关于WINDOWS安全的十条最佳方案

尽管网络安全一直都很重要,其风险之高,今尤胜昔。网络安全应当成为每一个组织重要的优先目标。以下简单十招可助你化险为夷。

1:尽可能减少受攻击面

进行系统加固应该采取的首要步骤之一是降低其受攻击面:机器上运行的代码越多,代码被利用的机会更越大。因此你得卸载一切不必要的操作系统组件及应用。

2:只用有名的应用软件

在目前这种经济景气条件下,难免会想用免费软件、高折扣软件或开源应用。尽管我会是第一个承认在自己组织内部使用了大量此类应用的人,但是在采用此类软件之前进行一点调查研究是至关重要的。某些免费或低价的应用在设计上都会向用户推送广告:其他一些则会处心积虑盗窃用户的个人信息或跟踪其互联网浏览习惯。

3:尽量使用普通用户账号

作为一个最佳实践,管理员应该尽量使用普通用户账号。一旦发生恶意软件感染,该恶意软件通常会拥有与登录者相同的权限。因此,如果登录者拥有管理员权限的话,恶意软件所造成的损害会大得多。

4:建立多个管理员账号

在上一节,我讨论了尽量使用普通账号的重要性,并指出只有在需要执行需要管理员权限的操作时方使用管理员账号。然而,这并不意味着你得用域管理员账号。

如果你所在组织有多位管理员,就应该为他们每个人创建独立的管理员账号。如此,一旦执行了一项管理员操作之后你还可以分辨出是谁干的。比如说,如果你有一位叫JohnDoe的管理员,你得该用户创建两个账号。一个供其日常使用,另一个管理员账号只在必要的时候才使用。账号可分别命名为JohnDoe 和Admin-JohnDoe。

5:不要过度使用审计日志

创建安全策略,跟踪每一个可能事件,尽管很容易就会这么做,但是有句话叫做过犹不及。过度使用审计时,审计日志会变得非常庞大,从中几乎不可能找出所需的日志记录。不要对任何事件都进行审计,相反,把焦点放在影响最大的事件上会更好。

6:善用本地安全策略

使用基于ActiveDirectory的组安全策略设置替代不了本地安全策略设置的作用。记住,只有在某人使用域账号登录的时候组安全策略设置才起效。如果某人用本地账号登录进去的话组安全策略是没有作用的。本地安全策略可帮助你在使用本地账号的情况下保护机器。

7:审核防火墙配置

在网络边界以及每台机器你应当部署防火墙,但仅此仍不足够。你还得审核防火墙的排除端口清单以确保只开放必要的端口。

对于Windows操作系统所使用的端口已经有了许多的浓墨重彩,但是你还得留意有没有防火墙规则打开1433及1434端口。这些端口是用来监控和远程连接SQL服务器的,已成为黑客的至爱。

8:践行服务隔离

只要有可能,你都应该对自己的服务器进行配置,以便其执行特定任务。如此,一旦服务器缺乏抵抗力,黑客也将只能访问到一组特定的服务。我知道,财务上的约束通常迫使组织在服务器上运行多个角色。在此类情况下,你也许可通过虚拟化无需增加任何成本就能改善安全。在特定的虚拟化环境中,微软允许你在 Windows2008R2上部署多个虚拟机器,而成本只需单个服务器授权。

9:安全定期打补丁

任何补丁在生产服务器上部署之前都要经过测试。然而,有些组织的测试过程的确过于冗长了。尽管我当然不会否认确保服务器稳定性的重要性,但是你也得在合适的测试需要和恰当的安全需求之间做出平衡。

微软在发布安全补丁的时候,该补丁一般都是针对一个证据充分的漏洞的。这意味着黑客已经了解这一漏洞,并将会在补丁所修正的漏洞之处寻找机会,如果你还没有应用该补丁的话。

10:安全配置向导要用好

安全配置向导允许你创建基于XML的安全策略。它们可以应用到你的服务器上。浙西策略可用于使能服务、配置设置及设定防火墙规则。记住,由安全配置向导所创建的这些策略跟安全模板(采用.INF文件)是不同的。还有就是,你不能使用组策略来部署安全配置向导策略。