你的电脑上有重要数据,不想让它们落入坏人之手吗?当然,对他们来说是完全可能的。而且近几年服务器遭受的风险比以前更大。越来越多的病毒,恶意黑客,
而那些商业间谍已经把服务器当成了他们的目标。显然,服务器的安全问题不容忽视。
在一篇文章中不可能讲述所有的计算机安全问题。毕竟这方面的书已经数不胜数了。我接下来要做的是告诉你七个让你的服务器安全的小技巧。
技巧一:从基础做起。
我知道这听起来像废话,但当我们谈论网络服务器的安全时,我能给你的最好建议是不要做一个外行。当黑客开始攻击你的网络时,他们首先会检查是否存在一般的安全漏洞。
然后我们再考虑一个更难突破安全系统的方法。所以,比如当你的服务器上所有的数据都存在一个FAT的磁盘分区里,就算把世界上所有的安全软件都安装了,对你也没有太大的帮助。
为此,您需要从基础开始。您需要将服务器上包含敏感数据的所有磁盘分区转换为NTFS格式。同样,你需要及时更新所有的杀毒软件。我建议你在服务器和桌面终端上都运行杀毒软件。
这些软件也要配置成每天自动下载最新的病毒库文件。您还应该知道,您可以为Exchange Server安装防病毒软件。该软件扫描所有收到的电子邮件中受感染的附件。当它发现病毒时,
会在此受感染的电子邮件到达用户之前自动将其隔离。
保护网络的另一个好方法是根据用户在公司停留的时间来限制用户访问网络的时间。一个平时白天上班的临时员工,不应该让他在凌晨三点上网,除非员工的主管告诉你是为了一个特殊的项目。
最后,请记住,用户在访问整个网络上的任何内容时都需要密码。必须强制每个人使用由大小写字母、数字和特殊字符组成的强密码。在Windows NT Server resource kit中有一个很好的工具可以完成这项任务。
还应该经常对一些过期的密码进行作废和更新,并要求用户的密码不少于八个字符。如果你做了这些工作,但仍然担心密码的安全性,你可以尝试从网上下载一些黑客工具,自己了解一下这些密码有多安全。
技巧2:保护你的备份。
每一个好的网络管理员都知道每天备份网络服务器,保护磁带记录远离现场,防止意外灾难的发生。但是,安全的问题远不止备份这么简单。大多数人没有意识到你的备份其实是一个巨大的安全漏洞。
为了理解为什么,想象一下大多数备份工作大约在晚上10:00或11:00开始。整个备份过程通常在午夜结束,这取决于需要备份的数据量。现在,想象一下,
现在是凌晨四点,你的备份工作结束了。然而,没有什么能阻止一些人窃取你磁带记录上的数据,并在他们自己家里或你竞争对手办公室的服务器上恢复它们。
但是,您可以防止这种情况发生。首先,如果您的备份程序支持加密,您可以用密码保护您的磁带并加密数据。其次,你可以把备份程序完成工作的时间设定在你早上上班的时候。在这种情况下,
即使有人试图在前一天深夜潜入并偷走磁带,他们也不会得逞,因为磁带正在被使用。如果小偷仍然弹出磁带并带走,磁带上的数据将毫无价值。
技巧3:为RAS使用回调函数。
Windows NT最酷的功能之一是支持对服务器的远程访问。不幸的是,RAS服务器为试图进入您系统的黑客敞开了大门。黑客需要的只是一个电话号码,
有时候需要一点耐心,然后就可以通过RAS进入一个主机。但是您可以采取一些措施来确保RAS服务器的安全性。
您想使用的技术在很大程度上取决于您的远程用户如何使用RAS。如果远程用户经常从家里或者类似的变化不大的地方调用主机,我建议你使用回调函数,它允许远程用户登录后断开连接。
然后RAS服务器拨打预定义的电话号码再次连接用户。因为这个号码是预先设置的,黑客没有机会设置服务器回拨的号码。
另一个可选的办法是限定所有的远程用户都访问单一的服务器。你可以将用户通常访问的数据放置在RAS服务器的一个特殊的共享点上。你于是可以将远程用户的访问限制在一台服务器上,而不是整个网络。这样,
即使黑客通过破坏手段来进入主机,那么他们也会被隔离在单一的一台机器上,在这里,他们造成的破坏被减少到了最小。
最后还有一个技巧就是在你的RAS服务器上使用出人意料的协议。我知道的每一个人都使用TCP/IP协议作为RAS协议。考虑到TCP/IP协议本身的性质和典型的用途,这看起来象是一个合理的选择。但是,
