服務(wù)器安全維護(hù)的七大方案

服務(wù)器安全與否將決定著整個企業(yè)運(yùn)營狀況的良好，所以服務(wù)器管理員始終承受著莫大的壓力。當(dāng)我們談?wù)摼W(wǎng)絡(luò)服務(wù)器安全的時候,總要談到安全問題，很顯然,服務(wù)器安全問題是不容忽視的。

你的計(jì)算機(jī)上是否存在有至關(guān)重要的數(shù)據(jù),并且不希望它們落入惡人之手呢?當(dāng)然,它們完全有這種可能。而且,近些年來,服務(wù)器遭受的風(fēng)險也比以前更大了.越來越多的病毒,心懷不軌的黑客,以及那些商業(yè)間諜都將服務(wù)器作為了自己的目標(biāo).很顯然,服務(wù)器安全問題是不容忽視的。

不可能僅僅在一篇文章中就講述完所有的計(jì)算機(jī)安全方面的問題.畢竟,關(guān)于這個主題已經(jīng)有無數(shù)的圖書在討論了.我下面所要做的就是告訴你七個維護(hù)你服務(wù)器安全的技巧。

技巧一:從基本做起我知道這聽起來象是廢話,但是當(dāng)我們談?wù)摼W(wǎng)絡(luò)服務(wù)器安全的時候,我所能給你的最好的建議就是不要做門外漢.當(dāng)黑客開始對你的網(wǎng)絡(luò)發(fā)起攻擊的時候,他們首先會檢查是否存在一般的安全漏洞,然后才會考慮難度更加高一點(diǎn)的突破安全系統(tǒng)的手段.因此,比方說,當(dāng)你服務(wù)器上的數(shù)據(jù)都存在于一個FAT的磁盤分區(qū)的時候,即使安裝上世界上所有的安全軟件也不會對你有多大幫助的。

因?yàn)檫@個原因,你需要從基本做起.你需要將服務(wù)器上所有包含了敏感數(shù)據(jù)的磁盤分區(qū)都轉(zhuǎn)換成NTFS格式的.同樣,你還需要將所有的反病毒軟件及時更新.我建議你同時在服務(wù)器和桌面終端上運(yùn)行反病毒軟件.這些軟件還應(yīng)該配置成每天自動下載最新的病毒數(shù)據(jù)庫文件.你還更應(yīng)該知道,可以為Exchange Server安裝反病毒軟件.這個軟件掃描所有流入的電子郵件,尋找被感染了的附件,當(dāng)它發(fā)現(xiàn)一個病毒時,會自動將這個被感染的郵件在到達(dá)用戶以前隔離起來。

另一個保護(hù)網(wǎng)絡(luò)的好方法是以用戶待在公司里的時間為基礎(chǔ)限定他們訪問網(wǎng)絡(luò)的時間.一個通常在白天工作的臨時員工不應(yīng)該被允許在臨晨三點(diǎn)的時候訪問網(wǎng)絡(luò),除非那個員工的主管告訴你那是出于一個特殊項(xiàng)目的需要。

最后,記住用戶在訪問整個網(wǎng)絡(luò)上的任何東西的時候都需要密碼.必須強(qiáng)迫大家使用高強(qiáng)度的由大小寫字母,數(shù)字和特殊字符組成的密碼.在Windows NT Server資源包里有一個很好的用于這個任務(wù)的工具.你還應(yīng)該經(jīng)常將一些過期密碼作廢并更新還要要求用戶的密碼不得少于八個字符.如果你已經(jīng)做了這所有的工作但還是擔(dān)心密碼的安全,你可以試一試從互聯(lián)網(wǎng)下載一些黑客工具然后自己找出這些密碼到底有多安全。

