Windows服務器四個安全注意事項

    我們通常把服務器只當作服務器看待--不需要類似傳統工作站的安全控制的野蠻盒子。我經常在安全評估裡看到這些。事實上，Windows服務器是需要終端控制來確保安全的。這裡是幾個關於Windows服務器終端安全的常見問題解答。
   
    我不能承受我的Windows服務器由於補丁和殺毒軟件而掉線或者崩潰。鎖定服務器這一論點的基礎是什麼，比如它們就是工作站？
   
    事實上，大多數服務器都是工作站，供網絡管理員進行操作，如浏覽網頁、傳輸文件和郵件等等。在目前情況下，服務器就像是一座房子，存儲業 務的大部分信息資產。由於惡意軟件而開發缺失的補丁，或由於Metasploit以及類似的工具進行定向滲透，這些是很偉大的工程。同工作站相比，如果不 是更棒，那就是同樣棒。目前存在的問題是，我遇到的任何給定的無補丁的Windows系統，幾乎總是服務器而不是工作站。
   
    服務器需要什麼樣的惡意軟件防護？
   
    我認為控件需要像工作站的一樣牢固。對新手來說，一個可靠的反病毒程序是很好的選擇。使用一些互補的控件來預防間諜軟件會比較好。確保能夠針對數據庫和類 似的應用程序進行實時的掃描微調，把性能影響最小化。也要留意先進的惡意軟件的控制，如Damballa和FireEye產品。這些技術可能非常有利-- 尤其是如果你知道或懷疑入侵者進入“房子”.白名單技術也正在受到我的喜愛。白名單對服務器有益的（更簡單的），在服務器上你可能會運行比較少的應用程序 並且配置更加標准化。
   
    服務器上需要使用磁盤加密技術嗎？
   
    如果有物理服務器的風險，那麼答案是肯定的。我遭遇過許多Windows服務器被盜竊和濫用的情況。無論是BitLocker或第三方選項，全盤加密技術 是堅強的最後防線。你可以在應用程序、數據庫和操作系統級別擁有世界上的所有控件，但是一個物理入侵就會結束一切，這將出現在數據洩漏事件列表上並登上各 大媒體頭版頭條。
   
    推薦的服務器硬化的最佳實踐是什麼？
   
    你的內部審計員和調整員也許已經跟你講清楚了安全性要求。如果沒有，你必須後退一步，確定你想要保護的是什麼，然後確定如何實施。NIST對初學者來說是 很好的資源。我喜歡Microsoft的推薦，尤其是他們的Security Compliance Manager工具。硬化Windows服務器沒有萬能解決方案。確定風險，利用可用的免費資源創建適合自己獨特需求的最佳解決方案。例如，審計日志記錄 可能只針對一個業務，但是也可以給另外一個增加最小限度的價值。類似的情況如密碼策略、遠程訪問控制、加密的網絡通信會話這類。因此，明白你的需求，選擇 可以用在Windows操作系統和相關應用程序的安全控件，並保持檢查。