网络安全话题从网络出现就没有终止过，只要有网络存在，这个话题将会延续下去，下面给大家重点说10个系统安全应注意的事项：

　　1：尽可能减少受攻击面

　　进行系统加固应该采取的首要步骤之一是降低其受攻击面：机器上运行的代码越多，代码被利用的机会更越大。因此你得卸载一切不必要的操作系统组件及应用。

　　2：只用有名的应用软件

　　在目前这种经济景气条件下，难免会想用免费软件、高折扣软件或开源应用。尽管我会是第一个承认在自己组织内部使用了大量此类应用的人，但是在采 用此类软件之前进行一点调查研究是至关重要的。某些免费或低价的应用在设计上都会向用户推送广告：其他一些则会处心积虑盗窃用户的个人信息或跟踪其互联网浏览习惯。

　　3：尽量使用普通用户账号

　　作为一个最佳实践，管理员应该尽量使用普通用户账号。一旦发生恶意软件感染，该恶意软件通常会拥有与登录者相同的权限。因此，如果登录者拥有管理员权限的话，恶意软件所造成的损害会大得多。

　　4：建立多个管理员账号

　　在上一节，我讨论了尽量使用普通账号的重要性，并指出只有在需要执行需要管理员权限的操作时方使用管理员账号。然而，这并不意味着你得用域管理员账号。

　　如果你所在组织有多位管理员，就应该为他们每个人创建独立的管理员账号。如此，一旦执行了一项管理员操作之后你还可以分辨出是谁干的。比如说， 如果你有一位叫JohnDoe的管理员，你得该用户创建两个账号。一个供其日常使用，另一个管理员账号只在必要的时候才使用。账号可分别命名为 JohnDoe 和Admin-JohnDoe.

　　5：不要过度使用审计日志

　　创建安全策略，跟踪每一个可能事件，尽管很容易就会这么做，但是有句话叫做过犹不及。过度使用审计时，审计日志会变得非常庞大，从中几乎不可能找出所需的日志记录。不要对任何事件都进行审计，相反，把焦点放在影响最大的事件上会更好。

　　6：善用本地安全策略

　　使用基于ActiveDirectory的组安全策略设置替代不了本地安全策略设置的作用。记住，只有在某人使用域账号登录的时候组安全策略设置才起效。如果某人用本地账号登录进去的话组安全策略是没有作用的。本地安全策略可帮助你在使用本地账号的情况下保护机器。

　　7：审核防火墙配置

　　在网络边界以及每台机器你应当部署防火墙，但仅此仍不足够。你还得审核防火墙的排除端口清单以确保只开放必要的端口。

　　对于Windows操作系统所使用的端口已经有了许多的浓墨重彩，但是你还得留意有没有防火墙规则打开1433及1434端口。这些端口是用来监控和远程连接SQL服务器的，已成为黑客的至爱。