保护IT系统的100个绝招 - Windows - 51CTO技术论坛

计算机客

副版主

帖子 2177
精华 3
无忧币 6124
积分 3749
阅读权限 140
来自 (保密)

注册日期 2006-9-24

最后登录 2008-8-29

离线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2008-2-29 19:53　　标题：保护IT系统的100个绝招
＜上一帖 | 下一帖＞

摘自:chinacissp51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离Q8h%xH;F
保护IT系统的100个绝招
IT系统，无论是软件还是硬件，都日益成为企业日常运作不可或缺的支撑。于是，如何保护IT系统，使其安全平稳运行，发挥其业务支撑作用，成为IT支持人员的必修课。本期，我们精选了十个应用面比较广泛的领域
，介绍100个保护IT系统的方法，供读者参考。 bbs.51cto.com1|0`M|{LF

保护IIS Web服务器

互联网信息服务（IIS）是黑客喜欢攻击的目标。因而，管理IIS Web服务器的管理员确保它们得到了保护就很重要。默认安装的IIS 4.0和IIS 5.0特别容易受到攻击。 9e5N!i#\qh)uF

1．要仅仅为IIS应用软件和数据设定一个NTFS驱动器。如果可能，禁止通过IUSER（或者其他匿名用户名）访问任何其他驱动器。如果应用软件因通过匿名用户无法访问其他驱动器上的程序而遇到任何问题，那么使用Sysinternals的FileMon，检测它无法访问哪个文件，然后把该程序移到IIS驱动器，设法找到解决办法。如果这不可能实现，那么允许通过IUSER仅仅访问该文件。 _ajHi{/Jy,sC2mD
2．设定驱动器上的NTFS权限: Developers = Full; IUSER = Read and execute only; System and admin = Full。
3．使用软件防火墙确保没有最终用户（只有开发人员）可以访问IIS机器上除端口80以外的其他任何端口。 i#|cqO7{5S7J
4．使用保护机器安全的微软工具: IIS Lockdown和UrlScan。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离,a-LK[&L,P8`-e
5．启用IIS的日志功能。除了IIS日志外，还要尽可能使用防火墙的日志功能。
6．把日志移到默认位置以外的地方，确保它们被备份起来了。复制一份日志文件夹，那样总有副本放在第二个位置。 bbs.51cto.comfY8oJB$BT8s
7．对IIS服务器启用Windows审计功能，因为在设法追踪任何攻击者的活动时，数据根本不够多。甚至有可能要运行脚本，使用审计日志，检查任何可疑活动，然后发送报告给管理员。这听上去可能有点极端，但如果安全对你而言至关重要，这种操作不失为一种好的做法。设置审计功能，报告任何失败的账户登录。另外，与IIS日志一样，也要把默认位置（c:\winnt\system32\config\secevent.log）改成不同位置，并确保已有备份、复制副本。 bbs.51cto.com2?0k0XK-O2C2t5I&v
8．尽可能经常地阅读安全文章（从各个来源）。比较明智的方法是尽可能地了解IIS以及一般的安全方法，而不只是采用别人告诉你的方法。 51CTO技术论坛el6HW})g3q5QR
9．订阅有关IIS错误的邮件列表，并经常阅读。互联网安全系统公司的X-Force Alerts and Advisories就是这样一种列表。 bbs.51cto.com!Z FTtW)` d^n
10．最后，定期运行Windows更新，确保真正打上了补丁。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离vv4t7jwf

保护SQL Server 2I/P1IHEw

1．确保SQL Server有一个非常强的“sa”（管理员）口令极其重要，这个口令要结合使用字母、数字和符号。这可以减小口令被猜中或者被破解的可能性。 bbs.51cto.comp6[-yM @
2．要求SQL Server使用“

