我们该怎么办?总是被动的去清理现场吗?总是为了这些杀毒软件也查不出毒的讨厌家伙满车间跑吗?现在就教你从源头上下功夫,从一开始就把客户端的防毒策略做好,让自己高枕无忧。
一、使用NTFS格式格式化磁盘分区
很多网管为了Ghost方便,喜欢将系统盘格式化成FAT格式。其实从Ghost8.0开始便支持NTFS格式分区的备份与恢复了,比较经典的8.3版的Ghost对NTFS格式分区的支持更加完美,因此无需担心系统备份与恢复问题。
NTFS格式是微软NT系列系统开始引进的新的分区格式,提供比FAT更好的性能,并且支持权限管理,这里也是推荐NTFS格式的最主要原因,因为后面的一些应用是基于NTFS的权限之上的。
换个角度看,毕竟NTFS是FAT发展多年后的产物,在技术上更新,性能当然也会更好,相信微软是没错的。 因此强烈建议在安装系统的时候使用NTFS格式格式化系统盘,如果系统已经安装好了,可以使用Convert命令进行转换(图1)。
图1
二、用代理服务器上网
如果让内网所有的电脑都是通过交换机、防火墙、路由器等设备直接上网,危险性则非常大,且客户端一多,管理起来就麻烦,虽然可以在防火墙、交换机上设置相应的规则,但也不能保证百密无一疏。
因此在内网增加一台代理服务器无疑是最佳的解决方案,在交换机或路由器等设备上设置只允许代理服务器上网,这样管理起来就方便多了。另外代理服务器建使用微软的ISA来做,不仅起到代理的作用还能做软件防火墙,设置相应的过滤条件也要方便得多。并且管理的时候只需要管理代理服务器这一台电脑,其他客户端基本上就不用去管了(图2)。
图2
三、禁用Guest账户
Guest账户常常会成为一些后门程序的“温床”,并且网上也有很多文章介绍如何通过Guest账户得到管理员权限的方法,因此打好安全第一仗,禁用Guest账户绝对是毫不手软的事。
依次进入“控制面板→用户账户”,单击“来宾账户”,单击“禁用来宾账户”将来宾账户禁用(图3)。
图3
四、默认账户更名
除了禁用来宾账户,如果想让一些想依赖系统默认账户的后门程序彻底失去作用,可以将系统默认的管理员账户及来宾账户改名,从而让入侵者找不着北。
运行“gpedit.msc”程序打开组策略编辑器,依次定位到“计算机配置→Windows设置→安全设置→本地策略→安全选项”,在右侧找到“账户:重命名系统管理员账户”和“账户:重命名来宾账户”这两项,双击打开,将这两个账户分别改成不易猜测的账户名称(图4)。
图4