技巧二:保護(hù)你的備份每一個好的網(wǎng)絡(luò)管理員都知道每天都備份網(wǎng)絡(luò)服務(wù)器并將磁帶記錄遠(yuǎn)離現(xiàn)場進(jìn)行保護(hù)以防意外災(zāi)害.但是,服務(wù)器安全的問題遠(yuǎn)不止是備份那么簡單.大多數(shù)人都沒有意識到,你的備份實(shí)際上就是一個巨大的安全漏洞。

要理解這是為什么,試想一下,大多數(shù)的備份工作都是在大約晚上10:00或是11:00的時候開始的.整個備份的過程通常是在半夜的時候結(jié)束,這取決于你有多少數(shù)據(jù)要備份.現(xiàn)在,想象一下,時間已經(jīng)到了早晨四點(diǎn),你的備份工作已經(jīng)結(jié)束.但是,沒有什么東西能夠阻止一些人偷走你磁帶記錄上的數(shù)據(jù)并將它們在自己家中或是你競爭對手辦公室里的一臺服務(wù)器上恢復(fù)它們。

不過,你可以阻止這種事情的發(fā)生.首先,可以通過密碼保護(hù)你的磁帶并且如果你的備份程序支持加密功能,你還可以加密這些數(shù)據(jù).其次,你可以將備份程序完成工作的時間定在你早晨上班的時間.這樣的話,即使有人前一天半夜想要溜進(jìn)來偷走磁帶的話,他們也會因?yàn)榇艓д谑褂枚鵁o法得逞.如果竊賊還是把磁帶彈出來帶走的話,磁帶上的數(shù)據(jù)也就毫無價值了。

技巧三:對RAS使用回叫功能Windows NT最酷的功能之一就是對服務(wù)器進(jìn)行遠(yuǎn)程訪問(RAS)的支持.不幸的是,一個RAS服務(wù)器對一個企圖進(jìn)入你的系統(tǒng)的黑客來說是一扇敞開的大門.黑客們所需要的一切只是一個電話號碼,有時還需要一點(diǎn)耐心,然后就能通過RAS進(jìn)入一臺主機(jī)了.但你可以采取一些方法來保證RAS服務(wù)器安全。

你所要使用的技術(shù)將在很大程度上取決于你的遠(yuǎn)程用戶如何使用RAS.如果遠(yuǎn)程用戶經(jīng)常是從家里或是類似的不太變動的地方呼叫主機(jī),我建議你使用回叫功能,它允許遠(yuǎn)程用戶登錄以后切斷連接.然后RAS服務(wù)器撥通一個預(yù)先定義的電話號碼再次接通用戶.因?yàn)檫@個號碼是預(yù)先設(shè)定了的,黑客也就沒有機(jī)會設(shè)定服務(wù)器回叫的號碼了。

另一個可選的辦法是限定所有的遠(yuǎn)程用戶都訪問單一的服務(wù)器.你可以將用戶通常訪問的數(shù)據(jù)放置在RAS服務(wù)器的一個特殊的共享點(diǎn)上.你于是可以將遠(yuǎn)程用戶的訪問限制在一臺服務(wù)器上,而不是整個網(wǎng)絡(luò).這樣,即使黑客通過破壞手段來進(jìn)入主機(jī),那么他們也會被隔離在單一的一臺機(jī)器上,在這里,他們造成的破壞被減少到了最小。

最后還有一個技巧就是在你的RAS服務(wù)器上使用出人意料的協(xié)議.我知道的每一個人都使用TCP/IP協(xié)議作為RAS協(xié)議.考慮到TCP/IP協(xié)議本身的性質(zhì)和典型的用途,這看起來象是一個合理的選擇.但是,RAS還支持IPX/SPX和NetBEUI協(xié)議.如果你使用NetBEUI作為你RAS的協(xié)議,你確實(shí)可以迷惑一些不加提防的黑客。

