將對(duì)計(jì)算機(jī)（特別是域控制器）的物理訪問限制給受信任的個(gè)人
• 對(duì)服務(wù)器的物理訪問存在很高的安全風(fēng)險(xiǎn)。入侵者對(duì)服務(wù)器的物理訪問可能導(dǎo)致未經(jīng)授權(quán)的數(shù)據(jù)訪問或修改，也可能導(dǎo)致安裝涉及環(huán)境安全方面的硬件或軟件。要維護(hù)安全的環(huán)境，必須對(duì)所有服務(wù)器和網(wǎng)絡(luò)硬件的物理訪問進(jìn)行限制。

        對(duì)于管理任務(wù)，請(qǐng)使用最小特權(quán)原則
        • 使用最小特權(quán)原則時(shí)，管理員應(yīng)當(dāng)使用權(quán)限受到限制的帳戶來執(zhí)行日常的非管理任務(wù)，只有當(dāng)執(zhí)行特定管理任務(wù)時(shí)，才使用權(quán)限較大的帳戶。 
        • 如果希望不經(jīng)過注銷再重新登錄就完成這樣的任務(wù)，則可以用一般帳戶登錄，使用 Runas 命令來運(yùn)行需要更大權(quán)限的工具。

        定義組及其成員身份
        • 在確定最終用戶所具有的計(jì)算機(jī)訪問權(quán)限的默認(rèn)級(jí)別時(shí)，其決定性因素為需要受支持的應(yīng)用程序的安裝基礎(chǔ)。如果組織僅使用屬于 Windows Logo for Software 程序的應(yīng)用程序，那么可以使所有的最終用戶成為 Users 組的成員。如果不是，則可能必須使最終用戶成為 Power Users 組的一部分，或者放寬 Users 組的權(quán)限安全設(shè)置。兩者的安全選項(xiàng)都比較少。 
        在 Windows 2000或 Windows XP Professional 上運(yùn)行舊版程序通常要求修改對(duì)某些系統(tǒng)設(shè)置的訪問。默認(rèn)情況下允許 Power Users 運(yùn)行舊版程序的相同默認(rèn)權(quán)限可能使 Power Users 獲得系統(tǒng)上的其他權(quán)限，甚至完全管理權(quán)限。因此，為了獲得最大程度的安全性而又不犧牲程序的功能，最重要的是在 Windows Logo Program for Software 中部署 Windows 2000 或 Windows XP Professional 程序。 
        • 所有可修改林中域控制器上的系統(tǒng)軟件的域管理員（包括子域管理員）都必須受到平等的信任。 
        • 域管理員和企業(yè)管理員應(yīng)該是唯一被允許將組策略對(duì)象鏈接到組織單位的用戶。這是默認(rèn)設(shè)置。 
         經(jīng)過驗(yàn)證的用戶只需要“讀取和應(yīng)用組策略”對(duì)象權(quán)限。

保護(hù)計(jì)算機(jī)上數(shù)據(jù)的安全
        • 確保使用強(qiáng)訪問控制列表來保護(hù)系統(tǒng)文件和注冊(cè)表的安全。 
        • 使用 Syskey 來提供安全帳戶管理器 (SAM) 的其他保護(hù)，尤其是在域控制器上。

        在整個(gè)組織內(nèi)使用強(qiáng)密碼
        • 大多數(shù)身份驗(yàn)證方法都要求用戶提供密碼以證實(shí)其身份。這些密碼一般情況下都由用戶選擇，用戶可能希望選擇容易記憶的簡單密碼。在大多數(shù)情況下，這些密碼都不可靠，容易被入侵者猜到或確定出來。不可靠的密碼可能回避了該安全元素，可成為其他強(qiáng)安全環(huán)境的弱點(diǎn)。強(qiáng)密碼對(duì)于入侵者而言可能難以識(shí)別，這樣即可幫助有效保護(hù)組織的資源。

       不要下載或運(yùn)行來自于不受信任的源的程序
        • 這些程序可能包含以多種方式破壞安全性的指令，包括數(shù)據(jù)竊取、拒絕服務(wù)和數(shù)據(jù)破壞。這些惡意的程序通常偽裝成合法的軟件，難以識(shí)別。要避免這些程序，應(yīng)該只下載并運(yùn)行那些保證是正版而且是從受信任的源獲得的軟件。還應(yīng)該確保安裝了最新的病毒掃描程序而且此掃描程序工作正常，以防這一類型的軟件不經(jīng)意地在計(jì)算機(jī)上終止運(yùn)行。

　　了解更多：http://www.xiaobaixitong.com/

        保持病毒掃描程序?yàn)樽钚?br>        • 病毒掃描程序通過掃描簽名（簽名是以前已識(shí)別的病毒的已知組件）頻繁識(shí)別受感染的文件。掃描程序?qū)⑦@些病毒簽名保留在簽名文件中，此簽名文件存儲(chǔ)在本地硬盤上。因?yàn)榻?jīng)常會(huì)發(fā)現(xiàn)新的病毒，所以此文件還應(yīng)該經(jīng)常更新，從而便于病毒掃描程序識(shí)別所有最新的病毒。

        保持所有軟件修補(bǔ)程序?yàn)樽钚?br>        • 軟件修補(bǔ)程序提供對(duì)已知安全問題的解決方案。定期檢查軟件提供程序網(wǎng)站以查看組織中使用的軟件是否有新的修補(bǔ)程序。