Windows授权”，这有助于防止互联网攻击，因为它比混合模式授权要安全得多。 !?*{
{L Nf!K_9BL
3．在任何某个时间点，微软基准安全分析器（MBSA）都能提供运行SQL Server的Windows服务器安全状态的详细情况。可以本地运行MBSA，也可以在网络上运行它。下载地址: http://www.microsoft.com/technet/security/tools/mbsahome.mspx。
4．只要让SQL Server服务包版本最新，就可以确保最新的安全漏洞和系统错误能得到解决。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离#IQ!nb#@XI
5．除了最新的SQL Server服务包外，微软还发布可以下载的SQL Server安全补丁。需要结合最新的SQL Server服务包和最新的安全补丁，这样才能确保系统完全打上了补丁。可以在微软TechNet网站寻找适用于SQL Server的补丁。
6．在安装SQL Server时，会创建两个服务账户: MSSQLSERVER和SQLSERVERAGENT。只要作为域用户账户运行这些账户，就可以限制万一它们的安全受到危及时可能造成的破坏。
7．从SQL Server 2000操作指南获得信息，留意其列出来的安全建议。该文档涉及安全、监控、变更控制及有助于保护SQL Server，尤其是SQL Server 2000安全的其他诸多话题。
8．Windows 2000预先封装了可以对文件进行加密的EFS。结合使用EFS和SQL Server，就可以对客户机/服务器数据进行加密，确保公司最重要的资产（专有数据）安全。
9．安装了默认安装的SQL Server后，端口1433和1434都是使用的基本端口。一条最佳实践就是明确过滤掉向防火墙上这些端口发送的数据包（并把企图访问这些端口的任何活动记入日志）。这将有助于防止SQL Server受到外部攻击者的破坏。
10. 默认安装的SQL Server既不对备份内容进行加密，也不进行压缩。虽然可以对备份内容添加口令，但任何文本编辑器都会危及备份资料的安全。所以要使用LiteSpeed for SQL Server（http://www.imceda.com/LiteSpeed_Download.htm）等软件来进行加密。
,O0Zo&d0cP2A
保护Web Apache服务器 bbs.51cto.com/t
{X[)OB^
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离1W@&i`-r|
_
c
1．为Apache的文件设定权限，以便它们只能够由根账户（管理员）来编辑或者执行，可以确保它们不被人篡改。许多Web服务器的配置文件拥有用户组甚至全局权限。这将有助于确保: 配置文件和

