《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 設(shè)計(jì)應(yīng)用 > 網(wǎng)絡(luò)服務(wù)器的安全防范對(duì)策
網(wǎng)絡(luò)服務(wù)器的安全防范對(duì)策
來(lái)源:網(wǎng)l絡(luò)
摘要: 網(wǎng)絡(luò)服務(wù)器存儲(chǔ)著大量重要的數(shù)據(jù),,加強(qiáng)服務(wù)器的安全是提高網(wǎng)絡(luò)安全的重要環(huán)節(jié),。服務(wù)器操作系統(tǒng)本身的安全性還是很高的,,但是我們?nèi)绻贿M(jìn)行相應(yīng)的安全配置,,則達(dá)不到可信任計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn),。我們需要在基本配置,、用戶密碼安全設(shè)置,、系統(tǒng)安全設(shè)置,、服務(wù)安全設(shè)置,、安全管理制度等方面進(jìn)行相應(yīng)的設(shè)置。
Abstract:
Key words :

網(wǎng)絡(luò)服務(wù)器存儲(chǔ)著大量重要的數(shù)據(jù),,加強(qiáng)服務(wù)器的安全是提高網(wǎng)絡(luò)安全的重要環(huán)節(jié),。服務(wù)器操作系統(tǒng)本身的安全性還是很高的,但是我們?nèi)绻贿M(jìn)行相應(yīng)的安全配置,,則達(dá)不到可信任計(jì)算機(jī)系統(tǒng)評(píng)估標(biāo)準(zhǔn),。我們需要在基本配置,、用戶密碼安全設(shè)置、系統(tǒng)安全設(shè)置,、服務(wù)安全設(shè)置,、安全管理制度等方面進(jìn)行相應(yīng)的設(shè)置。

一 基本安裝配置
  (1)安裝操作系統(tǒng)時(shí)注意安裝正版的英文版的的操作系統(tǒng),,并且在服務(wù)器上只安裝一種操作系統(tǒng),,過(guò)多的操作系統(tǒng)只會(huì)給入侵者更多的機(jī)會(huì)攻擊服務(wù)器,致使服務(wù)器重新啟動(dòng)到?jīng)]有安全配置的操作系統(tǒng),,從而破壞操作系統(tǒng),。
  (2)給服務(wù)器硬盤分區(qū)時(shí)一定要使用NTFS分區(qū)。對(duì)于黑客來(lái)說(shuō)存儲(chǔ)在FAT格式的磁盤分區(qū)里的數(shù)據(jù)要比存儲(chǔ)在NTFS格式的磁盤分區(qū)的數(shù)據(jù)更容易訪問(wèn),,也更容易破壞,。因此我們?cè)谶M(jìn)行分區(qū)和格式化時(shí)一定要采用NTFS分區(qū)格式,這種分區(qū)格式比FAT格式具有更多的安全配置功能,,可以針對(duì)不通的文件夾設(shè)置不同的訪問(wèn)權(quán)限,,大大提高服務(wù)器的訪問(wèn)安全。
  (3)做好數(shù)據(jù)的備份策略,,提高硬盤數(shù)據(jù)安全性,。在考慮服務(wù)器服務(wù)器硬盤配置時(shí),應(yīng)該考慮多個(gè)硬盤通過(guò)RAID方式進(jìn)行數(shù)據(jù)的冗余,。另外,,為避免硬盤損壞或者被盜,按照“不要把所有雞蛋放到同一個(gè)籃子”的理論我們應(yīng)該使用單獨(dú)的專門設(shè)備保存這些珍貴數(shù)據(jù),。如多機(jī)備份,、磁帶備份等。
  (4)安裝各種應(yīng)用軟件完成后,,盡快安裝補(bǔ)丁程序,。
  (5)安裝殺毒軟件和軟件防火墻,及時(shí)升級(jí)病毒庫(kù),,可以有效清除病毒,、木馬、后門程序等,。
二 用戶密碼安全設(shè)置
  2.1 用戶安全配置
  (1)禁用guest帳號(hào),。有很多入侵都是通過(guò)這個(gè)賬號(hào)進(jìn)一步獲得管理員密碼或者權(quán)限的。如果不想把自己的計(jì)算機(jī)給別人當(dāng)玩具,,那還是禁止的好,。