技巧四:考慮工作站的安全問題在一個關(guān)于服務(wù)器安全的文章里談?wù)摴ぷ髡镜陌踩雌饋砗芷婀?但是,工作站正是通向服務(wù)器的一個端口.加強(qiáng)工作站的安全能夠提高整個網(wǎng)絡(luò)的安全性.對于初學(xué)者,我建議在所有的工作站上使用Windows 2000.Windows 2000是一個非常安全的操作系統(tǒng).如果你并不想這樣做,那么至少使用Windows NT.你可以鎖定工作站,使得一些沒有安全訪問權(quán)的人想要獲得網(wǎng)絡(luò)配置信息變得困難或是不可能。

另一個技術(shù)是控制哪個人能夠訪問哪臺工作站.例如,有一個員工叫Bob,并且你已經(jīng)知道他是一個麻煩制造者.顯然,你不想Bob能夠在午餐的時候打開他朋友的電腦或是差上他自己的筆記本然后黑掉整個系統(tǒng).因此,你應(yīng)該使用工作組用戶管理程序還修改Bob的帳號以便他只能從他自己的電腦(并且是在你指定的時間內(nèi))登錄.Bob遠(yuǎn)不太可能從他自己的電腦上攻擊網(wǎng)絡(luò),因?yàn)樗绖e人可以將他追查出來。

另一個技術(shù)是將工作站的功能限定為一個啞終端,或者,我沒有更好的詞語來形容,一個"聰明的"啞終端.總的來說,它的意思是沒有任何數(shù)據(jù)和應(yīng)用程序駐留在獨(dú)立的工作站上.當(dāng)你將計(jì)算機(jī)作為啞終端使用的時候,服務(wù)器被配置成運(yùn)行Windows NT 終端服務(wù)程序,而且所有的應(yīng)用程序物理上都運(yùn)行在服務(wù)器上.所有送到工作站的東西都不過是更新的屏幕顯示而已.這意味著工作站上只有一個最小化的Windows版本和一份微軟終端服務(wù)程序的客戶端.使用這種方法也許是最安全的網(wǎng)絡(luò)設(shè)計(jì)方案。

使用一個"聰明"的啞終端就是說程序和數(shù)據(jù)駐留在服務(wù)器上但卻在工作站上運(yùn)行.所有安裝在工作站上的是一份Windows拷貝以及一些指向駐留在服務(wù)器上的應(yīng)用程序的圖標(biāo).當(dāng)你點(diǎn)擊一個圖標(biāo)運(yùn)行程序時,這個程序?qū)⑹褂帽镜氐馁Y源來運(yùn)行,而不是消耗服務(wù)器的資源.這比你運(yùn)行一個完全的啞終端程序?qū)Ψ?wù)器造成的壓力要小得多。

技巧五:使用流行的補(bǔ)丁程序微軟雇傭了一個程序員團(tuán)隊(duì)來檢查服務(wù)器安全漏洞并修補(bǔ)它們.有時,這些補(bǔ)丁被捆綁進(jìn)一個大的軟件包并作為服務(wù)包(service pack)發(fā)布.通常有兩種不同的補(bǔ)丁程序版本:一個任何人都可以使用的40位的版本和一個只能在美國和加拿大使用的128位的版本.128位的版本使用128位的加密算法,比40位的版本要安全得多.如果你現(xiàn)在還在使用40位的服務(wù)包并且生活在美國或是加拿大,我強(qiáng)烈建議你下載128位的版本。

有時一個服務(wù)包的發(fā)布也許要等上好幾個月--很明顯的,當(dāng)一個大的服務(wù)器安全漏洞被發(fā)現(xiàn)的時候,只要有可能修補(bǔ)它,你就不想再等下去.好在你并不需要等待.微軟定期將重要的補(bǔ)丁程序發(fā)布在它的FTP站點(diǎn)上.這些熱點(diǎn)補(bǔ)丁程序是自上一次服務(wù)包發(fā)布以后被公布的安全修補(bǔ)程序.我建議你經(jīng)常查看熱點(diǎn)補(bǔ)丁.記住你一定要按邏輯順序使用這些補(bǔ)丁.如果你以錯誤的順序使用它們,結(jié)果可能導(dǎo)致一些文件的版本錯誤,Windows也可能停止工作。