RAS还支持IPX/SPX和NetBEUI协议。如果你使用NetBEUI作为你RAS的协议,你确实可以迷惑一些不加提防的黑客。
技巧四:考虑工作站的安全问题
在一个关于服务器安全的文章里谈论工作站的安全看起来很奇怪。但是,工作站正是通向服务器的一个端口。加强工作站的安全能够提高整个网络的安全性。对于初学者,
我建议在所有的工作站上使用Windows 2000。Windows 2000是一个非常安全的操作系统。如果你并不想这样做,那么至少使用Windows NT。你可以锁定工作站,
使得一些没有安全访问权的人想要获得网络配置信息变得困难或是不可能。
另一个技术是控制哪个人能够访问哪台工作站。例如,有一个员工叫Bob,并且你已经知道他是一个麻烦制造者。显然,你不想Bob能够在午餐的时候打开他朋友的电脑或是差上他自己的笔记本然后黑掉整个系统。因此,
你应该使用工作组用户管理程序还修改Bob的帐号以便他只能从他自己的电脑(并且是在你指定的时间内)登录。Bob远不太可能从他自己的电脑上攻击网络,因为他知道别人可以将他追查出来。
另一个技术是将工作站的功能限定为一个哑终端,或者,我没有更好的词语来形容,一个'聪明的'哑终端。总的来说,它的意思是没有任何数据和应用程序驻留在独立的工作站上。当你将计算机作为哑终端使用的时候,
服务器被配置成运行Windows NT 终端服务程序,而且所有的应用程序物理上都运行在服务器上。所有送到工作站的东西都不过是更新的屏幕显示而已。
这意味着工作站上只有一个最小化的Windows版本和一份微软终端服务程序的客户端。使用这种方法也许是最安全的网络设计方案。
使用一个'聪明'的哑终端就是说程序和数据驻留在服务器上但却在工作站上运行。所有安装在工作站上的是一份Windows拷贝以及一些指向驻留在服务器上的应用程序的图标。当你点击一个图标运行程序时,
这个程序将使用本地的资源来运行,而不是消耗服务器的资源。这比你运行一个完全的哑终端程序对服务器造成的压力要小得多。
技巧五:使用流行的补丁程序
微软雇佣了一个程序员团队来检查安全漏洞并修补它们。有时,这些补丁被捆绑进一个大的软件包并作为服务包(service pack)发布。
通常有两种不同的补丁程序版本:一个任何人都可以使用的40位的版本和一个只能在美国和加拿大使用的128位的版本。128位的版本使用128位的加密算法,比40位的版本要安全得多。
如果你现在还在使用40位的服务包并且生活在美国或是加拿大,我强烈建议你下载128位的版本。
有时一个服务包的发布也许要等上好几个月--很明显的,当一个大的安全漏洞被发现的时候,只要有可能修补它,你就不想再等下去。好在你并不需要等待。微软定期将重要的补丁程序发布在它的FTP站点上。
这些热点补丁程序是自上一次服务包发布以后被公布的安全修补程序。我建议你经常查看热点补丁。记住你一定要按逻辑顺序使用这些补丁。如果你以错误的顺序使用它们,结果可能导致一些文件的版本错误,
Windows也可能停止工作。
技巧六:使用一个强有力的安全政策
要提高安全性,另一个你可以做的工作就是制定一个好的,强有力的安全策略。确保每一个人都知道它并知道它是强制执行的。这样的一个政策需要包括对一个在公司机器上下载未授权的软件的员工的严厉惩罚。
如果你使用Windows 2000 Server,你就有可能指定用户特殊的使用权限来使用你的服务器而不需要交出管理员的控制权。一个好的用法就是授权人力资源部来删除和禁用一个帐号。这样,
人力资源部就可以在一个行将走人的员工知道自己将被解雇以前就删除或是禁用他的用户帐号。这样,不满的员工就不会有机会来搅乱公司的系统了。同时,使用特殊用户权限,
你就可以授予这种删除和禁用帐号权限并限制创建用户或是更改许可等这些活动的权限了。
技巧七:反复检查你的防火墙
我们的最后一个技巧包括仔细检查你防火墙的设置。你的防火墙是网络的一个重要部分因为它将你公司的计算机同互联网上那些可能对它们造成损坏的蛊惑仔们隔离开来。
你首先要做的事情是确保防火墙不会向外界开放超过必要的任何IP地址。你总是至少要让一个IP地址对外界可见。这个IP地址被使用来进行所有的互联网通讯。
如果你还有DNS注册的web服务器或是电子邮件服务器,它们的IP地址也许也要通过防火墙对外界可见。但是,