服務(wù)器安全維護小常識解析

　　技巧一:從基本做起

　　我知道這聽(tīng)起來(lái)象是廢話(huà)，但是當我們談?wù)摼W(wǎng)絡(luò )服務(wù)器的安全的時(shí)候，我所能給你的最好的建議就是不要做門(mén)外漢。當黑客開(kāi)始對你的網(wǎng)絡(luò )發(fā)起攻擊的時(shí) 候，他們首先會(huì )檢查是否存在一般的安全漏洞，然后才會(huì )考慮難度更加高一點(diǎn)的突破安全系統的手段。因此，比方說(shuō)，當你服務(wù)器上的數據都存在于一個(gè)FAT的磁 盤(pán)分區的時(shí)候，即使安裝上世界上所有的安全軟件也不會(huì )對你有多大幫助的。

　　因為這個(gè)原因，你需要從基本做起。你需要將服務(wù)器上所有包含了敏感數據的磁盤(pán)分區都轉換成NTFS格式的。同樣，你還需要將所有的反病毒軟件及 時(shí)更新。我建議你同時(shí)在服務(wù)器和桌面終端上運行反病毒軟件。這些軟件還應該配置成每天自動(dòng)下載最新的病毒數據庫文件。你還更應該知道，可以為 Exchange Server安裝反病毒軟件。這個(gè)軟件掃描所有流入的電子郵件，尋找被感染了的附件，當它發(fā)現一個(gè)病毒時(shí)，會(huì )自動(dòng)將這個(gè)被感染的郵件在到達用戶(hù)以前隔離起 來(lái)。

　　另一個(gè)保護網(wǎng)絡(luò )的好方法是以用戶(hù)待在公司里的時(shí)間為基礎限定他們訪(fǎng)問(wèn)網(wǎng)絡(luò )的時(shí)間。一個(gè)通常在白天工作的臨時(shí)員工不應該被允許在臨晨三點(diǎn)的時(shí)候訪(fǎng)問(wèn)網(wǎng)絡(luò )，除非那個(gè)員工的主管告訴你那是出于一個(gè)特殊項目的需要。

　　最后，記住用戶(hù)在訪(fǎng)問(wèn)整個(gè)網(wǎng)絡(luò )上的任何東西的時(shí)候都需要密碼。必須強迫大家使用高強度的由大小寫(xiě)字母，數字和特殊字符組成的密碼。在 Windows NT Server資源包里有一個(gè)很好的用于這個(gè)任務(wù)的工具。你還應該經(jīng)常將一些過(guò)期密碼作廢并更新還要要求用戶(hù)的密碼不得少于八個(gè)字符。如果你已經(jīng)做了這所有 的工作但還是擔心密碼的安全，你可以試一試從互聯(lián)網(wǎng)下載一些黑客工具然后自己找出這些密碼到底有多安全。

　　技巧二:保護你的備份

　　每一個(gè)好的網(wǎng)絡(luò )管理員都知道每天都備份網(wǎng)絡(luò )服務(wù)器并將磁帶記錄遠離現場(chǎng)進(jìn)行保護以防意外災害。但是，安全的問(wèn)題遠不止是備份那么簡(jiǎn)單。大多數人都沒(méi)有意識到，你的備份實(shí)際上就是一個(gè)巨大的安全漏洞。 電腦入門(mén)到精通網(wǎng)

　　要理解這是為什么，試想一下，大多數的備份工作都是在大約晚上10:00或是11:00的時(shí)候開(kāi)始的。整個(gè)備份的過(guò)程通常是在半夜的時(shí)候結束， 這取決于你有多少數據要備份�，F在，想象一下，時(shí)間已經(jīng)到了早晨四點(diǎn)，你的備份工作已經(jīng)結束。但是，沒(méi)有什么東西能夠阻止一些人偷走你磁帶記錄上的數據并 將它們在自己家中或是你競爭對手辦公室里的一臺服務(wù)器上恢復它們。

　　不過(guò)，你可以阻止這種事情的發(fā)生。首先，可以通過(guò)密碼保護你的磁帶并且如果你的備份程序支持加密功能，你還可以加密這些數據。其次，你可以將備 份程序完成工作的時(shí)間定在你早晨上班的時(shí)間。這樣的話(huà)，即使有人前一天半夜想要溜進(jìn)來(lái)偷走磁帶的話(huà)，他們也會(huì )因為磁帶正在使用而無(wú)法得逞。如果竊賊還是把 磁帶彈出來(lái)帶走的話(huà)，磁帶上的數據也就毫無(wú)價(jià)值了。

　　技巧三:對RAS使用回叫功能

　　Windows NT最酷的功能之一就是對服務(wù)器進(jìn)行遠程訪(fǎng)問(wèn)(RAS)的支持。不幸的是，一個(gè)RAS服務(wù)器對一個(gè)企圖進(jìn)入你的系統的黑客來(lái)說(shuō)是一扇敞開(kāi)的大門(mén)。黑客們所 需要的一切只是一個(gè)電話(huà)號碼，有時(shí)還需要一點(diǎn)耐心，然后就能通過(guò)RAS進(jìn)入一臺主機了。但你可以采取一些方法來(lái)保證RAS服務(wù)器的安全。

