盡管網(wǎng)絡(luò)安全一直都很重要，其風(fēng)險(xiǎn)之高，今尤勝昔。網(wǎng)絡(luò)安全應(yīng)當(dāng)成為每一個(gè)組織重要的優(yōu)先目標(biāo)。以下簡單十招可助你化險(xiǎn)為夷。

1:盡可能減少受攻擊面

進(jìn)行系統(tǒng)加固應(yīng)該采取的首要步驟之一是降低其受攻擊面：機(jī)器上運(yùn)行的代碼越多，代碼被利用的機(jī)會更越大。因此你得卸載一切不必要的操作系統(tǒng)組件及應(yīng)用。

2:只用有名的應(yīng)用軟件

在目前這種經(jīng)濟(jì)景氣條件下，難免會想用免費(fèi)軟件、高折扣軟件或開源應(yīng)用。盡管我會是第一個(gè)承認(rèn)在自己組織內(nèi)部使用了大量此類應(yīng)用的人，但是在采用此類軟件之前進(jìn)行一點(diǎn)調(diào)查研究是至關(guān)重要的。某些免費(fèi)或低價(jià)的應(yīng)用在設(shè)計(jì)上都會向用戶推送廣告：其他一些則會處心積慮盜竊用戶的個(gè)人信息或跟蹤其互聯(lián)網(wǎng)瀏覽習(xí)慣。

3:盡量使用普通用戶賬號

作為一個(gè)最佳實(shí)踐，管理員應(yīng)該盡量使用普通用戶賬號。一旦發(fā)生惡意軟件感染，該惡意軟件通常會擁有與登錄者相同的權(quán)限。因此，如果登錄者擁有管理員權(quán)限的話，惡意軟件所造成的損害會大得多。

4:建立多個(gè)管理員賬號

在上一節(jié)，我討論了盡量使用普通賬號的重要性，并指出只有在需要執(zhí)行需要管理員權(quán)限的操作時(shí)方使用管理員賬號。然而，這并不意味著你得用域管理員賬號。

如果你所在組織有多位管理員，就應(yīng)該為他們每個(gè)人創(chuàng)建獨(dú)立的管理員賬號。如此，一旦執(zhí)行了一項(xiàng)管理員操作之后你還可以分辨出是誰干的。比如說，如果你有一位叫JohnDoe的管理員，你得該用戶創(chuàng)建兩個(gè)賬號。一個(gè)供其日常使用，另一個(gè)管理員賬號只在必要的時(shí)候才使用。賬號可分別命名為JohnDoe和Admin-JohnDoe。

5:不要過度使用審計(jì)日志

創(chuàng)建安全策略，跟蹤每一個(gè)可能事件，盡管很容易就會這么做，但是有句話叫做過猶不及。過度使用審計(jì)時(shí)，審計(jì)日志會變得非常龐大，從中幾乎不可能找出所需的日志記錄。不要對任何事件都進(jìn)行審計(jì)，相反，把焦點(diǎn)放在影響最大的事件上會更好。

6:善用本地安全策略

使用基于ActiveDirectory的組安全策略設(shè)置替代不了本地安全策略設(shè)置的作用。記住，只有在某人使用域賬號登錄的時(shí)候組安全策略設(shè)置才起效。如果某人用本地賬號登錄進(jìn)去的話組安全策略是沒有作用的。本地安全策略可幫助你在使用本地賬號的情況下保護(hù)機(jī)器。

7:審核防火墻配置

在網(wǎng)絡(luò)邊界以及每臺機(jī)器你應(yīng)當(dāng)部署防火墻，但僅此仍不足夠。你還得審核防火墻的排除端口清單以確保只開放必要的端口。

對于Windows操作系統(tǒng)所使用的端口已經(jīng)有了許多的濃墨重彩，但是你還得留意有沒有防火墻規(guī)則打開1433及1434端口。這些端口是用來監(jiān)控和遠(yuǎn)程連接SQL服務(wù)器的，已成為黑客的至愛。

8:踐行服務(wù)隔離

只要有可能，你都應(yīng)該對自己的服務(wù)器進(jìn)行配置，以便其執(zhí)行特定任務(wù)。如此，一旦服務(wù)器缺乏抵抗力，黑客也將只能訪問到一組特定的服務(wù)。我知道，財(cái)務(wù)上的約束通常迫使組織在服務(wù)器上運(yùn)行多個(gè)角色。在此類情況下，你也許可通過虛擬化無需增加任何成本就能改善安全。在特定的虛擬化環(huán)境中，微軟允許你在Windows2008R2上部署多個(gè)虛擬機(jī)器，而成本只需單個(gè)服務(wù)器授權(quán)。

9:安全定期打補(bǔ)丁

任何補(bǔ)丁在生產(chǎn)服務(wù)器上部署之前都要經(jīng)過測試。然而，有些組織的測試過程的確過于冗長了。盡管我當(dāng)然不會否認(rèn)確保服務(wù)器穩(wěn)定性的重要性，但是你也得在合適的測試需要和恰當(dāng)?shù)陌踩枨笾g做出平衡。

微軟在發(fā)布安全補(bǔ)丁的時(shí)候，該補(bǔ)丁一般都是針對一個(gè)證據(jù)充分的漏洞的。這意味著黑客已經(jīng)了解這一漏洞，并將會在補(bǔ)丁所修正的漏洞之處尋找機(jī)會，如果你還沒有應(yīng)用該補(bǔ)丁的話。

10:安全配置向?qū)б煤?/strong>