Windows Server 2003是微軟于2003年3月28日發(fā)布的基于Windows XP/NT5.1開發(fā)的服務(wù)器操作系統(tǒng),并在同年4月底上市。相對(duì)于Windows 2000 Server做了很多改進(jìn)。Windows Server 2003有多種版本,每種都適合不同的商業(yè)需求。
將對(duì)計(jì)算機(jī)(特別是域控制器)的物理訪問限制給受信任的個(gè)人
• 對(duì)服務(wù)器的物理訪問存在很高的安全風(fēng)險(xiǎn)。入侵者對(duì)服務(wù)器的物理訪問可能導(dǎo)致未經(jīng)授權(quán)的數(shù)據(jù)訪問或修改,也可能導(dǎo)致安裝涉及環(huán)境安全方面的硬件或軟件。要維護(hù)安全的環(huán)境,必須對(duì)所有服務(wù)器和網(wǎng)絡(luò)硬件的物理訪問進(jìn)行限制。
對(duì)于管理任務(wù),請(qǐng)使用最小特權(quán)原則
• 使用最小特權(quán)原則時(shí),管理員應(yīng)當(dāng)使用權(quán)限受到限制的帳戶來執(zhí)行日常的非管理任務(wù),只有當(dāng)執(zhí)行特定管理任務(wù)時(shí),才使用權(quán)限較大的帳戶。
• 如果希望不經(jīng)過注銷再重新登錄就完成這樣的任務(wù),則可以用一般帳戶登錄,使用 Runas 命令來運(yùn)行需要更大權(quán)限的工具。
定義組及其成員身份
• 在確定最終用戶所具有的計(jì)算機(jī)訪問權(quán)限的默認(rèn)級(jí)別時(shí),其決定性因素為需要受支持的應(yīng)用程序的安裝基礎(chǔ)。如果組織僅使用屬于 Windows Logo for Software 程序的應(yīng)用程序,那么可以使所有的最終用戶成為 Users 組的成員。如果不是,則可能必須使最終用戶成為 Power Users 組的一部分,或者放寬 Users 組的權(quán)限安全設(shè)置。兩者的安全選項(xiàng)都比較少。
在 Windows 2000或 Windows XP Professional 上運(yùn)行舊版程序通常要求修改對(duì)某些系統(tǒng)設(shè)置的訪問。默認(rèn)情況下允許 Power Users 運(yùn)行舊版程序的相同默認(rèn)權(quán)限可能使 Power Users 獲得系統(tǒng)上的其他權(quán)限,甚至完全管理權(quán)限。因此,為了獲得最大程度的安全性而又不犧牲程序的功能,最重要的是在 Windows Logo Program for Software 中部署 Windows 2000 或 Windows XP Professional 程序。
• 所有可修改林中域控制器上的系統(tǒng)軟件的域管理員(包括子域管理員)都必須受到平等的信任。
• 域管理員和企業(yè)管理員應(yīng)該是唯一被允許將組策略對(duì)象鏈接到組織單位的用戶。這是默認(rèn)設(shè)置。
經(jīng)過驗(yàn)證的用戶只需要“讀取和應(yīng)用組策略”對(duì)象權(quán)限。
#p#副標(biāo)題#e#
保護(hù)計(jì)算機(jī)上數(shù)據(jù)的安全
• 確保使用強(qiáng)訪問控制列表來保護(hù)系統(tǒng)文件和注冊(cè)表的安全。
• 使用 Syskey 來提供安全帳戶管理器 (SAM) 的其他保護(hù),尤其是在域控制器上。
在整個(gè)組織內(nèi)使用強(qiáng)密碼
• 大多數(shù)身份驗(yàn)證方法都要求用戶提供密碼以證實(shí)其身份。這些密碼一般情況下都由用戶選擇,用戶可能希望選擇容易記憶的簡單密碼。在大多數(shù)情況下,這些密碼都不可靠,容易被入侵者猜到或確定出來。不可靠的密碼可能回避了該安全元素,可成為其他強(qiáng)安全環(huán)境的弱點(diǎn)。強(qiáng)密碼對(duì)于入侵者而言可能難以識(shí)別,這樣即可幫助有效保護(hù)組織的資源。
不要下載或運(yùn)行來自于不受信任的源的程序
• 這些程序可能包含以多種方式破壞安全性的指令,包括數(shù)據(jù)竊取、拒絕服務(wù)和數(shù)據(jù)破壞。這些惡意的程序通常偽裝成合法的軟件,難以識(shí)別。要避免這些程序,應(yīng)該只下載并運(yùn)行那些保證是正版而且是從受信任的源獲得的軟件。還應(yīng)該確保安裝了最新的病毒掃描程序而且此掃描程序工作正常,以防這一類型的軟件不經(jīng)意地在計(jì)算機(jī)上終止運(yùn)行。
了解更多:http://www.xiaobaixitong.com/
保持病毒掃描程序?yàn)樽钚?br> • 病毒掃描程序通過掃描簽名(簽名是以前已識(shí)別的病毒的已知組件)頻繁識(shí)別受感染的文件。掃描程序?qū)⑦@些病毒簽名保留在簽名文件中,此簽名文件存儲(chǔ)在本地硬盤上。因?yàn)榻?jīng)常會(huì)發(fā)現(xiàn)新的病毒,所以此文件還應(yīng)該經(jīng)常更新,從而便于病毒掃描程序識(shí)別所有最新的病毒。
保持所有軟件修補(bǔ)程序?yàn)樽钚?br> • 軟件修補(bǔ)程序提供對(duì)已知安全問題的解決方案。定期檢查軟件提供程序網(wǎng)站以查看組織中使用的軟件是否有新的修補(bǔ)程序。
