警告:對於從Windows 2000 NTFS卷中備份的數據,,必須將之還原到一個Windows 2000 NTFS卷中,這樣可以避免數據丟失,同時能夠保留訪問權限、加密文件系統(Encrypting File System)設置信息、磁盤限額信息等。如果將之還原到了FAT文件系統中,將丟失所有加密數據,同時文件不可讀。 c. 嚴格起用備用服務器 對於一些非常重要的服務器,如域控制器、橋頭服務器、DHCP服務器、DNS服務器、WINS服務器等擔負網絡重要功能的服務器,也包括那些一旦癱瘓就要嚴重影響公司業務的應用程序服務器,我們應該不惜成本建立備份機制,這樣即使某個服務器發生故障,對我們的工作也不會造成太大的影響。我們也可以利用Windows 2000 Advance Server的集群功能使用兩個或兩個以上的服務器,這樣不但可以起到備用的作用,同時也能很好地提高服務性能。 d. 使用RAID實現容錯功能 使用RAID有軟件和硬件的方法,究竟采用哪種要考慮以下一些因素: 硬件容錯功能比軟件容錯功能速度快。 硬件容錯功能比軟件容錯功能成本高。 硬件容錯功能可能被廠商限制只能使用單一廠商的設備。 硬件容錯功能可以實現硬盤熱交換技術,因此可以在不關機的情況下更換失敗的硬盤。 硬件容錯功能可以采用高速緩存技術改善性能。 Microsoft Windows 2000 Server支持三種類型的軟件RAID,在此作一些簡單描述: u RAID 0(條帶卷) RAID 0 也被稱為磁盤條帶技術,它主要用於提高性能,不屬於安全范疇,在此略過,有興趣的朋友可以參閱相關資料。 u RAID 1(鏡像卷) RAID 1 也被稱為磁盤鏡像技術,它是利用Windows 2000 Server的容錯驅動程序(Ftdisk.sys)來實現,采用這種方法,數據被同時寫入兩個磁盤中,如果一個磁盤失敗了,系統將自動用來自另一個磁盤中的數據繼續運行。采用這種方案,磁盤利用率僅有50%。 可以利用鏡像卷保護系統磁盤分區或引導磁盤分區,它具有良好的讀寫性能,比RAID 5 卷使用的內存少。 可以采用磁盤雙工技術更進一步增強鏡像卷的安全性,它不需要附加軟件支持和配置。(磁盤雙工技術:如果用一個磁盤控制器控制兩個物理磁盤,那麼當磁盤控制器發生故障,則兩個磁盤均不能訪問,而磁盤雙工技術是用兩個磁盤控制器控制兩個物理磁盤,當這兩個磁盤組成鏡像卷時更增強了安全性:即使一個磁盤控制器損壞,系統也能工作。) 鏡像卷可以包含任何分區,包括引導磁盤分區或系統磁盤分區,然而,鏡像卷中的兩個磁盤必須都是Windows 2000 的動態磁盤。 u RAID 5(帶有奇偶校驗的條帶卷) 在Windows 2000 Server中,對於容錯卷,RAID 5是目前運用最廣的一種方法,它至少需要三個驅動器,最多可以多達32個驅動器。Windows 2000 通過在RAID-5卷中的各個磁盤分區中添加奇偶校檢翻譯片來實現容錯功能。如果單個磁盤失敗了,系統可以利用奇偶信息和剩余磁盤中的數據來重建丟失的數據。 注:RAID-5卷不能保護系統磁盤和引導磁盤分區。 e. 嚴格監控系統啟動的服務 很多木馬或病毒程序都要在系統中創建一個後台服務或進程,我們應該經常檢查系統,一旦發現一些陌生的進程或服務,就要特別注意是否有木馬、病毒或間諜等危險軟件運行。作為網絡管理員,經常檢查系統進程和啟動選項是應該養成的一個經常習慣。這裡有一個對初級網絡管理員的建議:在操作系統和應用程序安裝完成後利用工具軟件(如Windows優化大師等軟件)導出一個系統服務和進程列表,以後經常用現有的服務和進程列表與以前導出的列表進行比較,一旦發現陌生進程或服務就要特別小心了。 3.2.4 網絡監測和鎖定控制 網絡管理員應對網絡實施監控,服務器應記錄用戶對網絡資源的訪問,對非法的網絡訪問,服務器應以圖形、文字或聲音等形式報警,以引起網絡管理員的注意。如果不法之徒試圖進入網絡,網絡服務器應會自動記錄企圖嘗試進入網絡的次數,如果非法訪問的次數達到設定數值,那麼該帳戶將被自動鎖定。 服務器允許在服務器控制台上執行一些如裝載和卸載管理模塊的操作,也可以進行安裝和刪除軟件等操作。網絡服務器的安全控制包括設置口令鎖定服務器控制台,以防止非法用戶修改、刪除重要服務組件或破壞數據;可以設定服務器登錄時間和時長、非法訪問者檢測和關閉的時間間隔。 3.2.5 防火牆控制 防火牆的概念來源於古時候的城堡防衛系統,古代戰爭中為了保護一座城市的安全,通常是在城市周圍挖出一條護城河,每一個進出城堡的人都要通過一個吊橋,吊橋上有守衛把守檢查。在設計現代網絡的時候,設計者借鑒了這一思想,設計出了現在我要介紹的網絡防火牆技術。 