第六步:要求SMB signing
关键点:SMB signing可以帮助防御人在中间(man-in-the-middle)攻击。
第七步:加强网络策略
关键点:应该激活 “不要允许SAM的anon. enum” 等设置,而“允许匿名SID/Name翻译”等设置不应该激活。这些可能会被认为是低等级的安全,但是这是加强Windows系统安全向的重要组成部分。
第八步:使用Software Update Services (SUS)
关键点:应该总是使用SUS或者其他补丁管理系统来接收、分配并跟进最新的补丁。
第九步:划定范围、隔离和清除
关键点:这是最重要的一步。使用网络访问隔离控制(Network Access Quarantine Control,NAQC),应该限制或者不接受资源流向特定的客户端,把非隔离的客户端放入固定的部分,来检查系统属性,最后在被允许连接之前提供资源来修复所发现的问题。
第十步:做最坏的打算
关键点:为灾难做些计划,可以使用脚本建立80% 的架构,并预留更多的时间手动重建剩余的20% 。
第十一步:使用Group Policy Management Console
关键点:现在比之前更容易实用群组策略(Group Policy)来平均地设置安全策略——应该利用这一点。
第十二步:使用微软基准安全分析器(Microsoft Baseline Security Analyzer,MBSA)
关键点:这是一种很便利的工具可以用于扫描Windows更新中的电脑。他由微软不断的更新,并且可以支持一些产品。
第十三步:自己要熟悉IPsec
关键点:IP是公开的没有加密。应该使用IPsec来保护在服务器、客户通道和任何点对点交换(两边都知道如何读取IPsec)之间的传输,
第十四步:使用IIS(Internet Information Services)6.0
关键点:因为有很多最新的安全进步,IIS最终已经可以用于黄金时段了。
第十五步:安装Windows Server 2003 SP 1
关键点:SP 1是在2005年中期的时候发布的,改善之处包括安全配置向导和远程客户端隔离