關于WINDOWS安全的十條最佳方案
盡管網絡安全一直都很重要,其風險之高,今尤勝昔。網絡安全應當成為每一個組織重要的優先目標。以下簡單十招可助你化險為夷。
1:盡可能減少受攻擊面
進行系統加固應該采取的首要步驟之一是降低其受攻擊面:機器上運行的代碼越多,代碼被利用的機會更越大。因此你得卸載一切不必要的操作系統組件及應用。
2:只用有名的應用軟件
在目前這種經濟景氣條件下,難免會想用免費軟件、高折扣軟件或開源應用。盡管我會是第一個承認在自己組織內部使用了大量此類應用的人,但是在采用此類軟件之前進行一點調查研究是至關重要的。某些免費或低價的應用在設計上都會向用戶推送廣告:其他一些則會處心積慮盜竊用戶的個人信息或跟蹤其互聯網瀏覽習慣。
3:盡量使用普通用戶賬號
作為一個最佳實踐,管理員應該盡量使用普通用戶賬號。一旦發生惡意軟件感染,該惡意軟件通常會擁有與登錄者相同的權限。因此,如果登錄者擁有管理員權限的話,惡意軟件所造成的損害會大得多。
4:建立多個管理員賬號
在上一節,我討論了盡量使用普通賬號的重要性,并指出只有在需要執行需要管理員權限的操作時方使用管理員賬號。然而,這并不意味著你得用域管理員賬號。
如果你所在組織有多位管理員,就應該為他們每個人創建獨立的管理員賬號。如此,一旦執行了一項管理員操作之后你還可以分辨出是誰干的。比如說,如果你有一位叫JohnDoe的管理員,你得該用戶創建兩個賬號。一個供其日常使用,另一個管理員賬號只在必要的時候才使用。賬號可分別命名為JohnDoe和Admin-JohnDoe。
5:不要過度使用審計日志
創建安全策略,跟蹤每一個可能事件,盡管很容易就會這么做,但是有句話叫做過猶不及。過度使用審計時,審計日志會變得非常龐大,從中幾乎不可能找出所需的日志記錄。不要對任何事件都進行審計,相反,把焦點放在影響最大的事件上會更好。
6:善用本地安全策略
使用基于ActiveDirectory的組安全策略設置替代不了本地安全策略設置的作用。記住,只有在某人使用域賬號登錄的時候組安全策略設置才起效。如果某人用本地賬號登錄進去的話組安全策略是沒有作用的。本地安全策略可幫助你在使用本地賬號的情況下保護機器。
7:審核防火墻配置
在網絡邊界以及每臺機器你應當部署防火墻,但僅此仍不足夠。你還得審核防火墻的排除端口清單以確保只開放必要的端口。
對于Windows操作系統所使用的端口已經有了許多的濃墨重彩,但是你還得留意有沒有防火墻規則打開1433及1434端口。這些端口是用來監控和遠程連接SQL服務器的,已成為黑客的至愛。
8:踐行服務隔離
只要有可能,你都應該對自己的服務器進行配置,以便其執行特定任務。如此,一旦服務器缺乏抵抗力,黑客也將只能訪問到一組特定的服務。我知道,財務上的約束通常迫使組織在服務器上運行多個角色。在此類情況下,你也許可通過虛擬化無需增加任何成本就能改善安全。在特定的虛擬化環境中,微軟允許你在Windows2008R2上部署多個虛擬機器,而成本只需單個服務器授權。
9:安全定期打補丁
任何補丁在生產服務器上部署之前都要經過測試。然而,有些組織的測試過程的確過于冗長了。盡管我當然不會否認確保服務器穩定性的重要性,但是你也得在合適的測試需要和恰當的安全需求之間做出平衡。
微軟在發布安全補丁的時候,該補丁一般都是針對一個證據充分的漏洞的。這意味著黑客已經了解這一漏洞,并將會在補丁所修正的漏洞之處尋找機會,如果你還沒有應用該補丁的話。
10:安全配置向導要用好
安全配置向導允許你創建基于XML的安全策略。它們可以應用到你的服務器上。浙西策略可用于使能服務、配置設置及設定防火墻規則。記住,由安全配置向導所創建的這些策略跟安全模板(采用.INF文件)是不同的。還有就是,你不能使用組策略來部署安全配置向導策略。
【編輯推薦】
