近日，省政务云部门上云联络人微信群里有人提问，现在微软已经停止了对Windows7操作系统的支持了，而Windows10又未列入ZF采购目录，大家有什么好的方法加强终端管控吗？这确实是摆在系统管理员面前的现实而又紧迫的问题。今天来说一下我个人对于加强终端管理的一些理解。

一、微软停止对Windows7系统提供支持意味着什么？

微软停止对Windows7和Windows Server 2008系统的支持，意味着官方不再有关于Windows7的官方补丁（出现特别重大安全问题也有可能提供紧急补丁，比如勒索病毒大范围扩散时），讨厌的Windows自动更新也不会出现了，世界彻底清净了！

部分用户感觉Windows自动更新导致电脑关机时间超长，因更新进不去系统，认为这个"BUG"是无法忍受的，但对于系统里动不动就弹出的广告无动于衷，对偶尔弹出的美女照片激动不已。殊不知，这部分用户是系统管理员眼中最大的“BUG”，是一切安全问题的由来……

二、内网电脑安全威胁频发

今年以来我单位互联网和办公网络先后接收到运营商的安全告警，互联网终端遭受飞客蠕虫等针对445端口的攻击。说是我们遭受攻击，不过是照顾我们的面子罢了，其实就是我们内部终端中招后开始对外扫描被运营商发现了。

作为IT从业人员这两年应该对445端口都不再陌生了，这是办公电脑最易遭受攻击的端口。著名的“永恒之蓝”、“勒索病毒”、“飞客蠕虫”等病毒都是攻击的445端口。445端口是SMB协议扩展到Internet后，用于实现Internet文件共享。

频发的445端口攻击，其实和Windows7停止更新没有直接关系，问题出在本地的安全策略设置上。

三、真正的黑客攻击一般感觉不到

对我们服务器或办公电脑发起攻击并被发现的，通常都是些工具小子，真正的黑客攻击我们很难察觉到。

真正的黑客手里都会掌握一些不为人所知的系统漏洞，并编写工具利用这些漏洞并通过木马控制你的电脑。当微软的安全人员发现这些漏洞时就会编写代码封堵这些漏洞，这就是我们定期打的系统补丁。现在微软不再对Windows7提供支持了，那黑客掌握的漏洞也就不会有人去封堵了，他们就可以长期进行利用。日积月累黑客会掌握大量漏洞，利用这些漏可以轻松攻陷你的Windows7系统电脑并隐而不发。我们的杀毒软件、防毒墙等对这些未知特征或看似正常的特征通常不会采取动作。

一些安全公司号称“个人电脑接入公司网络可在1分钟内自动攻陷”应该就是掌握一些“不为人知”的可提权漏洞。

四、终端安全如何防护？

关于终端安全防护，群里讨论的主要有两种方法：一是使用云桌面（虚拟桌面），二是通过防火墙进行防护。但个人认为应加上第三种--通过Windows域进行统一管理。

（一）使用云桌面

个人认为使用云桌面的安全性较高。

1、云桌面一般都由大厂提供，只要资金到位，服务没的说；

2、个人瘦客户端（办公位还要有一台低配电脑用于连接云桌面）采取开关机自动还原策略（可借鉴学校实验机房和网吧的还原策略），及时清除病毒威胁；

3、通过外部计算机连接云桌面，即使外部计算机中招也还要获取云桌面账户密码才行。

（二）通过防火墙进行防护

个人认为这种方法不太靠谱。传统防火墙防外不防内，默认外部对内的访问都不安全，但对内网和内网对外访问不做限制。

1、可有效防止外部对内部的攻击。

2、终端安全问题多是内网用户浏览互联网时中招导致，由于内网无网络防护很容易导致蠕虫类病毒全面扩散。

3、正确的安全配置可组织病毒向外网蔓延。

这里还要说一下近来名声大噪的分布式防火墙和SDN。

1、分布式防火墙可做到对每个办公终端进行隔离。用过公有云的用户应该都知道，公有云针对每台云主机都有1个防火墙，想要对外提供WEB服务，不仅要系统内部防火墙放行还要在云控制台放行，这样大家才可以访问我们的网站。这就是分布式防火墙，可以对每个办公电脑的防火墙策略进行单独配置。但办公计算机动辄上百台，这需要一大笔的授权费用，所以目前还未见有单位为办公网络上分布式防火墙。

2、SDN也可针对单个终端做访问控制策略，费用也是个大问题。

（三）通过Windows域进行管理

Windows域在计算管理方面成绩斐然，很多大型企业都在使用。

1、计算机安全配置这些另用户头疼的问题完全由系统管理员接手，办公用户只管使用；

2、域管理员可默认办公人员都不懂计算机安全设置，可通过下发组策略及脚本的方式一站式为所有用户制定安全策略（含防火墙策略）；

3、内网出现安全问题，可通过域向所有用户推送安全软件，提醒所有用户进行安全排查。

4、域可做的事有很多，以上3点已经比另外两种方法优秀很多了。

5、缺点：域在单位内推广需要领导签批的“政令”，由系统管理员推广难度较大。