注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

gnaw0725博客

活动目录、网络安全

 
 
 
 
 

日志

 
 

从DC安全到IT安全架构   

2007-01-17 16:07:18|  分类: 默认分类 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

问:平时查看服务器用什么账户好? 

在微软网站上看到一文章,其中有一段意思是.为了服务器安全,平时查看服务器时,不必用管理员登入服务器,在对服务器做更改时.再用管理员登入.但默入情况下,win2003服务器 是不充许user用户登入的...这样不是自相茅盾吗?? 应该怎样做才能让user用户登入服务器 。

回答:

这里的说法可能有些断章取义了 :) 确实,一般来说,登陆到服务器上最好是使用普通账户操作,以防止可能的人为操作故障。但在此之前,有一个更高级的原则,所有的登陆动作及登陆后的操作都需要得到安全性审核。这里面包含了一个意思,尽可能的减少服务器的本机登陆(不要与windows的本地登陆混淆,ad正常运作的时候,dc是没有本地登陆的)。
还有一个原则,不得在服务器上执行任何未经许可的操作。这里的许可,是指管理员根据ISO17799安全标准的要求(ITIL是IT业界根据ISO安全标准作出的诠释,而MOF以及MSF是微软根据ISO安全标准,对自己产品作出的诠释),结合当前的生产环境,制定出的适合于自身企业发展的安全操作规程。
另一方面,从安全的终身防御来讲,安全性更多的层面,并不是在技术方面,而是在人的管理方面 :)这些纯技术之外的东西,如果您有兴趣,可以读一读我上面提到的那些资
料,另外,也欢迎您参加 webcast中关于安全的课程 http://gnaw0725.blogdriver.com/gnaw0725/1250512.html :)

所以无论从服务器的大规模管理还是安全性最佳实践来看,最好的管理方法,就是尽可能少的登陆到服务器上进行维护 :)
具体到dc的安全性管理,最好的方法是使用MOM2005(这可不是妈妈的名字:))乃至以后的system center中的相关组件进行远程管理。关于dc或者ad乃至整个IT基础架构的安全
性最佳实践,请参考
http://www.microsoft.com/china/security/guidance/prodtech/WindowsServer2003.mspx

  评论这张
 
阅读(117)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017