強(qiáng)化系統(tǒng)安全的第一步,就是減少系統(tǒng)被攻擊的范圍。一臺(tái)系統(tǒng)運(yùn)行的代碼越多,就越有可能出現(xiàn)漏洞。因此,加強(qiáng)安全性的第一步就是卸載那些不必要的操作系統(tǒng)組件和應(yīng)用程序。
  
  2:只是用信譽(yù)良好的軟件
  
  鑒于目前的經(jīng)濟(jì)環(huán)境還不夠好,很多企業(yè)都試圖嘗試免費(fèi)軟件,廉價(jià)軟件或者開源軟件。首先,我必須承認(rèn),我在自己的公司里曾經(jīng)使用過(guò)小部分此類軟件。在這種情況下,最重要的是在使用前對(duì)軟件進(jìn)行調(diào)研和評(píng)估。一些免費(fèi)軟件或廉價(jià)軟件本身設(shè)計(jì)時(shí)就考慮通過(guò)廣告來(lái)盈利,另外一些則是通過(guò)收集用戶信息或者跟蹤用戶上網(wǎng)瀏覽行為來(lái)獲利。
  
  3:盡可能以普通用戶權(quán)限進(jìn)行操作
  
  在日常工作中,管理員最好以普通用戶權(quán)限登錄進(jìn)行一般性工作。如果此時(shí)發(fā)生了惡意軟件入侵,惡意軟件通常都會(huì)獲取與當(dāng)前用戶權(quán)限相同的權(quán)限。因此,如果管理員經(jīng)常以管理員權(quán)限登錄,一旦發(fā)生此類問題,就會(huì)造成較大的破壞。
  
  4:建立多個(gè)管理員賬戶
  
  上一條我們說(shuō)的是在正常工作時(shí)使用普通用戶權(quán)限,而僅在必要時(shí)以管理員權(quán)限登錄。但是這并不意味著你就要以域的Administrator這個(gè)賬戶登錄。
  
  如果你的企業(yè)有多個(gè)網(wǎng)絡(luò)管理員,那么應(yīng)該給每個(gè)網(wǎng)管創(chuàng)建一個(gè)個(gè)人的管理員賬號(hào)。這樣做可以讓管理員知道每一項(xiàng)網(wǎng)絡(luò)管理工作都是誰(shuí)操作的。比如,公司有個(gè)網(wǎng)管叫JohnDoe,你就應(yīng)該給這個(gè)管理員建立兩個(gè)賬號(hào)。其中一個(gè)是具有普通用戶權(quán)限的賬號(hào),用于日常工作,另一個(gè)是具有管理權(quán)限的賬號(hào),只在需要進(jìn)行管理操作時(shí)才使用。這兩個(gè)賬戶可以叫做John Doe以及Admin-JohnDoe。
  
  5:監(jiān)控記錄不要太多
  
  很多網(wǎng)管都喜歡建立審查策略,記錄每一個(gè)系統(tǒng)事件,但是系統(tǒng)發(fā)生的事件太多了,大部分都是良性的。如果將所有系統(tǒng)事件都記錄下來(lái),那么審計(jì)日志將迅速膨脹,管理員將很難從中找到自己所需的內(nèi)容。因此,與其將所有事件都記錄下來(lái),不如只選擇記錄那些可能造成問題的事件。
  
  6:利用本地安全策略
  
  使用基于活動(dòng)目錄的組策略并不意味著就可以不用設(shè)置本地安全策略了。記住,組策略只針對(duì)那些使用域賬號(hào)登陸的用戶才有效。如果有人以本地用戶賬戶登陸,則不會(huì)受到組策略限制。本地安全策略此時(shí)就可以幫助網(wǎng)管來(lái)保護(hù)系統(tǒng)安全。
  
  7:檢查防火墻配置
  
  企業(yè)應(yīng)該通過(guò)防火墻來(lái)保護(hù)網(wǎng)絡(luò)以及網(wǎng)絡(luò)中的每一臺(tái)電腦,但是這并不表示有了防火墻就足夠了。網(wǎng)管應(yīng)該定期檢查防火墻的端口異常日志,確保只開放了必須的端口。

分享到

renxinbo

相關(guān)推薦