你的电脑上有重要数据,不想让它们落入坏人之手吗?当然,它们是完全可能的。而且,近年来,服务器的风险比以前更大了。越来越多的病毒、恶意黑客和商业间谍瞄准了服务器。显然,服务器的安全性不容忽视。
不可能在一篇文章中涵盖所有的计算机安全问题。毕竟这方面的书已经数不胜数了。我所要做的就是告诉你维护服务器安全的七个技巧。
技巧一:从基础做起。
我知道这听起来像废话,但当我们谈论web服务器的安全性时,我能给你的最好建议是不要做一个外行。当黑客开始攻击你的网络时,他们会先检查是否存在一般的安全漏洞,然后再考虑更难的方法来突破安全系统。所以,举个例子,当你的服务器上所有的数据都存在一个胖磁盘分区里的时候,即使安装了世界上所有的安全软件,对你也没有太大的帮助。
为此,你需要从基础做起。您需要将服务器上包含敏感数据的所有磁盘分区转换为NTFS格式。同样,你需要及时更新所有的杀毒软件。我建议你在服务器和桌面终端上都运行杀毒软件。这些软件也要配置成每天自动下载最新的病毒库文件。您还应该知道,您可以为Exchange Server安装防病毒软件。该软件扫描所有收到的电子邮件中受感染的附件。当它发现一个病毒,它会自动隔离受感染的电子邮件之前,它到达用户。
保护网络的另一个好方法是根据用户在公司的时间限制他们访问网络的时间。一个平时白天上班的临时员工,不应该在凌晨三点被允许上网,除非员工的主管告诉你是为了一个特殊项目。
最后,请记住,用户在访问整个网络上的任何内容时都需要密码。您必须强制每个人使用由大小写字母、数字和特殊字符组成的强密码。在Windows NT Server资源包中有一个很好的工具可以完成这项任务。您还应该经常作废和更新一些过期的密码,并要求用户的密码不得少于八个字符。如果你已经完成了所有这些工作,但仍然担心密码的安全性,你可以尝试从网上下载一些黑客工具,亲自了解一下这些密码有多安全。
技巧2:保护您的备份
每个优秀的网络管理员都知道每天备份网络服务器,并将磁带记录保存在远离站点的地方,以防意外灾难。但是,安全的问题远不止备份这么简单。大多数人没有意识到你的备份其实是一个巨大的安全漏洞。
为了理解原因,想象一下大多数备份作业大约在晚上10:00或11:00开始。整个备份过程通常在午夜结束,这取决于需要备份的数据量。现在,假设现在是凌晨四点,你的备份工作已经完成。然而,没有什么可以阻止一些人从你的磁带记录中窃取数据,并在他们自己家里或你竞争对手办公室的服务器上恢复这些数据。
但是,您可以阻止这种情况发生。首先,你可以用密码保护你的磁带,如果你的备份程序支持加密,你也可以加密数据。其次,您可以将备份程序完成工作的时间设置在您的早晨工作时间。这样,即使有人试图在前一天深夜潜入并偷走磁带,也不会成功,因为磁带正在使用中。如果小偷仍然弹出磁带并带走,磁带上的数据将毫无价值。
技巧3:为RAS使用回调函数。
Windows最酷的特性之一是支持对服务器的远程访问。不幸的是,RAS服务器为试图访问您的系统的黑客打开了大门。黑客需要的只是一个电话号码,有时还需要一点耐心,然后他们就可以通过RAS访问一个主机。但是你可以采取一些措施来保证RAS服务器的安全。
您想使用的技术在很大程度上取决于您的远程用户如何使用RAS。如果远程用户经常从家里或者类似的变化不大的地方调用主机,我建议你使用回调函数,它允许远程用户登录后断开连接。然后RAS服务器拨打预定义的电话号码再次连接用户。因为这个号码是预设的,黑客没有机会设置服务器回拨的号码。
另一种选择是将所有远程用户限制在一台服务器上。您可以将用户通常访问的数据放在RAS服务器的特殊共享点上。因此,您可以限制远程用户访问一台服务器,而不是整个网络。这样,即使黑客通过破坏性手段进入主机,也会被隔离在一台机器上,在这里他们造成的伤害被降到最低。
