維護伺服器安全的技巧

2022-12-15 20:27:03 字數 4400 閱讀 6946

作者:陳譽明出處:it專家網責任編輯:anson2006-02-20 16:54:45

你的計算機上是否存在有至關重要的資料,並且不希望它們落入惡人之手呢?當然,它們完全有這種可能。而且,近些年來,伺服器遭受的風險也比以前更大了。

越來越多的病毒,心懷不軌的黑客,以及那些商業間諜都將伺服器作為了自己的目標。很顯然,伺服器的安全問題是不容忽視的。

不可能僅僅在一篇文章中就講述完所有的計算機安全方面的問題。畢竟,關於這個主題已經有無數的圖書在討論了。***所要做的就是告訴你七個維護你伺服器安全的技巧。

技巧一:從基本做起

我知道這聽起來象是廢話,但是當我們談論網路伺服器的安全的時候,我所能給你的最好的建議就是不要做門外漢。當黑客開始對你的網路發起攻擊的時候,他們首先會檢查是否存在一般的安全漏洞,然後才會考慮難度更加高一點的突破安全系統的手段。因此,比方說,當你伺服器上的資料都存在於乙個fat的磁碟分割槽的時候,即使安裝上世界上所有的安全軟體也不會對你有多大幫助的。

因為這個原因,你需要從基本做起。你需要將伺服器上所有包含了敏感資料的磁碟分割槽都轉換成ntfs格式的。同樣,你還需要將所有的反病毒軟體及時更新。

我建議你同時在伺服器和桌面終端上執行反病毒軟體。這些軟體還應該配置成每天自動**最新的病毒資料庫檔案。你還更應該知道,可以為exchange server安裝反病毒軟體。

這個軟體掃瞄所有流入的電子郵件,尋找被感染了的附件,當它發現乙個病毒時,會自動將這個被感染的郵件在到達使用者以前隔離起來。

另乙個保護網路的好方法是以使用者待在公司裡的時間為基礎限定他們訪問網路的時間。乙個通常在白天工作的臨時員工不應該被允許在臨晨三點的時候訪問網路,除非那個員工的主管告訴你那是出於乙個特殊專案的需要。

最後,記住使用者在訪問整個網路上的任何東西的時候都需要密碼。必須強迫大家使用高強度的由大小寫字母,數字和特殊字元組成的密碼。在windows nt server資源包裡有乙個很好的用於這個任務的工具。

你還應該經常將一些過期密碼作廢並更新還要要求使用者的密碼不得少於八個字元。如果你已經做了這所有的工作但還是擔心密碼的安全,你可以試一試從網際網路**一些黑客工具然後自己找出這些密碼到底有多安全。

技巧二:保護你的備份

每乙個好的網路管理員都知道每天都備份網路伺服器並將磁帶記錄遠離現場進行保護以防意外災害。但是,安全的問題遠不止是備份那麼簡單。大多數人都沒有意識到,你的備份實際上就是乙個巨大的安全漏洞。

要理解這是為什麼,試想一下,大多數的備份工作都是在大約晚上10:00或是11:00的時候開始的。

整個備份的過程通常是在半夜的時候結束,這取決於你有多少資料要備份。現在,想象一下,時間已經到了早晨四點,你的備份工作已經結束。但是,。

不過,你可以阻止這種事情的發生。首先,可以通過密碼保護你的磁帶並且如果你的備份程式支援加密功能,你還可以加密這些資料。其次,你可以將備份程式完成工作

的時間定在你早晨上班的時間。這樣的話,即使有人前一天半夜想要溜進來偷走磁帶的話,他們也會因為磁帶正在使用而無法得逞。如果竊賊還是把磁帶彈出來帶走的話,磁帶上的資料也就毫無價值了。

技巧三:對ras使用回叫功能

windows nt最酷的功能之一就是對伺服器進行遠端訪問(ras)的支援。不幸的是,乙個ras伺服器對乙個企圖進入你的系統的黑客來說是一扇敞開的大門。黑客們所需要的一切只是乙個**號碼,有時還需要一點耐心,然後就能通過ras進入一台主機了。