技巧六:使用一個強(qiáng)有力的安全政策要提高安全性,另一個你可以做的工作就是制定一個好的,強(qiáng)有力的安全策略.確保每一個人都知道它并知道它是強(qiáng)制執(zhí)行的.這樣的一個政策需要包括對一個在公司機(jī)器上下載未授權(quán)的軟件的員工的嚴(yán)厲懲罰。

如果你使用Windows 2000 Server,你就有可能指定用戶特殊的使用權(quán)限來使用你的服務(wù)器而不需要交出管理員的控制權(quán).一個好的用法就是授權(quán)人力資源部來刪除和禁用一個帳號.這樣,人力資源部就可以在一個行將走人的員工知道自己將被解雇以前就刪除或是禁用他的用戶帳號.這樣,不滿的員工就不會有機(jī)會來攪亂公司的系統(tǒng)了.同時,使用特殊用戶權(quán)限,你就可以授予這種刪除和禁用帳號權(quán)限并限制創(chuàng)建用戶或是更改許可等這些活動的權(quán)限了。

試一試免費(fèi)的TechProGuild吧! 如果你覺得這篇文章有用,可以看看TechRepublic的TechProGuild注冊資源,它提供有深度的技術(shù)文章,覆蓋了一些IT的主題,包括Windows服務(wù)器和客戶端平臺,Linux,疑難解答問題,和數(shù)字網(wǎng)絡(luò)項(xiàng)目的難點(diǎn),以及NetWare.擁有一個TechProGuild的帳戶,你還可以在線閱讀流行的IT工業(yè)書籍的全文.點(diǎn)擊這里注冊享受30天免費(fèi)的TechProGuild試用期。

技巧七:反復(fù)檢查你的防火墻我們的最后一個技巧包括仔細(xì)檢查你防火墻的設(shè)置.你的防火墻是網(wǎng)絡(luò)的一個重要部分因?yàn)樗鼘⒛愎镜挠?jì)算機(jī)同互聯(lián)網(wǎng)上那些可能對它們造成損壞的蠱惑仔們隔離開來。

你首先要做的事情是確保防火墻不會向外界開放超過必要的任何IP地址.你總是至少要讓一個IP地址對外界可見.這個IP地址被使用來進(jìn)行所有的互聯(lián)網(wǎng)通訊.如果你還有DNS注冊的Web服務(wù)器或是電子郵件服務(wù)器,它們的IP地址也許也要通過防火墻對外界可見.但是,工作站和其他服務(wù)器的IP地址必須被隱藏起來。

你還可以查看端口列表驗(yàn)證你已經(jīng)關(guān)閉了所有你并不常用的端口地址.例如,TCP/IP 端口80用于HTTP通訊,因此你可能并不想堵掉這個端口.但是,你也許永遠(yuǎn)都不會用端口81因此它應(yīng)該被關(guān)掉.你可以在Internet上找到每個端口使用用途的列表。

結(jié)論服務(wù)器安全問題是一個大問題.你不希望緊要的數(shù)據(jù)被病毒或是黑客破壞或是被一個可能用這些數(shù)據(jù)來對付你的人竊取.在本文中,我介紹了7個你應(yīng)該在下一次安全審查中注意的地方。

【編輯推薦】

◆網(wǎng)管軟件專區(qū)

◆網(wǎng)絡(luò)管理者最易犯的十大低級錯誤

◆網(wǎng)絡(luò)管理基礎(chǔ)知識：網(wǎng)路管理模式

◆學(xué)習(xí)高效網(wǎng)絡(luò)管理技巧三招五式

◆IT運(yùn)維管理專區(qū)