　　你所要使用的技術(shù)將在很大程度上取決于你的遠程用戶(hù)如何使用RAS。如果遠程用戶(hù)經(jīng)常是從家里或是類(lèi)似的不太變動(dòng)的地方呼叫主機，我建議你使用 回叫功能，它允許遠程用戶(hù)登錄以后切斷連接。然后RAS服務(wù)器撥通一個(gè)預先定義的電話(huà)號碼再次接通用戶(hù)。因為這個(gè)號碼是預先設定了的，黑客也就沒(méi)有機會(huì )設 定服務(wù)器回叫的號碼了。

　　另一個(gè)可選的辦法是限定所有的遠程用戶(hù)都訪(fǎng)問(wèn)單一的服務(wù)器。你可以將用戶(hù)通常訪(fǎng)問(wèn)的數據放置在RAS服務(wù)器的一個(gè)特殊的共享點(diǎn)上。你于是可以將 遠程用戶(hù)的訪(fǎng)問(wèn)限制在一臺服務(wù)器上，而不是整個(gè)網(wǎng)絡(luò )。這樣，即使黑客通過(guò)破壞手段來(lái)進(jìn)入主機，那么他們也會(huì )被隔離在單一的一臺機器上，在這里，他們造成的 破壞被減少到了最小。

　　最后還有一個(gè)技巧就是在你的RAS服務(wù)器上使用出人意料的協(xié)議。我知道的每一個(gè)人都使用 TCP/IP協(xié)議作為RAS協(xié)議�？紤]到TCP/IP協(xié)議本身的性質(zhì)和典型的用途，這看起來(lái)象是一個(gè)合理的選擇。但是，RAS還支持IPX/SPX和 NetBEUI協(xié)議。如果你使用NetBEUI作為你RAS的協(xié)議，你確實(shí)可以迷惑一些不加提防的黑客。

　　技巧四:考慮工作站的安全問(wèn)題

　　在一個(gè)關(guān)于服務(wù)器安全的文章里談?wù)摴ぷ髡镜陌踩�看起�?lái)很奇怪。但是，工作站正是通向服務(wù)器的一個(gè)端口。加強工作站的安全能夠提高整個(gè)網(wǎng)絡(luò )的安全 性。對于初學(xué)者，我建議在所有的工作站上使用Windows 2000。Windows 2000是一個(gè)非常安全的操作系統。如果你并不想這樣做，那么至少使用Windows NT。你可以鎖定工作站，使得一些沒(méi)有安全訪(fǎng)問(wèn)權的人想要獲得網(wǎng)絡(luò )配置信息變得困難或是不可能。

　　另一個(gè)技術(shù)是控制哪個(gè)人能夠訪(fǎng)問(wèn)哪臺工作站。例如，有一個(gè)員工叫Bob，并且你已經(jīng)知道他是一個(gè)麻煩制造者。顯然，你不想Bob能夠在午餐的時(shí) 候打開(kāi)他朋友的電腦或是差上他自己的`筆記本然后黑掉整個(gè)系統。因此，你應該使用工作組用戶(hù)管理程序還修改Bob的帳號以便他只能從他自己的電腦(并且是在 你指定的時(shí)間內)登錄。Bob遠不太可能從他自己的電腦上攻擊網(wǎng)絡(luò )，因為他知道別人可以將他追查出來(lái)。

　　技巧五：給工作站和服務(wù)器合理分工

　　另一個(gè)技術(shù)是將工作站的功能限定為一個(gè)啞終端，或者，我沒(méi)有更好的詞語(yǔ)來(lái)形容，一個(gè)聰明的啞終端�？偟膩�(lái)說(shuō)，它的意思是沒(méi)有任何數據和應用程序 駐留在獨立的工作站上。當你將計算機作為啞終端使用的時(shí)候，服務(wù)器被配置成運行Windows NT 終端服務(wù)程序，而且所有的應用程序物理上都運行在服務(wù)器上。所有送到工作站的東西都不過(guò)是更新的屏幕顯示而已。這意味著(zhù)工作站上只有一個(gè)最小化的 Windows版本和一份微軟終端服務(wù)程序的客戶(hù)端。使用這種方法也許是最安全的網(wǎng)絡(luò )設計方案。 使用一個(gè)聰明的啞終端就是說(shuō)程序和數據駐留在服務(wù)器上但卻在工作站上運行。所有安裝在工作站上的是一份Windows拷貝以及一些指向駐留在服 務(wù)器上的應用程序的圖標。當你點(diǎn)擊一個(gè)圖標運行程序時(shí)，這個(gè)程序將使用本地的資源來(lái)運行，而不是消耗服務(wù)器的資源。這比你運行一個(gè)完全的啞終端程序對服務(wù) 器造成的壓力要小得多。

