新手該如何應對服務器安全維護 續
服務器安全維護技巧中,我們在以前的文章中已經介紹了三種,今天,我們繼續和大家分享另外幾種有效的技巧。
技巧一:考慮工作站的安全問題
在一個關于服務器安全的文章里談論工作站的安全看起來很奇怪。但是,工作站正是通向服務器的一個端口。加強工作站的安全能夠提高整個網絡的安全性。對于初學者,我建議在所有的工作站上使用Windows 2000.Windows 2000是一個非常安全的操作系統。如果你并不想這樣做,那么至少使用Windows NT.你可以鎖定工作站,使得一些沒有安全訪問權的人想要獲得網絡配置信息變得困難或是不可能。
另一個技術是控制哪個人能夠訪問哪臺工作站。例如,有一個員工叫Bob,并且你已經知道他是一個麻煩制造者。顯然,你不想Bob能夠在午餐的時候打開他朋友的電腦或是差上他自己的筆記本然后黑掉整個系統。因此,你應該使用工作組用戶管理程序還修改Bob的帳號以便他只能從他自己的電腦(并且是在你指定的時間內)登錄。Bob遠不太可能從他自己的電腦上攻擊網絡,因為他知道別人可以將他追查出來。
技巧二:給工作站和服務器合理分工
另一個技術是將工作站的功能限定為一個啞終端,或者,我沒有更好的詞語來形容,一個“聰明的”啞終端。總的來說,它的意思是沒有任何數據和應用程序駐留在獨立的工作站上。當你將計算機作為啞終端使用的時候,服務器被配置成運行Windows NT 終端服務程序,而且所有的應用程序物理上都運行在服務器上。所有送到工作站的東西都不過是更新的屏幕顯示而已。這意味著工作站上只有一個最小化的 Windows版本和一份微軟終端服務程序的客戶端。使用這種方法也許是最安全的網絡設計方案。
使用一個“聰明”的啞終端就是說程序和數據駐留在服務器上但卻在工作站上運行。所有安裝在工作站上的是一份Windows拷貝以及一些指向駐留在服務器上的應用程序的圖標。當你點擊一個圖標運行程序時,這個程序將使用本地的資源來運行,而不是消耗服務器的資源。這比你運行一個完全的啞終端程序對服務器造成的壓力要小得多。
微軟雇傭了一個程序員團隊來檢查安全漏洞并修補它們。有時,這些補丁被捆綁進一個大的軟件包并作為服務包(service pack)發布。通常有兩種不同的補丁程序版本:一個任何人都可以使用的40位的版本和一個只能在美國和加拿大使用的128位的版本。128位的版本使用 128位的加密算法,比40位的版本要安全得多。如果你現在還在使用40位的服務包并且生活在美國或是加拿大,我強烈建議你下載128位的版本。
有時一個服務包的發布也許要等上好幾個月--很明顯的,當一個大的安全漏洞被發現的時候,只要有可能修補它,你就不想再等下去。好在你并不需要等待。微軟定期將重要的補丁程序發布在它的FTP站點上。這些熱點補丁程序是自上一次服務包發布以后被公布的安全修補程序。我建議你經常查看熱點補丁。記住你一定要按邏輯順序使用這些補丁。如果你以錯誤的順序使用它們,結果可能導致一些文件的版本錯誤,Windows也可能停止工作。
技巧三:使用一個強有力的安全政策
要提高安全性,另一個你可以做的工作就是制定一個好的,強有力的安全策略。確保每一個人都知道它并知道它是強制執行的。這樣的一個政策需要包括對一個在公司機器上下載未授權的軟件的員工的嚴厲懲罰。
如果你使用Windows 2000 Server,你就有可能指定用戶特殊的使用權限來使用你的服務器而不需要交出管理員的控制權。一個好的用法就是授權人力資源部來刪除和禁用一個帳號。這樣,人力資源部就可以在一個行將走人的員工知道自己將被解雇以前就刪除或是禁用他的用戶帳號。這樣,不滿的員工就不會有機會來攪亂公司的系統了。同時,使用特殊用戶權限,你就可以授予這種刪除和禁用帳號權限并限制創建用戶或是更改許可等這些活動的權限了。
試一試免費的TechProGuild吧! 如果你覺得這篇文章有用,可以看看TechRepublic的TechProGuild注冊資源,它提供有深度的技術文章,覆蓋了一些IT的主題,包括 Windows服務器和客戶端平臺,Linux,疑難解答問題,和數字網絡項目的難點,以及NetWare.擁有一個TechProGuild的帳戶,你還可以在線閱讀流行的IT工業書籍的全文。點擊這里注冊享受30天免費的TechProGuild試用期。
技巧四:檢查防火墻設置
我們的最后一個技巧包括仔細檢查你防火墻的設置。你的防火墻是網絡的一個重要部分因為它將你公司的計算機同互聯網上那些可能對它們造成損壞的蠱惑仔們隔離開來。
你首先要做的事情是確保防火墻不會向外界開放超過必要的任何IP地址。你總是至少要讓一個IP地址對外界可見。這個IP地址被使用來進行所有的互聯網通訊。如果你還有DNS注冊的Web服務器或是電子郵件服務器,它們的IP地址也許也要通過防火墻對外界可見。但是,工作站和其他服務器的IP地址必須被隱藏起來。
你還可以查看端口列表驗證你已經關閉了所有你并不常用的端口地址。例如,TCP/IP 端口80用于HTTP通訊,因此你可能并不想堵掉這個端口。但是,你也許永遠都不會用端口81因此它應該被關掉。你可以在Internet上找到每個端口使用用途的列表。
服務器的安全問題是一個大問題。你不希望緊要的數據被病毒或是黑客破壞或是被一個可能用這些數據來對付你的人竊取。在以前的文章再加上本次介紹的共7個技巧中你應該在下一次安全審查中注意的地方。
【編輯推薦】
