保證伺服器安全的七個技巧
你的伺服器上是否存有一些不能隨意公開的重要資料呢?當然有吧?而最近,偏偏伺服器遭受的風險又特別大,越來越多的病毒、心懷不軌的黑客,以及那些商業間諜都將伺服器當作目標。很顯然,伺服器的安全問題一刻都忽視不得。
不可能在一篇文章中談遍電腦安全問題,畢竟,市面上的已有許多這方面的書籍,不過,我倒是可以告訴你七個維護伺服器安全的技巧。
技巧一:從基本做起
另乙個保護網路的好方法是依員工上班時間來限定使用者登入網路的許可權。例如,上白天班的員工不該有許可權在三更半夜登入網路。
技巧二:保護備份
大多數人都沒有意識到,備份本身就是乙個巨大的安全漏洞,怎麼說呢?試想,大多數的備份工作多在晚上10點或11點開始,依資料多寡,備份完成後大概也是夜半時分了。現在,想像一下,現在是凌晨四點,備份工作已經結束。有心人士正好可趁此時偷走備份磁碟,並在自己家中或是你競爭對手辦公室裡的伺服器上恢復。不過,你可以阻止這種事情發生。首先,你可利用密碼保護你的磁碟,若你的備份程式支援加密功能,你還可以將資料進行加密。其次,你可以將備份完成的時間定在你早上進辦公室的時間,這樣的話,即使有人半夜想溜進來偷走磁碟的話也無法了,因為磁碟正在使用中;如果竊賊強行把磁碟拿走,他一樣無法讀取那些損毀的資料。
技巧三:使用ras的回撥功能
windows nt最酷的功能之一就是支援伺服器遠端訪問(ras),不幸的是,ras伺服器對黑客來說實在太方便了,他們只需要乙個**號碼、一點耐心,然後就能通過ras進入主機。不過你可以採取一些方法來保護ras伺服器的安全。
你所採用的技術主要端賴於遠端訪問者的工作方式。如果遠端使用者經常是從家裡或是固定的地方上網,建議你使用回撥功能,它允許遠端使用者登入後即結束通話,然後ras伺服器會呼出缺省的**號碼接通使用者,因為此一**號碼已經預先在程式中了,黑客也就沒有機會指定伺服器回撥的號碼了。
另乙個辦法是限定遠端使用者只能訪問單一伺服器。你可以將使用者經常使用到的資料複製到ras伺服器的乙個特殊共用點上,再將遠端使用者的登入限制在一台伺服器上,而非整個網路。如此一來,即使黑客入侵主機,他們也只能在單一機器上作怪,間接達到減少破壞的程度。
最後還有乙個技巧就是在ras伺服器上使用「另類」網路協議。很都以tcp/ip協議當作ras協議。利用tcp/ip協議本身的性質與接受程度,如此選擇相當合理,但是ras還支援ipx/spx和netbeui協議,如果你使用netbeui當作ras協議,黑客若一時不察鐵定會被搞得暈頭轉向。
技巧四:考慮工作站的安全問題
在伺服器安全的文章裡提及工作站安全感覺似乎不太搭邊,但是,工作站正是進入伺服器的大門,加強工作站的安全能夠提高整體網路的安全性。對於初學者,建議在所有工作站上使用windows 2000。windows 2000是乙個非常安全的作業系統,如果你沒有windows 2000,那至少使用windows nt。如此你便能將工作站鎖定,若沒有許可權,一般人將很難取得網路配置資訊。
另乙個技巧是限制使用者只能從特定工作站登入。還有一招是將工作站當作簡易型的終端機(dumb terminal)或者說,智慧型的簡易終端機。換言之,工作站上不會存有任何資料或軟體,當你將電腦當作dumb terminal使用時,伺服器必須執行windows nt 終端服務程式,而且所有應用程式都只在伺服器上運作,工作站只能被動接收並顯示資料而已。這意味著工作站上只有安裝最少的windows版本,和乙份微軟terminal server client。這種方法應該是最安全的網路設計方案。
技巧五:執行最新修補程式
微軟內部有一組人力專門檢查並修補安全漏洞,這些修補程式(補丁)有時會被收集成service pack(服務包)發布。服務包通常有兩種不同版本:乙個任何人都可以使用的40位的版本,另乙個是只能在美國和加拿大發行的128位版本。128位的版本使用128位的加密演算法,比40位的版本要安全得多。
乙個服務包有時得等上好幾個月才發行一次,但要是有嚴重點的漏洞被發現,你當然希望立即進行修補,不想苦等姍姍來遲的服務包。好在你並不需要等待,微軟會定期將重要的修補程式發布在它的ftp站上,這些最新修補程式都尚未收錄到最新一版的服務包裡,我建議你經常去看看最新修補程式,記住,修補程式一定要按時間順序來使用,若使用錯亂的話,可能導致一些檔案的版本錯誤,也可能造成windows當機。
技巧六:頒布嚴格的安全政策
另乙個提高安全性的方式就是制定一強有力的安全策略,確保每乙個人都了解,並強制執行。若你使用windows 2000 server,你可以將部分許可權授權給特定**人,而無須將全部的網管權利交出。即使你核定**人某些許可權,你依然可縣製其許可權大小,例如無法開設新的使用者帳號,或改變許可權等。
技巧七:防火牆,檢查,再檢查
最後乙個技巧是仔細檢查防火牆的設定。防火牆是網路規劃中很重要的一部份,因為它能使公司電腦不受外界惡意破壞。
你還可以檢視所有的通訊埠,確定不常用的已經全數關閉。例如,tcp/ip port 80是用於http流量,因此不能堵掉這個埠,也許port 81應該永遠都用不著吧,所以就應該關掉。你可以在網路上查到每個埠的詳細用途。
伺服器安全問題是個大議題,你總不希望重要資料遭病毒/黑客損毀,或被人偷走做為不利你的用途,本文介紹了7個重要的安全檢查關卡,你不妨試試看。
本文由萬德伺服器
伺服器安全的七個小技巧
不可能在一篇文章中談遍電腦安全問題,畢竟,市面上的已有許多這方面的書籍,不過,我倒是可以告訴你七個維護伺服器安全的技巧。技巧一 從基本做起 另乙個保護網路的好方法是依員工上班時間來限定使用者登入網路的許可權。例如,上白天班的員工不該有許可權在三更半夜登入網路。技巧二 保護備份 大多數人都沒有意識到,...
讓伺服器系統更安全的七個配置步驟
伺服器安全一直以來都是大家關注的乙個熱門話題,雖然伺服器安全問題很棘手,不過我們也並非無計可施。我想各位朋友可從以下幾個方面著手,就能夠做到防患於未然。任何作業系統都有漏洞,作為網路系統管理員就有責任及時地將 補丁 打上。1 安裝補丁程式 2 安裝和設定防火牆 現在有許多基於硬體或軟體的防火牆,如華...
提高雲伺服器安全等級的七個措施
近年以來,雲計算已成為資訊保安界的寵兒,各家企業前仆後繼的躋身於雲行列中去。雲技術的出現,確實帶給了現代企業非常大的便利,但與好處伴隨而來的,也有不能迴避的資訊保安隱患。下面就來分享提高雲中伺服器的安全等級的7個措施,讓企業有針對性的進行安全防護。1 從基本做起,及時安裝系統補丁。不論是window...