应注意的10个制度

网络安全这个话题从来没有从互联网的出现中被终止。只要有网络，这个话题就会继续。这里有10件事我们应该注意：
1：尽量减少攻击面。
增强系统的第一步是减少攻击面：机器上运行的代码越多，使用代码的机会就越大，因此必须卸载所有不必要的操作系统组件和应用程序。
2：只有著名的应用程序
在目前的经济条件下，不可避免地要使用自由软件，高折扣软件或开源应用。虽然我得承认，一大批这样的应用程序是用我自己组织的第一人，这是在采用这种软件做一个小调查很重要。一些免费或低成本的应用会向用户推送广告的设计是：别人会故意计划从用户或跟踪互联网的浏览习惯，盗取个人信息。
3：尽量使用普通用户帐户。
作为一种最佳实践，管理员应该尽可能地使用普通用户帐户。在恶意软件感染的情况下，恶意软件通常具有与登录相同的权限。因此，如果登录有管理员权限，恶意软件会造成更多的损害。
4：建立多个管理员帐户
在最后一节中，我讨论了尽可能多地使用普通帐户的重要性，并指出只有当管理员需要执行操作时，才使用管理员帐户，但这并不意味着您必须使用域管理员帐户。
如果你在组织一批管理人员，你应该为它们创造一个独立的管理员帐户。所以，一旦一个经理执行，你也可以告诉他这样做。例如，如果你有一个管理员叫JohnDoe，你必须由用户创建两个账户，一个是日常使用，和其他只在必要的时候使用。帐户可以叫JohnDoe和管理员johndoe，分别。
5：不要过度使用审计日志。
创建一个安全策略，跟踪每一个可能的事件，虽然这将是容易做到的，但有一句话叫做太远。审计日志变得非常大时，过度使用的审计，它是几乎不可能找到所要求的记录。不做审计的任何事件，相反，它会更好专注于最有影响的事件。
6：充分利用地方安全战略
一种基于ActiveDirectory的组安全策略的使用并没有取代本地安全策略设置。记住，组安全策略设置是唯一有效的当一个人登录和域帐户。如果有人被记录在本地帐户，它不工作。本地安全策略可以帮助你保护你的机器使用本地帐户。
7：审核防火墙配置
您应该在网络边界和每台机器上部署防火墙，但这仍然不够。还必须检查防火墙的排除端口列表，以确保只有必要的端口是打开的。
对于Windows操作系统的端口使用，已经有很多人要注意颜色的浓厚和厚重，但是没有防火墙规则来打开1433和1434端口，这些端口用于监控和远程连接SQL服务器，并成为黑客的最爱。

8：实践服务隔离
只要有可能，你应该配置自己的服务器，以便它可以执行特定的任务。所以，一旦服务器缺乏抵抗，黑客将只能访问一组特定的服务。我知道金融约束往往组织运行多个角色的服务器上。在这种情况下，你也许可通过虚拟化安全的改善而不需要增加任何成本。在一个特定的虚拟化环境中，微软允许你在windows2008r2部署多个虚拟机，而成本只有一个服务器授权。
9：安全定期补丁
在部署到生产服务器之前，任何补丁都会被测试。但是，有些组织太繁琐，无法测试。虽然我当然不否认确保服务器稳定性的重要性，但您还需要在正确的测试需求和适当的安全需求之间取得平衡。
当微软发布一个安全补丁时，补丁通常针对的是一个充满漏洞的证据，这意味着黑客已经意识到了漏洞，并将在补丁纠正的漏洞中寻找机会，如果您还没有应用补丁的话。
10：安全配置向导应该使用得很好。
安全配置向导允许您创建组策略来部署安全配置向导策略。