移动安全 安全管理 应用案例 网络威胁系统安全 应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 系统安全 >

关于WINDOWS安全的十条最佳方案

时间:2013-03-11 15:01来源: 点击:
关于WINDOWS安全的十条最佳方案
Tags安全策略(98)INF文件(6)安全补丁(6)  

  尽管网络安全一直都很重要,其风险之高,今尤胜昔。网络安全应当成为每一个组织重要的优先目标。以下简单十招可助你化险为夷。

  1:尽可能减少受攻击面

  进行系统加固应该采取的首要步骤之一是降低其受攻击面:机器上运行的代码越多,代码被利用的机会更越大。因此你得卸载一切不必要的组件及应用。

  2:只用有名的应用软件

  在目前这种经济景气条件下,难免会想用免费软件、高折扣软件或开源应用。尽管我会是第一个承认在自己组织内部使用了大量此类应用的人,但是在采用此类软件之前进行一点调查研究是至关重要的。某些免费或低价的应用在设计上都会向用户推送广告:其他一些则会处心积虑盗窃用户的个人信息或跟踪其浏览习惯。

  3:尽量使用普通用户账号

  作为一个最佳实践,管理员应该尽量使用普通用户账号。一旦发生恶意软件感染,该恶意软件通常会拥有与登录者相同的权限。因此,如果登录者拥有管理员权限的话,恶意软件所造成的损害会大得多。

  4:建立多个管理员账号

  在上一节,我讨论了尽量使用普通账号的重要性,并指出只有在需要执行需要管理员权限的操作时方使用管理员账号。然而,这并不意味着你得用域管理员账号。

  如果你所在组织有多位管理员,就应该为他们每个人创建独立的管理员账号。如此,一旦执行了一项管理员操作之后你还可以分辨出是谁干的。比如说,如果你有一位叫JohnDoe的管理员,你得该用户创建两个账号。一个供其日常使用,另一个管理员账号只在必要的时候才使用。账号可分别命名为JohnDoe和Admin-JohnDoe。

  5:不要过度使用审计日志

  创建安全策略,跟踪每一个可能事件,尽管很容易就会这么做,但是有句话叫做过犹不及。过度使用审计时,审计日志会变得非常庞大,从中几乎不可能找出所需的日志记录。不要对任何事件都进行审计,相反,把焦点放在影响最大的事件上会更好。

  6:善用本地安全策略

  使用基于ActiveDirectory的组安全策略设置替代不了本地安全策略设置的作用。记住,只有在某人使用域账号登录的时候组安全策略设置才起效。如果某人用本地账号登录进去的话组安全策略是没有作用的。本地安全策略可帮助你在使用本地账号的情况下保护机器。

  7:审核配置

  在网络边界以及每台机器你应当部署防火墙,但仅此仍不足够。你还得审核防火墙的排除端口清单以确保只开放必要的端口。

  对于Windows操作系统所使用的端口已经有了许多的浓墨重彩,但是你还得留意有没有防火墙规则打开1433及1434端口。这些端口是用来监控和远程连接SQL的,已成为黑客的至爱。

  8:践行服务隔离

  只要有可能,你都应该对自己的服务器进行配置,以便其执行特定任务。如此,一旦服务器缺乏抵抗力,黑客也将只能访问到一组特定的服务。我知道,财务上的约束通常迫使组织在服务器上运行多个角色。在此类情况下,你也许可通过无需增加任何成本就能改善安全。在特定的虚拟化环境中,允许你在Windows2008R2上部署多个虚拟机器,而成本只需单个服务器授权。

  9:安全定期打补丁

  任何补丁在生产服务器上部署之前都要经过测试。然而,有些组织的测试过程的确过于冗长了。尽管我当然不会否认确保服务器稳定性的重要性,但是你也得在合适的测试需要和恰当的安全需求之间做出平衡。

  微软在发布安全补丁的时候,该补丁一般都是针对一个证据充分的漏洞的。这意味着黑客已经了解这一漏洞,并将会在补丁所修正的漏洞之处寻找机会,如果你还没有应用该补丁的话。

  10:安全配置向导要用好

  安全配置向导允许你创建基于XML的安全策略。它们可以应用到你的服务器上。浙西策略可用于使能服务、配置设置及设定防火墙规则。记住,由安全配置向导所创建的这些策略跟安全模板(采用.INF文件)是不同的。还有就是,你不能使用来部署安全配置向导策略。

------分隔线----------------------------

推荐内容