  (2)創(chuàng)建兩個(gè)管理員帳號(hào)。創(chuàng)建一個(gè)一般權(quán)限用戶用來(lái)收信以及處理一些日常事物,另一個(gè)擁有Administrators權(quán)限的用戶只在需要的時(shí)候使用,。
  (3)限制不必要的用戶,。去掉所有的DuplicateUser用戶、測(cè)試用戶,、共享用戶等等,。用戶組策略設(shè)置相應(yīng)權(quán)限,并且經(jīng)常檢查系統(tǒng)的用戶,,刪除已經(jīng)不再使用的用戶,。這些用戶很多時(shí)候都是黑客們?nèi)肭窒到y(tǒng)的突破口。
  (4)把系統(tǒng)administrator用戶改名,。大家都知道,,Windows server的Administrator用戶是不能被停用的,這意味著別人可以一遍又一遍地嘗試這個(gè)用戶的密碼,。盡量把它偽裝成普通用戶,,將Administrator賬號(hào)改名可以防止黑客知道自己的管理員賬號(hào),這會(huì)在很大程度上保證計(jì)算機(jī)安全,。
  (5)創(chuàng)建一個(gè)陷阱用戶,。什么是陷阱用戶?即創(chuàng)建一個(gè)名為“Administrator”的本地用戶,把它的權(quán)限設(shè)置成最低,,什么事也干不了的那種,,并且加上一個(gè)超過(guò)1O位的超級(jí)復(fù)雜密碼。這樣可以讓那些黑客們忙上一段時(shí)間,,借此發(fā)現(xiàn)它們的入侵企圖。
  (6)把共享文件的權(quán)限從everyone組改成授權(quán)用戶,。任何時(shí)候都不要把共享文件的用戶設(shè)置成“Everyone”組,,包括打印共享,默認(rèn)的屬性就是“Everyone”組的,,一定不要忘了改,。
  (7)開啟用戶策略。使用用戶策略,,分別設(shè)置復(fù)位用戶鎖定計(jì)數(shù)器時(shí)間為20分鐘,,用戶鎖定時(shí)間為20分鐘,用戶鎖定閾值為3次,。
  (8)不讓系統(tǒng)顯示上次登錄的用戶名,。默認(rèn)情況下,登錄對(duì)話框中會(huì)顯示上次登錄的用戶名,。這使得別人可以很容易地得到系統(tǒng)的一些用戶名,,進(jìn)而做密碼猜測(cè)。可以通過(guò)修改注冊(cè)表不讓對(duì)話框里顯示上次登錄的用戶名,。
  2.2 密碼安全設(shè)置
  (1)使用安全密碼,,注意密碼的復(fù)雜性。一些公司的管理員創(chuàng)建賬號(hào)的時(shí)候往往用公司名,、計(jì)算機(jī)名做用戶名,,然后又把這些用戶的密碼設(shè)置得太簡(jiǎn)單,比如“welcome”等等,。因此,,要注意密碼的復(fù)雜性,還要記住經(jīng)常改密碼,。
  (2)設(shè)置屏幕保護(hù)密碼,。這是一個(gè)很簡(jiǎn)單也很有必要的操作。設(shè)置屏幕保護(hù)密碼也是防止內(nèi)部人員破壞服務(wù)器的一個(gè)屏障,。
  (3)考慮使用智能卡來(lái)代替密碼,。對(duì)于密碼,總是使安全管理員進(jìn)退兩難,,密碼設(shè)置簡(jiǎn)單容易受到黑客的攻擊,,密碼設(shè)置復(fù)雜又容易忘記。如果條件允許,,用智能卡來(lái)代替復(fù)雜的密碼是一個(gè)很好的解決方法,。
  (4)開啟密碼策略控制。密碼策略控制是否允許用戶重新使用舊的密碼,,在兩次更改密碼之間的時(shí)間,,最小密碼長(zhǎng)度,以及用戶是否必須混合使用大小寫字母,、數(shù)字和特殊字符,。最低要求,您應(yīng)該要求每45天更改一次密碼,,或要求至少8個(gè)字符的密碼,,并確保開啟了密碼必須滿足復(fù)雜性要求設(shè)置。
  2.3 系統(tǒng)安全設(shè)置
