6、保持补丁更新

攻击者最好的朋友是未打补丁的系统。在大多数情况下，所使用的漏洞已经广为人知， 而受影响的厂商已经发布了补丁程序供系统管理员更新。不幸的是，世界上很大一部分人不会经常更新补丁，而攻击者对未打补丁的系统攻击成功率是非常高的。一个连续的补丁管理计划对保护任何平台，任何操作系统，不管它是否直接连接到互联网都是至关重要的。

基本上，任何技术系统保持最新的软件都是至关重要的， 因为随着时间的推移厂商找到并修复了漏洞。不要让漏洞一直存在于你的系统中等待攻击者利用。

7、使用防病毒扫描程序(实时扫描)

在当今世界，防病毒扫描程序(AV)是必不可少的。它应该被强制部署在桌面上，自动更新，并且应启动实时保护。尽管在你的电子邮件网关上部署防病毒扫描程序是一个很好的辅助或附加选择，如果你只在一个潜在位置部署防病毒扫描程序，选择桌面。为什么?因为无论恶意软件来自(电子邮件、存储设备、无线、宏、互联网，智能手机，平板电脑，P2P或IM)何方，它必须在桌面来发动破坏。通过在桌面上部署防病毒解决方案，你可以确保无论它是如何到达那里，它将会被阻止。电子邮件和防病毒网关的解决方案在大部分时间上是有效的，但如果恶意软件通过其他方法或意想不到的端口进来，它们将会失败。

防病毒解决方案应该启用实时保护，以便它扫描每个文件，因为涉及到系统或检测计算机内存，所以它可以防止恶意软件执行。有时，为了性能，用户会禁用实时功能。拒绝这些请求，但实时扫描即使它会影响些性能，却是你对抗感染的最好保护。

8、使用桌面防火墙软件

与防病毒扫描程序同样重要的是防火墙。防火墙在简单的端口过滤上已经走过了漫长的道路。今天的设备状态检测系统能够通过直接运行在计算机上的软件分析发生在三至七层的威胁。防火墙能够整理单独的事件为一个威胁描述(如端口扫描)并可以按名称识别攻击(如teardrop碎片攻击)。每一台电脑都应该通过防火墙软件保护。

桌面防火墙软件(也称为基于主机的防火墙或个人防火墙软件)，可以保护电脑免受内部和外部的威胁，通常对阻止未经授权的软件应用程序(如木马)启动向外通讯流量有着额外的优势。许多防病毒扫描程序提供防火墙组合包。

9、保证安全的网络共享权限

最常见的一种方式是攻击者或蠕虫通过没有密码或弱密码的网络共享入侵系统(比如NetBIOS或SMB)。通过网络远程访问文件夹和文件需应用访问控制列表(DACLs)的最小特权原则和具备复杂的密码。

默认情况下，允许Windows分配，大多数系统管理员， Everyone用户组拥有整个操作系统和每个新创建的共享完全控制或读取权限。这是相反的最小特权原则(也许应该被称为大多数特权原则)。为了解决这个问题，你最起码应该，首先将Everyone组的完全控制变更为Authenticated Users组的完全控制。虽然这不是比原来的设置真正意义上的更安全，但它会停止未经授权的用户，如匿名和来宾用户在默认情况下获得资源的完全控制。

许多Windows系统管理员也认为是可接受Everyone组可以完全控制所有的共享文件，因为底层的NTFS权限通常并不是很宽松，所需的有效权限更加严格。如果你100%的准确配置NTFS权限确实如此。但是违背了纵深防御原则(洋葱模型)。更好的策略是将共享和NTFS权限分配给最小的组和用户列表。这样一来，如果你不小心设置的NTFS文件权限过于开放，共享权限也可以弥补这一不足。

10、使用加密

大多数计算机系统有很多加密机会。Linux和Unix管理员应该使用SSH代替Telnet或FTP来管理他们的电脑。后者在网络上以明文工作，而SSH是进行加密的。如果你必须使用FTP，请考虑使用SSL和数字证书加密通信后的FTP服务。为了加密后的FTP正常工作，在客户端和服务器必须同时支持相同的加密机制。使用Windows IPSec策略需要加密服务器和客户端之间的通信。

加密文件系统（EFS）是Windows中最激动人心的功能之一。EFS联机加密和解密保护文件和文件夹。一旦用户接通时，EFS会自动为用户恢复代理生成公用/私有密钥对。如果未经授权的用户试图访问受EFS保护的文件时，它们将被拒绝访问。打开EFS，右键单击一个文件或文件夹，选择Properties选项， 单击属性部分的高级按钮，然后选择加密内容以便保护数据。因为EFS是联机加密和解密的，它无法阻止授权用户登录后的恶意软件事件。然而，当授权用户没有登录时EFS可以保护文件夹和文件。这在某些情况下可能会阻止恶意攻击，比如常见的蠕虫攻击在一个文件服务器上横行，破坏所有的数据文件(如VBS.Newlove蠕虫一样)。由于EFS可以协助提供额外的保护， 最终用户几乎是看不见的，并且性能影响最小，这种强化保护是值得考虑的。

请阅读企业终端安全防御的十大最佳实践（一）