コンピューターを保護するための14の最良の方法

高価なIDS、ホストベースのIDS、統合脅威管理アプライアンスは忘れてください。これがあなたのお金のために本当に最高のセキュリティバングを得る方法です:

1.許可されていないソフトウェアまたはコンテンツのインストールまたは実行を防止します。コンピューターで実行されているものとその理由を学びます。システムの内容がわからない場合、システムを適切に保護することはできません。

2.管理者以外のユーザーを管理者またはrootとしてログインさせないでください。

3.電子メールを保護します。着信HTMLコンテンツをすべてプレーンテキストに変換し、許可する1つか2つを除いて、デフォルトですべてのファイル拡張子をブロックします。

4.パスワードを保護します。通常のユーザーの場合は10文字以上、管理者アカウントの場合は15文字以上の長いパスワードが必要です。1分間のロックアウトでも、アカウントのロックアウトを実装します。Windowsでは、LMパスワードハッシュを無効にします。Unix / Linuxでは、新しいcrypt(3)ハッシュ、MD5スタイルのハッシュ、またはOSがサポートしている場合はbcryptハッシュを使用します。

5.可能な限り、デフォルトで拒否と最小特権を実践します。最小特権のセキュリティポリシーを作成するときは、役割ベースのセキュリティを使用してください。1つの「ITセキュリティグループ」の代わりに、ITロールごとにグループを作成する必要があります。

6.セキュリティドメインを定義して適用します。誰が何にアクセスする必要がありますか?どのような種類のトラフィックが正当ですか?これらの質問に答えてから、境界防御を設計してください。ベースラインを取り、異常なトラフィックに注意してください。

7.特にポータブルコンピューターやメディアでは、可能な限りすべての機密データを暗号化します。これを行わない理由はありません。失われたデータから得られる悪いPR(AT&T、米国退役軍人省、バンクオブアメリカを参照)は十分に安心できるはずです。

8.OSおよびすべてのアプリケーションのパッチ管理を更新します。最近、Macromedia Flash、Real Player、Adobe Acrobatにパッチを適用しましたか?

9.ゲートウェイおよび/またはホストレベルで、ウイルス対策、スパム対策、およびスパイウェア対策ツールを実装します。

10.隠すことでセキュリティを受け入れる。adminアカウントとrootアカウントの名前を別の名前に変更します。ExchangeAdminというアカウントを持っていません。ファイルサーバーにFS1、Exchange1、GatewaySrv1などの名前を付けないでください。可能な場合は、デフォルト以外のポートにサービスを配置します。内部使用およびビジネスパートナー向けに、SSHを30456に、RDPを30389に、HTTPを30080に移動できます。

11.ネットワーク上の予期しないリスニングTCPまたはUDPポートをスキャンして調査します。

12.誰もがインターネット上で閲覧している場所とその期間を追跡します。誰でもアクセスできるリアルタイムのオンラインレポートに調査結果を投稿します。この推奨事項は、ユーザーのインターネットサーフィンの習慣を自己管理する傾向があります。(生産性の急上昇にもつながると思います。)

13.セキュリティを自動化します。自動化しないと、一貫して自動化できません。

14.セキュリティリスクについてスタッフと従業員を教育し、適切なポリシーと手順を作成します。変更と構成管理を実践します。違反した場合は罰則を適用します。

物理的なセキュリティなど、他の多くのことを省略したことは知っていますが、これは良いスタートよりも良いスタートです。推奨事項を1つ選び、最初から最後まで実装することに重点を置きます。次に、次から始めます。実装できないものはスキップして、できることに集中してください。そして、絶対にその高価なIDSを持っている必要がある場合は、それを入手してください。ただし、これらの基本をカバーし終えるまではそうしないでください。