  (1)關(guān)閉默認(rèn)共享,。微軟的初衷是便于網(wǎng)管進(jìn)行遠(yuǎn)程管理,,它雖然方便了局域網(wǎng)用戶,但對(duì)我們來(lái)說(shuō)這樣的設(shè)置是不安全的,。如果電腦聯(lián)網(wǎng),,網(wǎng)絡(luò)上的任何人都可以通過(guò)共享硬盤,隨意進(jìn)入你的電腦,。更為可怕的是,,黑客可以通過(guò)連接你的電腦實(shí)現(xiàn)對(duì)這些默認(rèn)共享的訪問(wèn),。所以我們有必要關(guān)閉這些共享??梢允褂脀ww.idczq.com建立一個(gè)批處理文件放在啟動(dòng)項(xiàng)目里面的方法來(lái)刪除默認(rèn)共享,。方法如下:
  打開記事本,輸入或復(fù)制以下內(nèi)容:
  netshareipc$/delete
  netshareadmin$/delete
  netsharec$/delete
  netshared$/delete
  netsharee$/delete
  保存為NotShare.bat(注意后綴),,然后把這個(gè)批處理文件拖到“程序”至“啟動(dòng)”項(xiàng),,這樣每次開機(jī)就會(huì)運(yùn)行它,也就是通過(guò)net命令關(guān)閉共享,。如果哪一天你需要開啟某個(gè)或某些共享,,只要重新編輯這個(gè)批處理文件即可。
  (2)禁止用戶從軟盤和光驅(qū)啟動(dòng)系統(tǒng),。一些第三方的工具能通過(guò)引導(dǎo)系統(tǒng)來(lái)繞過(guò)原有的安全機(jī)制,。如果你的服務(wù)器對(duì)安全要求非常高,可以考慮使用可移動(dòng)軟盤和光驅(qū),。
三 在服務(wù)安全設(shè)置方面
  (1)把敏感文件存放在另外的文件服務(wù)器中,。雖然現(xiàn)在服務(wù)器的硬盤都很大,但還是應(yīng)該考慮是否有必要把一些重要的用戶數(shù)據(jù)存放在另外一個(gè)安全的服務(wù)器中,,并且經(jīng)常備份它們,。
  (2)禁止建立空連接,在默認(rèn)情況下,,任何用戶都可以通過(guò)空連接連上服務(wù)器,,進(jìn)而枚舉出帳號(hào),猜測(cè)密碼,,可以通過(guò)修改注冊(cè)表來(lái)禁止建立空連接,。
  (3)關(guān)閉不必要的端口,開放的端口越多,,入侵者通過(guò)這些端口入侵的機(jī)會(huì)越多,。我們可以根據(jù)相應(yīng)的服務(wù)開相應(yīng)的端口,比如說(shuō)一臺(tái)WEB服務(wù)器需要開放80端口,,其他端口就關(guān)閉。我們可以通過(guò)本地網(wǎng)絡(luò)自帶的windows防火墻,、核心交換機(jī)的ACL來(lái)設(shè)置什么服務(wù)就允許訪問(wèn)什么端口,。
  (4)根據(jù)“最少的服務(wù)+最小的權(quán)限=最大的安全”的原則,可以把一些不需要的服務(wù)停止,,減少入侵者入侵的機(jī)會(huì),。服務(wù)器和人一樣,做的事越多了,,就越容易出現(xiàn)差錯(cuò),,做的事越少則越專精,,不必要的錯(cuò)誤就不會(huì)發(fā)生了。
四 制定相應(yīng)的安全管理制度
  從管理的角度,,通過(guò)一些文字性的規(guī)章制度規(guī)范,、制約各種與網(wǎng)絡(luò)服務(wù)有關(guān)的行為。加強(qiáng)網(wǎng)絡(luò)服務(wù)器的實(shí)體安全,,如防水,、防震、防盜,、防火等,,如服務(wù)器機(jī)房的安全制度、上網(wǎng)行為管理制度,、應(yīng)急方案等等,,另外,有條件的應(yīng)該實(shí)施24小時(shí)機(jī)房值班制度,。
五 結(jié)語(yǔ)
  網(wǎng)絡(luò)服務(wù)器的安全一直都是個(gè)新的課題,,安全和應(yīng)用是一對(duì)矛盾,如果安全妨礙了系統(tǒng)的應(yīng)用,,那么這個(gè)安全原則就不是一個(gè)好的原則,,因此要求我們需要建立有機(jī)的、智能化的安全防范體系來(lái)保護(hù)網(wǎng)絡(luò)服務(wù)器中的重要數(shù)據(jù)和信息,,不受病毒損壞和黑客的偷盜,,用作不利我們的用途。

此內(nèi)容為AET網(wǎng)站原創(chuàng),,未經(jīng)授權(quán)禁止轉(zhuǎn)載,。