盡管網(wǎng)絡(luò)安全一直都很重要，其風(fēng)險之高，今尤勝昔。網(wǎng)絡(luò)安全應(yīng)當(dāng)成為每一個組織重要的優(yōu)先目標。以下簡單十招可助你化險為夷。

1:盡可能減少受攻擊面

進行系統(tǒng)加固應(yīng)該采取的首要步驟之一是降低其受攻擊面：機器上運行的代碼越多，代碼被利用的機會更越大。因此你得卸載一切不必要的操作系統(tǒng)組件及應(yīng)用。

2:只用有名的應(yīng)用軟件

在目前這種經(jīng)濟景氣條件下，難免會想用免費軟件、高折扣軟件或開源應(yīng)用。盡管我會是第一個承認在自己組織內(nèi)部使用了大量此類應(yīng)用的人，但是在采用此類軟件之前進行一點調(diào)查研究是至關(guān)重要的。某些免費或低價的應(yīng)用在設(shè)計上都會向用戶推送廣告：其他一些則會處心積慮盜竊用戶的個人信息或跟蹤其互聯(lián)網(wǎng)瀏覽習(xí)慣。

3:盡量使用普通用戶賬號

作為一個最佳實踐，管理員應(yīng)該盡量使用普通用戶賬號。一旦發(fā)生惡意軟件感染，該惡意軟件通常會擁有與登錄者相同的權(quán)限。因此，如果登錄者擁有管理員權(quán)限的話，惡意軟件所造成的損害會大得多。

4:建立多個管理員賬號

在上一節(jié)，我討論了盡量使用普通賬號的重要性，并指出只有在需要執(zhí)行需要管理員權(quán)限的操作時方使用管理員賬號。然而，這并不意味著你得用域管理員賬號。

如果你所在組織有多位管理員，就應(yīng)該為他們每個人創(chuàng)建獨立的管理員賬號。如此，一旦執(zhí)行了一項管理員操作之后你還可以分辨出是誰干的。比如說，如果你有一位叫JohnDoe的管理員，你得該用戶創(chuàng)建兩個賬號。一個供其日常使用，另一個管理員賬號只在必要的時候才使用。賬號可分別命名為JohnDoe和Admin-JohnDoe。

5:不要過度使用審計日志

創(chuàng)建安全策略，跟蹤每一個可能事件，盡管很容易就會這么做，但是有句話叫做過猶不及。過度使用審計時，審計日志會變得非常龐大，從中幾乎不可能找出所需的日志記錄。不要對任何事件都進行審計，相反，把焦點放在影響最大的事件上會更好。

6:善用本地安全策略

使用基于ActiveDirectory的組安全策略設(shè)置替代不了本地安全策略設(shè)置的作用。記住，只有在某人使用域賬號登錄的時候組安全策略設(shè)置才起效。如果某人用本地賬號登錄進去的話組安全策略是沒有作用的。本地安全策略可幫助你在使用本地賬號的情況下保護機器。

7:審核防火墻配置

在網(wǎng)絡(luò)邊界以及每臺機器你應(yīng)當(dāng)部署防火墻，但僅此仍不足夠。你還得審核防火墻的排除端口清單以確保只開放必要的端口。

對于Windows操作系統(tǒng)所使用的端口已經(jīng)有了許多的濃墨重彩，但是你還得留意有沒有防火墻規(guī)則打開1433及1434端口。這些端口是用來監(jiān)控和遠程連接SQL服務(wù)器的，已成為黑客的至愛。

8:踐行服務(wù)隔離

只要有可能，你都應(yīng)該對自己的服務(wù)器進行配置，以便其執(zhí)行特定任務(wù)。如此，一旦服務(wù)器缺乏抵抗力，黑客也將只能訪問到一組特定的服務(wù)。我知道，財務(wù)上的約束通常迫使組織在服務(wù)器上運行多個角色。在此類情況下，你也許可通過虛擬化無需增加任何成本就能改善安全。在特定的虛擬化環(huán)境中，微軟允許你在Windows2008R2上部署多個虛擬機器，而成本只需單個服務(wù)器授權(quán)。

9:安全定期打補丁

任何補丁在生產(chǎn)服務(wù)器上部署之前都要經(jīng)過測試。然而，有些組織的測試過程的確過于冗長了。盡管我當(dāng)然不會否認確保服務(wù)器穩(wěn)定性的重要性，但是你也得在合適的測試需要和恰當(dāng)?shù)陌踩枨笾g做出平衡。

微軟在發(fā)布安全補丁的時候，該補丁一般都是針對一個證據(jù)充分的漏洞的。這意味著黑客已經(jīng)了解這一漏洞，并將會在補丁所修正的漏洞之處尋找機會，如果你還沒有應(yīng)用該補丁的話。

10:安全配置向?qū)б煤?/strong>