• 对服务器的物理访问存在很高的安全风险。入侵者对服务器的物理访问可能导致未经授权的数据访问或修改，也可能导致安装涉及环境安全方面的硬件或软件。要维护安全的环境，必须对所有服务器和网络硬件的物理访问进行限制。

 • 使用最小特权原则时，管理员应当使用权限受到限制的帐户来执行日常的非管理任务，只有当执行特定管理任务时，才使用权限较大的帐户。 

 • 如果希望不经过注销再重新登录就完成这样的任务，则可以用一般帐户登录，使用 Runas 命令来运行需要更大权限的工具。

        • 在确定最终用户所具有的计算机访问权限的默认级别时，其决定性因素为需要受支持的应用程序的安装基础。如果组织仅使用属于 Windows Logo for Software 程序的应用程序，那么可以使所有的最终用户成为 Users 组的成员。如果不是，则可能必须使最终用户成为 Power Users 组的一部分，或者放宽 Users 组的权限安全设置。两者的安全选项都比较少。 

        在 Windows 2000或 Windows XP Professional 上运行旧版程序通常要求修改对某些系统设置的访问。默认情况下允许 Power Users 运行旧版程序的相同默认权限可能使 Power Users 获得系统上的其他权限，甚至完全管理权限。因此，为了获得最大程度的安全性而又不牺牲程序的功能，最重要的是在 Windows Logo Program for Software 中部署 Windows 2000 或 Windows XP Professional 程序。 

        • 所有可修改林中域控制器上的系统软件的域管理员（包括子域管理员）都必须受到平等的信任。 

        • 域管理员和企业管理员应该是唯一被允许将组策略对象链接到组织单位的用户。这是默认设置。 

         经过验证的用户只需要“读取和应用组策略”对象权限。

        • 确保使用强访问控制列表来保护系统文件和注册表的安全。 

        • 使用 Syskey 来提供安全帐户管理器 (SAM) 的其他保护，尤其是在域控制器上。

        • 大多数身份验证方法都要求用户提供密码以证实其身份。这些密码一般情况下都由用户选择，用户可能希望选择容易记忆的简单密码。在大多数情况下，这些密码都不可靠，容易被入侵者猜到或确定出来。不可靠的密码可能回避了该安全元素，可成为其他强安全环境的弱点。强密码对于入侵者而言可能难以识别，这样即可帮助有效保护组织的资源。

       不要下载或运行来自于不受信任的源的程序

        • 这些程序可能包含以多种方式破坏安全性的指令，包括数据窃取、拒绝服务和数据破坏。这些恶意的程序通常伪装成合法的软件，难以识别。要避免这些程序，应该只下载并运行那些保证是正版而且是从受信任的源获得的软件。还应该确保安装了最新的病毒扫描程序而且此扫描程序工作正常，以防这一类型的软件不经意地在计算机上终止运行。

        • 病毒扫描程序通过扫描签名（签名是以前已识别的病毒的已知组件）频繁识别受感染的文件。扫描程序将这些病毒签名保留在签名文件中，此签名文件存储在本地硬盘上。因为经常会发现新的病毒，所以此文件还应该经常更新，从而便于病毒扫描程序识别所有最新的病毒。

        • 软件修补程序提供对已知安全问题的解决方案。定期检查软件提供程序网站以查看组织中使用的软件是否有新的修补程序。

关键字：server、服务器、数据