在移动互联时代，“云+端”一直是业界的热点。“云”和“端”的安全管控，已然成为重点。作为一名企业系统管理员，只要稍不留神，PC终端就会成为安全重灾区。即使你极力维持一种善意友好的网络通讯，也无保证计算机安全在一个合理的维度。

假如一部台式机已经存在恶意移动代码，但通过阻止用户点击恶意软件运行，被恶意攻击成功的几率是可以降低的。小编将结合广大网友的推荐，给出保护PC终端的若干有效实践。

1、 保证安全的物理环境

对于关键任务服务器，我们先不说使用IP-guard准入控制或安全网关此类的安全控件在网络通讯上对它的访问和被访问进行管控，至少要在物理方面为它搭建一个相对安全的环境——一个大门紧锁的专属机房。此外，常规的电脑也需要保护。从橡皮电线到金属外壳，锁定装置的有效运用，可以将个人电脑和笔记本固定到桌子上，夜贼与黑客一样猖獗。

2、 密码保护启动

一个简单的用户或开机口令看似简单，但对最有可能被窃取的便携式电脑，如笔记本电脑、平板电脑和智能手机尤其重要。启动顺序中的密码保护可能会让一个非技术性的小偷无法轻易看到硬盘或存储RAM上的数据。如果启动口令在平板电脑或智能手机上被重置，通常要求删除数据，所以保密性和隐私是有保障的。

3、 密码保护CMOS

在计算机领域，CMOS常指保存计算机基本启动信息（如日期、时间、启动设置等）的芯片,包含启动顺序、远程唤醒，防病毒引导扇区保护等潜在安全设置。针对它的威胁一般有两种，一、他人未经授权更改；二、通过使用从主板制造商获得的特殊引导软盘或通过改变主板上的跳线设置来绕过某些启动密码。针对这两种威胁，一个CMOS/BIOS密码虽不是百分百可靠，但还是可以有效降低信息偷窃者的成功几率。

此外，各个操作系统的引导加载程序，例如Linux的LILO，允许设置启动密码。

4、 禁止USB和CD引导

以上几个步骤只是基础，依然无法阻止某人从具有类似文件系统的另一个硬盘引导和接管机器。禁止从USB存储设备和光盘驱动器引导启动可以防止从这些设备上感染引导区病毒，并且阻止攻击者通过在计算机上加载一个不同的操作系统来绕过操作系统安全。

5、 加固操作系统

通过删除不必要的软件，禁用不需要的服务，并锁定访问减少操作系统的攻击面。通过关闭不需要的服务减少系统的攻击面。例如安装时选择自定义安装，禁止弹窗、推送等等。

6、 安装安全软件

如果一刀切的模式无法满足企业运转需求，则需通过安装安全软件对企业安全环境进行把关。需要注意的是，不要忽略任何一个安全配置软件的设置。定期并迅速更新系统补丁。将网络隔离到可信区域并且基于系统的通信需求和互联网公开度将系统放置到这些区域。加强认证过程。基本上，任何技术系统保持最新的软件都是至关重要的， 因为随着时间的推移厂商找到并修复了漏洞。不要让漏洞一直存在于你的系统中等待攻击者利用。

7、 使用防病毒扫描程序和桌面防火墙

在当今世界，防病毒扫描程序是必不可少的，并且必须强制安装在桌面。因为无论恶意软件来自(电子邮件、存储设备、无线、宏、互联网，智能手机，平板电脑，P2P或IM)何方，它必须在桌面来发动破坏。通过在桌面上部署防病毒解决方案，你可以确保无论它是如何到达那里，它将会被阻止。