在这个由两部分组成的系列中，Brien Posey提供了在微软公司支持过期后保护Windows NT安全的技巧。第一部分包括了过期后保护Windows NT安全的六项措施。下面的第二部分讨论了更多有关控制对你的NT服务器的进行访问和通信的更高级技术。

　　尽管微软已经不再提供对Windows NT的支持，但许多公司仍然运行着这个操作系统，这不是由于他们所拥有的软件在其他系统下不能正常工作，就是他们没有足够的预算来升级系统或仅仅是因为Windows NT已经能很好好地完成这项工作。不幸的是Windows NT决不安全。近年来已经发现了数不清的安全漏洞，微软现在已经不再打算修补它。因此，如果你仍然使用Windows NT,你必须考虑一些更高级的技术来保证它尽可能的安全。

　　1． 避免浏览因特网

　　保护你的NT服务器的最好方法就是除非你绝对需要，否则就不要招惹因特网。我已经见到了无数这样的例子，一个试图修复服务器的人从服务器的控制台启动Internet Explorer来寻找解决方案，却忘了因特网可能是最危险的环境之一。甚至一个有着现代操作系统的相对安全的主机也会偶尔在网上冲浪时被病毒，特洛伊木马和间谍程序所感染。对于恶意软件，Windows NT比Windows的任何当前版本更脆弱。因此，你应该避免在NT服务器上浏览因特网。

　　2．安装反病毒软件和反间谍程序保护

　　我强烈推荐你在服务器上安装好的反病毒软件和反间谍防护软件。保持这些软件最新并定期的扫描机器。尽管如果你远离因特网，服务器不会感染任何东西是千真万确的，可你绝不知道服务器上已经有些什么东西，或如果另一个管理员恰巧在线，哪些东西可能攻击他。

　　3． 建立一个专用的网段

　　另一个保护你的Windows NT服务器的有效的方法是把服务器放在一个单独的网段，完全和网络的其他部分隔离。然后你可以使用防火墙来保护这个网段。但是不要仅仅阻塞晦涩端口的流量。这是你的服务器，你知道谁应该或不应该访问它。设置IP地址过滤，从而使得所有没有合法IP地址的人都不能访问服务器。

　　4． 防止外出通信量

　　当你实现防火墙时，一定要密切关注流出通信量的安全。很多人花了很多时间防护服务器的流入通信量，却没有注意从服务器流出的信息。记住，大多数特洛伊木马会向在网络中某一地方的服务器发送信息。我建议阻塞所有的TCP和UDP端口，当然服务器通信必须的端口除外。这样的话，如果服务器确实被特洛伊木马所感染，你也可以防止木马“往家里打电话”。

　　5． 使用Virtual Server 2005

　　最后，如果你的机构拥有Windows Server 2003,你可以考虑利用Virtual Server 2005,它可以通过允许在单个物理机器上运行多个虚拟机来巩固你的硬件。在这种特殊的情况下，Windows NT可以在Windows Server 2003中的一个窗口中运行。这样做的好处是许多针对Windwos NT的已知的exploits可以直接访问服务器的硬件。但是如果Windows NT运行在一个虚拟机上，那么Windows Server 2003 控制对物理硬件的访问，而不是NT本身（甚至NT可以拥有虚拟硬盘）。在虚拟机中运行NT增加的一层复杂度，结合Windows Server 2003内置的安全性，使得攻击更困难了一点儿。记住，在虚拟机中运行Windows NT确实消除了一些已知的弱点-但它仍然是不安全的。

　　在我所展示的所有的安全技术中，在一个隔离的，受保护的网段运行Windows NT是迄今为止最有效的技术。作为一个通用的法则，你应该使用尽可能多的这些技术。