如今,對於重要數據的保護越來越受到關注,近些年來,服務器遭受安全的風險也相對增加。無論是越來越多的病毒,心懷不軌的黑客,還是商業行為的盜竊都將服務器作為獲取信息的主要攻擊目標。很顯然,服務器的安全問題是不容忽視的。
下面簡單介紹五個維護服務器安全的技巧。
技巧一:從基本做起
當談論網絡服務器的安全的時候,特別是黑客對網絡發起攻擊的時候,首先會檢查是否存在一般的安全漏洞,然後才會考慮難度更加高一點的突破安全系統的手 段。因此,當服務器上的數據都存在於一個FAT的磁盤分區的時候,即使安裝上安全軟件也不會對數據保護有很大幫助。所以,服務器上所有包含了敏感數據的磁 盤分區都轉換成NTFS格式的,同時需要將所有的反病毒軟件及時更新。
限定訪問網絡的時間
另一個保護網絡的好方法是以用戶待在公司裡的時間為基礎限定他們訪問網絡的時間。比如,一個通常在白天工作的臨時員工不應該被允許在臨晨三點的時候訪問 網絡,除非那個員工的主管告訴你那是出於一個特殊項目的需要。而最主要的是記住用戶在訪問整個網絡上的任何東西的時候都需要密碼。必須強迫大家使用高強度 的由大小寫字母,數字和特殊字符組成的密碼。
技巧二:保護你的備份
每一個好的網絡管理員每天都備份網絡服務器並將記錄遠離現場進行保護以防意外災害。但是,安全的問題遠不止是備份那麼簡單。大多數人都沒有意識到,你的備份實際上就是一個巨大的安全漏洞。
但是,人為的因素很難控制,如何能夠阻止一些人偷走你磁帶記錄上的數據並將它們從一台服務器上恢復數據是安全的重要考驗?
而有效保護備份,通過密碼保護磁帶並且如果備份程序支持加密功能,可以加密這些數據。其次,將備份程序完成工作的時間更改。這樣的話,即使有人想要偷走磁帶的話,也會因為磁帶正在使用而強行帶走也毫無意義。
第2頁:設置防火牆 制定安全政策
技巧三:對RAS使用回叫功能
對於服務器上Windows NT系統功能之一就是進行遠程訪問(RAS)的支持。而一個RAS服務器對一個企圖進入系統的黑客來說也同樣是一個方面快捷的工具。遠程用戶如何使用 RAS是關鍵,如果遠程用戶經常是從固定的地方呼叫主機,使用回叫功能可以很好保證遠程用戶登錄以後切斷連接。然後RAS服務器撥通一個預先定義的電話號 碼再次接通用戶。
另一個可選的辦法是限定所有的遠程用戶都訪問單一的服務器。將用戶通常訪問的數據放置在RAS服務器的一個特殊的共享點上。可以將遠程用戶的訪問限制在 一台服務器上,而不是整個網絡。這樣,即使黑客通過破壞手段來進入主機,那麼他們也會被隔離在單一的一台機器上,在這裡,他們造成的破壞被減少到了最小。
最後還有一個技巧就是在你的RAS服務器上利用協議變化。考慮到TCP/IP協議本身的性質和典型的用途,RAS還支持IPX/SPX和NetBEUI協議。如果你使用NetBEUI作為你RAS的協議可以很好防范。
技巧四:使用一個強有力的安全政策
要提高安全性,可以做的工作就是制定一個好的,強有力的安全策略。確保每一個人都知道它並知道它是強制執行的。這樣的一個政策需要包括對一個在公司機器上下載未授權的軟件的員工的嚴厲懲罰。
如果你使用Windows 2000 Server,指定用戶特殊的使用權限來使用你的服務器而不需要交出管理員的控制權。一個好的用法就是授權人力資源部來刪除和禁用一個帳號。這樣,人力資 源部就可以在一個即將離職的員工被解雇以前就刪除或是禁用他的用戶帳號。同時,使用特殊用戶權限,你就可以授予這種刪除和禁用帳號權限並限制創建用戶或是 更改許可等這些活動的權限了。
技巧五:檢查防火牆設置
最後一個技巧包括仔細檢查防火牆的設置。防火牆是網絡的一個重要部分因為它將你公司的計算機同互聯網上那些可能對它們造成損壞的程序隔離開來。
首先,確保防火牆不會向外界開放超過必要的任何IP地址。至少要讓一個IP地址對外被使用來進行所有的互聯網通訊。如果你還有DNS注冊的Web服務器或是電子郵件服務器,它們的IP地址也許也要通過防火牆對外界可見。
其次可以查看端口列表驗證你已經關閉了所有並不常用的端口地址。例如,TCP/IP端口80用於HTTP通訊,但是,也許永遠都不會用端口81因此它應該被關掉。
