虽然有时候通过防火墙、入侵检测等网络设备，可以有效提高企业网络的安全。但是，平心而论，笔者非常不赞同在安全问题上，对于硬件设备太过于依赖。因为对于硬件设备一味的依赖与迷信，往往会让用户降低安全认识。其实，笔者认为，有时候好的安全认识与健全的网络安全管理，可能比所谓的网络安全设备更加的高效。正是出于这种原因，企业网络安全管理人员有必要定时的对企业网络进行安全设计，以发现可能存在的安全漏洞。

　　虽然网络安全审计在国内可能还不怎么流行，看其来有一点莫测高深的样子。其实，网络安全审计并没有我们想象中的那么困难。笔者今天就谈谈Windows网络安全审计的四部曲，跟大家分享一下基于Windows网络环境的安全设计心得。

一、关注未使用过的帐户

　　在实际工作中，可能会存在这种情况。一个新人来面试过后，企业决定录用他。在其还没有到企业报道之前，只要企业决定录用他，则企业人事部门就会把这个新员工的信息告诉给网络管理员。让我们网络安全人员给其建立帐户。可是，出于种种原因，新员工可能会改变初始的想法。如其可能认为路途远、上班不方便;又或者找到了其他更好的工作，而临时改变主意，不到企业来上班了。此时，这些帐户从建立起来就根本没用过。日积月累，这些从未使用过的帐户就会成为企业的一大安全隐患。

　　因为我们为了管理的方便，对于这些新员工的帐户往往会设置一个初始密码。然后当新员工第一次登陆企业网络的话，就强迫他们进行密码的更改。这本来是一个很好的安全策略，但是，因为这些从未使用过的帐户的存在，就出现了一个很大的安全漏洞。其他员工就有可能冒充新员工的身份，登陆到企业的服务器中进行破坏活动。可见这些从未被使用过的帐户，其有比较大的安全隐患。

　　所以，在Windows网络的安全设计中，对于从未使用过帐户的安全设计，就是其中一个重要的组成部分。笔者平时对下属分公司进行安全审计的时候，经常会发现这方面的管理漏洞。为此，笔者给他们提供了两个处理建议。

　　一是对于这些帐户给与一个有效期限。也就是说，当网络安全管理人员在建立域用户帐户的时候，其初始密码有三天的使用期限。如果这个员工在三天之内没有利用分配给他的用户名与密码登陆的话，则这个用户名与密码会自动失效。如此的话，其他员工也就不能够利用这个空子来进行身份的冒充。

　　二是要定期对这些帐户进行清理。笔者规定，每一个月要对这些未用的帐户以及离职员工的帐户进行清理。对于这些帐户要及时的进行注销或者删除处理。而不能够让这些帐户永久的存储在域控制器中，成为危害企业安全的害群之马。

二、用户权限的审计

　　笔者企业网络是一个基于Windows域的网络环境。企业的域帐户统一通过域控制器来进行管理。在域控制器中，还有一个文件服务器，方便企业各个部门之前文件的相互访问。为了保障这些文件的安全性，笔者企业还制定了一套严格的文件访问制度。谁可以访问那些网络资源，谁对哪些共享文件具有修改权限等等，都规定的一清二楚。

　　当网络安全人员在刚开始建立用户的时候，可能会严格按照这个制度来做。但是，随着企业网络用户的增多与网络环境的日趋复杂，企业是否仍然严格按照这个制度在执行呢?有没有用户存在越权的行为呢?这个就是Windows网络安全审计的重要内容。

　　其实，在网络安全管理中，往往会出现这些越权的用户。如由于销售经理结婚，公司给了其一个月的婚假。但是，其的工作仍然要有人来做。为此，公司决定来销售经理助理暂时代替销售经理的角色，来负责管理销售部门的相关业务。此时，网络安全管理人员就必须要给这个销售经理助理一些额外的权限，让其能够访问销售经理角色下所有可以访问的权限。为此，网络安全管理人员往往会把销售经理助理的用户加入到销售经理的角色中，让其继承销售经理的相关权限。当销售经理回来后，按照理论上来说，必须重新调整销售经理助理的权限，去掉其不应该有的文件访问权限。但是，往往网络管理员一疏忽，或者没有人通知网络安全管理人员销售经理已经复职。故网络安全人员在不知情的情况下，就没有对销售经理助理的权限进行重新调整。此时，销售经理助理的权限就不适合了。其过大的网络访问权限会给企业网络与信息安全留下安全隐患。

　　故网络安全管理人员要根据相关的网络资源访问权限，对相关帐户进行安全审计。看看其是否有一些越权的权限。若有的话，要及时进行调整。笔者在实际工作中，每三个月会对账户进行安全审计一次。尽量减少越权用户的存在。

三、适当关注被锁定的帐户与密码为空的帐户

　　我们网络安全管理人员为了域帐户的安全，往往会为其设置锁定策略。当用户连续输入密码三次都错误的话，则这个用户名会自动被锁住。