常见的服务器安全治理漏洞

核心提示：企业信息化技术的利用，以不可逆转。随着文件服务器、ERP治理软件等等在企业中生根发芽，利用服务器也逐渐在企业中普及起来。之前在企业中有1台利用服务器已经是了不起的事情，现在有两台、3台的，也不为怪了。

企业信息化技术的利用，以不可逆转。随着文件服务器、ERP治理软件等等在企业中生根发芽，利用服务器也逐渐在企业中普及起来。之前在企业中有1台利用服务器已经是了不起的事情，现在有两台、3台的，也不为怪了。

但是，企业利用服务器固然增加了，可是对这个利用服务器的安全治理，却跟不上。随便到1家企业看看，总是可以看到1些明显的安全治理漏洞。下面笔者就把其中1些典型的漏洞罗列出来，就当作抛砖引玉，提示大家留意服务器的安全治理。

1、所有主机可以Telnet到服务器。

由于服务器常常都放在1个特定的空间中，若对服务器的任何保护工作，如查看服务器的硬盘空间等等，这些工作都需要到服务器上面往查看的话，很明显不是很方便。我们希看能够在我们平时用的电脑上便可以够对服务器进行1些平常的保护，而不用跑到寄存服务器的房间中往。

所以，我们对服务器的大部份保护工作，都可以通过Telnet到服务器上，以命令行的方式进行保护。这无疑为我们服务器的治理提供了1个方便的治理渠道，但是，也给服务器带来了1些隐患。

当非法攻击者利用某些特定的方法知道Telent的用户名与密码以后，便可以够在企业任何1台主机上畅通无阻的访问服务器。特别是当1些心怀不满的员工，更轻易借此宣泄自己对企业的不满。之前我有个朋友在1家软件公司中当CIO，有个员工乘治理员不留意的时候，取得了文件服务器的Telent用户名与密码。后来由于其泄漏客户的机密信息而被公司正告处罚。这个员工心怀不满，就利用盗取过来的用户名与密码，登陆到文件服务器，删除很多文件。还好，在文件服务器中采取了比较完善的备份制度，才避免了重大的损失。

所以，Telent技术为我们服务器治理提供了比较方便的手段，但是，其安全风险也不容忽视。1般来讲，对Telent技术，我们需要留意以下几个方面。

1是Telent用户名与密码跟服务器的治理员登陆用户名与密码最好不1样。也就是说，在服务器主机上登陆的用户名与密码，与远程Telent到服务器的治理员用户名与密码要不1样。如此的话，可以把用户名与密码泄漏对服务器的危害降到最低。

2是最好能够限制Telent到服务器的用户主机。如我们可以在服务器上进行限制，只答应网络治理员的主机才可以远程Telent到服务器上往。这实现起来也比较简单。若是微软服务器系统的话，可以利用其本身自带的安全策略工具实现。或可以借助防火墙来限制Telent到服务器上的IP地址或MAC地址。如此的话，即使用户名或密码泄漏，由于有了IP地址或MAC地址的限制，则其他人依然没法登陆到服务器上往。如此的话，便可以够最大限度的保障只有正当的职员才可以Telent到服务器上进行平常的保护工作。

3是若平时不用Telent到服务器治理的话，则把这个Telent服务封闭掉。没有必要为攻击者留下1个后门。

2、服务器的上的共享文件家所有用户都有访问权限。

在利用服务器上，我们有时会为了保护的方便，会在上面建立几个共享文件夹。但是，若这些共享文件夹治理不当，也会给利用服务器带来比较大的安全隐患。

如若我们某个共享文件夹设置所有用户都可以无穷制的进行访问的话，则会出现1个题目，当网络中若有病毒的话，这些文件夹就很轻易被感染。当我们在服务器上不谨慎打开这些共享文件夹的时候，服务器就会感染病毒，乃至会导致服务器当机。

所以，在服务器上设置共享文件夹的时候需要特别的留意，由于服务器崩溃后，对企业的信息化利用来讲，是致命的。1般情况下，不要在利用服务器上设置共享文件夹。若1定要的话，则也需要遵守以下的安全原则。

1是用好以后需要及时把文件加设置为不共享。当我们由于某种需要建立1个临时的共享文件夹时，当我们用完以后，需要及时把这个共享文件夹删除掉，或改成不共享。及时清算共享文件夹，使保护共享文件夹安全的不2法则。

