RAS 服务器的一个特殊共用点上，再将远端用户的登录限制在一台服务器上，而非整个
网络。如此一来，即使黑客入侵主机，他们也只能在单一机器上作怪，间接达到减少破坏
的程度。

最后还有一个技巧就是在 RAS

“

”

服务器上使用 另类 网络协议。很都以 TCP/ip 协议当作

RAS 协议。利用 TCP/IP 协议本身的性质与接受程度，如此选择相当合理，但是 RAS 还支
持 IPX/SPX 和 NetBEUI 协议，如果你使用 NetBEUI 当作 RAS 协议，黑客若一时不察铁定
会被搞得晕头转向。

技巧四：考虑工作站的安全问题

在服务器安全的文章里提及工作站安全感觉似乎不太搭边，但是，工作站正是进入服务
器的大门，加强工作站的安全能够提高整体网络的安全性。对于初学者，建议在所有工作
站上使用 Windows 2000。Windows 2000 是一个非常安全的操作系统，如果你没有 Windows 
2000，那至少使用 Windows NT。如此你便能将工作站锁定，若没有权限，一般人将很难
取得网络配置信息。

另一个技巧是限制使用者只能从特定工作站登录。还有一招是将工作站当作简易型的终端
机（dumb terminal）或者说，智慧型的简易终端机。换言之，工作站上不会存有任何数据
或软件，当你将电脑当作 dumb terminal 使用时，服务器必须执行 Windows NT 终端服务
程序，而且所有应用程序都只在服务器上运作，工作站只能被动接收并显示数据而已。这
意味着工作站上只有安装最少的 Windows 版本，和一份微软 Terminal Server Client。这种
方法应该是最安全的网络设计方案。

技巧五：执行最新修补程序

微软内部有一组人力专门检查并修补安全漏洞，这些修补程序（补丁）有时会被收集成
service pack（服务包）发布。服务包通常有两种不同版本：一个任何人都可以使用的 40
位的版本，另一个是只能在美国和加拿大发行的 128 位版本。128 位的版本使用 128 位的
加密算法，比 40 位的版本要安全得多。

一个服务包有时得等上好几个月才发行一次，但要是有严重点的漏洞被发现，你当然希
望立即进行修补，不想苦等姗姗来迟的服务包。好在你并不需要等待，微软会定期将重要
的修补程序发布在它的 FTP 站上，这些最新修补程序都尚未收录到最新一版的服务包里，
我建议你经常去看看最新修补程序，记住，修补程序一定要按时间顺序来使用，若使用
错乱的话，可能导致一些文件的版本错误，也可能造成 Windows 当机。

技巧六：颁布严格的安全政策

另一个提高安全性的方式就是制定一强有力的安全策略，确保每一个人都了解，并强制
执行。若你使用 Windows 2000 Server，你可以将部分权限授权给特定代理人，而无须将全
部的网管权利交出。即使你核定代理人某些权限，你依然可县制其权限大小，例如无法开
设新的使用者帐号，或改变权限等。