可执行文件无法被非根账户用户篡改，从而避免它们钻系统的空子。使用chmod把Apache的配置文件改成“600”、把Apache库改成“500”。只要有可能，除了绝对需要访问权的管理员外，拒绝所有用户加以访问。 51CTO技术论坛+]q2K S!me|@S
2．确保Apache作为非根账户用户来运行。万一攻击者暗中破坏了Apache，这就可以确保攻击者只能在该用户账户允许的范围内进行破坏活动。该用户账户应当限于Apache程序本身，以维持整个服务器的不可侵犯性。可通过以下操作来实现这一步: 创建本地用户和用户组，然后修改httpd.conf中的“用户”和“用户组”参数。确保创建的用户有一个不存在的主目录，这可以防止任何人使用该账户登录到服务器。默认状态下，Apache服务器将作为根账户来启动，但所有子进程都将作为所选择的那个用户来运行。而Apache根进程本身根本不处理请求。
3．如果在Apache上运行关键任务型网站，就把它运行在专用的Web服务器上。不要在上面运行BIND，也不要运行Sendmail。往Apache设备上添加FTP服务器之类的东西可能很简单，这个硬件处理起来可能轻松，但要记住: 运行的服务越多，给黑客留下的攻击途径就越多。只要攻击者破坏了某一个守护程序、获得根账户访问权，Apache的种种安全措施都无法阻止对方。 im(@x5i
i)r/e
4．把Apache的版本号及其他关键信息隐藏起来，让潜在的攻击者无法看见。在httpd.conf里面添加ServerSignature Off和ServerTokens Prod命令。这可以限制任何外人从服务器收集信息。攻击的信息收集部分被称为“特征探测”，攻击者可以用来确认某个版本的Apache或者其中一个模块所特有的漏洞。另外，蠕虫和病毒甚至可以扫描查找这些信息。另外，清除图标和手动目录等默认内容。这些内容同样可用来确认某些版本的Apache。
5．时时了解最新的安全信息，可以及早避免许多问题出现。但如果某个蠕虫或者病毒迅速传播，并不总是这样。不过许多时候，从首次报告到最初带来影响会有一个时间差。漏洞和弱点往往在漏洞被人利用之前公布。要养成访问CERT.org、订阅Apache邮件列表或者甚至经常阅读Slashdot的习惯。事实证明，Apache是市面上最稳定、最安全的Web服务器之一，包括商用产品和开源产品。即便如此，由于占有60%以上的市场份额，它总是攻击者的一大目标。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离;S5@:[
k"kCc7p
6．禁用目录索引功能，改动符号链接。只要从目录配置部分去除“Indexes”关键字，就很容易禁用索引功能。如果没有发现合适的索引文件，这可以禁止翻阅字典内容的功能。访问目录的原始内容会暴露不想显示的材料，并泄露有关服务器文件结构的信息。应当使用目录设置下的SymLinksIfOwnerMatch，而不是FollowSymLinks命令。这样，只有在当前的目录和目标的所有者是同一人时，才允许使用符号链接。这可以禁用链接至不想每个人都能查看的路径。请注意: 如果使用SymLinksIfOwnerMatch，性能会受到影响，因为需要一两个额外的lstat()。这些信息并不缓存起来，所以可能需要在实施到高性能Web服务器之前评估这一步。
7．清除所有不必要的模块，这跟清除服务器上不需要的服务是同一个道理。不是所有的漏洞都出现在Apache代码中，许多漏洞可能出现在Web服务器使用的外部模块里。默认状态下，各种模块添加到了Apache里面，有些是不同的Linux版本所带的。这需要一番研究，因为不同部署需要不同模块。事先在这方面花点时间从长远来看是值得的。 :s&L
D?a:}
8．在Apache用户的许可下，具有SSI功能的文件可以执行CGI代码和系统程序。可使用IncludesNOEXC Options命令来禁用SSI。如果CGI脚本从ScriptAlias目录运行，可以继续工作。运行CGI时，不妨考虑使用suEXEC等工具来提供更严密的安全。如果使用suEXEC，可以在与Apache使用的用户和用户组不同的用户和用户组下运行CGI程序。
9．有些模块是专门为Apache的安全功能而开发的，包括mod_security、mod_paramguard和mod_dosevasive等模块。有了这些实用程序，可以实现一系列功能，譬如掩盖服务器签名、过滤URL中通常被人滥用的参数和CGI访问请求、检测及响应DoS攻击等。
10．如果想确保Apache根本不会造成任何破坏，可以把它放到chroot jail环境里面。这个程序需要相当的工作量: 必须在文件系统中创建一个部分，只存放Apache及其运行所需的特定文件和库。结果就是，无法从“jail”环境里面访问系统的其他部分，即便是Apache完全受到了威胁亦然，这正是这种方法有效的原因。

保护Exchange服务器
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离+|,d2Fj)wvOUa)u
1．如果不使用任何外部的邮件服务，就禁止Exchange服务器使用它们; 如果只使用特定服务，就禁用不使用的那些服务; 如果只有某些用户需要访问这些资源，就禁止不需要使用的用户使用它们。这可以大大 ?M*TsILK
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离2^_dNdi.W9A
减少受到外部攻击的可能性。
2．不但要随时更新微软的Exchange补丁，还要更新底层的Windows系统及已经安装在Exchange上的任何第三方插件的补丁。虽然不建议在生产环境下启用“自动更新”特性（除非它们来自内部的SUS服务器，并且已通过测试），但可以订阅微软的安全公告牌，这样一旦发布了新补丁，就可以进行测试及部署。
3．确保使用了SSL和Outlook Web访问（OWA），不用购买证书就可以实现这一步，因为可以使用微软的“证书服务”来生成证书。尽管它不是可证实的第三方证书，但仍可以对通过OWA传送的所有邮件进行加密。
4．对OWA实行URL扫描。这将过滤掉针对OWA服务器的被认为不合适的请求，无论它们是攻击，还是畸形文件。要注意的一个地方是，如果使用默认设置，用户将无法打开标题里面有某些字符的一些邮件。但只要编辑%windir%\system32\inetsrv\urlscan文件夹里面的urlscan.ini文件，就可以更改这种默认行为。
5．邮箱的安全完全取决于相关账户使用的口令，不但存在黑客攻击的风险，还存在用户共享口令的风险。如果安装了Outlook Web Access则尤其危险，因为用户使用共享用户名和口令，就可以登录OWA。所以应当确保落实了强口令政策，并且禁止用户之间共享口令。 :\-F-zL+l9rn]4ep
@
6．Exchange运行在Windows上，需要活动目录（Exchange 2000及更高版本），而如果这些基本元素未得到保护，那么Exchange的任何保护措施其效果都会打折扣。
7．Exchange安全模板与相应的指南可以创建加固的Exchange环境。不过有一点需要警告: 在部署这些模板时要非常小心，因为配置不当会导致Exchange环境的重要部分无法正常运行，应尽可能先在测试环境测试一下。
8.如果Exchange服务器用来接收入站邮件，或者允许用户远程访问邮件，就要确保它在防火墙后面得到了合理保护，只允许环境所需的端口向互联网开放。可能的话，在防火墙的非军事区（DMZ）组建第二台Exchange服务器，用它来满足外部邮件需求。 Ht~g;k3P/\
9．始终确保所有Exchange服务器上的所有SMTP服务都得到了保护。
10．在Windows 2003服务器技术上运行Exchange环境可以在默认状态下提高安全，因为这加强了操作系统本身的安全。Windows 2003在设计时已考虑到了安全，甚至在安装Exchange之前就可以减少保护Windows系统所需的工作量。
"~Ckc%t
x;k5TK#_
保护Windows Server 2003
PoZ(Y'N
1．Windows Server 2003 Service Pack 1（SP1）包括了安全方面的许多改进，其中包括对IE浏览器的重大改进（这有助于

