尽管网络安全一直都很重要，其风险之高，今尤胜昔。网络安全应当成为每一个组织重要的优先目标。以下简单十招可助你化险为夷。

　　1:尽可能减少受攻击面

　　进行系统加固应该采取的首要步骤之一是降低其受攻击面：机器上运行的代码越多，代码被利用的机会更越大。因此你得卸载一切不必要的组件及应用。

　　2:只用有名的应用软件

　　在目前这种经济景气条件下，难免会想用免费软件、高折扣软件或开源应用。尽管我会是第一个承认在自己组织内部使用了大量此类应用的人，但是在采用此类软件之前进行一点调查研究是至关重要的。某些免费或低价的应用在设计上都会向用户推送广告：其他一些则会处心积虑盗窃用户的个人信息或跟踪其浏览习惯。

　　3:尽量使用普通用户账号

　　作为一个最佳实践，管理员应该尽量使用普通用户账号。一旦发生恶意软件感染，该恶意软件通常会拥有与登录者相同的权限。因此，如果登录者拥有管理员权限的话，恶意软件所造成的损害会大得多。

　　4:建立多个管理员账号

　　在上一节，我讨论了尽量使用普通账号的重要性，并指出只有在需要执行需要管理员权限的操作时方使用管理员账号。然而，这并不意味着你得用域管理员账号。

　　如果你所在组织有多位管理员，就应该为他们每个人创建独立的管理员账号。如此，一旦执行了一项管理员操作之后你还可以分辨出是谁干的。比如说，如果你有一位叫JohnDoe的管理员，你得该用户创建两个账号。一个供其日常使用，另一个管理员账号只在必要的时候才使用。账号可分别命名为JohnDoe和Admin-JohnDoe。

　　5:不要过度使用审计日志

　　创建安全策略，跟踪每一个可能事件，尽管很容易就会这么做，但是有句话叫做过犹不及。过度使用审计时，审计日志会变得非常庞大，从中几乎不可能找出所需的日志记录。不要对任何事件都进行审计，相反，把焦点放在影响最大的事件上会更好。

　　6:善用本地安全策略

　　使用基于ActiveDirectory的组安全策略设置替代不了本地安全策略设置的作用。记住，只有在某人使用域账号登录的时候组安全策略设置才起效。如果某人用本地账号登录进去的话组安全策略是没有作用的。本地安全策略可帮助你在使用本地账号的情况下保护机器。

　　7:审核配置

　　在网络边界以及每台机器你应当部署防火墙，但仅此仍不足够。你还得审核防火墙的排除端口清单以确保只开放必要的端口。

　　对于Windows操作系统所使用的端口已经有了许多的浓墨重彩，但是你还得留意有没有防火墙规则打开1433及1434端口。这些端口是用来监控和远程连接SQL的，已成为黑客的至爱。

　　8:践行服务隔离

　　只要有可能，你都应该对自己的服务器进行配置，以便其执行特定任务。如此，一旦服务器缺乏抵抗力，黑客也将只能访问到一组特定的服务。我知道，财务上的约束通常迫使组织在服务器上运行多个角色。在此类情况下，你也许可通过无需增加任何成本就能改善安全。在特定的虚拟化环境中，允许你在Windows2008R2上部署多个虚拟机器，而成本只需单个服务器授权。

　　9:安全定期打补丁

　　任何补丁在生产服务器上部署之前都要经过测试。然而，有些组织的测试过程的确过于冗长了。尽管我当然不会否认确保服务器稳定性的重要性，但是你也得在合适的测试需要和恰当的安全需求之间做出平衡。

　　微软在发布安全补丁的时候，该补丁一般都是针对一个证据充分的漏洞的。这意味着黑客已经了解这一漏洞，并将会在补丁所修正的漏洞之处寻找机会，如果你还没有应用该补丁的话。

　　10:安全配置向导要用好

　　安全配置向导允许你创建基于XML的安全策略。它们可以应用到你的服务器上。浙西策略可用于使能服务、配置设置及设定防火墙规则。记住，由安全配置向导所创建的这些策略跟安全模板(采用.INF文件)是不同的。还有就是，你不能使用来部署安全配置向导策略。