(五)开启系统事件日志

　　虽然开启日志服务虽然说对阻止黑客的入侵并没有直接的作用，但是通过他记录黑客的行踪，我们可以分析入侵者在我们的系统上到底做过什么手脚，给我们的系统到底造成了哪些破坏及隐患，黑客到底在我们的系统上留了什么样的后门，我们的服务器到底还存在哪些安全漏洞等等。如果你是高手的话，你还可以设置密罐，等待黑客来入侵，在他入侵的时候把他逮个正着。

　　(六)使用RAS的回拨功能

　　Windows NT最酷的功能之一就是支持服务器远端存取(RAS)，不幸的是，RAS服务器对黑客来说实在太方便了，他们只需要一个电话号码、一点耐心，然后就能通过RAS进入主机。不过你可以采取一些方法来保护RAS服务器的安全。

　　你所采用的技术主要端赖于远端存取者的工作方式。如果远端用户经常是从家里或是固定的地方上网，建议你使用回拨功能，它允许远端用户登录后即挂断，然后 RAS服务器会拨出预设的电话号码接通用户，因为此一电话号码已经预先在程序中了，黑客也就没有机会指定服务器回拨的号码了。

　　另一个办法是限定远端用户只能存取单一服务器。你可以将用户经常使用到的数据复制到RAS服务器的一个特殊共用点上，再将远端用户的登录限制在一台服务器上，而非整个网络。如此一来，即使黑客入侵主机，他们也只能在单一机器上作怪，间接达到减少破坏的程度。

　　最后还有一个技巧就是在RAS服务器上使用“另类”网络协议。很都以TCP/IP协议当作RAS协议。利用TCP/IP协议本身的性质与接受程度，如此选 择相当合理，但是RAS还支持IPX/SPX和NetBEUI协议，如果你使用NetBEUI当作RAS协议，黑客若一时不察铁定会被搞得晕头转向。

　　(七)同样重视工作站的安全

　　在服务器安全的文章里提及工作站安全感觉似乎不太搭边，但是，工作站正是进入服务器的大门，加强工作站的安全能够提高整体网络的安全性。对于初学者，建议 在所有工作站上使用Windows 2000。Windows 2000是一个非常安全的操作系统，如果你没有Windows 2000，那至少使用Windows NT。如此你便能将工作站锁定，若没有权限，一般人将很难取得网络配置信息。

　　另一个技巧是限制使用者只能从特定工作站登录。还有一招是将工作站当作简易型的终端机(dumb terminal)或者说，智慧型的简易终端机。换言之，工作站上不会存有任何数据或软件，当你将电脑当作dumb terminal使用时，服务器必须执行Windows NT 终端服务程序，而且所有应用程序都只在服务器上运作，工作站只能被动接收并显示数据而已。这意味着工作站上只有安装最少的Windows版本，和一份微软 Terminal Server Client。这种方法应该是最安全的网络设计方案。

　　(八)设置严格的安全访问控制策略

　　另一个提高安全性的方式就是制定一强有力的安全策略，确保每一个人都了解，并强制执行。若你使用Windows 2000 Server，你可以将部分权限授权给特定代理人，而无须将全部的网管权利交出。即使你核定代理人某些权限，你依然可县制其权限大小，例如无法开设新的使 用者帐号，或改变权限等。

　　(九)部署防火墙

　　最后一个技巧是仔细检查防火墙的设置。防火墙是网络规划中很重要的一部份，因为它能使公司电脑不受外界恶意破坏。

　　首先，不要公布非必要的IP地址。你至少要有一个对外的IP地址，所有的网络通讯都必须经由此地址。如果你还有DNS注册的Web服务器或是电子邮件服务器，这些IP地址也要穿过防火墙对外公布。但是，工作站和其他服务器的IP地址则必须隐藏。

　　你还可以查看所有的通讯端口，确定不常用的已经全数关闭。例如，TCP/IP port 80是用于HTTP流量，因此不能堵掉这个端口，也许port 81应该永远都用不着吧，所以就应该关掉。你可以在网络上查到每个端口的详细用途。