如何保護Windows檔案伺服器

你強化過你的檔案伺服器了嗎?按照以下方法，可以充分保護你的重要檔案，阻止未經授權的入侵。

現在把你公司有價值的機密資訊存放在一個或者多個windows檔案伺服器上，是一個非常安全的做法。可能不太明顯的是，你不知道強化的程度和保護資料防止非法入侵的範圍。

如果你不知道從哪入手的話，沒關係只要按照以下通過實踐得出的十個最佳方法去做就行了：

第一招 確保您的伺服器在物理層面上是安全的。

如果入侵者可以物理訪問你的伺服器，那麼你將會有被帶走整個機器或者一個硬碟的風險。除了要確保物理安全之外,你還應該配置你的系統,讓它只從硬碟內部來引導，防止入侵者從可移動的介質來啟動系統。BIOS和引導載入程式,都應該設定一個強大的密碼來進行保護。

第二招 加密你的磁碟機。

使用類似於BitLocker系統來加密你的磁碟機，這樣即使你的硬碟被盜或者被替換後扔到不安全的地方，仍能確保你的檔案是安全的。在你的伺服器上使用可信賴平台模組(TPM)確保使用BitLocker在管理員和使用者之間是公開透明的。

第三招 儘可能的讓伺服器遠離網路。

由於大多數檔案伺服器都無法避免的要串連到互連網，所以使用防火牆限制外部存取你的區域網路。

第四招 確保伺服器更新了最新最全的補丁。

即使你的Windows伺服器沒有串連互連網，你仍然要保證軟體的更新，通過在你網路上的另一個伺服器運行Windows伺服器更新服務(WSUS)來完成。如果讓你的檔案伺服器，不連網是不實際的話，那麼你應該確保Windows更新設定為自動下載並應用補丁 - 除非你已經有了一套下載和手動測試補丁的程式。

還有一個容易遺漏的地方就是IE瀏覽器的增強安全配置，因為很少會用到IE瀏覽器所以IE瀏覽器的安全往往會被忽略。你可以從控制台查看互連網增強安全配置選項，添加Windows部分組件。

第五招 不要忘了防毒軟體。

即使你有網關的安全保護，也運行了個人的防毒軟體，但你仍應該運行企業級的防毒軟體在你的檔案伺服器上。大多數企業的產品，允許你從本機伺服器更新病毒資料(甚至是從你網路上其他使用者啟動並執行軟體上)，但如果你的檔案伺服器沒有連網的話，那麼你可能無法充分利用基於網路提供的額外保護。

第六招 去掉不必要的軟體。

在你伺服器上的那些肯定垃圾軟體如Flash，Silverlight,或Java。安裝這些軟體只會給駭客增加攻擊的機會。你可以從伺服器中刪除沒用的控制台。

第七招 停止不必要的服務。

在Windows中，除非你特別需要這些(像遠端管理)，否則你應該停止像傳真服務，Messenger、IIS Admin、SMTP、任務調度器、Telnet、遠端桌面服務、全球資訊網發布服務等。

第八招 控制檔案的訪問。

您可以使用NTFS安全限制檔案和檔案夾訪問特定的組或個人使用者。你可以通過查看一個檔案或檔案夾的屬性,選擇“安全選項卡”,然後在“進階”裡改變許可權。

第九招 使用審計功能。

確保你設定了審計,這樣你可以看到是誰曾嘗試讀取、寫入或刪除你的機密檔案或檔案夾。你可以通過查看一個檔案或檔案夾的屬性，選擇“安全選項卡”，然後在“進階”設定裡選擇“審核”選項卡來完成。

第十招 使用最少的特權執行管理工作。

儘可能的避開使用管理員特權。同樣，確保具有管理員權限的所有帳戶，即使有密碼原則也要強制執行強密碼保護。

更多精彩內容：http://www.bianceng.cnhttp://www.bianceng.cn/OS/home/