使用

Windows 2000。Windows 2000 是一个非常安全的

操作系统

，如果你没有

Windows 

2000，那至少使用 Windows NT。如此你便能将工作站锁定，若没有权限，一般人将很难取
得网络配置信息。
另一个技巧是限制使用者只能从特定工作站登录。还有一招是将工作站当作简易型的终端机
（

dumb terminal）或者说，智慧型的简易终端机。换言之，工作站上不会存有任何数据或软

件，当你将电脑当作

dumb terminal 使用时，服务器必须执行 Windows NT 终端服务程序，

而且所有应用程序都只在服务器上运作，工作站只能被动接收并显示数据而已。这意味着工
作站上只有安装最少的

Windows 版本，和一份微软 Terminal Server Client。这种方法应该是

最安全的网络设计方案。
技巧五：执行最新修补程序
微软内部有一组人力专门检查并修补安全漏洞，这些修补程序（补丁）有时会被收集成
service pack（服务包）发布。服务包通常有两种不同版本：一个任何人都可以使用的 40 位
的版本，另一个是只能在美国和加拿大发行的

128 位版本。128 位的版本使用 128 位的加密

算法，比

40 位的版本要安全得多。

一个服务包有时得等上好几个月才发行一次，但要是有严重点的漏洞被发现，你当然希望
立即进行修补，不想苦等姗姗来迟的服务包。好在你并不需要等待，微软会定期将重要的修
补程序发布在它的

FTP 站上，这些最新修补程序都尚未收录到最新一版的服务包里，我建

议你经常去看看最新修补程序，记住，修补程序一定要按时间顺序来使用，若使用错乱的
话，可能导致一些文件的版本错误，也可能造成

Windows 当机。

技巧六：颁布严格的安全政策
另一个提高安全性的方式就是制定一强有力的安全策略，确保每一个人都了解，并强制执
行。若你使用

Windows 2000 Server，你可以将部分权限授权给特定代理人，而无须将全部

的网管权利交出。即使你核定代理人某些权限，你依然可县制其权限大小，例如无法开设新
的使用者帐号，或改变权限等。
技巧七：防火墙，检查，再检查
最后一个技巧是仔细检查防火墙的设置。防火墙是网络规划中很重要的一部份，因为它能使
公司电脑不受外界恶意破坏。
首先，不要公布非必要的

IP 地址。你至少要有一个对外的 IP 地址，所有的网络通讯都必须

经由此地址。如果你还有

DNS 注册的 Web 服务器或是电子邮件服务器，这些 IP 地址也要穿

过防火墙对外公布。但是，工作站和其他服务器的

IP 地址则必须隐藏。

你还可以查看所有的通讯端口，确定不常用的已经全数关闭。例如，

TCP/IP port 80 是用于

HTTP 流量，因此不能堵掉这个端口，也许 port 81 应该永远都用不着吧，所以就应该关掉。