技巧一:從基本做起
我知道這聽起來象是廢話,但是當我們談論網絡服務器的安全的時候,我所能給你的最好的建議就是不要做門外漢。當黑客開始對你的網絡發起攻擊的時 候,他們首先會檢查是否存在一般的安全漏洞,然後才會考慮難度更加高一點的突破安全系統的手段。因此,比方說,當你服務器上的數據都存在於一個FAT的磁 盤分區的時候,即使安裝上世界上所有的安全軟件也不會對你有多大幫助的。
因為這個原因,你需要從基本做起。你需要將服務器上所有包含了敏感數據的磁盤分區都轉換成NTFS格式的。同樣,你還需要將所有的反病毒軟件及 時更新。我建議你同時在服務器和桌面終端上運行反病毒軟件。這些軟件還應該配置成每天自動下載最新的病毒數據庫文件。你還更應該知道,可以為 Exchange Server安裝反病毒軟件。這個軟件掃描所有流入的電子郵件,尋找被感染了的附件,當它發現一個病毒時,會自動將這個被感染的郵件在到達用戶以前隔離起 來。
另一個保護網絡的好方法是以用戶待在公司裡的時間為基礎限定他們訪問網絡的時間。一個通常在白天工作的臨時員工不應該被允許在臨晨三點的時候訪問網絡,除非那個員工的主管告訴你那是出於一個特殊項目的需要。
最後,記住用戶在訪問整個網絡上的任何東西的時候都需要密碼。必須強迫大家使用高強度的由大小寫字母,數字和特殊字符組成的密碼。在 Windows NT Server資源包裡有一個很好的用於這個任務的工具。你還應該經常將一些過期密碼作廢並更新還要要求用戶的密碼不得少於八個字符。如果你已經做了這所有 的工作但還是擔心密碼的安全,你可以試一試從互聯網下載一些黑客工具然後自己找出這些密碼到底有多安全。
技巧二:保護你的備份
每一個好的網絡管理員都知道每天都備份網絡服務器並將磁帶記錄遠離現場進行保護以防意外災害。但是,安全的問題遠不止是備份那麼簡單。大多數人都沒有意識到,你的備份實際上就是一個巨大的安全漏洞。 電腦入門到精通網
要理解這是為什麼,試想一下,大多數的備份工作都是在大約晚上10:00或是11:00的時候開始的。整個備份的過程通常是在半夜的時候結束, 這取決於你有多少數據要備份。現在,想象一下,時間已經到了早晨四點,你的備份工作已經結束。但是,沒有什麼東西能夠阻止一些人偷走你磁帶記錄上的數據並 將它們在自己家中或是你競爭對手辦公室裡的一台服務器上恢復它們。
不過,你可以阻止這種事情的發生。首先,可以通過密碼保護你的磁帶並且如果你的備份程序支持加密功能,你還可以加密這些數據。其次,你可以將備 份程序完成工作的時間定在你早晨上班的時間。這樣的話,即使有人前一天半夜想要溜進來偷走磁帶的話,他們也會因為磁帶正在使用而無法得逞。如果竊賊還是把 磁帶彈出來帶走的話,磁帶上的數據也就毫無價值了。
技巧三:對RAS使用回叫功能
Windows NT最酷的功能之一就是對服務器進行遠程訪問(RAS)的支持。不幸的是,一個RAS服務器對一個企圖進入你的系統的黑客來說是一扇敞開的大門。黑客們所 需要的一切只是一個電話號碼,有時還需要一點耐心,然後就能通過RAS進入一台主機了。但你可以采取一些方法來保證RAS服務器的安全。
你所要使用的技術將在很大程度上取決於你的遠程用戶如何使用RAS。如果遠程用戶經常是從家裡或是類似的不太變動的地方呼叫主機,我建議你使用 回叫功能,它允許遠程用戶登錄以後切斷連接。然後RAS服務器撥通一個預先定義的電話號碼再次接通用戶。因為這個號碼是預先設定了的,黑客也就沒有機會設 定服務器回叫的號碼了。
另一個可選的辦法是限定所有的遠程用戶都訪問單一的服務器。你可以將用戶通常訪問的數據放置在RAS服務器的一個特殊的共享點上。你於是可以將 遠程用戶的訪問限制在一台服務器上,而不是整個網絡。這樣,即使黑客通過破壞手段來進入主機,那麼他們也會被隔離在單一的一台機器上,在這裡,他們造成的 破壞被減少到了最小。
最後還有一個技巧就是在你的RAS服務器上使用出人意料的協議。我知道的每一個人都使用 TCP/IP協議作為RAS協議。考慮到TCP/IP協議本身的性質和典型的用途,這看起來象是一個合理的選擇。但是,RAS還支持IPX/SPX和 NetBEUI協議。如果你使用NetBEUI作為你RAS的協議,你確實可以迷惑一些不加提防的黑客。
技巧四:考慮工作站的安全問題
在一個關於服務器安全的文章裡談論工作站的安全看起來很奇怪。但是,工作站正是通向服務器的一個端口。加強工作站的安全能夠提高整個網絡的安全 性。對於初學者,我建議在所有的工作站上使用Windows 2000。Windows 2000是一個非常安全的操作系統。如果你並不想這樣做,那麼至少使用Windows NT。你可以鎖定工作站,使得一些沒有安全訪問權的人想要獲得網絡配置信息變得困難或是不可能。
