你的电脑上有重要数据,不想让它们落入坏人之手吗?当然,对他们来说是完全可能的。而且近几年服务器遭受的风险比以前更大。越来越多的病毒,恶意黑客,
而那些商业间谍已经把服务器当成了他们的目标。显然,服务器的安全问题不容忽视。
在一篇文章中不可能讲述所有的计算机安全问题。毕竟这方面的书已经数不胜数了。我接下来要做的是告诉你七个让你的服务器安全的小技巧。
技巧一:从基础做起。
我知道这听起来像废话,但当我们谈论网络服务器的安全时,我能给你的最好建议是不要做一个外行。当黑客开始攻击你的网络时,他们首先会检查是否存在一般的安全漏洞。
然后我们再考虑一个更难突破安全系统的方法。所以,比如当你的服务器上所有的数据都存在一个FAT的磁盘分区里,就算把世界上所有的安全软件都安装了,对你也没有太大的帮助。
为此,您需要从基础开始。您需要将服务器上包含敏感数据的所有磁盘分区转换为NTFS格式。同样,你需要及时更新所有的杀毒软件。我建议你在服务器和桌面终端上都运行杀毒软件。
这些软件也要配置成每天自动下载最新的病毒库文件。您还应该知道,您可以为Exchange Server安装防病毒软件。该软件扫描所有收到的电子邮件中受感染的附件。当它发现病毒时,
会在此受感染的电子邮件到达用户之前自动将其隔离。
保护网络的另一个好方法是根据用户在公司停留的时间来限制用户访问网络的时间。一个平时白天上班的临时员工,不应该让他在凌晨三点上网,除非员工的主管告诉你是为了一个特殊的项目。
最后,请记住,用户在访问整个网络上的任何内容时都需要密码。必须强制每个人使用由大小写字母、数字和特殊字符组成的强密码。在Windows NT Server resource kit中有一个很好的工具可以完成这项任务。
还应该经常对一些过期的密码进行作废和更新,并要求用户的密码不少于八个字符。如果你做了这些工作,但仍然担心密码的安全性,你可以尝试从网上下载一些黑客工具,自己了解一下这些密码有多安全。
技巧2:保护你的备份。
每一个好的网络管理员都知道每天备份网络服务器,保护磁带记录远离现场,防止意外灾难的发生。但是,安全的问题远不止备份这么简单。大多数人没有意识到你的备份其实是一个巨大的安全漏洞。
为了理解为什么,想象一下大多数备份工作大约在晚上10:00或11:00开始。整个备份过程通常在午夜结束,这取决于需要备份的数据量。现在,想象一下,
现在是凌晨四点,你的备份工作结束了。然而,没有什么能阻止一些人窃取你磁带记录上的数据,并在他们自己家里或你竞争对手办公室的服务器上恢复它们。
但是,您可以防止这种情况发生。首先,如果您的备份程序支持加密,您可以用密码保护您的磁带并加密数据。其次,你可以把备份程序完成工作的时间设定在你早上上班的时候。在这种情况下,
即使有人试图在前一天深夜潜入并偷走磁带,他们也不会得逞,因为磁带正在被使用。如果小偷仍然弹出磁带并带走,磁带上的数据将毫无价值。
技巧3:为RAS使用回调函数。
Windows NT最酷的功能之一是支持对服务器的远程访问。不幸的是,RAS服务器为试图进入您系统的黑客敞开了大门。黑客需要的只是一个电话号码,
有时候需要一点耐心,然后就可以通过RAS进入一个主机。但是您可以采取一些措施来确保RAS服务器的安全性。
您想使用的技术在很大程度上取决于您的远程用户如何使用RAS。如果远程用户经常从家里或者类似的变化不大的地方调用主机,我建议你使用回调函数,它允许远程用户登录后断开连接。
然后RAS服务器拨打预定义的电话号码再次连接用户。因为这个号码是预先设置的,黑客没有机会设置服务器回拨的号码。
另一种方法是将所有远程用户限制在一台服务器上。你可以把用户平时访问的数据放在RAS服务器的一个专门的共享点上。然后,您可以限制远程用户访问一台服务器,而不是整个网络。这样一来,
即使黑客通过破坏获得了访问主机的权限,他们也将被隔离在一台机器上,在那里他们造成的损害被最小化。
最后一个技巧是在RAS服务器上使用意想不到的协议。我认识的人都用TCP/IP协议作为RAS协议。考虑到TCP/IP协议本身的性质和典型用途,这似乎是一个合理的选择。但是,
