系统账户管理
电脑或手机刚买来第一件事不是装软件,而是改掉默认账户设置。很多人用管理员账号日常上网,一旦点进钓鱼网站,攻击者就能直接获得高权限。建议创建一个普通用户账户用来日常操作,需要安装程序或修改系统时再切换管理员。
密码也要讲究,别用123456或者生日这种容易猜的。最好开启双重验证,比如登录微信、支付宝除了输密码还要发短信验证码,多一层保险。
关闭不必要的服务和端口
路由器后台默认开着远程管理功能,很多人没关,这就等于把家门钥匙挂在网上。进入路由器设置页面,找到“远程管理”选项,把它关掉。还有像打印机共享、文件共享这类功能,如果不是必须用,也建议关闭。
Windows系统里有些服务常年在后台跑,比如“Print Spooler”,如果你不用打印机,完全可以禁用。打开“服务”管理器(Win+R输入services.msc),找到不需要的服务右键停用。
及时更新补丁
系统提示更新别总点“稍后重启”,很多勒索病毒就是钻了旧版本漏洞的空子。去年有公司服务器因为没打Windows Server的SMB漏洞补丁,结果全盘被加密,数据恢复花了好几万。
不只是操作系统,浏览器、Office、Adobe Reader这些常用软件也要保持最新。可以设置自动更新,省得自己忘记。
防火墙和杀毒软件配置
别以为装了杀毒软件就万事大吉。很多免费杀毒工具只扫本地文件,对网络攻击反应慢。建议开启系统自带防火墙,并自定义规则。比如某个程序突然尝试连接国外IP地址,防火墙能第一时间拦截并提醒。
可以在高级设置里禁止某些程序联网。比如你发现某个游戏辅助工具老是偷偷传数据,直接在防火墙里拉黑它的exe文件路径。
重要数据备份与权限控制
照片、合同、工作文档这些关键资料,至少要有两份副本。一份存在移动硬盘里,另一份上传到可信的云盘,并开启二次验证。不要所有东西都放C盘,一旦系统崩溃全都没了。
共享文件夹更要小心。公司里有人把整个财务文件夹设为“所有人可编辑”,结果被内网病毒批量删除。正确的做法是按部门分配读写权限,谁需要看谁才能看。
代码层面的安全设置示例
如果是网站运维人员,下面这段Nginx配置可以防止常见的URL注入攻击:
location ~* \.(<?php|sh|sql|asp|jsp)$ {
deny all;
}
location ~* ~(\.bak|\.swp|\.orig)$ {
deny all;
}这段规则会阻止访问以.php、.sql、.bak结尾的敏感文件,避免配置文件或数据库备份被下载。
日常使用中的小习惯
公共WiFi尽量别登录银行账号,咖啡馆连上“Free_WiFi”后,可能隔壁桌就在监听流量。真要操作,最好开手机热点。
收到“快递异常”“账户冻结”的短信,别急着点链接。先打官方客服电话确认,现在很多诈骗短信做得跟真的差不多。
U盘插进电脑前先右键扫描病毒,特别是从别人那儿拷资料的时候。曾经有企业感染蠕虫,就是因为员工用了客户给的U盘。