企業中心機房的服務器是越來越多了，不僅維護麻煩，更何況面臨著嚴峻的安全考驗。所謂“牽一發而動全身”，試想主域服務器、ERP服務器、代理服務器、郵件服務器Web服務器等，隨便哪個癱掉了，都可能給整個公司的運轉帶來不小的影響。打造安全、穩定、高效的服務器是管理者的主要任務。本文筆者將和大家分享在服務器安全方面的經驗，希望對你有幫助。

1.殺毒軟件

這個部分不用多說，服務器不裝殺毒軟件的危險性可想而之。假如一臺文件服務器中毒，那么通過它進行數據中轉的很多電腦都可能被感染。所以，給服務器安裝殺毒軟件是必須的，最好使用專門為服務器設計的專業殺毒軟件。(圖1)

2.服務分屬

一般來說，公司內的服務通常有AD活動目錄服務、DHCP眼務、DNS服務、文件服務、郵件服務、ERP服務、WSUS服務、IIS網站服務、代理服務等，還會有oA服務、傳真服務、FTP服務等。理論上，這些服務都應該使用單獨的服務器，但是有時為了方便管理，

會在一臺服務器上同時安裝兩項甚至多項服務。

這是不可取的。例如，很多公司都在使用IIS作為網站服務器。但是眾所周之，IIS是微軟的組件中漏洞最多的一個，隔一段時間就會公布一個漏洞，很多攻擊者都回通過CGI漏洞掃描器進行破壞、攻擊。如果將主域或者其他關鍵服務器和IIS做到一一起，就相當于把內部資料完全暴露在入侵者面前。另外，單一服務器提供多項服務也會增大服務器的自身壓力，速度緩慢或者其他稀奇古怪的病癥都可能發生。所以，筆者還是建議將服務分屬開來，實行單一化。(圖2)

3.分區格式

服務器的分區格式基本上都是NTFS的，主要是因為它具有強大的安全控制機制，對大硬盤的支持功能也是FAT32無法比擬的。如果硬盤分區是FAT32格式，就轉換一下吧，

只需使用命令：Convert c:fs:ntfs，就可以將c盤轉換成NTFS格式。不過，用這種轉換方式有一點弊端，就是轉換后安裝Windows補丁時會出現藍屏現象。如果有時問和精力，最好重裝一下系統，在安裝時將分區格式化成NTFS格式，這才是上上之選。(圖3)

4.用戶賬戶

服務器安裝初期有一部分賬戶默認狀態是被開啟的，這些賬戶很多都是沒用的，甚至其存在本身就是對系統安全的威脅，比如Guest賬戶。這個賬戶被黑客運用得淋漓盡致，很多工具能輕易地將Guest賬戶提升到管理員組，一旦被攻破整個網絡也就沒有任何系統安全性可言了。所以賬戶及密碼要嚴防死守，最好做到如下幾點：

(1).關閉Guest賬戶。

(2).更改Administrator賬戶的名稱，最好使用不易暴露目標的普通名稱，同時再建立一兩個管理員賬戶，以便不時之需，但是這些賬戶的權限要嚴格控制，非必要時不要將整個服務器予以授權。

(3).鑒于暴力破解密碼的手段和速度都有所提高，密碼復雜度一定要高，最好是十位以上，且同時包含字母、數字、特殊字符。

(4).每兩周或一個月更改一次密碼，更改的同時在日志中審核賬戶，檢測賬戶密碼是否被惡意嘗試突破，并在賬號屬性中設立鎖定次數，賬號失敗登錄次數超過三次就鎖定。

這些操作很簡，但是要長年累月地堅持下來，就不是每個人都能做到的了。但是，不出問題還好，一旦出了問題，賬戶、密碼的丟失會對整個網絡系統產生致命打擊。(圖4)
　　

5.相關端口

端口是服務器和客戶機相連的邏輯接口，也是服務器的第一道路徑，端口的安全性直接影響到服務器的安全。比如掃描結果顯示69端口開放，那你的操作系統極有可能是Linux或者Unix系統，黑客們就會拋棄Windows模式而轉為Unix系統模式發起攻擊。所以，根據需求僅打開服務使用的端口，會更加安全。(圖5)
　　

