上周帮一家做外贸的小公司处理电脑问题,一进内网就发现三台办公机装着同一款‘破解版’财务软件,管理员账号密码是 admin/123456,连路由器后台都没改过默认设置。这不是个例——很多中小企业把安全加固当成IT部门的‘选修课’,直到勒索病毒锁了客户报价单,才急着问:‘能恢复吗?多少钱?’
安全加固不是买套杀毒软件就完事
真正的企业安全加固,是从网络入口到员工鼠标点击的每一环都设防。比如,很多公司用着公网IP直连的NAS,共享文件夹权限开着‘everyone-完全控制’,外网随便一个扫描器就能拖走三年的合同扫描件。
从这三件事开始动手
1. 关掉那些‘方便但要命’的默认配置
路由器、打印机、监控NVR这些设备,出厂默认开启Telnet、UPnP、远程管理,顺手一搜就能找到一堆暴露在公网的设备。登录后台后第一件事:关掉不用的远程服务,改掉 admin/admin 这类默认账号,启用强密码(比如 Yue2024#Shenzhen 这种带地名+年份+符号的组合)。
2. 给Windows加道‘铁门’
别只靠360或火绒报个警就放心。打开组策略(gpedit.msc),定位到:
计算机配置 → Windows设置 → 安全设置 → 账户策略 → 密码策略把‘密码最短使用期限’设为1天,‘强制密码历史’记6代,让员工没法反复用同一个密码糊弄过去。
3. 文件共享必须‘见人下菜’
用Windows Server或群晖这类系统做共享时,别图省事建个‘公共盘’全公司可读写。按部门建共享文件夹,销售部只能看销售资料,财务部看不到人事档案。权限设置不难,右键文件夹→属性→安全→编辑,删掉‘Users’组,只留具体用户或部门组。
有家汽配厂去年被黑,不是黑客多高明,而是行政人员把U盘插进一台没装杀毒软件的旧电脑,又拿去拷产品图纸——那台电脑连着内网打印机,而打印机驱动自带SMB服务,成了跳板。安全加固不是堆设备,是让每个动作都有约束:U盘统一管控、打印机禁用远程协议、旧电脑隔离进单独VLAN。
加固不是一步到位的事,但每次改一个默认口令、关一个无用端口、删一个多余共享,都在把攻击面缩得更小一点。就像给仓库换锁,不用换整扇门,先把生锈的插销换成带指纹的电子锁,已经比原来强太多。