你強化過你的檔案伺服器了嗎?按照以下方法,可以充分保護你的重要檔案,阻止未經授權的入侵。
現在把你公司有價值的機密資訊存放在一個或者多個windows檔案伺服器上,是一個非常安全的做法。可能不太明顯的是,你不知道強化的程度和保護資料防止非法入侵的範圍。
如果你不知道從哪入手的話,沒關係只要按照以下通過實踐得出的十個最佳方法去做就行了:
第一招 確保您的伺服器在物理層面上是安全的。
如果入侵者可以物理訪問你的伺服器,那麼你將會有被帶走整個機器或者一個硬碟的風險。除了要確保物理安全之外,你還應該配置你的系統,讓它只從硬碟內部來引導,防止入侵者從可移動的介質來啟動系統。BIOS和引導載入程式,都應該設定一個強大的密碼來進行保護。
第二招 加密你的磁碟機。
使用類似於BitLocker系統來加密你的磁碟機,這樣即使你的硬碟被盜或者被替換後扔到不安全的地方,仍能確保你的檔案是安全的。在你的伺服器上使用可信賴平台模組(TPM)確保使用BitLocker在管理員和使用者之間是公開透明的。
第三招 儘可能的讓伺服器遠離網路。
由於大多數檔案伺服器都無法避免的要串連到互連網,所以使用防火牆限制外部存取你的區域網路。
第四招 確保伺服器更新了最新最全的補丁。
即使你的Windows伺服器沒有串連互連網,你仍然要保證軟體的更新,通過在你網路上的另一個伺服器運行Windows伺服器更新服務(WSUS)來完成。如果讓你的檔案伺服器,不連網是不實際的話,那麼你應該確保Windows更新設定為自動下載並應用補丁 - 除非你已經有了一套下載和手動測試補丁的程式。
還有一個容易遺漏的地方就是IE瀏覽器的增強安全配置,因為很少會用到IE瀏覽器所以IE瀏覽器的安全往往會被忽略。你可以從控制台查看互連網增強安全配置選項,添加Windows部分組件。
第五招 不要忘了防毒軟體。
即使你有網關的安全保護,也運行了個人的防毒軟體,但你仍應該運行企業級的防毒軟體在你的檔案伺服器上。大多數企業的產品,允許你從本機伺服器更新病毒資料(甚至是從你網路上其他使用者啟動並執行軟體上),但如果你的檔案伺服器沒有連網的話,那麼你可能無法充分利用基於網路提供的額外保護。
第六招 去掉不必要的軟體。
在你伺服器上的那些肯定垃圾軟體如Flash,Silverlight,或Java。安裝這些軟體只會給駭客增加攻擊的機會。你可以從伺服器中刪除沒用的控制台。
第七招 停止不必要的服務。
在Windows中,除非你特別需要這些(像遠端管理),否則你應該停止像傳真服務,Messenger、IIS Admin、SMTP、任務調度器、Telnet、遠端桌面服務、全球資訊網發布服務等。
第八招 控制檔案的訪問。
您可以使用NTFS安全限制檔案和檔案夾訪問特定的組或個人使用者。你可以通過查看一個檔案或檔案夾的屬性,選擇“安全選項卡”,然後在“進階”裡改變許可權。
第九招 使用審計功能。
確保你設定了審計,這樣你可以看到是誰曾嘗試讀取、寫入或刪除你的機密檔案或檔案夾。你可以通過查看一個檔案或檔案夾的屬性,選擇“安全選項卡”,然後在“進階”設定裡選擇“審核”選項卡來完成。
第十招 使用最少的特權執行管理工作。
儘可能的避開使用管理員特權。同樣,確保具有管理員權限的所有帳戶,即使有密碼原則也要強制執行強密碼保護。
更多精彩內容:http://www.bianceng.cnhttp://www.bianceng.cn/OS/home/