| 出版日期:2005-06-27 总期号:1423 本年期号:46 |
|
 |
五招打造安全服务器
安全管理是整个全网安全金字塔的塔尖 而对服务器安全的管理则是所有安全管理的核心 因为那里存储着我们最多和最重要的数据与信息 服务器安全问题一直是个热门话题,谁会希望自己的重要数据遭到黑客损毁,或被人恶意盗用呢?你的服务器上是否存有一些重要的商业数据呢?越来越多的虎视眈眈的黑客,以及心怀不轨的商业间谍都将服务器当作目标,服务器的安全问题一刻都不能忽视。 现在关于这个问题的讨论很多,本文重点介绍几个简单可是实用的关于Windows服务器安全的技巧。 基本设置 首先建议你将服务器上含有机密数据的区域都转换成NTFS格式,NTFS文件系统提供了文件和文件夹安全选项控制用户对程序及文件的访问权限。防毒程序也最好设置为定时自动更新最新的病毒定义文件。邮件服务器也应该安装防毒软件,扫描所有接收的电子邮件,若发现病毒或者后门程序,邮件马上会被隔离,防止使用者被感染。存取网络上的任何数据都需通过密码登录。 执行微软最新修补程序。有严重的漏洞被发现时,微软会发布重要的修补程序,这些修补程序(补丁)有时会被收集成service pack(服务包)发布,建议及时更新。Windows 2000 SP4相对来说就是一个比较安全的版本,至少可以使你的系统不会暴露在一些过时的攻击手法下。 建立严格的安全策略 所有的安全都是建立在一个周密的、强有力的、并且能得到切实执行的安全策略下,确保每一个人都了解,并贯彻执行。如在设定密码时,必须混用大小写字母、数字和特殊字符。你还应该设定定期更新密码,且密码规定最低的长度。还可以依员工上班时间来限定使用者登录网络的权限,白天上班的员工在三更半夜就没有权限登录网络,除非该员工的主管事先通知。 若你使用Windows 2000 Server,你可以将部分权限授权给特定代理人,而无须将全部的网管权利交出。即使你核定代理人某些权限,你依然可限制其权限大小,例如无法开设新的使用者帐号,或改变权限等。 备份的问题 其实备份本身就是一个巨大的安全漏洞。试想一下,大多数的备份工作多在晚间进行,因为这样可以不影响日常工作,但是备份结束时,心怀不轨的人士正好可以趁机偷走备份数据,保留在自己家中或是提供给你的竞争对手。你必须阻止这种事情发生。首先,用一个强壮的密码保护你的磁盘,然后使用一个支持加密功能的备份程序,可以将备份的数据进行实时加密。这样即使数据被盗走的话,恢复起来也是件几乎不可能的任务。 解决工作站的安全问题 工作站和服务器密切相关,工作站是进入服务器的大门,加强工作站的安全能够提高整体网络的安全性。对于初学者,建议在所有工作站上使用Windows 2000或者Windows Server 2003。如此你便能将工作站锁定,若没有权限,一般人将很难取得网络配置信息。 另一个方法是限制使用者只能从特定工作站登录,或者将工作站当作简易型的终端机(dumb terminal)。换言之,工作站上不会存有任何数据或软件,所有应用程序都只在服务器上运作,工作站只能被动接收并显示数据而已。这意味着工作站上只有安装最少的Windows版本,和一份微软Terminal Server Client。这种方法应该是很安全的网络设计方案。 规划好你的防火墙 防火墙是网络规划中非常重要的一部份,仔细检查防火墙的设置,因为它能使公司电脑不受外界恶意破坏。 首先你一般会有一个对外的IP地址,所有的网络通讯都必须经由此地址。如果你还有DNS注册的Web服务器或是电子邮件服务器,这些IP地址也要穿过防火墙对外公布。但是,非必要的IP地址如工作站和其他服务器的IP地址则必须隐藏。 你还可以查看所有的通讯端口,确定不常用的已经被关闭。例如,80端口是用于HTTP流量, 21端口主要用于FTP服务,25端口为SMTP服务器所开放,主要用于发送邮件,这些都是常用端口,因此不能关闭。但是port 81对你来说可能就没有什么用途,所以就可以关掉。要想了解你的电脑上正在使用的端口及其状态可以使用Netstat命令。具体每个端口的详细用途你可以在网络上查找到。 |
||||||||||||||||||||||||
