终端安全：最薄弱的环节

还记得短命的游戏中的最薄弱的环节吗?就像在现实世界中一样，最弱的玩家总是被淘汰。

　　但是当你考虑安全问题时，你真的需要不断地找出并除去最薄弱的连接，因为这也是攻击者所寻找的。如果我们对黑客的了解只有一点，那就是他们从不轻易放弃。因为在这个领域有太多的好处，所以他们在不断地在整个环节中寻找下一个薄弱的环接。这次他们会找到一个好东西。

　　在过去几年，我们越来越多的看到面向客户和企业的终端。一旦一个终端被攻占，坏蛋就可以随意地在内部网络上盗取信息、攻击更多的机器，而且把他们变成随时准备好的拒绝服务攻击的机器，并散发恶意和诱饵信息。

　　终端是好目标的原因有几个：

　　不安全的操作系统。从世界上大部分计算机都运行微软的视窗操作系统开始，寻找客户端弱点对于坏蛋来说就像是在桶里钓鱼一样。由于许多SMB都不能及时升级或打补丁，所以通用漏洞变成了大问题。

　　有害的动作。终端用户喜欢点击不明链接。他们打开不知道从那里得来的消息，将私人信息泄漏给陌生人，随机下载软件并在不知道结果的情况下点击广告。我遇见的大多数用户都有这些现象。他们都知道在造成损害后不应该做的事情，但是这些事情当时看起来就像是一个好主意。

　　不断增加的灵活性。在当今的移动世界，大多数人拥有笔记本电脑，并将私人信息保存与其中。不光是笔记本电脑有很好的市场，而且如果坏人想要攻击你的公司，最容易的就是从偷窃笔记本电脑开始。

　　那么中小企业如何防御这些常见的攻击?这里有一个五步规划来开始这一过程：

　　1. 教育。用户需要被不断的提醒，对他们的机器哪些事该做和那些事不能做。尤其重要的是对那些有移动电脑并可以移动上网的雇员，因为那些网络并不像公司内部网络一样受控。

　　2.桌面安全组件。有相当多的SMB在他们的设备上没有安装防病毒软件，反间谍软件和个人防火墙。如果你想在安装了Windows系统的计算机上工作，就必须将所有的Windows系统计算机置于防护之中。

　　3.设置屏幕保护密码。许多计算机是在雇员没有锁定计算机就离开的情况下被攻击的。任何在物理上接近该计算机的人都可以很轻易的完成攻击任务。离开五分钟，就需要将计算机锁定并设置密码。

　　4.加密笔记本电脑数据。登上The Wall Street Journal的封面的最好的途径就是泄漏大量的用户数据。隐私规定并不只用来限制大公司。苹果电脑公司已经在Mac OS X中提供了数据加密能力。还有许多Windows系统的第三方数据加密工具(例如PGP公司和SafeBoot NV公司提供的)。

　　5.默认防御工具。即使一个机器被攻击了，如果它不能回传数据，那对坏蛋就没有多少用处。如果你关闭了所有你的应用程序和防火墙不需要的输入和输出端口，那么你就削弱了坏人利用你的机器的能力。

　　这些技术没有一个是最新的或者困难的。但是你需要按照这种方式来执行。还有许多不同的高级技术(例如网络管理/访问控制，安全套接字层虚拟专用网络，强口令等)，但是要抓住关键。总是会有薄弱的环接。确保你的终端不会成为下一个。