| 可能你终于得到了一批基于Windows的电脑,但你的老板要求你在把它们拿出去用前先确认它们都是安全可靠的,那如何去确认?或者,一些对安全知识也只知道大概的评估员盯上了你,而他们觉得你根本不知道自己在做什么? 无论是哪种情况,在你还没有开始眼前的一堆工作之前如果你还没有考虑过你的应对策略,那么你可能会需要作出一些比较艰难的抉择. 一般来说,你要作的是从你喜欢的一些非盈利性网站上下载上百页的关于强化Windows的文档,再照着成千条的建议作.或是接受评估员的报告再从名单上下来.没那么快!在这方面需要太多的时间,努力,以及对背景知识,系统中的关键问题和很多问题的了解.所以说,你是否应该从正式的安全程序开始并且把大多数的安全责任归结到你的用户手中呢?答案当然是否定的. 基于我对以Windows为基础的网络的多次观察后所发现的漏洞,我认为,把每一个已知的强化策略列表锁死并不必要.事实上,如果你觉得那些评估员告诉你的很有价值或是你把那些组织关于强化Windows策略列表的建议全部采纳了,那么你就离失败不远了.并且它会带来很多不必要的工作,潜在的低安全性和给用户的更多的束缚,这些对你的事业是没好处的. 为了更有效的保护你的Windows系统,你必须知道你要面对的问题.这需要一个深度的风险评估.这是对各种威胁,自身漏洞,你所处的整个环境和你系统的总体情况的评估.你将需要制定出一套可以使风险和漏洞最小化的安全标准.你或是某个安全专家只有知道了你的环境和你的所作工作才能得出结论. 一旦你确定了你的敌人,你就能决定你需要什么样的安全控制并且考虑哪些安全建议是你需要的.不要在作出错误的安全强化后才作风险评估,拟订安全标准 当你开始作Windows的安全性完善时,某些事情将能够为你有效的锁死.防御外来黒客和内部恶意用户提供一个坚实的基础.是的,我所有的是最低级别的安全强化列表,但是我的控制要比你采纳所有人的安全建议要好的多.因为那些建议中绝大多数在你的工作环境下不起作用. 除了一些必要的反病毒软件和一些补丁外,这里还有三个Windows用户的设置要执行: 1. 个人防火墙可以帮助阻止主动内部数据传输并且,如果你需要的话可以阻止非许可的外部传输.概念上说,你需要一个可以通过Group Policy(比如,Windows Firewall)或是通过第三方管理界面执行的软件. 2. 设置适当的共享和NTFS许可以把网络盗窃降到最低并且阻止用户进入存有敏感文件的区域. 3. 坚固的加密技术,特别是对笔记本电脑,可以保证未经许可的人不能进入当地系统.通过EFS给个别文件夹加密是个好选择,但是为什么不把整个盘都加密呢?它就作用就像一个安全网保护所有的秘密信息. 对于强化安全列表来说,单一的标准不能适合所有的情况。没有任何方法或技术可以用同一种方法锁死每个系统。要记住你所要加强的系统的危险性和它们之间的相互关系以及它们的用途。不能用同一种方法对待所有的系统。比如说你为一台笔记本电脑作安全设置和一台在你的局域网中在防火墙保护下的台式机的做法是不同的。如果加强你系统中的暴露在更大危险和攻击下的部分是你唯一需要作的,那么就这么作。你只要能向那些评估员证明清楚就好。 记住没有任何东西是绝对安全的。你要不断检测和加强你的系统。养成这么作的习惯,你将会更容易适应他们提出的新的安全要求。还有就是,让一个系统变得更有弹性没必要作更多的安全改变。 真正重要的注意内容永远取决于你自身所遇到的情况。在属于你自己的环境下应对所发生的问题。找到真正能解决你所遇问题的关键,将那些影响你,对你进行攻击造成危害的安全隐患一一消除,应用符合自己的安全工具,而不是听从别人给你最好建议。 |
|小黑屋|最新主题|手机版|微赢网络技术论坛
( 苏ICP备08020429号 )
GMT+8, 2024-10-1 03:26 , Processed in 0.128796 second(s), 12 queries , Gzip On, MemCache On.
Powered by Discuz! X3.5
© 2001-2023 Discuz! Team.