[[6253]]

6.安全審核

服務器的審核非常關鍵，通過審核日志，網管能輕松找出系統入侵行為、異常動向等相關信息。但是審核是有技巧的，審核項目過多會占用很多系統資源而且會導致網管根本沒空去看，審核項目過少又無法得知自己需要的相關信息，那樣的審核沒有意義。所以，需要根據服務器需求設定審核的項目。

比如，提供遠程服務的Terminal Service服務器，一般來說，我們只要審核登錄、注銷事件即可，目的只是查看是否有人非法登錄。再比如，提供郵箱服務的Exchange服務器，需要監視和審核的是收件人、發件人、時間、過濾附件這幾項。如果有病毒在服務器中轉，通過監視記錄非常容易找出來。當然，為了減輕服務器負擔以及便于管理員查看每臺服務器只記錄比較銘感的信息。(圖6)

[[6254]]

7.權限配置

這里說的“權限配置” 主要是文件服務器、Web服務器的權限。對于公司來講，為了分工合作，很多資源需要讀寫共享。“讀共享” 還好說，服務器不會感染病毒，而“寫權限” 就不是那么容易控制的了，一旦客戶端中毒，此機器訪問某共享文件夾時很可能將病毒同時寫入服務器。這種病毒入侵只能依靠殺毒軟件來被動檢測，但作為網管，主動一點的防御措施還是很有必要的。

(1).盡可能用“組” 來進行權限控制。

(2).在用戶需求基礎上，盡可能分配最小的權限。

(3).權限是累計效應的，隸屬多個組，盡量不重復授權。

(4).由于拒絕的權限要比允許的權限高，所以要善用拒絕權限，任何一個不合理的拒絕都有可能造成共享無法正常運行。(圖7)
　　

[[6255]]

8.關閉共享資源

除了文件服務器外，幾乎所有的服務器都不需要共享資源。因此，為了防止不法分子利用共享發起攻擊，最好關閉所用共享選項：

(1).打開“本地連接” 屬性窗口，將“Microsoft網絡的文件和打印機共享”項去掉。

(2).關閉默認共享。

(3).關閉Server這項共享服務。

關閉這些網絡共享途徑，不法分子就不能通過共享的文件來入侵服務器了，少了一種入侵手段，安全性自然要有所提高。還有，不需要的功能和協議也應盡可能關閉或禁用。比如：大量的ICMP數據包會形成“ICMP風暴”，造成網絡堵塞，受到流量攻擊，“ICMP路由公告” 可以造成客戶機與服務器的網絡連接異常，數據被竊聽、盜竊。可以通過修改注冊表來防止ICMP重定向報文的攻擊，禁止響應ICMP路由通告報文。

另外，刪除NetBEUI和即將退出歷史舞臺的IPX/PX協議，也將在很大程度上保護服務器的安全。原則上，服務器只要能提供相應服務，所用的東西能少就少。(圖8)　　

9.加強數據備份

域賬戶數據、內網郵箱賬戶數據、外網郵箱賬戶數據、ERP資源數據，這些數據不用多說大家也知道它們的重要性吧，保證數據安全就要對這些數據加大備份強度。筆者建議，每天做增量備份，每星期做全盤備份，每個月檢測數據備份是否完善。當數據到達指定大小時刻錄光盤，并制作冗余光盤，防止數據因保存不當丟失。關鍵的數據盡可能做冗余備份，成本不會增加很多，但是數據安全性卻能大大提高。(圖9)

10.保留地址

服務器的地址要有完全的受控性和永久不被侵占性，這就要保留一部分地址只供服務器使用。比如，在DHCP地址池中劃分出相應的IP地址作為保留地址，然后將這些IP地址和對應服務器的MAC地址綁定。這樣，即便是客戶機非法使用該IP地址，也無法進行網絡訪問。(圖10)

總結：服務器的安全是個系統工程，任何一個方面的隱患或者疏忽將會使整個防御體系告破。因此，全方位地做好服務器的安全部署是必要的也是必須的。

【編輯推薦】

1. 從入侵者角度談服務器安全基本配置(Windows環境)
2. 如何增強Linux和Unix服務器系統安全性
3. 解析：服務器安全的三大紀律