4. 建立对物理计算机和逻辑组件的合适访问控制

　　从你按下电源开关到操作系统启动以及所有服务激活，这个时间段仍然存在邪恶行为活动的空间。不要说操作系统，就是经过良好强化、启动时需要密码、基本输入输出系统（BIOS）/固件受到保护的计算机，也会受到威胁。此外，在基本输入输出系统（BIOS）层面，应当建立设备引导指令，以防未授权的引导系统受到可选媒介的威胁。

　　电脑启动以后，立即按下F2键，进入BIOS设置，就可以建立访问控制。Alt-P将你移动到BIOS的设置页面。在“启动顺序（Boot Order）”页面下，将第一个选项设置为Internal HDD。在系统安全页面中，有“原始密码”、“管理密码”和“硬盘密码”三个选项。

　　同样地，也应该中止外部设备的自动运行功能，包括CD-ROM、DVD和USB 驱动。在HKEY_LOCAL_MACHINESYSTEMCurrent ControlSetServicesCdrom（或者其它设备名称）下的注册表中， 将自动运行值设置为0。自动运行可以在便携式设备上自动启动恶意的应用程序。很容易便可以安装特洛伊木马、后门程序、按键记录器、监听设备等。（见下图4）

　　防御的下一步是关于用户如何登录到系统中的。尽管认证有许多相关技术，比如生物认证、令牌、智能卡和单用密码，这些选项都可以保护Windows Server 2003的安全，大多数管理员同时使用用户名和密码，从本地或者远程登录到服务器上。通常都是默认的密码，这样就会带来麻烦（而且，请不要将默认选项中的old替换为@55w0rd！）。
 
　　虽然这应该是不言而喻的，但是如果你使用的是密码，那么就应该使用一个功能强大的策略：最少8个字母，包括大写字母、数字、以及非文字字符的组合，每隔一定时间进行更改，在特定的时间段内不要使用相同的密码。

　　一个强大的密码策略，加上多因素认证，这仅仅是开始。幸亏NTFS提供了 ACLs，可以给每个用户分配不同等级的多方面使用服务器的权力。文件访问控制和打印共享许可的合理设置应该是基于组群配置的，而不是基于“每个人”。这可以在服务器上操作，或者通过活动目录实现。

　　同样重要的是确保仅经过合理认证的用户才允许访问并编辑注册表。底线是要限制用户仅可以访问要求的服务和应用程序。