伺服器安全維護技巧之「七劍」篇

仲介交易 SEO診斷 淘寶客 雲主機 技術大廳

你的電腦上是否存在有至關重要的資料，並且不希望它們落入惡人之手呢?當然，它們完全有這種可能 。 而且，近些年來，伺服器遭受的風險也比以前更大了。 越來越多的病毒，心懷不軌的駭客，以及那些商業間諜都將伺服器作為了自己的目標。 很顯然，伺服器的安全問題是不容忽視的。

不可能僅僅在一篇文章中就講述完所有的電腦安全性方面的問題。 畢竟，關於這個主題已經有無數的圖書在討論了。 我下面所要做的就是告訴你七個維護你伺服器安全的技巧。

「第一劍」:從基本做起

我知道這聽起來像是廢話，但是當我們談論網路伺服器的安全的時候，我所能給你的最好的建議就是不要做門外漢。 當駭客開始對你的網路發起攻擊的時候，他們首先會檢查是否存在一般的安全性漏洞，然後才會考慮難度更加高一點的突破安全系統的手段。 因此，比方說，當你伺服器上的資料都存在於一個FAT的磁碟分割的時候，即使安裝上世界上所有的安全軟體也不會對你有多大説明的。

因為這個原因，你需要從基本做起。 你需要將伺服器上所有包含了敏感性資料的磁碟分割都轉換成NTFS格式的。 同樣，你還需要將所有的反病毒軟體及時更新。 我建議你同時在伺服器和桌面終端上運行反病毒軟體。 這些軟體還應該配置成每天自動下載最新的病毒資料庫檔案。 你還更應該知道，可以為Exchange Server安裝反病毒軟體。 這個軟體掃描所有流入的電子郵件，尋找被感染了的附件，當它發現一個病毒時，會自動將這個被感染的郵件在到達使用者以前隔離起來。

另一個保護網路的好方法是以使用者待在公司裡的時間為基礎限定他們訪問網路的時間。 一個通常在白天工作的臨時員工不應該被允許在臨晨三點的時候訪問網路，除非那個員工的主管告訴你那是出於一個特殊專案的需要。

最後，記住使用者在訪問整個網路上的任何東西的時候都需要密碼。 必須強迫大家使用高強度的由大小寫字母，數位和特殊字元組成的密碼。 在Windows NT Server資源包裡有一個很好的用於這個任務的工具。 你還應該經常將一些過期密碼作廢並更新還要要求使用者的密碼不得少於八個字元。 如果你已經做了這所有的工作但還是擔心密碼的安全，你可以試一試從互聯網下載一些駭客工具然後自己找出這些密碼到底有多安全。

在這裡我給大家推薦幾個伺服器與網站安全技術交流群：：①27805343 ②84814264 ③75927060 ④84815626 ⑤84815663 ⑥40702240 超級群(17696688)

「第二劍」:保護你的備份

每一個好的網路系統管理員都知道每天都備份網路伺服器並將磁帶記錄遠離現場進行保護以防意外災害。 但是，安全的問題遠不止是備份那麼簡單。 大多數人都沒有意識到，你的備份實際上就是一個巨大的安全性漏洞。

要理解這是為什麼，試想一下，大多數的備份工作都是在大約晚上10:00或是11:00的時候開始的。 整個備份的過程通常是在半夜的時候結束，這取決於你有多少資料要備份。 現在，想像一下，時間已經到了早晨四點，你的備份工作已經結束。 但是，沒有什麼東西能夠阻止一些人偷走你磁帶記錄上的資料並將它們在自己家中或是你競爭對手辦公室裡的一台伺服器上恢復它們。

不過，你可以阻止這種事情的發生。 首先，可以通過密碼保護你的磁帶並且如果你的備份程式支援加密功能，你還可以加密這些資料。 其次，你可以將備份程式完成工作的時間定在你早晨上班的時間。 這樣的話，即使有人前一天半夜想要溜進來偷走磁帶的話，他們也會因為磁帶正在使用而無法得逞。 如果竊賊還是把磁帶彈出來帶走的話，磁帶上的資料也就毫無價值了。