最后一个技巧是在RAS服务器上使用意想不到的协议。我认识的人都用TCP/IP协议作为RAS协议。考虑到TCP/IP协议的性质和典型用途,这似乎是一个合理的选择。但是,RAS也支持IPX/SPX和NetBEUI协议。如果你使用NetBEUI作为你的RAS协议,你真的可以迷惑一些不知情的黑客。
技巧4:考虑工作站的安全性。
在一篇关于服务器安全的文章中谈论工作站的安全似乎很奇怪。然而,工作站只是服务器的一个端口。加强工作站的安全性可以提高整个网络的安全性。对于初学者,我建议在所有工作站上使用Windows 2000。Windows 2000是一个非常安全的操作系统。如果你不想这么做,那么至少使用Windows NT。您可以锁定工作站,使一些没有安全访问权限的人很难或不可能获得网络配置信息。
另一种技术是控制谁可以访问哪个工作站。比如有一个员工叫Bob,你已经知道他是个捣蛋鬼。显然,你不希望Bob能够在午餐时打开他朋友的电脑,或者带上自己的笔记本,黑掉整个系统。因此,您应该使用工作组用户管理程序修改Bob的帐户,以便他只能从自己的计算机登录(并且在您指定的时间内)。Bob不太可能从自己的计算机上攻击网络,因为他知道其他人可以追踪到他。
另一种技术是将工作站的功能限制在一个哑终端,或者,我没有更好的词来描述它,一个‘智能’哑终端。一般来说,这意味着没有数据和应用程序驻留在独立的工作站上。当您将计算机用作哑终端时,服务器被配置为运行Windows NT终端服务,并且所有应用程序都在服务器上运行。发送到工作站的所有内容都只是更新的屏幕显示。这意味着工作站上只有最低限度的Windows版本和微软终端服务程序的客户端。这种方法可能是最安全的网络设计方案。
使用“智能”哑终端意味着程序和数据驻留在服务器上,但在工作站上运行。所有安装在工作站上的都是Windows的副本和一些指向驻留在服务器上的应用程序的图标。当你点击一个图标运行一个程序时,该程序将使用本地资源,而不是消耗服务器的资源。这比在服务器上运行一个完全愚蠢的终端程序压力要小得多。
技巧5:使用流行的补丁。
微软雇佣了一组程序员来检查安全漏洞并修复它们。有时,这些补丁被捆绑到一个大的软件包中,并作为服务包发布。通常有两种不同的补丁版本:任何人都可以使用的40位版本和只能在美国和加拿大使用的128位版本。28位版本使用128位加密算法,比40位版本安全得多。如果你仍然在使用40位服务包,并且住在美国或加拿大,我强烈建议你下载128位版本。
有时,一个服务包可能需要几个月才能发布——显然,当发现一个大的安全漏洞时,只要有可能修复它,你就不想等待。幸运的是,你不必等待。微软定期在其FTP站点上发布重要的补丁。这些热修补程序是自上一个服务包发布以来发布的安全修补程序。我建议你经常检查热补丁。请记住,您必须按照逻辑顺序使用这些修补程序。如果您以错误的顺序使用它们,可能会导致某些文件的版本错误,并且Windows可能会停止工作。
技巧6:使用强有力的安全策略
为了提高安全性,您可以做的另一项工作是制定一个好的、强有力的安全策略。确保每个人都知道它,并确保它得到执行。这样的政策需要包括对在公司机器上下载未授权软件的员工的严厉惩罚。
如果您使用Windows 2000 Server,您可以指定用户使用您的服务器的特殊权限,而无需放弃管理员的控制。一个好的用法是授权人力资源部门删除和禁用一个帐户。这样,人力资源部门可以在离职员工知道自己将被解雇之前删除或禁用他的用户帐户。这样,心怀不满的员工就不会有机会扰乱公司的系统。同时,通过使用特殊用户权限,您可以授予删除和禁用帐户的权限,并限制创建用户或更改权限的权限。
技巧7:反复检查你的防火墙。
我们的最后一个技巧是仔细检查你的防火墙设置。您的防火墙是网络的重要组成部分,因为它将您公司的计算机与互联网上那些可能损害它们的煽动者隔离开来。
您应该做的第一件事是确保防火墙不会向外界开放任何不必要的IP地址。始终使至少一个IP地址对外界可见。此IP地址用于所有互联网通信。如果您仍然有DNS注册的web服务器或电子邮件服务器,它们的IP地址也可能通过防火墙对外部世界可见。但是,