终端服务服务器）、新的防火墙、旨在保护服务器的新的安全配置向导程序，以及“安装后安全更新”（Post-Setup Security Update）服务。这项服务可以把系统从网络上断开，直到进行了Windows 更新，确保系统处于最新状态。 6I&~ v:j3Xs
2．十多年前，Windows NT最先采用了NT文件系统（NTFS），如今它依然是保护Windows系统的最有效的方法之一。NTFS对用户权限提供了细粒度控制，可以只为用户授予访问某个文件或者文件夹的权限。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离(Qui1kr#J
3．只安装所需软件和服务，这是最简单但也是最重要的安全建议。安装到服务器上并加以运行的软件和服务越多，系统因被人攻击而受到破坏的可能性就越大。尤其是，不要把互联网信息服务系统（IIS）或者文件/打印服务等服务安装到不需要这些特定服务的服务器上。
4．保护服务器的一个办法就是确保操作系统是安装在单一磁盘或者分区上的惟一组件。把公司文件和程序放在其他磁盘或者分区上。这样一来，即使用户或者黑客通过另一个进程的漏洞获得了未授权的访问权，也不大可能访问所安装的操作系统并造成破坏。当然，这招不是在所有情况下都能够起到保护作用，却只是为服务器添加另一道安全的简便方法。 a'b$]GS$v'ld)Ui
5．虽然Windows Server 2003在许多情况下减少了服务账户的需要，但仍需要这些账户来获取某些Windows服务和某些第三方应用软件。正因为如此，在某个时候仍然需要创建账户，以便这些产品进入系统。所以，尽量为运行应用软件的服务器创建本地账户，而不是创建域账户。因为域账户一旦受到威胁，就有可能被黑客用来访问其他服务器。 51CTO技术论坛m!cE]O0W
6．管理员账户、C:\WINNT和C:\WINDOWS目录是经验并不老到的黑客喜欢下手的目标，而且往往硬编码到了互联网上随处可见的不怀好意的漏洞脚本里面。就算获得系统访问权的这些方法很原始，它们也往往很有效。为了阻止部分这些脚本对系统造成破坏，对管理员账户进行更名，并且把Windows Server 2003安装到C:\WINNT或者C:\WINDOWS以外的目录里面。 51CTO技术论坛&FK4[!e%JWx#~r@+J
7．即使邮件服务器和每台PC上安装了防病毒软件，服务器上还是需要装一个病毒扫描器，尤其是文件服务器上。要是其中一个桌面系统没有定期更新病毒特征，最后病毒也可能会出现在服务器上。要是情况好，受感染的文件只是处于闲置状态; 要是情况不好，这个文件就会在服务器上打开，从而导致服务器被感染、可能无法使用服务。
8．微软通常每个月会为其产品发布一系列新补丁。虽然盲目地安装微软发布的每个补丁不是什么好想法，但被标为严重补丁、可能涉及自身环境的补丁应当立即在测试系统/实验室环境进行检查及测试，然后尽快部署。如今，往往几小时而不是几周后就会发布针对重大漏洞的攻击代码，所以及时打上补丁不可或缺。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离*E5goY e{[.Pm
9． Windows Server 2003 SP1为管理员提供了许多新的组策略选项，可以集中管理SP1里面新的安全特性。譬如说，Windows Server 2003 SP1单单为管理新的防火墙提供了组策略的近30个选项。几乎每个安全选项都可以通过组策略来管理，可以针对所有服务器提供严加保护的计算环境。 bbs.51cto.com&@
h*n1[5s5c5F
10．微软免费提供了Windows Server 2003安全指南，它可以帮助管理员合理保护Windows服务器，这份指南是一个切实可行的重要工具，应当成为每个Windows管理员手中的一件安全武器。
bbs.51cto.comY:{{W"y*vI%}
保护小公司的网络

