使用
Windows 2000。Windows 2000 是一个非常安全的
,如果你没有
Windows
2000,那至少使用 Windows NT。如此你便能将工作站锁定,若没有权限,一般人将很难取
得网络配置信息。
另一个技巧是限制使用者只能从特定工作站登录。还有一招是将工作站当作简易型的终端机
(
dumb terminal)或者说,智慧型的简易终端机。换言之,工作站上不会存有任何数据或软
件,当你将电脑当作
dumb terminal 使用时,服务器必须执行 Windows NT 终端服务程序,
而且所有应用程序都只在服务器上运作,工作站只能被动接收并显示数据而已。这意味着工
作站上只有安装最少的
Windows 版本,和一份微软 Terminal Server Client。这种方法应该是
最安全的网络设计方案。
技巧五:执行最新修补程序
微软内部有一组人力专门检查并修补安全漏洞,这些修补程序(补丁)有时会被收集成
service pack(服务包)发布。服务包通常有两种不同版本:一个任何人都可以使用的 40 位
的版本,另一个是只能在美国和加拿大发行的
128 位版本。128 位的版本使用 128 位的加密
算法,比
40 位的版本要安全得多。
一个服务包有时得等上好几个月才发行一次,但要是有严重点的漏洞被发现,你当然希望
立即进行修补,不想苦等姗姗来迟的服务包。好在你并不需要等待,微软会定期将重要的修
补程序发布在它的
FTP 站上,这些最新修补程序都尚未收录到最新一版的服务包里,我建
议你经常去看看最新修补程序,记住,修补程序一定要按时间顺序来使用,若使用错乱的
话,可能导致一些文件的版本错误,也可能造成
Windows 当机。
技巧六:颁布严格的安全政策
另一个提高安全性的方式就是制定一强有力的安全策略,确保每一个人都了解,并强制执
行。若你使用
Windows 2000 Server,你可以将部分权限授权给特定代理人,而无须将全部
的网管权利交出。即使你核定代理人某些权限,你依然可县制其权限大小,例如无法开设新
的使用者帐号,或改变权限等。
技巧七:防火墙,检查,再检查
最后一个技巧是仔细检查防火墙的设置。防火墙是网络规划中很重要的一部份,因为它能使
公司电脑不受外界恶意破坏。
首先,不要公布非必要的
IP 地址。你至少要有一个对外的 IP 地址,所有的网络通讯都必须
经由此地址。如果你还有
DNS 注册的 Web 服务器或是电子邮件服务器,这些 IP 地址也要穿
过防火墙对外公布。但是,工作站和其他服务器的
IP 地址则必须隐藏。
你还可以查看所有的通讯端口,确定不常用的已经全数关闭。例如,
TCP/IP port 80 是用于
HTTP 流量,因此不能堵掉这个端口,也许 port 81 应该永远都用不着吧,所以就应该关掉。