你一定了解自己需要测试Windows环境的安全性，但你知道应该如何着手吗？

　　有些人声称，安全审计是测试Windows环境安全性的唯一方式。另外一些人则选择了漏洞扫描。还有部分人说，渗透测试才是最好的方法。更有甚者交替使用三种方法，这让人更加摸不着头脑。

　　尽管安全测试方法没有对错之分，但你选择的安全测试类型将在很大程度上决定测试的结果，并最终影响到Windows服务器的安全性。而在选择安全测试方式时，重要的是要纵观全局，同时问自己以及安全部门的同事这样一个问题，“我们真正想要达到的目的是什么？”

　　如果你只是一名安全审计员，一份能够提供短期利益的系统安全性审查可能就足够了。但另一方面，如果你想确保长期安全，还需要设法将安全测试整合到整体业务风险管理过程中去。

　　换句话说，你是想简单地坚持基本的规则遵从呢，还是想真正深入地研究、发现你的系统是如何应对威胁的？只有你自己能回答这些问题。

不同的测试方法产生不同的测试结果

　　总的来说，安全审计是站在技术和操作的高度对系统的安全性进行评估；漏洞扫描在技术方面更加深入；而渗透测试，则高度集中于某一安全问题，通常不会提供关于系统安全性的全部信息。

　　三种测试类型的区别如图1所示。

图1：不同类型的安全测试比较

　　综合上述三种方法的优点并将其运用于安全测试中，虽然这样做没什么错，但道德黑客测试可以提供最有价值的测试信息，从各方面来看它也是最佳的安全测试方法。

　　道德黑客测试是系统安全测试的一种方式，即以恶意的心态，利用优秀的黑客工具对系统进行攻击、查找系统漏洞。这样，在真正恶意的黑客攻击系统之前你就能弥补漏洞。通过结合漏洞扫描与渗透测试，道德黑客测试不仅能让你发现重要的系统漏洞，还能让你了解这些漏洞对系统所造成的影响。

　　至于Windows安全，道德黑客测试可以提取出可能曾被忽略的技术和操作问题，如图2所示。

图2：使用道德黑客测试找出Windows服务器中最薄弱的环节

　　坚持不懈地进行定期的道德黑客测试，你肯定能找到影响Windows服务器安全性的关键问题。