1．要确保任何小公司网络的安全，最重要的第一步就是，为所有桌面系统购买、安装并且定期更新防病毒软件，这是因为单单一个严重的蠕虫或者病毒就有可能在短短时间内破坏整个小公司网络。
2．如今，间谍软件和广告软件比比皆是，会带来诸多问题，必须采取措施防止这种恶意软件。首先，在所有工作站上安装阻止弹出广告的程序，Google工具栏里面就有一款免费的阻止程序。其次，让用户意识到访问某些网站带来的危险，解释某些网站会在用户不知道的情况下下载恶意文件。为了防止感染，需要定期运行间谍软件/广告软件清除工具。建议使用以下工具: Spybot Search and Destroy、Ad-Aware和微软Windows间谍软件清除工具。
3．没有理由不使用硬件防火墙来保护与互联网相连的网络，还应当考虑在网络上的每台PC上安装软件防火墙。不过要小心，因为有些桌面防火墙可能会引起应用程序无法正常运行，所以在每台机器上安装防火墙之前，一定要先进行一番测试。 bbs.51cto.comtCO8N:\/o8^%WY
4．大多数黑客或者病毒编写者利用了操作系统和软件存在的已知漏洞，所以为其打上补丁很重要。 3K'{xDLko`
5．最简单的安全策略就是以书面形式明确公司的计算机安全规章制度。譬如说，小公司的安全策略可能明确了不允许访问哪些网站内容（譬如色情和仇视团体）、使用公司设备只能用于工作等。策略还可以提供强口令及其他最佳实践方面的指导准则。 Mdk#_;Vf4|YO,F
6．垃圾邮件确实很烦人，为了避免垃圾邮件，先要指导用户尽可能避免订阅要求提供电子邮件地址的服务。另外，如今的大多数电子邮件系统都有某种垃圾邮件阻挡工具。电子邮件的另一种威胁是网络钓鱼。虽然网络钓鱼者有许多做法看上去非常正规，但没有哪家正规的公司会以这种方式获取信息。
7．口令保护是确保小公司网络安全的重要步骤。首先，确保互联网防火墙/路由器、服务器及其他任何网络设备不是采用默认的口令和安全设置配置而成的。其次，规定必须使用更强的口令，并且尽量通过策略来加以执行，安全策略里面要明确口令策略。
8．几乎所有路由器、调制解调器、传真机、网络打印机、PC及其他设备都有某种内置的安全设置，只是其中有些在默认状态下就启用，而许多设备要求采取步骤来进行设置、获得最佳安全。确保已经调查了网络上的设备，并且启用了所有相关的安全设置。 ha"J)J8`\-Asf
9．许多小公司已部署了无线网络，但重要的是不能允许任何人都可以用它来访问你的网络。无论是隔壁公司还是明目张胆的路人，保护无线接入点远离不需要的用户至关重要。至少要确保无线接入点启用了有线对等保密（WEP）。另外，现在还可以使用Wi-Fi受保护访问（WPA）等新的无线安全技术。还要确保服务集标识符（SSID）没有在四处广播。可以对照厂商的说明手册对设备进行配置。 bbs.51cto.com+Xz)l6Pw
10．安全工作是为了防范目前所知的威胁，但某个未知威胁可能会在某个时候，突然悄悄出现在网络上，所以不管你在安全方面做了多少充分的工作，备份至关重要。利用外置USB硬盘备份关键数据只需要很少的成本。另一个经济可行的方案就是使用光盘刻录机进行备份。这两种方法都是备份最重要的文件、以防不测的好办法。成本稍高的方案就是购买及使用传统的磁带备份驱动器。
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离.F5BO
j0Y.gDXJd
保护活动目录
1．默认状态下，Windows Server 2003版本的活动目录比Windows Server 2000版本安全得多。这不是说没法让Windows Server 2000版本的活动目录高度安全，只是说，使用Windows Server 2003版本可以简化工作，因为确保安全不需要同样多的工作量。如果无法升级到Windows Server 2003，应尽量确保禁用Windows 2000以前的所有特性，譬如“与Windows 2000以前的服务器兼容的权限”。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离 `T
{#jsH MQQ:amcn
2．使用“管理员控制委托”等活动目录技术，或者通过合理使用“内置组”和“活动目录权限”，可以大大增强活动目录的安全性。应当只向真正需要的那些IT员工分配特定任务和功能，从而对权限进行微调，而不是向所有管理员分配广泛的全面权限。 vA5XC@h b Fv
3．活动目录高度依赖DNS，因为DNS包含了活动目录网络的重要信息，所以确保存放活动目录记录的DNS服务器安全可靠、远离电子和物理窥视很重要。建议的一项配置就是只允许“安全动态更新”。
4．灵活单主机操作（FSMO）角色对活动目录而言非常重要。尤其是，主域控制器模拟器（PDC Emulator）负责许多重要功能，譬如时间同步、组策略更新及账户锁定处理等。此外，架构主机（Schema Master）控制着架构的更新，也必须加以保护。可能要考虑使用容错服务器、可靠备份以及其他常见对策来保护FSMO服务器。 51CTO技术论坛|1IlMH
5．审计功能让管理员可以确定活动目录出了什么问题。只要启用审计功能，就可以审计账户管理、登录事件、策略变化和权限使用情况。
