7种保护服务器安全最好技能

核心提示：你的计算机上是否是存在有相当重要的数据，并且不希看它们落进恶人之手呢？固然，它们完全有这类可能 。而且，近年来，服务器遭受的风险也比之前更大了。

你的计算机上是否是存在有相当重要的数据，并且不希看它们落进恶人之手呢？固然，它们完全有这类可能 。而且，近年来，服务器遭受的风险也比之前更大了。越来越多的病毒，心怀不轨的黑客，和那些贸易特务都将服务器作为了自己的目标。很明显，服务器的安全题目是不容忽视的。

不可能仅仅在1篇文章中就讲述完所有的计算机安全方面的题目。究竟，关于这个主题已有无数的图书在讨论了。我下面所要做的就是告知你7个保护你服务器安全的技能。

技能1：从基本做起

我知道这听起来象是空话，但是当我们谈论网络服务器的安全的时候，我所能给你的最好的建议就是不要做门外汉。当黑客开始对你的网络发起攻击的时候，他们首先会检查是否是存在1般的安全漏洞，然后才会考虑难度更加高1点的突破安全系统的手段。因此，比方说，当你服务器上的数据都存在于1个FAT的磁盘分区的时候，即使安装上世界上所有的安全软件也不会对你有多大帮助的。

由于这个缘由，你需要从基本做起。你需要将服务器上所有包括了敏感数据的磁盘分区都转换成NTFS格式的。一样，你还需要将所有的反病毒软件及时更新。我建议你同时在服务器和桌面终端上运行反病毒软件。这些软件还应当配置成每天自动下载最新的病毒数据库文件。你还更应当知道，可以为Exchange Server安装反病毒软件。这个软件扫描所有流进的电子邮件，寻觅被感染了的附件，当它发现1个病毒时，会自动将这个被感染的邮件在到达用户之前隔离起来。

另1个保护网络的好方法是以用户待在公司里的时间为基础限定他们访问网络的时间。1个通常在白天工作的临时员工不应当被答应在临晨3点的时候访问网络，除非那个员工的主管告知你那是出于1个特殊项目的需要。

最后，记住用户在访问全部网络上的任何东西的时候都需要密码。必须逼迫大家使用高强度的由大小写字母，数字和特殊字符组成的密码。在Windows NT Server资源包里有1个很好的用于这个任务的工具。你还应当常常将1些过期密码作废并更新还要要求用户的密码不得少于8个字符。假设你已做了这所有的工作但还是担心密码的安全，你可以试1试从互联网下载1些黑客工具然后自己找出这些密码到底有多安全。

技能2：保护你的备份

每1个好的网络治理员都知道每天都备份网络服务器并将磁带记录阔别现场进行保护以防意外灾害。但是，安全的题目远不止是备份那末简单。大多数人都没故意想到，你的备份实际上就是1个巨大的安全漏洞。

要理解这是为甚么，试想1下，大多数的备份工作都是在大约晚上10:00或是11:00的时候开始的。全部备份的进程通常是在半夜的时候结束，这取决于你有多少数据要备份。现在，想象1下，时间已到了凌晨4点，你的备份工作已结束。但是，没有甚么东西能够禁止1些人偷走你磁带记录上的数据并将它们在自己家中或是你竞争对手办公室里的1台服务器上恢复它们。

不过，你可以禁止这类事情的产生。首先，可以通过密码保护你的磁带并且假设你的备份程序支持加密功能，你还可以加密这些数据。其次，你可以将备份程序完成工作的时间定在你凌晨上班的时间。这样的话，即使有人前1天半夜想要溜进来偷走磁带的话，他们也会由于磁带正在使用而没法得逞。假设窃贼还是把磁带弹出来带走的话，磁带上的数据也就毫无价值了。

技能3：对RAS使用回叫功能

Windows NT最酷的功能之1就是对服务器进行远程访问（RAS）的支持。不幸的是，1个RAS服务器对1个企图进进你的系统的黑客来讲是1扇敞开的大门。黑客们所需要的1切只是1个电话号码，有时还需要1点耐心，然后便可以通过RAS进进1台主机了。但你可以采取1些方法来保证RAS服务器的安全。

你所要使用的技术将在很大程度上取决于你的远程用户如何使用RAS。假设远程用户常常是从家里或是类似的不太变动的地方呼唤主机，我建议你使用回叫功能，它答应远程用户登录以后切断连接。然后RAS服务器拨通1个预先定义的电话号码再次接通用户。由于这个号码是预先设定了的，黑客也就没有机会设定服务器回叫的号码了。

另1个可选的办法是限定所有的远程用户都访问单1的服务器。你可以将用户通常访问的数据放置在RAS服务器的1个特殊的共享点上。你因而可以将远程用户的访问限制在1台服务器上，而不是全部网络。这样，即使黑客通过破坏手段来进进主机，那末他们也会被隔离在单1的1台机器上，在这里，他们酿成的破坏被减少到了最小。

最后还有1个技能就是在你的RAS服务器上使用出人意料的协议。我知道的每1个人都使用TCP/IP协议作为RAS协议。考虑到TCP/IP协议本身的性质和典型的用处，这看起来象是1个公道的选择。但是，RAS还支持IPX/SPX和NetBEUI协议。假设你使用NetBEUI作为你RAS的协议，你确切可以迷惑1些不加防备的黑客。

