Windows Server 2003是微軟于2003年3月28日發(fā)布的基于Windows XP/NT5.1開發(fā)的服務(wù)器操作系統(tǒng),并在同年4月底上市。相對于Windows 2000 Server做了很多改進。Windows Server 2003有多種版本,每種都適合不同的商業(yè)需求。
將對計算機(特別是域控制器)的物理訪問限制給受信任的個人
• 對服務(wù)器的物理訪問存在很高的安全風險。入侵者對服務(wù)器的物理訪問可能導致未經(jīng)授權(quán)的數(shù)據(jù)訪問或修改,也可能導致安裝涉及環(huán)境安全方面的硬件或軟件。要維護安全的環(huán)境,必須對所有服務(wù)器和網(wǎng)絡(luò)硬件的物理訪問進行限制。
對于管理任務(wù),請使用最小特權(quán)原則
• 使用最小特權(quán)原則時,管理員應(yīng)當使用權(quán)限受到限制的帳戶來執(zhí)行日常的非管理任務(wù),只有當執(zhí)行特定管理任務(wù)時,才使用權(quán)限較大的帳戶。
• 如果希望不經(jīng)過注銷再重新登錄就完成這樣的任務(wù),則可以用一般帳戶登錄,使用 Runas 命令來運行需要更大權(quán)限的工具。
定義組及其成員身份
• 在確定最終用戶所具有的計算機訪問權(quán)限的默認級別時,其決定性因素為需要受支持的應(yīng)用程序的安裝基礎(chǔ)。如果組織僅使用屬于 Windows Logo for Software 程序的應(yīng)用程序,那么可以使所有的最終用戶成為 Users 組的成員。如果不是,則可能必須使最終用戶成為 Power Users 組的一部分,或者放寬 Users 組的權(quán)限安全設(shè)置。兩者的安全選項都比較少。
在 Windows 2000或 Windows XP Professional 上運行舊版程序通常要求修改對某些系統(tǒng)設(shè)置的訪問。默認情況下允許 Power Users 運行舊版程序的相同默認權(quán)限可能使 Power Users 獲得系統(tǒng)上的其他權(quán)限,甚至完全管理權(quán)限。因此,為了獲得最大程度的安全性而又不犧牲程序的功能,最重要的是在 Windows Logo Program for Software 中部署 Windows 2000 或 Windows XP Professional 程序。
• 所有可修改林中域控制器上的系統(tǒng)軟件的域管理員(包括子域管理員)都必須受到平等的信任。
• 域管理員和企業(yè)管理員應(yīng)該是唯一被允許將組策略對象鏈接到組織單位的用戶。這是默認設(shè)置。
經(jīng)過驗證的用戶只需要“讀取和應(yīng)用組策略”對象權(quán)限。
#p#副標題#e#
保護計算機上數(shù)據(jù)的安全
• 確保使用強訪問控制列表來保護系統(tǒng)文件和注冊表的安全。
• 使用 Syskey 來提供安全帳戶管理器 (SAM) 的其他保護,尤其是在域控制器上。
在整個組織內(nèi)使用強密碼
• 大多數(shù)身份驗證方法都要求用戶提供密碼以證實其身份。這些密碼一般情況下都由用戶選擇,用戶可能希望選擇容易記憶的簡單密碼。在大多數(shù)情況下,這些密碼都不可靠,容易被入侵者猜到或確定出來。不可靠的密碼可能回避了該安全元素,可成為其他強安全環(huán)境的弱點。強密碼對于入侵者而言可能難以識別,這樣即可幫助有效保護組織的資源。
不要下載或運行來自于不受信任的源的程序
• 這些程序可能包含以多種方式破壞安全性的指令,包括數(shù)據(jù)竊取、拒絕服務(wù)和數(shù)據(jù)破壞。這些惡意的程序通常偽裝成合法的軟件,難以識別。要避免這些程序,應(yīng)該只下載并運行那些保證是正版而且是從受信任的源獲得的軟件。還應(yīng)該確保安裝了最新的病毒掃描程序而且此掃描程序工作正常,以防這一類型的軟件不經(jīng)意地在計算機上終止運行。
了解更多:http://www.xiaobaixitong.com/
保持病毒掃描程序為最新
• 病毒掃描程序通過掃描簽名(簽名是以前已識別的病毒的已知組件)頻繁識別受感染的文件。掃描程序?qū)⑦@些病毒簽名保留在簽名文件中,此簽名文件存儲在本地硬盤上。因為經(jīng)常會發(fā)現(xiàn)新的病毒,所以此文件還應(yīng)該經(jīng)常更新,從而便于病毒掃描程序識別所有最新的病毒。
保持所有軟件修補程序為最新
• 軟件修補程序提供對已知安全問題的解決方案。定期檢查軟件提供程序網(wǎng)站以查看組織中使用的軟件是否有新的修補程序。