6．理想情况下所有的域控制器都应当只用做域控制器，要避免在上面运行任何不必要的服务和软件，确保只有一组极少的应用和服务在运行，尽可能避免使用域控制器作为文件服务器或者Web服务器。
7．安全模板是跨域提供一致安全性的一种有效手段，谨慎、注重安全的管理员应考虑使用它。
8．微软每个月（有时更加频繁）会发布重要及标准的安全补丁，管理员需要确保域控制器及时打上了补丁。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离'R\v
^?-d:v7k
9．确保域控制器得到了物理保护: 隔离到上锁的房间或者柜子。如果不怀好意的员工或者来客获得了域控制器的物理访问权，并使用管理员账户登录，该人就会对活动目录基础设施造成重大危害。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离jsGY"x[M
10．必须明白活动目录的复制架构和灾难恢复模式，并规划拓扑结构，以减少能预料到的最常见的问题和服务中断
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离h0Z0z[T
保护Outlook 2003 'xPGF%B#[-{n%fTD
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离mQ"D+z8y.| e7d
1．使用微软更新可以自动或者手动下载及安装Office和Windows补丁，可以从微软的Office网站下载专门针对Office的补丁。如果管理许多桌面电脑，不妨考虑使用Windows服务器更新服务（WSUS），它包括了通过自动更新机制支持Office产品的功能。另外，可以从Office资源工具包网站手动下载补丁。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离*dVJ,ZU.cMeS
2．如果客户端和Exchange服务器之间的网络并非完全安全，那么应当对Outlook和Exchange之间的通信通道进行加密。为此，点击“工具”、“电子邮件账户”，选择“查看”或者更改现有的电子邮件账户，然后点击“下一步”。选择用户的Exchange电子邮件账户，然后点击“更改”。点击“更多设置”，选择“安全”选项卡。在“加密”选项中，选中标为“对微软Office Outlook和微软Exchange Server之间的数据进行加密”复选框，点击“确定”。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离'C!v5FM*e8Uq
3．Outlook 2003包含了附件阻止功能，旨在保护最终用户，避免运行危险的附件。但如果需要收到附件类型被Outlook 2003阻止的邮件，可以让发送者在发送前压缩文件（除非你选择了阻止zip文件），或者提供一个地址供你下载。如果想阻止某个文件类型（可能是zip文件），可以编辑桌面电脑的注册表，添加想阻止的这个新的文件类型。 :EsR^HNon`
4．组建公钥基础设施（PKI）以支持更安全的邮件传送。但这是Outlook无法实现的，需要创建证书基础设施。微软知识库文章包括了许多步骤，可以用来管理用数字证书保护的Outlook环境。
5.以纯文本格式读取邮件，HTML电子邮件可能含有病毒或者恶意脚本。默认状态下，Outlook允许读取HTML格式的邮件，但可以禁止这种行为，以纯文本格式读取邮件。
6．让Outlook发现更多垃圾邮件，或者考虑使用白名单。Outlook 2003具有发现垃圾邮件、并把它放到Outlook中垃圾邮件文件夹的功能。不过，要注意白名单方法会带来相当大的管理开销。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离:L6Y c
@$p;UT/l
7．在前几个版本的Outlook中，“阅读窗格”（Reading Pane）带来了隐私风险，因为用户可以看到HTML邮件及其他可能不安全的内容，这些内容会向发件人返回邮件已读取的信息。正因为如此，许多人禁用了“阅读窗格”，以防止可能打开恶意邮件。然而，Outlook 2003含有使“阅读窗口”（它可能非常有用）可以安全使用的特性。这是由于Outlook新的默认设置禁止自动下载HTML邮件中的图片。
8．使用微软基准安全分析器进行扫描、保护安全。2.0版本的微软基准安全分析器（MBSA）可以扫描系统、查找漏掉的补丁，包括微软Office XP及以后版本的补丁。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离"T!pD's7U:SGX5n
9．默认状态下，Outlook的宏安全被设置成高级，这将自动阻止未签名的宏执行，下一级即最高级只能运行来自可靠来源的宏。不推荐使用最高的安全级别，建议让这个选项设置成默认的高级。不过在下一个“可信发布者”选项上，考虑不要选中“信任所有已经安装的插件和模板”。
10．用口令保护PST文件，这对于笔记本电脑用户来说特别重要，因为要是有人得到了PST文件，就可能获得打开数据王国的钥匙

