安全意識專題 | 管理桌面安全桌面安全可謂是公司網絡的第一道防線��。
通過部署恰當的安全策略�����,可以阻止惡意軟件和病毒在爆發(fā)后持續(xù)惡化,甚或可以完全避免此類事件發(fā)生����。
公司網絡內的桌面安全通常由配置了數據文件加密系統(tǒng)組成的中央服務器進行管理。
當PC 系統(tǒng)登錄到網絡時�,會在域控制器中進行身份認證,并接收啟動腳本����,這些腳本控制著網絡上的計算機行為。
這種集中控制簡化了大型網絡的管理�。
一��、評估桌面安全
1. 用戶分類談到桌面安全時����,最主要的安全考慮一定是用戶。
網絡中的用戶可隨意訪問組織資源����,這就帶來了安全隱患����。
雖然大多數用戶不會故意破壞網絡���,但是當用戶忽略了最佳實踐而打開了來源未經驗證的電子郵件和附件時���,就會產生意想不到的后果。
因此�����,根據安全標記對用戶進行分類以及對訪問權限進行分級就顯得分外重要��。
訪客:這種級別的用戶只有很有限的訪問權限�,不允許修改本機上的任何文件或設置。
該級別限制網絡訪問���,對可訪問的網絡共享文件僅有只讀權限�。
用戶:這是網絡上最常見的用戶類型�����,是員工在登錄后獲得的標準權限。
一般來說�,除了基本的打印和屏幕選項,用戶還能夠編輯本地設置���。
網絡共享被劃分為不同區(qū)域���,允許特定部門用戶訪問相關的網絡共享。
高級用戶:這個名稱有時指執(zhí)行基本管理任務(如修改標準用戶和訪客的密碼)的主管��。
高級用戶可在自己的桌面PC 上修改本地設置���,但不能進行域級別修改�����。
管理員:這個級別對桌面系統(tǒng)以及網絡資源具有最高的訪問權限��。
管理員被賦予最高級別的訪問權限�����,可根據需要修改網絡和桌面設置。
管理員用戶名和密碼無論何時均為機密信息����,不得與任何非授權人士共享��。
2. 流程及執(zhí)行IT 安全策略一般包含在IT 部門的安全和流程文檔中����,傳達的是公司在桌面和網絡操作方面的立場��。
文件明確了如下內容:新用戶加入組織后應如何行事����,IT 部門應如何確定、分配其用戶權限;以可接受的方式合理使用公司資源�,包括網絡、郵件和打印服務;•在使用IT 設備和資源時哪些行為不正確��,哪些行為視為違反IT 策略��。
文件在擬定并在組織內分發(fā)后�,將由IT 部門決定如何遵守并實施IT 安全策略。
文件會對基本概念(如密碼安全最佳實踐)和員工在工作時間登錄系統(tǒng)后的操作進行規(guī)范��。
多數公司采取彈性工作制�����,意味著用戶可通過遠程桌面服務(如終端服務器)從家里接入公司網絡遠程工作。
這種情況也應由IT 安全部門管控���,可訪問此類資源的用戶須了解接入公司網絡后的責任��。
3. 數據保護技術在上述多個場景中����,安全措施已經到位����,可持續(xù)保護接入公司網絡的用戶及其隱私。
涉及的技術因網絡不同而不同����,取決于組織所采用的特定業(yè)務應用的要求。
我們對幾種相關技術及其安全威脅防護方式大致歸納如下:單點登錄(SSO)是一種登錄憑證方法��,通過單一用戶名和密碼授權用戶訪問多種資源�。
用戶的訪問權限由系統(tǒng)管理員決定。
可以將SSO 門戶作為啟動平臺�,用戶在工作時需要的應用(如郵件和辦公生產力套件)從這些平臺啟動。
這樣做的主要好處是每個應用均可啟動自己的安全窗口����,也就是說���,應用可通過會話管理器有效管理���。
所以�����,如果系統(tǒng)管理員檢測到非法訪問����,就會中斷會話�����,鎖定用戶賬號��。
加密為網絡上的本地用戶以及通過互聯網從遠程站點連接的用戶添加了一個額外的安全層����。
加密的工作機制是在一端使用密碼對傳輸進行編碼,然后在另一端進行解碼�����。
密鑰只與會話相關各方共享,這種安全連接使外部無法解密獲取有意義的信息�。
加密用于許多技術,如遠程桌面應用程序�����、安全網頁瀏覽��、基于文本和視頻的通信等等�。
虛擬專用網絡(VPN)是一種通過加密來保護通信的方法,在客戶端和網絡之間創(chuàng)建了一個虛擬隧道��。
即使身在他國�����,也會感覺和公司處在同一網絡����。
這意味著您能夠瀏覽網絡資源(如映射的網絡驅動器),并能如同在辦公桌邊一樣瀏覽公司的內網��。
唯一的缺點是��,如果組織無法為此服務提供足夠的帶寬,會出現時延問題����。
4. 哪些桌面安全組件最易受攻擊?桌面安全本身有諸多缺陷。
近年來���,保持網絡安全和穩(wěn)定已成為系統(tǒng)管理員的巨大挑戰(zhàn)。
有些需要重點關注安全的領域與用戶相關����,特別是用戶將臺式PC 用作主要工作站時。
