Иллюстрированный самоучитель по Secure Web


Резюме - часть 2


  •  Для обеспечения хорошей зашиты применяйте принцип минимализма: если нечего атаковать, то атака невозможна. Отключите все необязательные службы (с помощью services .msc). Обеспечьте необходимую безопасность для оставшихся обязательных служб. Например, настройте службу DNS таким образом, чтобы ограничить возможности переноса зоны.
  •  Если службы файлов и печати необязательны, запустите аплет Network and Dial-up Connections, а затем выберите команду Advanced => Advanced Settings и сбросьте флажок File And Printer Sharing for Microsoft Networks для каждого адаптера, чтобы отключить использование протокола NetBIOS поверх TCP/IP, как показано на рис. 6.1 в начале этой главы. Это наилучший способ настройки внешних интерфейсов подключенного к Internet сервера.
  •  Используйте фильтры TCP/IP и IPSec (описанные в этой главе) для блокировки доступа к прослушиваемым портам, за исключением минимально необходимого набора открытых портов.
  •  Защитите серверы, имеющие выход в Internet, с помощью брандмауэра или маршрутизатора, чтобы ограничить DoS-атаки. Кроме того, с помощью описанных в этой главе методов защититесь от стандартных DoS-атак.
  •  Регулярно устанавливайте сервисные пакеты и модули обновления. Расширяющийся с каждым днем список этих средств можно найти по адресу http://www.microsoft.сот/security.
  •  Ограничьте привилегии интерактивных учетных записей, чтобы в зародыше предотвратить атаки, направленные на расширение привилегий.
  •  По возможности завершайте терминальные сеансы, а не просто отключайтесь от терминального сервера и не оставляйте открытых сеансов на "растерзание" взломщикам, получившим права администратора.
  •  Используйте новые средства типа Group Policy (gpedit.msc) и Security Configuration and Analysis с дополнительными шаблонами для реализации распределенной схемы защиты среды Win 2000.
  •  Придерживайтесь строгих правил физической защиты от атак в автономном режиме против файла SAM и средства EFS, описанных в этой главе. Храните системный ключ на гибком носителе или защищайте его паролем. Обеспечьте физическую защищенность жизненно важных серверов, установите для них пароли на BIOS и отключите дисководы для съемных носителей, которые можно использовать для загрузки в систему с помощью альтернативной операционной системы.



  • Начало  Назад  Вперед