保护Pocket PC 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离)KHG%y6t
\
;iNopR~8S
1．和笔记本电脑一样，一旦失窃或者丢失，PDA上的数据很容易被人访问，所以，尽可能对设备上的内容进行加密，以便数据比较难访问。市面上有不少面向Pocket PC的加密解决方案。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离0L4P"Fv uv
2. 许多最新的Pocket PC包括了Wi-Fi和蓝牙功能，另外，如今有些PDA还包括集成的移动电话功能，譬如三星i600智能电话或者Audiovox XV6600。虽然能够连接到各种网络确实很方便，但PDA上启用了这些连接会给设备留下攻击途径。如果用户主要使用移动网络，那么禁用Wi-Fi和蓝牙。如果他们一般仅仅使用Wi-Fi，那么禁用其他通信模式。
3．假设用户把Pocket PC落在了出租车上，里面含有联系人名单、销售线索、员工个人信息和公司专有的收益信息，这可能是个重大的安全问题。为了防范这种问题，应当使设备在启用、超时时，都要求输入口令。虽然解决该问题的这种办法其科技含量不是很高，但确实提供了另一道障碍。如果结合加密和设备清除功能使用，效果会相当好。
4．显然，如果用户的PDA受损或者丢失，里面又存储了关键数据，你就会明白确保一切数据定期备份的重要性。用户应当定期与PC进行同步（至少每天一次），或者IT部门可以为用户提供GoodLink之类的产品，可以自动为使用移动网络的PDA进行无线同步。 &?N:W_%z$O/^/@
5．应考虑在PDA上安装防火墙软件，以防止未授权访问，尤其是包含移动电话功能的PDA。市面上有好几个软件包可以通过这种方法保护用户的移动设备，其中包括Bluefire Security Suite、Airscanner和Mobile Armor等。 :?u-L1LSYS4^?L,Jr
6．如果PDA失窃或者丢失，得到它的人企图登录进去以访问机密数据，该怎么办？只有一个完全安全的办法，那就是销毁数据。PDA Defense公司的软件具有这功能，一旦PDA Defense发现一定次数的登录失败后，就会开始使用所谓的“比特清除”技术，在不提示用户的情况下清除设备上存储的所有内容。当然，这并不针对偶尔使用的Pocket PC用户，但在非常敏感的数据落到坏人手里可能危害极大的情况下很有用。
7．如果Pocket PC运行Windows操作系统版本，那最好安装病毒扫描器，帮助防止感染上WinCE4.Dust等病毒。这方面有许多产品，其中包括Airscanner产品、Symantec Antivirus for Handhelds及其他产品。
8．保护几个Pocket PC的安全不会太难，但要是有50个、100个甚至500个设备，该怎么办？这种情况下，确实需要一种办法来集中管理大批PDA，为所有设备提供集中执行的安全策略。可以使用SOTI公司的MobiControl等软件，帮助集中管理及保护大量PDA。 51CTO技术论坛~%S{ojg
9．如今，通过使用储存口令的PDA登录到企业网络既快速又简单，但这样一来，用户也把数据和企业网络置于险境，所以，要尽可能实施并执行不允许在这些移动设备上存储口令的政策。
10．裤兜、衣袋、钱包或者其他触手可及的地方使得PDA容易丢失或者受损，不妨试一下把PDA塞入衣袋，然后俯身去捡东西。PDA很可能会掉出来。起码要为用户提供保护盒，以防PDA受损。另外，建议把设备放在安全的袋子或者公文包中，或者别在腰带上。 bbs.51cto.combO`B$~