這意味著應用程序需要通過組策略進行監(jiān)控和鎖定�����,并且特定的網站和域名需要特定的防火墻來限制訪問����。
最易出現漏洞的領域包括:
(1) 郵件這是網絡上最常被訪問的資源。
郵件具有用戶密集型的特點�,因為它是許多組織中的主要通信方式。
用戶每天會收到數百封電子郵件����,郵件服務器則要處理數千封郵件和附件��。
網絡犯罪分子使用電子郵件通過各種方法來欺騙用戶���,使其忽略掉安全細節(jié)。
這些方法包括:網絡釣魚:這是一個相對較新的電子郵件欺詐方法�,實現方法簡單得讓人驚訝。
犯罪組織會下載網上銀行的登錄頁面或其他類似門戶的網頁����,然后將其托管在自己的Web 服務器上,再發(fā)送看似來自相關服務提供商的電子郵件�����,通知用戶必須立即登錄�����,以完成安全程序���。
電子郵件中的鏈接實際上是一個超文本鏈接�����,將毫不知情的用戶重定向到犯罪分子的Web 服務器上托管的假冒網站��。
這個Web服務器配備了一個擊鍵記錄器�����,可以獲取用戶輸入的任何東西��,然后被網絡犯罪分子用來登錄和感染用戶的賬戶�����。
受感染附件:有時候��,電子郵件來自一個完全合法的來源�����,用戶沒有理由不信任���,但是該可信來源的機器會被病毒感染,病毒再自我復制���,通過群發(fā)郵件程序進行傳播�����。
附件通常被標記為發(fā)票或報價單之類的合法的商業(yè)文件���。
在這些情況下���,只要打開附件就可能感染用戶的PC。
許多情況下����,只有當公司的郵件服務器上的電子郵件隊列開始產生大量出站流量時,才能檢測到感染����。
最新類型的Crypto 軟件似乎能自動打開電子郵件,感染機器����。
這種惡意軟件特別討厭,它使用非常強大的加密密碼來加密用戶數據����,讓人無法恢復電腦上的用戶文件。
針對這些情況的最佳解決辦法通常是文件恢復�����。
(2) 即時通訊早至互聯網中繼聊天(IRC)之初,程序員就可以通過即時消息(IM)應用程序發(fā)送附件�。
隨著時間的流逝,這些程序越來越復雜�,文件和數據的傳輸效率也越來越高。
對于當前的桌面用戶來說���,在與一個未知來源聊天時�����,接收和打開附件可能會讓他們的桌面PC 和公司網絡感染病毒和惡意軟件��。
正因為如此��,在公司網絡中應謹慎使用IM 應用程序。
有時甚至不需要附件就能釋放漏洞���,比如��,用戶的聊天應用程序中如果存在安全漏洞����,攻擊者就可以遠程執(zhí)行某些腳本�。
(3) 社交網絡任何鼓勵文件共享的基于Web 的平臺在公司網絡中使用時都應該極度小心����。
利用復雜的腳本和應用程序�,黑客和網絡犯罪分子可以毫不費力地進入被感染的桌面PC。
即使看起來無害的照片也可能嵌入惡意軟件����,因此用戶在工作場所訪問任何社交媒體服務時都要格外小心。
(4) 瀏覽器與上述各例一樣�����,互聯網瀏覽器也會將組織暴露給互聯網上的各種不安全因素���。
如果瀏覽器沒有安裝最新的安全補丁����,就可能導致網絡被滲透�,所以,系統(tǒng)管理員務必要關注補丁周期���,及時安裝補丁���。
用戶應始終留心自己在公司桌面上查看的內容�����,而在通過組織網絡連接時應避免使用私人Web 郵件服務�。
(5) 社會工程犯罪分子以企業(yè)和家庭用戶為目標����,對他們進行電話詐騙,這種做法再度流行�。
犯罪分子一般通過電話聯系用戶,自稱來自IT 部門或大型IT 公司�,試圖通過遠程桌面應用程序或者誘騙用戶下載能夠繞過網絡安全的惡意軟件來訪問用戶的電腦。
從未經驗證的電話來源接受指示絕不可取�����,接到此類電話后����,用戶應與其部門經理或IT 部門確認后再進行下一步的行動����。
二、桌面安全意識項目IT 部門應為組織內部用戶提供專門培訓,讓上述安全問題深入人心�。
通常,第一步是在用戶的入職手續(xù)中加入基本的培訓�,以便在接觸到IT 策略文件以及相關策略和程序之、初就懂得如何保護自己的桌面PC 和公司網絡���。
近期�,重大的惡意軟件事件頻發(fā)�,比如WannaCry 和Crypto 變種。
所以�,建議進行一些基本的培訓,解釋清楚勒索軟件對用戶文件的所作所為�,讓用戶對于此類惡意軟件感染桌面和企業(yè)網絡后造成的后果有更深入的理解。
三��、桌面安全意識建議及資源為安全事故做好準備���,可能只會遭遇輕微的系統(tǒng)中斷���,否則,則可能會面臨數據完全丟失這個災難�。
對抗桌面用戶所面臨的不斷增長的安全漏洞威脅部署以下管控策略:最終用戶安全意識反網絡釣魚進行安全意識培訓,抗擊勒索軟件部署網絡電腦監(jiān)控軟件數據文件加密系統(tǒng)企業(yè)數據防泄密
