在移动互联时代，“云+端”的安全管控已成为业界的热点和重点。在终端这块，PC终端的安全管理仍然不可忽视，否则极易成为安全的“重灾区”，因为只需要一个不小心的终端用户便可以感染整个网络。

如果你是系统管理员，很显然，所有的善意和友好通讯将无法保证计算机安全在一个合理的级别上。在最开始，你必须在阻止台式机感染恶意移动代码、关闭漏洞并确保用户的计算机配置正确。如果他们无法点击恶意软件运行，或者允许它存在电脑上，那么你已经显著降低了恶意攻击的威胁。许多措施可以尽量减少攻击成功的风险，例如保护物理环境、强化操作系统保持补丁更新、使用防病毒扫描程序等，本文将给出终端安全防御的十大最佳实践，希望大家马上行动，保护好你的终端。

1、保证安全的物理环境

物理方面是任何计算机安全计划的一个基本组成部分。当然，关键任务服务器应该被保护在一扇紧锁的门后，但常规的电脑也需要物理保护。根据你的环境，个人电脑和笔记本电脑可能需要固定在桌子上。有几种不同类型的锁定装置，从薄橡皮电线到定制的环绕一台电脑的硬化金属外套。如果有人晚上把他们的笔记本放在办公桌上，它应该是安全的。在你的环境中，还有其他步骤可以用在每台电脑上。

2、密码保护启动

考虑在操作系统加载之前需要一个开机口令。这通常可以在CMOS / BIOS中设置并被称为用户或开机口令。这对便携式电脑，如笔记本电脑、平板电脑和智能手机尤其重要。小型个人电脑最有可能被窃取。由于大多数便携式设备通常包括个人或机密信息，启动顺序中的密码保护可能会让一个非技术性的小偷无法轻易看到硬盘或存储RAM上的数据。如果启动口令在平板电脑或智能手机上被重置，通常要求删除数据，所以保密性和隐私是有保障的。

3、密码保护CMOS

一台计算机的CMOS / BIOS设置中包含了许多潜在的安全设置，如启动顺序、远程唤醒，防病毒引导扇区保护。确保未经授权的用户无法访问的CMOS / BIOS设置是非常重要的。大多数CMOS / BIOS都允许你设置一个密码，以防止未经授权的更改。密码应该不同其他管理密码，但为了简单起见，所有机器可用同一密码。

有些方法可以绕过CMOS / BIOS和启动密码。通过使用从主板制造商获得的特殊的引导软盘或通过改变主板上的跳线设置来绕过某些启动密码。虽然他们不是100%可靠，一个CMOS / BIOS或启动密码可能会阻止一些攻击发生。例如，灰帽子攻击者(可信的会议主持人)过度供应给保安苏打水，他的物理攻击成功了，因为他可以潜入无人看守的房间，将软盘放入驱动器中，并重新启动服务器。如果曾经在CMOS / BIOS和引导顺序密码保护中禁用了软盘驱动器，那么他的攻击很可能不会成功。

各个操作系统的引导加载程序，例如Linux的LILO，允许设置启动密码。当然，这无法阻止某人从具有类似文件系统的另一个硬盘引导和接管机器。这就是为什么接下来的步骤非常重要。

4、禁止USB和CD引导

禁止从USB存储设备和光盘驱动器引导启动可以防止从这些设备上感染引导区病毒，并且阻止攻击者通过在计算机上加载一个不同的操作系统来绕过操作系统安全。

5、加固操作系统

通过删除不必要的软件，禁用不需要的服务，并锁定访问减少操作系统的攻击面：

• 通过关闭不需要的服务减少系统的攻击面。
• 安装安全软件。
• 安全配置软件设置。
• 定期并迅速更新系统补丁。
• 将网络隔离到可信区域并且基于系统的通信需求和互联网公开度将系统放置到这些区域。
• 加强认证过程。
• 限制管理员的数量（和特权）。

请继续阅读企业终端安全防御的十大最佳实践（二）