「第三劍」：對RAS使用回叫功能

Windows NT最酷的功能之一就是對伺服器進行遠端存取(RAS)的支援。 不幸的是，一個RAS伺服器對一個企圖進入你的系統的駭客來說是一扇敞開的大門。 駭客們所需要的一切只是一個電話號碼，有時還需要一點耐心，然後就能通過RAS進入一台主機了。 但你可以採取一些方法來保證RAS伺服器的安全。

你所要使用的技術將在很大程度上取決於你的遠端使用者如何使用RAS。 如果遠端使用者經常是從家裡或是類似的不太變動的地方呼叫主機，我建議你使用回叫功能，它允許遠端使用者登錄以後切斷連接。 然後RAS伺服器撥通一個預先定義的電話號碼再次接通使用者。 因為這個號碼是預先設定了的，駭客也就沒有機會設定伺服器回叫的號碼了。

另一個可選的辦法是限定所有的遠端使用者都訪問單一的伺服器。 你可以將使用者通常訪問的資料放置在RAS伺服器的一個特殊的共用點上。 你於是可以將遠端使用者的訪問限制在一台伺服器上，而不是整個網路。 這樣，即使駭客通過破壞手段來進入主機，那麼他們也會被隔離在單一的一台機器上，在這裡，他們造成的破壞被減少到了最小。

最後還有一個技巧就是在你的RAS伺服器上使用出人意料的協定。 我知道的每一個人都使用TCP/IP協定作為RAS協定。 考慮到TCP/IP協定本身的性質和典型的用途，這看起來像是一個合理的選擇。 但是，RAS還支援IPX/SPX和NetBEUI協定。 如果你使用NetBEUI作為你RAS的協定，你確實可以迷惑一些不加提防的駭客。

「第四劍」：考慮工作站的安全問題

在一個關於伺服器安全的文章裡談論工作站的安全看起來很奇怪。 但是，工作站正是通向伺服器的一個埠。 加強工作站的安全能夠提高整個網路的安全性。 對於初學者，我建議在所有的工作站上使用Windows 2000。 Windows 2000是一個非常安全的作業系統。 如果你並不想這樣做，那麼至少使用Windows NT。 你可以鎖定工作站，使得一些沒有安全訪問權的人想要獲得網路設定資訊變得困難或是不可能。

另一個技術是控制哪個人能夠訪問哪台工作站。 例如，有一個員工叫Bob，並且你已經知道他是一個麻煩製造者。 顯然，你不想Bob能夠在午餐的時候打開他朋友的電腦或是差上他自己的筆記本然後黑掉整個系統。 因此，你應該使用工作組使用者管理程式還修改Bob的帳號以便他只能從他自己的電腦(並且是在你指定的時間內)登錄。 Bob遠不太可能從他自己的電腦上攻擊網路，因為他知道別人可以將他追查出來。

另一個技術是將工作站的功能限定為一個啞終端，或者，我沒有更好的詞語來形容，一個"聰明的"啞終端。 總的來說，它的意思是沒有任何資料和應用程式駐留在獨立的工作站上。 當你將電腦作為啞終端使用的時候，伺服器被配置成運行Windows NT 終端服務程式，而且所有的應用程式物理上都運行在伺服器上。 所有送到工作站的東西都不過是更新的螢幕顯示而已。 這意味著工作站上只有一個最小化的Windows版本和一份微軟終端服務程式的用戶端。 使用這種方法也許是最安全的網路設計方案。

使用一個"聰明"的啞終端就是說程式和資料駐留在伺服器上但卻在工作站上運行。 所有安裝在工作站上的是一份Windows拷貝以及一些指向駐留在伺服器上的應用程式的圖示。 當你點擊一個圖示運行程式時，這個程式將使用本地的資源來運行，而不是消耗伺服器的資源。 這比你運行一個完全的啞終端程式對伺服器造成的壓力要小得多。

