維護(hù)服務(wù)器安全的技巧

　　你的計(jì)算機(jī)上是否存在有至關(guān)重要的數(shù)據(jù)，并且不希望它們落入惡人之手呢?當(dāng)然，它們完全有這種可能 。而且，近些年來(lái)，服務(wù)器遭受的風(fēng)險(xiǎn)也比以前更大了。越來(lái)越多的病毒，心懷不軌的黑客，以及那些商業(yè)間諜都將服務(wù)器作為了自己的目標(biāo)。很顯然，服務(wù)器的安 全問(wèn)題是不容忽視的。

　　不可能僅僅在一篇文章中就講述完所有的計(jì)算機(jī)安全方面的問(wèn)題。畢竟，關(guān)于這個(gè)主題已經(jīng)有無(wú)數(shù)的圖書(shū)在討論了。我下面所要做的就是告訴你七個(gè)維護(hù)你服務(wù)器安全的技巧。

　　技巧一:從基本做起

　　我知道這聽(tīng)起來(lái)象是廢話，但是當(dāng)我們談?wù)摼W(wǎng)絡(luò)服務(wù)器的安全的時(shí)候，我所能給你的最好的建議就是不要做門(mén)外漢。當(dāng)黑客開(kāi)始對(duì)你的網(wǎng)絡(luò)發(fā)起攻擊的時(shí) 候，他們首先會(huì)檢查是否存在一般的安全漏洞，然后才會(huì)考慮難度更加高一點(diǎn)的突破安全系統(tǒng)的手段。因此，比方說(shuō)，當(dāng)你服務(wù)器上的數(shù)據(jù)都存在于一個(gè)FAT的磁 盤(pán)分區(qū)的時(shí)候，即使安裝上世界上所有的安全軟件也不會(huì)對(duì)你有多大幫助的。

　　因?yàn)檫@個(gè)原因，你需要從基本做起。你需要將服務(wù)器上所有包含了敏感數(shù)據(jù)的磁盤(pán)分區(qū)都轉(zhuǎn)換成NTFS格式的。同樣，你還需要將所有的反病毒軟件及 時(shí)更新。我建議你同時(shí)在服務(wù)器和桌面終端上運(yùn)行反病毒軟件。這些軟件還應(yīng)該配置成每天自動(dòng)下載最新的病毒數(shù)據(jù)庫(kù)文件。你還更應(yīng)該知道，可以為 Exchange Server安裝反病毒軟件。這個(gè)軟件掃描所有流入的電子郵件，尋找被感染了的附件，當(dāng)它發(fā)現(xiàn)一個(gè)病毒時(shí)，會(huì)自動(dòng)將這個(gè)被感染的郵件在到達(dá)用戶以前隔離起 來(lái)。

　　另一個(gè)保護(hù)網(wǎng)絡(luò)的好方法是以用戶待在公司里的時(shí)間為基礎(chǔ)限定他們?cè)L問(wèn)網(wǎng)絡(luò)的時(shí)間。一個(gè)通常在白天工作的臨時(shí)員工不應(yīng)該被允許在臨晨三點(diǎn)的時(shí)候訪問(wèn)網(wǎng)絡(luò)，除非那個(gè)員工的主管告訴你那是出于一個(gè)特殊項(xiàng)目的需要。

　　最后，記住用戶在訪問(wèn)整個(gè)網(wǎng)絡(luò)上的任何東西的時(shí)候都需要密碼。必須強(qiáng)迫大家使用高強(qiáng)度的由大小寫(xiě)字母，數(shù)字和特殊字符組成的密碼。在 Windows NT Server資源包里有一個(gè)很好的用于這個(gè)任務(wù)的工具。你還應(yīng)該經(jīng)常將一些過(guò)期密碼作廢并更新還要要求用戶的密碼不得少于八個(gè)字符。如果你已經(jīng)做了這所有 的工作但還是擔(dān)心密碼的安全，你可以試一試從互聯(lián)網(wǎng)下載一些黑客工具然后自己找出這些密碼到底有多安全。

