• 對服務器的物理訪問存在很高的安全風險。入侵者對服務器的物理訪問可能導致未經授權的數據訪問或修改，也可能導致安裝涉及環境安全方面的硬件或軟件。要維護安全的環境，必須對所有服務器和網絡硬件的物理訪問進行限制。

 • 使用最小特權原則時，管理員應當使用權限受到限制的帳戶來執行日常的非管理任務，只有當執行特定管理任務時，才使用權限較大的帳戶。 

 • 如果希望不經過注銷再重新登錄就完成這樣的任務，則可以用一般帳戶登錄，使用 Runas 命令來運行需要更大權限的工具。

        • 在確定最終用戶所具有的計算機訪問權限的默認級別時，其決定性因素為需要受支持的應用程序的安裝基礎。如果組織僅使用屬于 Windows Logo for Software 程序的應用程序，那么可以使所有的最終用戶成為 Users 組的成員。如果不是，則可能必須使最終用戶成為 Power Users 組的一部分，或者放寬 Users 組的權限安全設置。兩者的安全選項都比較少。 

        在 Windows 2000或 Windows XP Professional 上運行舊版程序通常要求修改對某些系統設置的訪問。默認情況下允許 Power Users 運行舊版程序的相同默認權限可能使 Power Users 獲得系統上的其他權限，甚至完全管理權限。因此，為了獲得最大程度的安全性而又不犧牲程序的功能，最重要的是在 Windows Logo Program for Software 中部署 Windows 2000 或 Windows XP Professional 程序。 

        • 所有可修改林中域控制器上的系統軟件的域管理員（包括子域管理員）都必須受到平等的信任。 

        • 域管理員和企業管理員應該是唯一被允許將組策略對象鏈接到組織單位的用戶。這是默認設置。 

         經過驗證的用戶只需要“讀取和應用組策略”對象權限。

        • 確保使用強訪問控制列表來保護系統文件和注冊表的安全。 

        • 使用 Syskey 來提供安全帳戶管理器 (SAM) 的其他保護，尤其是在域控制器上。

        • 大多數身份驗證方法都要求用戶提供密碼以證實其身份。這些密碼一般情況下都由用戶選擇，用戶可能希望選擇容易記憶的簡單密碼。在大多數情況下，這些密碼都不可靠，容易被入侵者猜到或確定出來。不可靠的密碼可能回避了該安全元素，可成為其他強安全環境的弱點。強密碼對于入侵者而言可能難以識別，這樣即可幫助有效保護組織的資源。

       不要下載或運行來自于不受信任的源的程序

        • 這些程序可能包含以多種方式破壞安全性的指令，包括數據竊取、拒絕服務和數據破壞。這些惡意的程序通常偽裝成合法的軟件，難以識別。要避免這些程序，應該只下載并運行那些保證是正版而且是從受信任的源獲得的軟件。還應該確保安裝了最新的病毒掃描程序而且此掃描程序工作正常，以防這一類型的軟件不經意地在計算機上終止運行。

        • 病毒掃描程序通過掃描簽名（簽名是以前已識別的病毒的已知組件）頻繁識別受感染的文件。掃描程序將這些病毒簽名保留在簽名文件中，此簽名文件存儲在本地硬盤上。因為經常會發現新的病毒，所以此文件還應該經常更新，從而便于病毒掃描程序識別所有最新的病毒。

        • 軟件修補程序提供對已知安全問題的解決方案。定期檢查軟件提供程序網站以查看組織中使用的軟件是否有新的修補程序。

關鍵字：server、服務器、數據