「第五劍」：使用流行的補丁程式

微軟雇傭了一個程式師團隊來檢查安全性漏洞並修補它們。 有時，這些補丁被捆綁進一個大的套裝軟體並作為服務包(service pack)發佈。 通常有兩種不同的補丁程式版本:一個任何人都可以使用的40位的版本和一個只能在美國和加拿大使用的128位的版本。 128位的版本使用128位的加密演算法，比40位的版本要安全得多。 如果你現在還在使用40位的服務包並且生活在美國或是加拿大，我強烈建議你下載128位的版本。

有時一個服務包的發佈也許要等上好幾個月--很明顯的，當一個大的安全性漏洞被發現的時候，只要有可能修補它，你就不想再等下去。 好在你並不需要等待。 微軟定期將重要的補丁程式發佈在它的FTP網站上。 這些熱點補丁程式是自上一次服務包發佈以後被公佈的安全修補程式。 我建議你經常查看熱點補丁。 記住你一定要按邏輯順序使用這些補丁。 如果你以錯誤的順序使用它們，結果可能導致一些檔的版本錯誤，Windows也可能停止工作。

「第六劍」：使用一個強有力的安全政策

要提高安全性，另一個你可以做的工作就是制定一個好的，強有力的安全性原則。 確保每一個人都知道它並知道它是強制執行的。 這樣的一個政策需要包括對一個在公司機器上下載未授權的軟體的員工的嚴厲懲罰。

如果你使用Windows 2000 Server，你就有可能指定使用者特殊的使用許可權來使用你的伺服器而不需要交出管理員的控制權。 一個好的用法就是授權人力資源部來刪除和禁用一個帳號。 這樣，人力資源部就可以在一個行將走人的員工知道自己將被解雇以前就刪除或是禁用他的使用者帳號。 這樣，不滿的員工就不會有機會來攪亂公司的系統了。 同時，使用特殊使用者許可權，你就可以授予這種刪除和禁用帳號許可權並限制創建使用者或是更改許可等這些活動的許可權了。

試一試免費的TechProGuild吧! 如果你覺得這篇文章有用，可以看看TechRepublic的TechProGuild註冊資源，它提供有深度的技術文章，覆蓋了一些IT的主題，包括Windows伺服器和用戶端平臺，Linux，疑難排解問題， 和數位網路專案的難點，以及NetWare。 擁有一個TechProGuild的帳戶，你還可以線上閱讀流行的IT工業書籍的全文。 點擊這裡註冊享受30天免費的TechProGuild試用期。

「第七劍」反復檢查你的防火牆

我們的最後一個技巧包括仔細檢查你防火牆的設置。 你的防火牆是網路的一個重要部分因為它將你公司的電腦同互聯網上那些可能對它們造成損壞的蠱惑仔們隔離開來。

你首先要做的事情是確保防火牆不會向外界開放超過必要的任何IP位址。 你總是至少要讓一個IP位址對外界可見。 這個IP位址被使用來進行所有的互聯網通訊。 如果你還有DNS註冊的Web伺服器或是電子郵件伺服器，它們的IP位址也許也要通過防火牆對外界可見。 但是，工作站和其他伺服器的IP位址必須被隱藏起來。

你還可以查看埠清單驗證你已經關閉了所有你並不常用的埠位址。 例如，TCP/IP 埠80用於HTTP通訊，因此你可能並不想堵掉這個埠。 但是，你也許永遠都不會用埠81因此它應該被關掉。 你可以在Internet上找到每個埠使用用途的清單。

結論：

伺服器的安全問題是一個大問題。 你不希望緊要的資料被病毒或是駭客破壞或是被一個可能用這些資料來對付你的人竊取。 在本文中的最後，我還想給大家說一個簡單易行的方法，就是如果你自己沒法搞定，可以找朋友幫忙的，網上有很多這樣的技術支援，比如HTTP://safe.admin5.com (很專業的伺服器代維小組)等，這裡我就不多說了， 以免有推廣之嫌啊!