　　技巧二:保護(hù)你的備份

　　每一個(gè)好的網(wǎng)絡(luò)管理員都知道每天都備份網(wǎng)絡(luò)服務(wù)器并將磁帶記錄遠(yuǎn)離現(xiàn)場(chǎng)進(jìn)行保護(hù)以防意外災(zāi)害。但是，安全的問(wèn)題遠(yuǎn)不止是備份那么簡(jiǎn)單。大多數(shù)人都沒(méi)有意識(shí)到，你的備份實(shí)際上就是一個(gè)巨大的安全漏洞。

　　要理解這是為什么，試想一下，大多數(shù)的備份工作都是在大約晚上10:00或是11:00的時(shí)候開(kāi)始的。整個(gè)備份的過(guò)程通常是在半夜的時(shí)候結(jié)束， 這取決于你有多少數(shù)據(jù)要備份。現(xiàn)在，想象一下，時(shí)間已經(jīng)到了早晨四點(diǎn)，你的備份工作已經(jīng)結(jié)束。但是，沒(méi)有什么東西能夠阻止一些人偷走你磁帶記錄上的數(shù)據(jù)并 將它們?cè)谧约杭抑谢蚴悄愀?jìng)爭(zhēng)對(duì)手辦公室里的一臺(tái)服務(wù)器上恢復(fù)它們。

　　不過(guò)，你可以阻止這種事情的發(fā)生。首先，可以通過(guò)密碼保護(hù)你的磁帶并且如果你的備份程序支持加密功能，你還可以加密這些數(shù)據(jù)。其次，你可以將備 份程序完成工作的時(shí)間定在你早晨上班的時(shí)間。這樣的話，即使有人前一天半夜想要溜進(jìn)來(lái)偷走磁帶的話，他們也會(huì)因?yàn)榇艓д谑褂枚鵁o(wú)法得逞。如果竊賊還是把 磁帶彈出來(lái)帶走的話，磁帶上的數(shù)據(jù)也就毫無(wú)價(jià)值了。

　　技巧三:對(duì)RAS使用回叫功能

　　Windows NT最酷的功能之一就是對(duì)服務(wù)器進(jìn)行遠(yuǎn)程訪問(wèn)(RAS)的支持。不幸的是，一個(gè)RAS服務(wù)器對(duì)一個(gè)企圖進(jìn)入你的系統(tǒng)的黑客來(lái)說(shuō)是一扇敞開(kāi)的大門(mén)。黑客們所 需要的一切只是一個(gè)電話號(hào)碼，有時(shí)還需要一點(diǎn)耐心，然后就能通過(guò)RAS進(jìn)入一臺(tái)主機(jī)了。但你可以采取一些方法來(lái)保證RAS服務(wù)器的安全。

　　你所要使用的技術(shù)將在很大程度上取決于你的遠(yuǎn)程用戶如何使用RAS。如果遠(yuǎn)程用戶經(jīng)常是從家里或是類似的不太變動(dòng)的地方呼叫主機(jī)，我建議你使用 回叫功能，它允許遠(yuǎn)程用戶登錄以后切斷連接。然后RAS服務(wù)器撥通一個(gè)預(yù)先定義的電話號(hào)碼再次接通用戶。因?yàn)檫@個(gè)號(hào)碼是預(yù)先設(shè)定了的，黑客也就沒(méi)有機(jī)會(huì)設(shè) 定服務(wù)器回叫的號(hào)碼了。

　　另一個(gè)可選的辦法是限定所有的遠(yuǎn)程用戶都訪問(wèn)單一的服務(wù)器。你可以將用戶通常訪問(wèn)的數(shù)據(jù)放置在RAS服務(wù)器的一個(gè)特殊的共享點(diǎn)上。你于是可以將 遠(yuǎn)程用戶的訪問(wèn)限制在一臺(tái)服務(wù)器上，而不是整個(gè)網(wǎng)絡(luò)。這樣，即使黑客通過(guò)破壞手段來(lái)進(jìn)入主機(jī)，那么他們也會(huì)被隔離在單一的一臺(tái)機(jī)器上，在這里，他們?cè)斐傻?破壞被減少到了最小。