2是为共享文件夹设置最小权限。平时在设置共享文件夹的时候，我们可能系习惯了不设置访问权限，所以员工都可以不受限制的访问共享文件夹。但是，若在文件服务器上面设置共享文件夹的时候，1定需要留意，在设置共享的时候，就需要设置访问的用户，最好只有特定的用户才可以访问这个共享文件夹，特别是读写权限需要严格控制。有些人可能会以为我只是暂时共享1下，中间不超过10分钟。可是，若网络中有病毒的话，则会自需要1秒钟的时间便可以够感染共享文件夹。故在服务器治理的时候，不能够有这类侥幸心理。

3、没有封闭没必要要的服务。

在服务器操纵系统安装的时候，会装了比较多的服务。如我们在安装文件服务器系统的话，默许情况下，可能会开启WWW服务、Telent服务、DSN服务等等。但是，对文件服务器来讲，这些服务常常是没有必要的。我们在利用服务器上开启了这些没必要要的服务，不但会占用宝贵的硬件资源，而且，最重要的是，会下降文件服务器的安全性。

所以，笔者建议，在服务器治理的时候，把1些没有必要的服务封闭掉。

若采取的是微软的服务器操纵系统，我们可以通过开始、设置、控制面板、治理工具、服务来查看当前操纵系统所开启的服务。如1般情况下，我们可以把以下的1些服务封闭掉。

1是DHCP客户端。由于利用服务器我们1般都采取固定的IP地址，所以可以把这个DHCP客户端封闭掉，制止服务器从DHCP服务器那边获得IP地址。这可以有效的防治IP地址的冲突，从而造成服务器断网。

2是要留意Ping 攻击。利用Ping命令来对利用服务器实行拒尽服务式攻击是很多攻击者常常使用的1个手段。其基本原理就是利用肉鸡同时连续的Ping利用服务器，从而导致利用服务器资源耗竭而当机。所以，1般情况下，需要在文件服务器上，设置“制止他人Ping自己”，如此的话，便可以够杜尽DDOS等恶性攻击。

3是可以封闭Remote Desktop Help Session Manager服务。这个服务主要用来治理并控制远程协助。假设此服务被终止的话，远程协助将不可用。若我们平时不用远程桌面连接等工具远程保护这个利用服务器的话，则可以直接把这个服务封闭掉。默许情况下，这个服务需要手工启动。我们为了安全起见，可以把这个服务禁用。

3是自动更新服务。这是1个有争议的服务。若启用了这个服务的话，则利用服务器操纵系统可以自动从网络上升级最新的操纵系统补钉，进步操纵系统的安全性。但是，有时候当装了微软的升级补钉后，服务器反而不稳定了，有时候乃至导致部属在上面的利用服务器没法使用。故笔者的建议是，若你在利用服务器上部属的都是微软的产品，如微软的邮箱服务器等等，则可以打开这个自动更新服务。若你在他们的服务器操纵系统上，部署了其他牌子的邮箱服务器，或部署了1些其他牌子的数据库系统的话，则是否是开启这个自动更新服务，则要慎重考虑了。

4、不同治理职员利用同1个账户治理服务器。

有时候，在1个服务器上可能会部署多个利用，如在1台利用服务器中，可能既是邮箱服务器，又是文件服务器。而不同的利用有不同的治理员负责。有些企业为了治理的方便，可能会利用同1个用户名来治理不同的服务。笔者以为，这是不安全的。

当某个治理员在1个利用服务治理的时候，有可能会不谨慎更改另外1个服务的配置，而此时，另外1个治理员其实不知情。如此的话，便可能会导致另外1个服务出现运行上的毛病。所以，这就会给服务器治理产生安全上的漏洞。

为此，笔者建议，最好是1个服务采取1台服务器，固然这需要增加1定的支出，但是，1台服务器出现题目的话，最多只影响1个利用，可以把由于服务器的题目酿成的不良影响降至到最低。

若出于本钱的限制的话，确切需要在不同的服务器中部署不同的服务的话，则最好在安装服务的时候，就先建立不同的治理员帐户，然后利用对应的帐户登陆再部署相干的服务。如此的话，便可以够最大限度的减少治理员之间的相互干扰。即使是同1个治理员治理不同的服务，最好也是建立不同的帐户为妙 ！

唐山网站建设www.fw8.net

TAG:企业,密码,服务器,用户名,可能会

评论加载中... 内容： 评论者： 验证码：