技能4：考虑工作站的安全题目

在1个关于服务器安全的文章里谈论工作站的安全看起来很希奇。但是，工作站正是通向服务器的1个端口。加强工作站的安全能够进步全部网络的安全性。对初学者，我建议在所有的工作站上使用Windows 2000。Windows 2000是1个非常安全的操纵系统。假设你其实不想这样做，那末最少使用Windows NT。你可以锁定工作站，使得1些没有安全访问权的人想要取得网络配置信息变得困难或是不可能。

另1个技术是控制哪个人能够访问哪台工作站。例如，有1个员工叫Bob，并且你已知道他是1个麻烦制造者。明显，你不想Bob能够在午饭的时候打开他朋友的电脑或是差上他自己的笔记本然后黑掉全部系统。因此，你应当使用工作组用户治理程序还修改Bob的帐号以便他只能从他自己的电脑（并且是在你指定的时间内）登录。Bob远不太可能从他自己的电脑上攻击网络，由于他知作他人可以将他清查出来。

另1个技术是将工作站的功能限定为1个哑终端，或，我没有更好的词语来形容，1个“聪明的”哑终端。总的来讲，它的意思是没有任何数据和利用程序驻留在独立的工作站上。当你将计算机作为哑终端使用的时候，服务器被配置成运行Windows NT 终端服务程序，而且所有的利用程序物理上都运行在服务器上。所有送到工作站的东西都不过是更新的屏幕显示而已。这意味着工作站上只有1个最小化的Windows版本和1份微软终端服务程序的客户端。使用这类方法或许是最安全的网络设计方案。

使用1个“聪明”的哑终端就是说程序和数据驻留在服务器上但却在工作站上运行。所有安装在工作站上的是1份Windows拷贝和1些指向驻留在服务器上的利用程序的图标。当你点击1个图标运行程序时，这个程序将使用本地的资源来运行，而不是消耗服务器的资源。这比你运行1个完全的哑终端程序对服务器酿成的压力要小很多。

技能5：使用流行的补钉程序

微软雇佣了1个程序员团队来检查安全漏洞并修补它们。有时，这些补钉被***进1个大的软件包并作为服务包（service pack）发布。通常有两种不同的补钉程序版本：1个任何人都可使用的40位的版本和1个只能在美国和加拿大使用的128位的版本。128位的版本使用128位的加密算法，比40位的版本要安全很多。假设你现在还在使用40位的服务包并且生活在美国或是加拿大，我强烈建议你下载128位的版本。

有时1个服务包的发布或许要等上好几个月--很明显的，当1个大的安全漏洞被发现的时候，只要有可能修补它，你就不想再等下往。好在你其实不需要等待。微软定期将重要的补钉程序发布在它的FTP站点上。这些热门补钉程序是自上1次服务包发布以后被公布的安全修补程序。我建议你常常查看热门补钉。记住你1定要按逻辑顺序使用这些补钉。假设你以毛病的顺序使用它们，结果可能导致1些文件的版本毛病，Windows也可能停止工作。

技能6：使用1个强有力的安全政策

要进步安全性，另1个你可以做的工作就是制定1个好的，强有力的安全策略。确保每1个人都知道它并知道它是强迫履行的。这样的1个政策需要包括对1个在公司机器上下载未授权的软件的员工的严厉惩罚。

假设你使用Windows 2000 Server，你就有可能指定用户特殊的使用权限来使用你的服务器而不需要交出治理员的控制权。1个好的用法就是授权人力资源部来删除和禁用1个帐号。这样，人力资源部便可以够在1个行将走人的员工知道自己将被解雇之前就删除或是禁用他的用户帐号。这样，不满的员工就不会有机会来搅乱公司的系统了。同时，使用特殊用户权限，你便可以够授与这类删除和禁用帐号权限并限制创建用户或是更改许可等这些活动的权限了。

技能7：反复检查你的防火墙

我们的最后1个技能包括仔细检查你防火墙的设置。你的防火墙是网络的1个重要部份由于它将你公司的计算机同互联网上那些可能对它们造成破坏的蛊惑仔们隔离开来。

你首先要做的事情是确保防火墙不会向外界开放超过必要的任何IP地址。你总是最少要让1个IP地址对外界可见。这个IP地址被使用来进行所有的互联网通讯。假设你还有DNS注册的Web服务器或是电子邮件服务器，它们的IP地址或许也要通过防火墙对外界可见。但是，工作站和其他服务器的IP地址必须被隐躲起来。

你还可以查看端口列表验证你已封闭了所有你其实不常常使用的端口地址。例如，TCP/IP 端口80用于HTTP通讯，因此你可能其实不想堵掉这个端口。但是，你或许永久都不会用端口81因此它应当被关掉。你可以在Internet上找到每个端口使用用处的列表。

结论

服务器的安全题目是1个大题目。你不希看紧要的数据被病毒或是黑客破坏或是被1个可能用这些数据来对付你的人盗取。在本文中，我先容了7个你应当在下1次安全审查中留意的地方。

评论加载中... 内容： 评论者： 验证码：