RAS还支持IPX/SPX和NetBEUI协议。如果你使用NetBEUI作为你的RAS协议,你真的可以迷惑一些不知情的黑客。
技巧4:考虑工作站的安全性。
在一篇关于服务器安全的文章中谈论工作站的安全似乎很奇怪。然而,工作站只是服务器的一个端口。加强工作站的安全性可以提高整个网络的安全性。对于初学者来说,
我建议在所有工作站上使用Windows 2000。Windows 2000是一个非常安全的操作系统。如果不想这么做,至少用Windows NT。您可以锁定工作站,
这使得一些没有安全访问权限的人很难或不可能获得网络配置信息。
另一种技术是控制谁可以访问哪个工作站。比如有一个员工叫Bob,你已经知道他是个捣蛋鬼。显然,你不希望鲍勃在午餐时打开他朋友的电脑或他自己的笔记本,然后黑掉整个系统。因此,
您应该使用工作组用户管理程序并修改Bob的帐户,以便他只能从自己的计算机登录(并且在您指定的时间内)。鲍勃从自己的电脑上攻击互联网是不可能的,因为他知道别人可以追踪到他。
另一种技术是将工作站的功能限制在哑终端,或者,我没有更好的词来描述它,一个“智能”哑终端。一般来说,这意味着没有数据和应用程序驻留在独立的工作站上。当你把电脑当作一个哑终端时,
服务器被配置为运行Windows NT终端服务,并且所有应用程序都在服务器上运行。发送到工作站的所有内容都只是更新的屏幕显示。
这意味着工作站上只有一个最小版本的Windows和一个Microsoft终端服务客户端。使用这种方法可能是最安全的网络设计方案。
使用“智能”哑终端意味着程序和数据驻留在服务器上,但在工作站上运行。工作站上安装的只是Windows的副本和一些指向驻留在服务器上的应用程序的图标。当您单击图标运行程序时,
这个程序将使用本地资源运行,而不是消耗服务器资源。这比运行一个完全哑的终端程序对服务器的压力要小得多。
技巧5:使用流行的补丁。
微软雇佣了一组程序员来检查安全漏洞并修复它们。有时,这些补丁被捆绑到一个大的软件包中,并作为服务包发布。
通常有两种不同的补丁版本:任何人都可以使用的40位版本和只能在美国和加拿大使用的128位版本。128位版本采用128位加密算法,比40位版本安全很多。
如果你仍然在使用40位服务包,并且住在美国或加拿大,我强烈建议你下载128位版本。
有时,一个服务包可能需要几个月才能发布——显然,当发现一个大的安全漏洞时,只要有可能修复它,你就不想再等了。幸运的是,你不必等待。微软定期在其FTP站点上发布重要的补丁。
这些热修补程序是自上一个服务包发布以来发布的安全修补程序。我建议你经常检查热补丁。请记住,您必须按照逻辑顺序使用这些修补程序。如果您以错误的顺序使用它们,结果可能是某些文件的错误版本。
Windows也可能停止工作。
技巧6:使用强有力的安全策略。
提高安全性的另一个方法是制定一个好的、强大的安全策略。确保每个人都知道它,并且它是强制性的。这样的政策需要包括对在公司机器上下载未授权软件的员工的严厉惩罚。
如果您使用Windows 2000 Server,您可以为用户分配使用您的服务器的特殊权限,而无需移交管理员的控制权。一个很好的用途是授权人力资源部门删除和禁用一个帐户。这样一来,
人力资源部门可以在离职员工知道他将被解雇之前删除或禁用他的用户帐户。这样,心怀不满的员工就没有机会扰乱公司的制度。同时,使用特殊用户权限,
您可以授予此权限来删除和禁用帐户,并限制创建用户或更改权限的权利。
技巧七:反复检查你的防火墙
我们的最后一个技巧包括仔细检查你防火墙的设置。你的防火墙是网络的一个重要部分因为它将你公司的计算机同互联网上那些可能对它们造成损坏的蛊惑仔们隔离开来。
你首先要做的事情是确保防火墙不会向外界开放超过必要的任何IP地址。你总是至少要让一个IP地址对外界可见。这个IP地址被使用来进行所有的互联网通讯。
如果你还有DNS注册的Web服务器或是电子邮件服务器,它们的IP地址也许也要通过防火墙对外界可见。但是,
