安全问题无处不在：从非托管桌面开始

未修补和不受监控的Windows桌面是一个开放的大门，可以让病毒和木马潜入您的网络。除了恶意软件，这些桌面还可以作为恶意用户窃取或删除关键公司数据的窗口。如果怀有恶意的黑客可以访问您的计算机，他们将尝试不同的选项来窃取公司数据或借助您的网络以寻找更大的收获。

我们来看一下保护桌面所需的基本步骤。

操作系统和第三方漏洞

你可以在您的日历上标记每个月的第一个星期二，这是微软为消费者和企业发布新安全修复补丁的“周二补丁日”。微软最近宣布推出MyBulletins网站，以帮助个性化和跟踪MS产品的安全更新，包括IE，Office，Server和Developer工具。My Bulletins网站是一个很好的工具，适用于寻求跟踪部署软件状态并节省成本的中小型企业。

对于企业和混合环境，Microsofts的System Center Configuration Manager为Windows，Unix / Linux和OS X提供远程控制，软件和补丁部署/管理。其他流行的软件管理解决方案包括Symantec的Altiris。但修补基础操作系统只是第一步......

如果您没有锁定桌面并且还允许用户安装应用程序，那么将会有未修补的第三方软件程序，其中一些附带恶意软件，潜入您的企业中。如果您无法限制本地管理员权限，请采取必要的防护措施来保护您的电脑：

1）在桌面上安装和更新防病毒和反恶意软件。找到一个既提供rootkit和keylogger检测的既定产品。一些免费的Windows选项包括Win8 上的Defender，Vista&win 7 上的MSE。有关AV解决方案的详细总结，请访问http://www.av-comparatives.org/

2）使用第三方解决方案或免费解决方案（如微软的恶意软件删除工具或Windows Defender脱机）对已知软件威胁和rootkit执行每日恶意软件扫描

3）主动掌握第三方软件的更新，包括Java，Adobe Reader和Flash。这些普遍使用的常见应用程序的漏洞被一半以上的恶意软件利用。

设置桌面空闲超时锁定

制定一组策略，在一段时间不活动后自动锁定桌面。有不同的需要可以设定超时从五分钟到十五分钟。根据桌面与其所处工作环境的接近程度以及桌面上数据的机密性，超时的最佳时间选择会有所不同。

加密硬盘

对于Windows用户，也有一些免费的加密软件，包括微软的BitLocker 和 CE-Infosys公司的COMPUSEC。对于OS X，一般选用FileVault。为了获得最好的效果，请不要将加密密码放在本地和同一个硬盘之中，存储在异地并放置在安全的位置。在企业环境中，请查看Bitlocker MBAM工具。它允许详细管理，密钥恢复，合规性监控和报告。

- 请注意，截至2014年5月28日，免费软件驱动器加密软件TrueCrypt已经是不安全的了，不要再使用了。

锁定USB端口

不安全的USB端口提供为黑客上传密钥记录器或提供窃取数据的访问权限。锁定的USB驱动器应该是默认规则，而不是另外设定的。使用Windows注册表更改或组策略对象，可以阻止存储设备进行USB安装，但仍可以插入和连接键盘，鼠标和打印机。对于更灵活的企业选项，USB Lock RP等产品提供扩展的USB端口管理和USB加密选项。

密码保护BIOS /引导加载程序

现代PC具有密码保护系统BIOS的能力。考虑这是关键的第一步，以帮助保护您的电脑免受攻击。与所有密码一样，请不要在所有桌面上使用一个标准密码，也不要使用与Windows管理员密码相同的BIOS密码。

增加网络端口安全性

想象一下，访客进入您的工作场所并将他们的个人笔记本电脑插入您的网络。通常情况下，这是一个无害的销售人员或承包商，只想在工作中获得互联网访问权限，但未经检查，他们的个人电脑可以充当恶意软件和网络渗透的肉鸡。管理允许在网络端口上连接的计算机的最简单方法是在交换机上配置端口安全性。与网络管理员合作实施端口安全策略，您可以减少对连接到LAN的恶意设备的担忧。

稳定的物理链接

需要在笔记本电脑和不太安全的公共区域，台式机上使用电缆锁。确保电缆锁固定在牢固物体上。若将它环绕在可以轻松移动的桌子的腿部周围线缆将不会得到任何保护。

最后，实施公司范围的计算机安全培训，并考虑在整个企业中举办计算机安全培训研讨会。激励员工采取积极主动的方法来更好的使用计算机。

安全并快乐的从事计算机工作！