　　微軟雇傭了一個(gè)程序員團隊來(lái)檢查安全漏洞并修補它們。有時(shí)，這些補丁被捆綁進(jìn)一個(gè)大的軟件包并作為服務(wù)包(service pack)發(fā)布。通常有兩種不同的補丁程序版本:一個(gè)任何人都可以使用的40位的版本和一個(gè)只能在美國和加拿大使用的128位的版本。128位的版本使用 128位的加密算法，比40位的版本要安全得多。如果你現在還在使用40位的服務(wù)包并且生活在美國或是加拿大，我強烈建議你下載128位的版本。

　　有時(shí)一個(gè)服務(wù)包的發(fā)布也許要等上好幾個(gè)月很明顯的，當一個(gè)大的安全漏洞被發(fā)現的時(shí)候，只要有可能修補它，你就不想再等下去。好在你并不需要等 待。微軟定期將重要的補丁程序發(fā)布在它的FTP站點(diǎn)上。這些熱點(diǎn)補丁程序是自上一次服務(wù)包發(fā)布以后被公布的安全修補程序。我建議你經(jīng)常查看熱點(diǎn)補丁。記住 你一定要按邏輯順序使用這些補丁。如果你以錯誤的順序使用它們，結果可能導致一些文件的版本錯誤，Windows也可能停止工作。

　　技巧六:使用一個(gè)強有力的安全政策

　　要提高安全性，另一個(gè)你可以做的工作就是制定一個(gè)好的，強有力的安全策略。確保每一個(gè)人都知道它并知道它是強制執行的。這樣的一個(gè)政策需要包括對一個(gè)在公司機器上下載未授權的軟件的員工的嚴厲懲罰。

　　如果你使用Windows 2000 Server，你就有可能指定用戶(hù)特殊的使用權限來(lái)使用你的服務(wù)器而不需要交出管理員的控制權。一個(gè)好的用法就是授權人力資源部來(lái)刪除和禁用一個(gè)帳號。這 樣，人力資源部就可以在一個(gè)行將走人的員工知道自己將被解雇以前就刪除或是禁用他的用戶(hù)帳號。這樣，不滿(mǎn)的員工就不會(huì )有機會(huì )來(lái)攪亂公司的系統了。同時(shí)，使 用特殊用戶(hù)權限，你就可以授予這種刪除和禁用帳號權限并限制創(chuàng )建用戶(hù)或是更改許可等這些活動(dòng)的權限了。

　　試一試免費的 TechProGuild吧! 如果你覺(jué)得這篇文章有用，可以看看TechRepublic的TechProGuild注冊資源，它提供有深度的技術(shù)文章，覆蓋了一些IT的主題，包括 Windows服務(wù)器和客戶(hù)端平臺，Linux，疑難解答問(wèn)題，和數字網(wǎng)絡(luò )項目的難點(diǎn)，以及NetWare。擁有一個(gè)TechProGuild的帳戶(hù)，你 還可以在線(xiàn)閱讀流行的IT工業(yè)書(shū)籍的全文。點(diǎn)擊這里注冊享受30天免費的TechProGuild試用期。

　　技巧七：檢查防火墻設置

　　我們的最后一個(gè)技巧包括仔細檢查你防火墻的設置。你的防火墻是網(wǎng)絡(luò )的一個(gè)重要部分因為它將你公司的計算機同互聯(lián)網(wǎng)上那些可能對它們造成損壞的蠱惑仔們隔離開(kāi)來(lái)。

　　你首先要做的事情是確保防火墻不會(huì )向外界開(kāi)放超過(guò)必要的任何IP地址。你總是至少要讓一個(gè)IP地址對外界可見(jiàn)。這個(gè)IP地址被使用來(lái)進(jìn)行所有的 互聯(lián)網(wǎng)通訊。如果你還有DNS注冊的Web服務(wù)器或是電子郵件服務(wù)器，它們的IP地址也許也要通過(guò)防火墻對外界可見(jiàn)。但是，工作站和其他服務(wù)器的IP地址 必須被隱藏起來(lái)。

　　你還可以查看端口列表驗證你已經(jīng)關(guān)閉了所有你并不常用的端口地址。例如，TCP/IP 端口80用于HTTP通訊，因此你可能并不想堵掉這個(gè)端口。但是，你也許永遠都不會(huì )用端口81因此它應該被關(guān)掉。你可以在Internet上找到每個(gè)端口使用用途的列表。

【服務(wù)器安全維護小常識解析】相關(guān)文章：

Web服務(wù)器常規維護11-12

服務(wù)器維護員簡(jiǎn)歷范文08-23

思科DHCP服務(wù)器配置實(shí)例解析11-15

安全相關(guān)小常識06-18

j2ee應用服務(wù)器和web服務(wù)器解析08-13

如何保障Web服務(wù)器安全11-30

如何保證Web服務(wù)器安全11-11

安全駕駛小常識詳解07-09

兒童乘車(chē)安全小常識07-09