　　最后還有一個(gè)技巧就是在你的RAS服務(wù)器上使用出人意料的協(xié)議。我知道的每一個(gè)人都使用 TCP/IP協(xié)議作為RAS協(xié)議?？紤]到TCP/IP協(xié)議本身的性質(zhì)和典型的用途，這看起來(lái)象是一個(gè)合理的選擇。但是，RAS還支持IPX/SPX和 NetBEUI協(xié)議。如果你使用NetBEUI作為你RAS的協(xié)議，你確實(shí)可以迷惑一些不加提防的黑客。

　　技巧四:考慮工作站的安全問(wèn)題

　　在一個(gè)關(guān)于服務(wù)器安全的文章里談?wù)摴ぷ髡镜陌踩雌饋?lái)很奇怪。但是，工作站正是通向服務(wù)器的一個(gè)端口。加強(qiáng)工作站的安全能夠提高整個(gè)網(wǎng)絡(luò)的安全 性。對(duì)于初學(xué)者，我建議在所有的工作站上使用Windows 2000。Windows 2000是一個(gè)非常安全的操作系統(tǒng)。如果你并不想這樣做，那么至少使用Windows NT。你可以鎖定工作站，使得一些沒(méi)有安全訪問(wèn)權(quán)的人想要獲得網(wǎng)絡(luò)配置信息變得困難或是不可能。

　　另一個(gè)技術(shù)是控制哪個(gè)人能夠訪問(wèn)哪臺(tái)工作站。例如，有一個(gè)員工叫Bob，并且你已經(jīng)知道他是一個(gè)麻煩制造者。顯然，你不想Bob能夠在午餐的時(shí) 候打開(kāi)他朋友的電腦或是差上他自己的筆記本然后黑掉整個(gè)系統(tǒng)。因此，你應(yīng)該使用工作組用戶管理程序還修改Bob的帳號(hào)以便他只能從他自己的電腦(并且是在 你指定的時(shí)間內(nèi))登錄。Bob遠(yuǎn)不太可能從他自己的電腦上攻擊網(wǎng)絡(luò)，因?yàn)樗绖e人可以將他追查出來(lái)。

　　技巧五：給工作站和服務(wù)器合理分工

　　另一個(gè)技術(shù)是將工作站的功能限定為一個(gè)啞終端，或者，我沒(méi)有更好的詞語(yǔ)來(lái)形容，一個(gè)聰明的啞終端?？偟膩?lái)說(shuō)，它的意思是沒(méi)有任何數(shù)據(jù)和應(yīng)用程序 駐留在獨(dú)立的工作站上。當(dāng)你將計(jì)算機(jī)作為啞終端使用的時(shí)候，服務(wù)器被配置成運(yùn)行Windows NT 終端服務(wù)程序，而且所有的應(yīng)用程序物理上都運(yùn)行在服務(wù)器上。所有送到工作站的東西都不過(guò)是更新的屏幕顯示而已。這意味著工作站上只有一個(gè)最小化的 Windows版本和一份微軟終端服務(wù)程序的客戶端。使用這種方法也許是最安全的網(wǎng)絡(luò)設(shè)計(jì)方案。

　　使用一個(gè)聰明的啞終端就是說(shuō)程序和數(shù)據(jù)駐留在服務(wù)器上但卻在工作站上運(yùn)行。所有安裝在工作站上的是一份Windows拷貝以及一些指向駐留在服 務(wù)器上的應(yīng)用程序的圖標(biāo)。當(dāng)你點(diǎn)擊一個(gè)圖標(biāo)運(yùn)行程序時(shí)，這個(gè)程序?qū)⑹褂帽镜氐馁Y源來(lái)運(yùn)行，而不是消耗服務(wù)器的資源。這比你運(yùn)行一個(gè)完全的啞終端程序?qū)Ψ?wù) 器造成的壓力要小得多。