其中执行“gpedit.msc”命令，弹出系统组策略编辑窗口。在该窗口左侧列表中，逐一展开“本地计算机策略”、“计算机配置”、“管理模板”、“Windows 组 件”、“Windows登录选项”节点，找到指定节点下的“在用户登录期间显示有关以前登录的信息”系统组策略，同时用鼠标双击该选项，弹出如图4所示的组策略属性对话框。

图4 组策略属性对话框

缺省状态下，系统登录监控功能选项并没有被选中启用，这个时候，我们必须重新选中“已启动”选项，确认后退出设置对话框，这样，重要主机系统就支持监控登录功能了。日后有不法分子趁我们不在重要主机现场偷偷进行系统登录操作时，这个登录操作就会被Windows系统自动监控保存下来。

在我们下次登录系统时，上次的监控内容就会自动出现在我们眼前，从中可以查看到不法分子的登录账号名称、登录时间等，依照这些监控结果，就能对不法分子的账号进行删除或停用，以确保系统始终能够安全工作。

图5 安全策略对话框

让账号追踪更聪明

有一些黑客或木马程序，为了达到偷偷攻击他人的目的，常常会在被攻击系统中偷偷生成一个陌生账号，并以此对目标主机进行监控和控制。为了防止这种安全事故发生，我们需要想方设法，及时追踪到系统帐号的变化状态，以便能够在第一时间发现并删除陌生账号，让黑客或木马无法通过它发动恶意攻击。

要达到上述控制目的，我们不妨利用系统账号的审核功能，以及针对特定系统事件的附加任务功能，让账号追踪操作变得更聪明，日后当账号出现异常变化时，我们能在第一时间接受到报警提示，下面就是具体的实现步骤：

首先开启账号的审核功能。逐一点击“开始”、“运行”命令，展开系统运行对话框，输入“secpol.msc”命令并回车，弹出系统安全策略编辑界面。在该界面左侧列表中，依次展开“安全设置”、“本地策略”、“审核策略”节点，找到该节点下的“审核账户管理”选项并用鼠标双击之，切换到如图5所示的安全策略对话框，选中“成功”、“失败”选项，单击“确定”按钮保存设置操作。这样，黑客或木马程序日后企图在本地系统生成陌生账号时，无论帐号创建操作是否成功，其操作痕迹都能被追踪、记忆下来。

其次手工生成账号创建事件。逐一选择“开始”、“设置”、“控制面板”命令，双击系统控制面板中的“用户账户”图标，进入用户账户列表界面，用鼠标右键单击空白位置，单击右键菜单中的“新用户”命令，随意创建一个账号名称。切换到系统桌面上，用鼠标右键单击“我的电脑”或“计算机”图标，点击右键菜单中的“管理”命令，展开计算机管理窗口，依次跳转到“系统工具”、“事件查看 器”、“Windows 日 志”、“系统”节点上，在指定节点下就能发现刚才的账号创建事件了。针对该事件选项，我们可以附加报警任务，以便将系统账号的变化状态第一时间报告给管理员或计算机主人。

最后在账号创建事件上添加报警任务。选中发现到的账号创建事件选项，并用鼠标右键单击之，点击右键菜单中的“附加任务到事件”命令，展开添加报警任务对话框，依照向导对话的提示，先设置好报警任务名称，同时指定好特定的报警提示方式，Windows系统在缺省状态下，为用户提供了三种报警方式，一是自动发出报警提示消息，二是自动发送电子邮件，三是自动运行指定应用程序。为了让追踪效果更直观，不妨选中发出报警消息方式，来实现追踪报警目的。在选用了“显示消息”选项后，依照提示定义好报警消息内容，例如可以将报警提示消息输入为“系统账号状态有异常，请及时查看”，最后按下“完成”按钮，退出报警任务添加向导对话框。

经过上述设置操作后，账号追踪就会变得更聪明了，一旦有黑客或木马程序偷偷在系统后台生成陌生账号时，系统帐号的异常变化状态会被自动追踪捕捉到，同时生成相关日志事件，这时附加在对应事件上的报警任务会立即启动运行，到时我们就可以从系统屏幕上看到“系统账号状态有异常，请及时查看”之类的报警提示消息，依照该提示消息我们必须立即采取安全措施进行预防，确保系统不会受到黑客或木马的非法攻击。

图6 编辑对话框

让加密屏保更聪明

如果终端计算机系统正在启动过程中，计算机主人这时有急事突然离开现场，而系统又支持自动登录功能时，那么不法分子就有机会偷偷访问系统中的隐私数据，或进行其他一些破坏操作。为了避免类似这样的安全隐患发生，我们可以想办法让Windows系统在成功完成登录操作后，聪明地启用屏幕密码保护功能，让不法分子无机可趁。

首先逐一点击“开始”、“运行”选项，展开系统运行对话框，在其中执行“regedit”命令，开启系统注册表编辑器运行状态。从注册表编辑界面左侧显示窗口中，找到“HKEY_CURRENT_USERControl Paneldesktop”注册表节点选项。看看该节点下有没有“ScreenSaveActive”字 符 串键值，要是无法找到该键值时，不妨用鼠标右击指定节点选项，逐一选择快捷菜单中的“新建”、“字符串值”命令，将新建键值名称设置为“ScreenSaveActive”，再用鼠标双击该键值，切换到如图6所示的编辑对话框，在其中输入“1”，确认后退出设置对话框，这样系统屏幕保护功能就会被启用。

再次用鼠标右键单击“HKEY_CURRENT_USERControl Paneldesktop”注册表节点选项，从弹出的右键菜单中逐一点击“新建”、“字符串值”命令，将新建键值名称设置为“ScreenSaverlsSecure”，之后进入该键值编辑对话框，输入数字“1”，确认后Windows系统就会被强制启用密码保护功能了。

结束上述设置操作后，重新启动Windows系统，在登录成功后的一分钟内，要是没有对系统进行任何操作，密码保护的屏幕保护程序会被自动启动，那么，不法分子在不知道密码的情况下将无法登录到系统进行破坏或偷窥操作。