保护笔记本电脑

1．对硬盘上的内容进行加密。要是硬盘没有经过加密，窃贼要访问这台电脑的本地硬盘上的私人数据，可谓小菜一碟，甚至不用知道用户名或者口令。可以通过对硬盘上的内容进行加密来防范这种风险。
U&ukI;k
Windows 2000和Windows XP可以利用加密文件系统完成这项操作，不过Windows 2000用户和没有加入域的用户需要更加注意，避免口令忘记而引起数据永久性丢失。可以使用不同产品、用诸多不同方法对Linux笔记本电脑进行加密。另外，Mac OS X用户可以使用FileVault。
2．单单允许系统从硬盘启动，然后设置启动口令，就可以加大窃贼获取数据的难度，如果决定不使用加密文件系统（EFS），更是如此。如果真的需要从软盘或者光盘启动，可以暂时更改启动顺序。 "J9j&H#t-G$P
3．笔记本电脑对窃贼来说具有很大的吸引力。为了遏制越来越多的笔记本电脑失窃事件，许多公司如今销售这样一种软件: 一旦失窃电脑重新连接到网络上，它就会悄悄“通知原主人”。如果使用这样的软件，加上执法部门的努力，追回设备的可能性就会大大增加。这种产品包括CyberAngel、zTrace和XTool Computer Tracker等。
4．拥有的数据越多，丢失的势必也会越多。如果是长途旅行，可以通过公司的VPN连接到公司网络上，从笔记本电脑把文件上传到公司里面安全的文件服务器上。这样一来，即使笔记本电脑果真失窃，数据也是安全、可用的。
5．考虑让远程用户使用瘦客户机计算模式。公司网络内部的服务器和桌面电脑几乎总是比笔记本电脑来得安全。因为如今大多数酒店、机场、咖啡店和书店都提供高速互联网连接，所以就有可能组建这样的远程连接解决方案: 最终用户只要连接到“终端服务（Terminal Services）”，或者使用“远程桌面（Remote Desktop）”，通过VPN连接到公司网络内部的专用桌面机器。这可以防止在笔记本电脑上进行任何实际工作。
6．通过公司政策，并通过Windows、Linux和Mac OS具有的技术机制，制定及执行强口令策略。
7．笔记本电脑带回到办公室后，就要隔离起来，进行扫描，确保它没有任何有害的病毒或者间谍软件。毕竟，这个设备之前已在公司防火墙外面访问间谍软件和病毒到处肆虐的互联网，有时很难清除它们，甚至很难发现。
8．不用时把电脑锁起来，这点可能相当明显，但往往被人忽视，所以有必要强调一下。
9．如果用户在无线网络上的公共区域，就要告诉他们千万不要登录网站，除非他们使用SSL（HTTPS）。另外还要告诉他们不要使用公司的VPN，除非所有流量都经过了加密，而不是启用分离隧道机制。还要确保笔记本电脑上的任何共享区都通过合理设置权限而得到了保护。
10．如果用户的笔记本电脑不幸失窃，就要告诉用户除了立即通知IT部门和可能签约的任何追踪公司外，还要立即通知有关当局.