將對計算機（特別是域控制器）的物理訪問限制給受信任的個人
• 對服務(wù)器的物理訪問存在很高的安全風險。入侵者對服務(wù)器的物理訪問可能導(dǎo)致未經(jīng)授權(quán)的數(shù)據(jù)訪問或修改，也可能導(dǎo)致安裝涉及環(huán)境安全方面的硬件或軟件。要維護安全的環(huán)境，必須對所有服務(wù)器和網(wǎng)絡(luò)硬件的物理訪問進行限制。

        對于管理任務(wù)，請使用最小特權(quán)原則
        • 使用最小特權(quán)原則時，管理員應(yīng)當使用權(quán)限受到限制的帳戶來執(zhí)行日常的非管理任務(wù)，只有當執(zhí)行特定管理任務(wù)時，才使用權(quán)限較大的帳戶。 
        • 如果希望不經(jīng)過注銷再重新登錄就完成這樣的任務(wù)，則可以用一般帳戶登錄，使用 Runas 命令來運行需要更大權(quán)限的工具。

        定義組及其成員身份
        • 在確定最終用戶所具有的計算機訪問權(quán)限的默認級別時，其決定性因素為需要受支持的應(yīng)用程序的安裝基礎(chǔ)。如果組織僅使用屬于 Windows Logo for Software 程序的應(yīng)用程序，那么可以使所有的最終用戶成為 Users 組的成員。如果不是，則可能必須使最終用戶成為 Power Users 組的一部分，或者放寬 Users 組的權(quán)限安全設(shè)置。兩者的安全選項都比較少。 
        在 Windows 2000或 Windows XP Professional 上運行舊版程序通常要求修改對某些系統(tǒng)設(shè)置的訪問。默認情況下允許 Power Users 運行舊版程序的相同默認權(quán)限可能使 Power Users 獲得系統(tǒng)上的其他權(quán)限，甚至完全管理權(quán)限。因此，為了獲得最大程度的安全性而又不犧牲程序的功能，最重要的是在 Windows Logo Program for Software 中部署 Windows 2000 或 Windows XP Professional 程序。 
        • 所有可修改林中域控制器上的系統(tǒng)軟件的域管理員（包括子域管理員）都必須受到平等的信任。 
        • 域管理員和企業(yè)管理員應(yīng)該是唯一被允許將組策略對象鏈接到組織單位的用戶。這是默認設(shè)置。 
         經(jīng)過驗證的用戶只需要“讀取和應(yīng)用組策略”對象權(quán)限。

保護計算機上數(shù)據(jù)的安全
        • 確保使用強訪問控制列表來保護系統(tǒng)文件和注冊表的安全。 
        • 使用 Syskey 來提供安全帳戶管理器 (SAM) 的其他保護，尤其是在域控制器上。

        在整個組織內(nèi)使用強密碼
        • 大多數(shù)身份驗證方法都要求用戶提供密碼以證實其身份。這些密碼一般情況下都由用戶選擇，用戶可能希望選擇容易記憶的簡單密碼。在大多數(shù)情況下，這些密碼都不可靠，容易被入侵者猜到或確定出來。不可靠的密碼可能回避了該安全元素，可成為其他強安全環(huán)境的弱點。強密碼對于入侵者而言可能難以識別，這樣即可幫助有效保護組織的資源。

       不要下載或運行來自于不受信任的源的程序
        • 這些程序可能包含以多種方式破壞安全性的指令，包括數(shù)據(jù)竊取、拒絕服務(wù)和數(shù)據(jù)破壞。這些惡意的程序通常偽裝成合法的軟件，難以識別。要避免這些程序，應(yīng)該只下載并運行那些保證是正版而且是從受信任的源獲得的軟件。還應(yīng)該確保安裝了最新的病毒掃描程序而且此掃描程序工作正常，以防這一類型的軟件不經(jīng)意地在計算機上終止運行。

　　了解更多：http://www.xiaobaixitong.com/

        保持病毒掃描程序為最新
        • 病毒掃描程序通過掃描簽名（簽名是以前已識別的病毒的已知組件）頻繁識別受感染的文件。掃描程序?qū)⑦@些病毒簽名保留在簽名文件中，此簽名文件存儲在本地硬盤上。因為經(jīng)常會發(fā)現(xiàn)新的病毒，所以此文件還應(yīng)該經(jīng)常更新，從而便于病毒掃描程序識別所有最新的病毒。

        保持所有軟件修補程序為最新
        • 軟件修補程序提供對已知安全問題的解決方案。定期檢查軟件提供程序網(wǎng)站以查看組織中使用的軟件是否有新的修補程序。