摘自微软 TechEd 2005 Bloggers站点(1,2)
星期一,微软 CEO Steve Ballmer在名为《The New World Of Work》的keynote演讲[可以在这里收看到该演讲,来源:Kevin Bird]里谈到了微软,特别是Windows 2003,在安全方面的进步,但强调,”None of this is meant to indicate the work is done”。
很多人提到了微软安全工具部的高级项目主管Jesper M. Johansson的《Anatomy of a Network Hack: How to get your network hacked in 10 easy steps》讲座,都是感触良多。Ben Winzenz 对他的讲座做了比较详细的记录。
其中提到的网络不安全的10个危险做法
- 不打任何安全补丁.
2. 运行不经过强化过安全的应用软件
3. 在每个地方都用同一个管理员账号
4. 在火墙上打开很多端口
5. 允许不受限制的内网通讯
6. 允许所有的外流通讯
7. 不对服务器加强安全措施
8. 重用你的密码
9. 在很多地方使用高层服务账号
10. 假定一切都正常
而你应该做的是
1.确认一切都恰当地打过补丁了
2. 使用恰当强化过安全的应用软件
3. 使用最低权限
4. 在火墙里只打开必要端口
5. 限制内网通讯
6. 限制外流通讯
7. 强化服务器的安全
8. 使用不重复的密码或保全卡(Smart Card)
9. 严格管理服务账号
10. 保持一种健康的安全恐惧感
Jesper M. Johansson著有《从外围到数据,保护你的Windows网络(Protect Your Windows Network: From Perimeter to Data)》一书。
另一篇blog提到了一个很有意思的产品,虽然听上去有点。。。,等有时间了,也许可以试一下。DevInspect and SecureObjects,是个Visual Studio.Net的插件,DevInspect可以检查你的应用是否犯了已知的过百个常见安全漏洞中的某些毛病,而SecureObjects则可以改变你的编码来摒除问题,同时能强化你的应用的安全措施,产生详细的安全日志等等…..
