网络安全这个话题从来没有从互联网的出现中被终止。只要有网络,这个话题就会继续。这里有10件事我们应该注意:
1:尽量减少攻击面。
增强
系统的第一步是减少攻击面:机器上
运行的代码越多,使用代码的机会就越大,因此必须
卸载所有不必要的
操作系统
组件和
应用程序。
2:只有著名的应用程序
在目前的经济
条件下,不可避免地要使用自由软件,高折扣软件或
开源应用。虽然我得承认,一大批这样的应用程序是用我自己组织的第一人,这是在采用这种软件做一个小调查很重要。一些免费或低成本的应用会向
用户推送
广告的设计是:别人会故意计划从用户或跟踪互联网的
浏览习惯,盗取个人信息。
3:尽量使用普通用户帐户。
作为一种最佳实践,
管理员应该尽可能地使用普通用户帐户。在恶意软件感染的
情况下,恶意软件通常具有与
登录相同的
权限。因此,如果登录有管理员权限,恶意软件会造成更多的损害。
4:建立多个管理员帐户
在最后一节中,我讨论了尽可能多地使用普通帐户的重要性,并指出只有当管理员需要
执行操作时,才使用管理员帐户,但这并不意味着您必须使用域管理员帐户。
如果你在组织一批管理人员,你应该为它们创造一个
独立的管理员帐户。所以,一旦一个经理执行,你也可以告诉他这样做。例如,如果你有一个管理员叫JohnDoe,你必须由用户
创建两个
账户,一个是日常使用,和其他只在必要的时候使用。帐户可以叫JohnDoe和管理员johndoe,分别。
5:不要过度使用审计日志。
创建一个
安全策略,跟踪每一个可能的事件,虽然这将是容易做到的,但有一句话叫做太远。审计日志变得非常大时,过度使用的审计,它是几乎不可能找到所要求的记录。不做审计的任何事件,相反,它会更好专注于最有
影响的事件。
6:充分利用地方安全战略
一种基于ActiveDirectory的组安全策略的使用并没有取代
本地安全策略
设置。记住,组安全策略设置是唯一有效的当一个人登录和域帐户。如果有人被记录在本地帐户,它不
工作。本地安全策略可以帮助你
保护你的机器使用本地帐户。
7:审核防火墙
配置 您应该在网络边界和每台机器上部署防火墙,但这仍然不够。还必须
检查防火墙的排除端口列表,以确保只有必要的端口是打开的。
对于Windows
操作系统的端口使用,已经有很多人要注意颜色的浓厚和厚重,但是没有防火墙规则来打开1433和1434端口,这些端口用于监控和远程
连接SQL
服务器,并成为黑客的最爱。
8:实践服务隔离
只要有可能,你应该配置自己的服务器,以便它可以执行特定的
任务。所以,一旦服务器缺乏抵抗,黑客将只能访问一组特定的服务。我知道金融约束往往组织运行多个角色的服务器上。在这种情况下,你也许可通过虚拟化安全的改善而不需要增加任何成本。在一个特定的虚拟化环境中,微软允许你在windows2008r2部署多个虚拟机,而成本只有一个服务器授权。
9:安全定期补丁
在部署到生产服务器之前,任何补丁都会被测试。但是,有些组织太繁琐,无法测试。虽然我当然不否认确保服务器稳定性的重要性,但您还需要在
正确的测试需求和适当的安全需求之间取得平衡。
当微软发布一个安全补丁时,补丁通常针对的是一个充满漏洞的证据,这意味着黑客已经意识到了漏洞,并将在补丁纠正的漏洞中寻找机会,如果您还没有应用补丁的话。
10:安全配置向导应该使用得很好。
安全配置向导允许您创建组策略来部署安全配置向导策略。