防火牆的基本功能是根據一定的安全規定,檢查、過濾網絡之間傳送的報文分組,以確定它們的合法性。它通過在網絡邊界上建立起相應的通信監控系統來隔離內外網絡,以阻止外部網絡的侵入。我們一般是通過一個叫做分組過濾路由器的設備來實現這個功能的,這個路由器也叫做篩選路由器。作為防火牆的路由器與普通路由器在工作機理上有較大的不同。普通路由器工作在網絡層,可以根據網絡層分組的IP地址決定分組的路由;而分組過濾路由器要對IP地址、TCP或UDP分組頭進行檢查與過濾。通過分組過濾路由器檢查過的報文還要進一步接受應用網關的檢查。因此,從協議層次模型的角度看,防火牆應覆蓋網絡層、傳輸層與應用層。 4.信息加密策略 加密是我們在 Intranet、Extranet 和 Internet上進行信息交換的安全基礎。加密主要用在三個地方:(1)、身份驗證,主要是使收件人確信發件人就是他或她所期望的那個人,而不是別人冒名;(2)、機密性,主要是確保只有預期的收件人才能夠閱讀所傳遞的信息;(3)、完整性,主要是確保郵件在傳輸過程中沒有發生不期望的更改。從加密的原理來看,加密是利用數學方法將信息轉換為不可讀格式從而達到保護數據的目的的一門科學。
如果按照收發雙方密鑰是否相同來分類,可以將加密分為對稱密鑰加密和非對稱密鑰加密。 4.1對稱加密:一個密鑰 也叫做機密密鑰加密或共享密鑰加密,發件人和收件人共用同一個密鑰,這個密鑰叫做機密密鑰(也稱為對稱密鑰或會話密鑰),它既用於加密,也用於解密。由於對稱密鑰加密在加密和解密時使用相同的密鑰,所以這種加密過程的安全性取決於是否有未經授權的人獲得了對稱密鑰。希望使用對稱密鑰加密通信的雙方,在交換加密數據之前必須先安全地交換密鑰。 對稱密鑰加密速度較快,主要用於加密大量數據。對稱密鑰加密的算法有許多種,都用可還原的方式將明文(未加密的數據)轉換為暗文。暗文使用加密密鑰編碼,對於沒有解密密鑰的任何人來說它都是一堆毫無意義的亂碼。 對稱算法可靠與否的關鍵是其密鑰的長度和復雜性。密鑰越長,在采用枚舉法破解密碼的時候需要測試的數據量就越多,所需要的時間也就越長。同樣,密鑰越復雜(也就是說密鑰包含的字符類型多)所需要測試的數據量也越大,時間也就越長,破解這種算法就越困難。有了好的加密算法和足夠長而復雜的密鑰,如果有人想在一段實際可行的時間內逆轉轉換過程,並從暗文中推導出明文,從計算的角度來講,這種做法是行不通的。 4.2公鑰加密:兩個密鑰 公鑰加密(也叫做不對稱密鑰)使用兩個數學上是相關聯的密鑰——一個私鑰和一個公鑰。在公鑰加密中,公鑰可在通信雙方之間公開傳遞,甚至對外發布,但相關的私鑰是保密的。只有使用私鑰才能解密用公鑰加密的數據。使用私鑰加密的數據只能用公鑰解密。 公鑰加密與對稱密鑰加密一樣,同樣有許多算法。公鑰算法是復雜的數學方程式,使用了非常大的數字,因而這種加密方式的速度相對較低,所以它一般僅在關鍵時候才使用公鑰算法,如在交換對稱密鑰或進行數字簽名時使用。 5.日志文件的重要性 Windows網絡操作系統都設計有各種各樣的日志文件,如應用程序日志,安全日志、系統日志、Scheduler服務日志、FTP日志、WWW日志、DNS服務器日志等等,這些根據你的系統開啟的服務的不同而有所不同。我們在系統上進行一些操作時,這些日志文件通常會記錄下我們操作的一些相關內容,這些內容對系統安全工作人員相當有用。比如說有人對系統進行了IPC探測,系統就會在安全日志裡迅速地記下探測者探測時所用的IP、時間、用戶名等,用FTP探測後,就會在FTP日志中記下IP、時間、探測所用的用戶名等。甚至你的系統裡什麼時候啟動或停止了某項服務,日志文件裡也會有相關情況的記錄。而優秀的黑客們在干盡壞事後往往會刪除對他(她)有記錄的日志。所以保護日志文件的安全也相關重要。 日志文件默認位置: 安全日志文件:%systemroot%\system32\config\SecEvent.EVT,默認文件大小512KB; 系統日志文件:%systemroot%\system32\config\SysEvent.EVT,默認文件大小512KB; 應用程序日志文件:%systemroot%\system32\config\AppEvent.EVT,默認文件大小512KB; DNS日志文件:%systemroot%\system32\config\DnsEvent.EVT,默認文件大小512KB; WWW日志默認位置:%systemroot%\system32\logfiles\w3svc1\,默認每天一個日志; FTP日志默認位置:%systemroot%\system32\logfiles\msftpsvc1\,默認每天一個日志; Scheduler服務日志默認