但你可以採取一些方法來保證ras伺服器的安全。

你所要使用的技術將在很大程度上取決於你的遠端使用者如何使用ras。如果遠端使用者經常是從家裡或是類似的不太變動的地方呼叫主機,我建議你使用回叫功能,它允許遠端使用者登入以後切斷連線。然後ras伺服器撥通乙個預先定義的**號碼再次接通使用者。

因為這個號碼是預先設定了的,黑客也就沒有機會設定伺服器回叫的號碼了。

另乙個可選的辦法是限定所有的遠端使用者都訪問單一的伺服器。你可以將使用者通常訪問的資料放置在ras伺服器的乙個特殊的共享點上。你於是可以將遠端使用者的訪問限制在一台伺服器上,而不是整個網路。

這樣,即使黑客通過破壞手段來進入主機,那麼他們也會被隔離在單一的一台機器上,在這裡,他們造成的破壞被減少到了最小。

最後還有乙個技巧就是在你的ras伺服器上使用出人意料的協議。我知道的每乙個人都使用tcp/ip協議作為ras協議。考慮到tcp/ip協議本身的性質和典型的用途,這看起來象是乙個合理的選擇。

但是,ras還支援ipx/spx和netbeui協議。如果你使用netbeui作為你ras的協議,你確實可以迷惑一些不加提防的黑客。

技巧四:考慮工作站的安全問題

在乙個關於伺服器安全的文章裡談論工作站的安全看起來很奇怪。但是,工作站正是通向伺服器的乙個埠。加強工作站的安全能夠提高整個網路的安全性。

對於初學者,我建議在所有的工作站上使用windows 2000。windows 2000是乙個非常安全的作業系統。如果你並不想這樣做,那麼至少使用windows nt。

你可以鎖定工作站,使得一些沒有安全訪問權的人想要獲得網路配置資訊變得困難或是不可能。

另乙個技術是控制哪個人能夠訪問哪台工作站。例如,有乙個員工叫bob,並且你已經知道他是乙個麻煩製造者。顯然,你不想bob能夠在午餐的時候開啟他朋友的電腦或是差上他自己的筆記本然後黑掉整個系統。

因此,你應該使用工作組使用者管理程式還修改bob的帳號以便他只能從他自己的電腦(並且是在你指定的時間內)登入。bob遠不太可能從他自己的電腦上攻擊網路,因為他知道別人可以將他追查出來。

另乙個技術是將工作站的功能限定為乙個啞終端,或者,我沒有更好的詞語來形容,乙個「聰明的」啞終端。總的來說,它的意思是沒有任何資料和應用程式駐留在獨立的工作站上。當你將計算機作為啞終端使用的時候,伺服器被配置成執行windows nt終端服務程式,而且所有的應用程式物理上都執行在伺服器上。

所有送到工作站的東西都不過是更新的螢幕顯示而已。這意味著工作站上只有乙個最小化的windows版本和乙份微軟終端服務程式的客戶端。使用這種方法也許是最安全的網路設計方案。

使用乙個「聰明」的啞終端就是說程式和資料駐留在伺服器上但卻在工作站上執行。所有安裝在工作站上的是乙份windows拷貝以及一些指向駐留在伺服器上的應用程式的圖示。當你點選乙個圖示執行程式時,這個程式將使用本地的資源來執行,而不是消耗伺服器的資源。

這比你執行乙個完全的啞終端程式對伺服器造成的壓力要小得多。

技巧五:使用流行的補丁程式

微軟僱傭了乙個程式設計師團隊來檢查安全漏洞並修補它們。有時,這些補丁被**進乙個大的軟體包並作為服務包(service pack)發布。通常有兩種不同的補丁程式版本:

乙個任何人都可以使用的40位的版本和乙個只能在美國和加拿大使用的128位的版本。128位的版本使用128位的加密演算法,比40位的版本要安全得多。如果你現在還在使用40位的服務包並且生活在美國或是加拿大,我強烈建議你**128位的版本。

