Windows XP
我有一位用户,他只有一台电脑,通过标准家用路由器连接到互联网。现在路由器出现了硬件问题,为了省钱,他们考虑将电脑直接连接到 DSL 调制解调器,因为他们不需要共享互联网连接,也不需要无线功能。
如果他们决定这样做,我担心这会带来额外的安全问题。Windows 防火墙和 Microsoft Security Essentials 是否足以保护直接连接到 DSL 调制解调器的计算机?还是这里需要其他安全软件?理想情况下,我希望避免第三方防火墙软件不断发出警报并要求他们批准所有内容。
另外,需要澄清的是,它们的用例只是互联网浏览和电子邮件。
答案1
呃。路由器不再是单一用途的网络设备。现在几乎所有的消费级路由器都内置了硬件防火墙,而且配置起来非常方便。使用软件/个人防火墙并不理想,因为它们会占用内存和 CPU 周期等系统资源,而路由器中的防火墙不会影响系统,实际上就像拥有一个专用的安全器具。此外,软件防火墙比路由器内置防火墙更容易受到恶意软件的攻击(例如,关闭、绕过),因为软件防火墙的种类和版本较少,这使得查找漏洞比查找路由器漏洞容易得多,因为它们的多样性要大得多。
即使只有一个系统也没关系;将其放在路由器后面可以极大地提高安全性(甚至只需养成一点点安全浏览习惯,您就可以在没有任何安全软件(例如实时防病毒软件等)的情况下运行系统多年而不会受到任何东西的感染)。
毫不奇怪,我强烈建议暂时使用路由器,直到他们能找到替代品(你确定路由器真的坏了吗?我的路由器因为未知原因“坏”了几次,最后都恢复了)。如果钱是个问题(现在路由器很便宜),可以查看 eBay Classifieds 或 Kijiji 等本地分类广告,寻找价格实惠的二手路由器。
话虽如此,是的可能的直接连接到互联网,并且仍然是安全的。(我记得几年前在直接连接的系统上安装 Windows XP,发现它感染了 Nachi 蠕虫Windows 甚至还没有安装完成!它在安装的第二阶段,即安装网络驱动程序后就被感染了。)
正如您所想,最重要的安全软件确实是防火墙。它可以阻止恶意连接进入并造成危害。Windows 防火墙通常足以保护新手用户,尤其是细心的用户的安全(它最早是在 XP SP2 中引入的,又名“Windows 安全大修”)。专用的更好,因为它还将控制传出连接,但如果用户不懂电脑,就会被提示和设置弄得不知所措(他们应该如果你能够为每个程序“设置一次并忘记它”),那么使用默认设置的 Windows 防火墙确实就足够了(有点)。
专门的安全公司有很多(无数?)反恶意软件,但 Microsoft Security Essentials 通常也不错。
将 DSL 调制解调器直接连接到 PC 而不是路由器时需要进行哪些安全更改?
除了启用 Windows 防火墙和安全基本功能(如果尚未启用)之外,您还可以采取其他一些措施来确保它们保持清洁和安全(尽管这些通常都是很好的措施,即使在路由器后面也是如此)。
保持系统更新。确保自动应用 Windows 更新,以将漏洞利用率降至最低。同时将 Security Essentials 设置为自动下载更新的定义。事实上,将他们经常使用的所有软件(浏览器、插件、Acrobat、Flash 等)设置为自动更新。
给他们上一堂速成课,教他们如何安全浏览。教他们恶意软件的基本知识,并警告他们不要下载和执行文件,也不要担心垃圾邮件。
答案2
在当前设置下,他们可能有两层(或三层)的安全保护。
大多数家用路由器都有一个状态防火墙(传入的响应数据包必须与传出的请求匹配),并且还具有NAT虽然这不被视为一种安全措施,但它提供了与状态防火墙类似的保护,因为传入连接必须与 NAT 表中的转换条目相匹配,而 NAT 表仅在响应传出连接时创建。
第三层是Windows的安全功能XP 内置防火墙以及提到的安全应用程序。
此提议删除了一个或多个安全层,并将 Windows XP 直接暴露给互联网(假设调制解调器像往常一样向 Windows 提供一个公共地址,并且本身没有任何安全功能)。
决定这是否足够是一个接受风险的问题。决定风险是否可以接受的唯一方法是查看 Windows XP 漏洞的历史,以及过去这些漏洞是否可以通过您使用的安全产品得到充分缓解,如果不能,增加安全层是否可以缓解这些漏洞。
这将让您了解未来出现新问题的可能性,以及您是否得到了足够的保护,如果没有,会有什么影响。这些结合起来就是可以接受的风险。这是否足够取决于接受风险的人。
答案3
几年前,当我只有一台桌面时,我也曾有过同样的设置,我发现一个阻止所有未经请求的传入连接的防火墙就足够了。
对于这种用例,您建议的那些工具应该足够了。