另一個技術是控制哪個人能夠訪問哪台工作站。例如,有一個員工叫Bob,並且你已經知道他是一個麻煩制造者。顯然,你不想Bob能夠在午餐的時 候打開他朋友的電腦或是差上他自己的筆記本然後黑掉整個系統。因此,你應該使用工作組用戶管理程序還修改Bob的帳號以便他只能從他自己的電腦(並且是在 你指定的時間內)登錄。Bob遠不太可能從他自己的電腦上攻擊網絡,因為他知道別人可以將他追查出來。
技巧五:給工作站和服務器合理分工
另一個技術是將工作站的功能限定為一個啞終端,或者,我沒有更好的詞語來形容,一個聰明的啞終端。總的來說,它的意思是沒有任何數據和應用程序 駐留在獨立的工作站上。當你將計算機作為啞終端使用的時候,服務器被配置成運行Windows NT 終端服務程序,而且所有的應用程序物理上都運行在服務器上。所有送到工作站的東西都不過是更新的屏幕顯示而已。這意味著工作站上只有一個最小化的 Windows版本和一份微軟終端服務程序的客戶端。使用這種方法也許是最安全的網絡設計方案。 使用一個聰明的啞終端就是說程序和數據駐留在服務器上但卻在工作站上運行。所有安裝在工作站上的是一份Windows拷貝以及一些指向駐留在服 務器上的應用程序的圖標。當你點擊一個圖標運行程序時,這個程序將使用本地的資源來運行,而不是消耗服務器的資源。這比你運行一個完全的啞終端程序對服務 器造成的壓力要小得多。
微軟雇傭了一個程序員團隊來檢查安全漏洞並修補它們。有時,這些補丁被捆綁進一個大的軟件包並作為服務包(service pack)發布。通常有兩種不同的補丁程序版本:一個任何人都可以使用的40位的版本和一個只能在美國和加拿大使用的128位的版本。128位的版本使用 128位的加密算法,比40位的版本要安全得多。如果你現在還在使用40位的服務包並且生活在美國或是加拿大,我強烈建議你下載128位的版本。
有時一個服務包的發布也許要等上好幾個月很明顯的,當一個大的安全漏洞被發現的時候,只要有可能修補它,你就不想再等下去。好在你並不需要等 待。微軟定期將重要的補丁程序發布在它的FTP站點上。這些熱點補丁程序是自上一次服務包發布以後被公布的安全修補程序。我建議你經常查看熱點補丁。記住 你一定要按邏輯順序使用這些補丁。如果你以錯誤的順序使用它們,結果可能導致一些文件的版本錯誤,Windows也可能停止工作。
技巧六:使用一個強有力的安全政策
要提高安全性,另一個你可以做的工作就是制定一個好的,強有力的安全策略。確保每一個人都知道它並知道它是強制執行的。這樣的一個政策需要包括對一個在公司機器上下載未授權的軟件的員工的嚴厲懲罰。
如果你使用Windows 2000 Server,你就有可能指定用戶特殊的使用權限來使用你的服務器而不需要交出管理員的控制權。一個好的用法就是授權人力資源部來刪除和禁用一個帳號。這 樣,人力資源部就可以在一個行將走人的員工知道自己將被解雇以前就刪除或是禁用他的用戶帳號。這樣,不滿的員工就不會有機會來攪亂公司的系統了。同時,使 用特殊用戶權限,你就可以授予這種刪除和禁用帳號權限並限制創建用戶或是更改許可等這些活動的權限了。
試一試免費的 TechProGuild吧! 如果你覺得這篇文章有用,可以看看TechRepublic的TechProGuild注冊資源,它提供有深度的技術文章,覆蓋了一些IT的主題,包括 Windows服務器和客戶端平台,Linux,疑難解答問題,和數字網絡項目的難點,以及NetWare。擁有一個TechProGuild的帳戶,你 還可以在線閱讀流行的IT工業書籍的全文。點擊這裡注冊享受30天免費的TechProGuild試用期。
技巧七:檢查防火牆設置
我們的最後一個技巧包括仔細檢查你防火牆的設置。你的防火牆是網絡的一個重要部分因為它將你公司的計算機同互聯網上那些可能對它們造成損壞的蠱惑仔們隔離開來。
你首先要做的事情是確保防火牆不會向外界開放超過必要的任何IP地址。你總是至少要讓一個IP地址對外界可見。這個IP地址被使用來進行所有的 互聯網通訊。如果你還有DNS注冊的Web服務器或是電子郵件服務器,它們的IP地址也許也要通過防火牆對外界可見。但是,工作站和其他服務器的IP地址 必須被隱藏起來。
你還可以查看端口列表驗證你已經關閉了所有你並不常用的端口地址。例如,TCP/IP 端口80用於HTTP通訊,因此你可能並不想堵掉這個端口。但是,你也許永遠都不會用端口81因此它應該被關掉。你可以在Internet上找到每個端口使用用途的列表。