有時乙個服務包的發布也許要等上好幾個月--很明顯的,當乙個大的安全漏洞被發現的時候,只要有可能修補它,你就不想再等下去。好在你並不需要等待。微軟定期將重要的補丁程式發布在它的ftp站點上。

這些熱點補丁程式是自上一次服務包發布以後被公布的安全修補程式。我建議你經常檢視熱點補丁。記住你一定要按邏輯順序使用這些補丁。

如果你以錯誤的順序使用它們,結果可能導致一些檔案的版本錯誤,windows也可能停止工作。

技巧六:使用乙個強有力的安全政策

要提高安全性,另乙個你可以做的工作就是制定乙個好的,強有力的安全策略。確保每乙個人都知道它並知道它是強制執行的。這樣的乙個政策需要包括對乙個在公司機器上**未授權的軟體的員工的嚴厲懲罰。

如果你使用windows 2000 server,你就有可能指定使用者特殊的使用許可權來使用你的伺服器而不需要交出管理員的控制權。乙個好的用法就是授權人力資源部來刪除和禁用乙個帳號。這樣,人力資源部就可以在乙個行將走人的員工知道自己將被解雇以前就刪除或是禁用他的使用者帳號。

這樣,不滿的員工就不會有機會來攪亂公司的系統了。同時,使用特殊使用者許可權,你就可以授予這種刪除和禁用帳號許可權並限制建立使用者或是更改許可等這些活動的許可權了。

試一試免費的techproguild吧!如果你覺得這篇文章有用,可以看看techrepublic

的techproguild註冊資源,它提供有深度的技術文章,覆蓋了一些it的主題,包括windows伺服器和客戶端平台,linux,疑難解答問題,和數字網路專案的難點,以及netwar e。擁有乙個techproguild的帳戶,你還可以**閱讀流行的it工業書籍的全文。點選這裡註冊享受30天免費的techproguild試用期。

技巧七:反覆檢查你的防火牆

我們的最後乙個技巧包括仔細檢查你防火牆的設定。。

你首先要做的事情是確保防火牆不會向外界開放超過必要的任何ip位址。你總是至少要讓乙個ip位址對外界可見。這個ip位址被使用來進行所有的網際網路通訊。

如果你還有dns註冊的web伺服器或是電子郵件伺服器,它們的ip位址也許也要通過防火牆對外界可見。但是,工作站和其他伺服器的ip位址必須被隱藏起來。

你還可以檢視埠列表驗證你已經關閉了所有你並不常用的埠位址。例如,tcp/ip埠80用於http通訊,因此你可能並不想堵掉這個埠。但是,你也許永遠都不會用埠81因此它應該被關掉。

你可以在internet上找到每個埠使用用途的列表。

伺服器維護協議

合同編號 甲方法人代表 位址郵政編碼 傳真 聯絡人電子郵件 乙方 鄭州市颶風科技技術 法人代表 位址 鄭州市花園北路魏河花園1號2單元1004室郵政編碼 0371傳真 聯絡人電子郵件 為確保甲乙雙方權利和義務的履行,經甲乙雙方充分協商,就甲方選擇乙方的it外包服務達成如下協議,以便共同遵守。1 甲乙...

資訊伺服器安全方案 維護篇

伺服器資訊保安維護方案 1 設計方案概述 3 1.1 系統應用背景 3 1.2 方案設計原則 3 1.3 安全維護目標 4 2 硬體維護 4 2.1 機房環境檢測 4 2.2 伺服器清潔 5 2.3 電源檢測 5 2.4 硬體檢查 5 3 基礎服務的維護 6 3.1 作業系統 6 3.2 web服務...

伺服器維護協議樣本

日常維護,伺服器執行正常情況下,需要對伺服器進行調整以適合其他軟體或實現其他功能等,根據甲方的要求進行更新維護,並根據改動內容及複雜程度在雙方商定的時間內完成 4 甲方權利及義務 1 甲方指定乙方在伺服器上安裝的軟體,所需要的軟體版權 許可 使用權由甲方自行解決。2 甲方對使用伺服器所引起的任何經濟...