網管員必學十大安全技巧

　　歡迎大家來到，本文教你，歡迎大家閱讀。

　　結合工作經驗，在這裡筆者給企業網管員提供一些保障企業網路安全的建議，幫助他們用以抵禦網路入侵、惡意軟體和垃圾郵件。

　　定義使用者完成相關任務的恰當許可權

　　擁有管理員許可權的使用者也就擁有執行破壞系統的活動能力，例如：

　　偶然對系統做出改變，結果降低了網路安全的總體水平。

　　受騙上當運行了惡意軟體，後者會利用使用者的管理許可權達其不可告人的目的。

　　使得登入停息洩漏，造成第三方可以登入並執行破壞活動。

　　為了增強安全性，一定要保證你的使用者擁有其需要完成任務的恰當許可權，並將擁有管理員使用者名稱和口令的使用者數量限制到最少的程度。

　　僅從可信任的站點下載檔案

　　許多檔案可從網際網路上的多個位置下載，不過並非所有的位置都是等同的。有一些站點要比其它的站點更加安全。你需要保證你的使用者只能從可信的站點下載，這些站點通常還是其它方面主要的源站點，而不僅僅是檔案共享的普通站點。如筆者喜歡的天空軟體站等。還要考慮哪些人需要從web站點下載檔案和應用程式：要考慮限制這種許可，只能將許可給那些要求下載檔案的可信任使用者，並要保障這些經過選擇的使用者受到相關的培訓，使其知道如何安全地下載檔案。

　　履行網路共享的稽核

　　大量的惡意程式碼可以通過網路傳播。這通常是由於網路中有很少的或根本就缺乏網路共享的安全措施。你需要清除不必要的共享並保障其它共享的安全，要阻止網路共享被惡意程式碼利用作為其傳播的工具。

　　控制網路連線

　　在計算機連線到一個網路時,它們在特定的會話期間要採用此網路的安全設定。如果這個網路是外部的或不受到管理員控制的網路,其安全設定有可能是不充分的並且會將計算機置於風險之中。您需要限制使用者連線到未認證的域或者網路，在多數情況下，多數使用者只需要連線到公司的主要網路。

　　改變網路的預設IP地址範圍

　　計算機網路經常使用標準的IP範圍，例如10.1.x.x 或者 192.168.x.x。這種標準化意味著這樣一種事實：那些配置來霧裡查詢這個範圍的計算機可能意外地連線到不受你控制的網路上。通過改變預設的IP地址範圍，計算機就不太可能找到一個類似的範圍。你還可以增加防火牆規則，如新增一種防範措施，只允許經過授權的使用者可以連線。

　　經常稽核網路的開放埠並阻止未用的埠

　　埠就像一座房子中的視窗。如果你長期開放著一些埠卻不對其進行稽核，也就增加了讓黑客或未授權的使用者進入系統的權利。如果埠開放著，它們就可被特洛伊木馬和蠕蟲利用來與未授權的第三方多是惡意的通訊。因此，你一定要保障所有的埠都定期稽核，還要保證所有未用的埠都要加以阻止。

　　定期稽核網路的進入點

　　你的網路可能在不斷地在改變大小和增加進入點，因此定期地檢查進入組織內網路的所有途徑。一定要當心所有的進入點。你應當考慮如何最充分地保障所有途徑的安全，阻止非法的檔案和應用程式進入，阻止未檢測的或敏感的資訊洩漏出去。

　　考慮將企業關鍵的業務系統放置到不同的網路上

　　在企業的關鍵系統受到影響時，它們可以極大地延誤業務程序。為了保護業務的程序，可以考慮將其放置到與日常活動所用的網路不同的網路上。

　　在部署之前在一個虛擬的網路上測試新的軟體

　　雖然多數軟體的開發人員儘量多地測試其軟體，不過其軟體不太可能擁有你的網路的根本特性和配置。為了保證一次新的安裝或更新不會引起任何問題，你最好在一個虛擬網路系統進行測試，並在部署到真實的網路之前檢查其效率。

　　禁用不用的USB埠

　　許多裝置在連線到一個USB埠時，會被自動地檢測並裝載為一個驅動器。USB埠還可以允許裝置自動執行連線到其上的所有軟體。多數使用者並不清楚即使最安全的和多數受信任的裝置都有可能將惡意軟體引入到網路中。為防止危險的事件發生，禁用所有不用的埠是比較安全的措施。