《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 設計應用 > 網(wǎng)絡服務器的安全防范對策
網(wǎng)絡服務器的安全防范對策
來源:網(wǎng)l絡
摘要: 網(wǎng)絡服務器存儲著大量重要的數(shù)據(jù),,加強服務器的安全是提高網(wǎng)絡安全的重要環(huán)節(jié),。服務器操作系統(tǒng)本身的安全性還是很高的,但是我們?nèi)绻贿M行相應的安全配置,,則達不到可信任計算機系統(tǒng)評估標準,。我們需要在基本配置、用戶密碼安全設置,、系統(tǒng)安全設置,、服務安全設置、安全管理制度等方面進行相應的設置,。
Abstract:
Key words :

網(wǎng)絡服務器存儲著大量重要的數(shù)據(jù),加強服務器的安全是提高網(wǎng)絡安全的重要環(huán)節(jié),。服務器操作系統(tǒng)本身的安全性還是很高的,,但是我們?nèi)绻贿M行相應的安全配置,則達不到可信任計算機系統(tǒng)評估標準,。我們需要在基本配置,、用戶密碼安全設置、系統(tǒng)安全設置,、服務安全設置,、安全管理制度等方面進行相應的設置。

一 基本安裝配置
  (1)安裝操作系統(tǒng)時注意安裝正版的英文版的的操作系統(tǒng),,并且在服務器上只安裝一種操作系統(tǒng),,過多的操作系統(tǒng)只會給入侵者更多的機會攻擊服務器,致使服務器重新啟動到?jīng)]有安全配置的操作系統(tǒng),,從而破壞操作系統(tǒng),。
  (2)給服務器硬盤分區(qū)時一定要使用NTFS分區(qū)。對于黑客來說存儲在FAT格式的磁盤分區(qū)里的數(shù)據(jù)要比存儲在NTFS格式的磁盤分區(qū)的數(shù)據(jù)更容易訪問,,也更容易破壞,。因此我們在進行分區(qū)和格式化時一定要采用NTFS分區(qū)格式,這種分區(qū)格式比FAT格式具有更多的安全配置功能,,可以針對不通的文件夾設置不同的訪問權限,,大大提高服務器的訪問安全。
  (3)做好數(shù)據(jù)的備份策略,,提高硬盤數(shù)據(jù)安全性,。在考慮服務器服務器硬盤配置時,,應該考慮多個硬盤通過RAID方式進行數(shù)據(jù)的冗余。另外,,為避免硬盤損壞或者被盜,,按照“不要把所有雞蛋放到同一個籃子”的理論我們應該使用單獨的專門設備保存這些珍貴數(shù)據(jù)。如多機備份,、磁帶備份等,。
  (4)安裝各種應用軟件完成后,盡快安裝補丁程序,。
  (5)安裝殺毒軟件和軟件防火墻,,及時升級病毒庫,可以有效清除病毒,、木馬,、后門程序等。
二 用戶密碼安全設置
  2.1 用戶安全配置
  (1)禁用guest帳號,。有很多入侵都是通過這個賬號進一步獲得管理員密碼或者權限的,。如果不想把自己的計算機給別人當玩具,那還是禁止的好,。
  (2)創(chuàng)建兩個管理員帳號,。創(chuàng)建一個一般權限用戶用來收信以及處理一些日常事物,另一個擁有Administrators權限的用戶只在需要的時候使用,。
  (3)限制不必要的用戶,。去掉所有的DuplicateUser用戶、測試用戶,、共享用戶等等,。用戶組策略設置相應權限,并且經(jīng)常檢查系統(tǒng)的用戶,,刪除已經(jīng)不再使用的用戶,。這些用戶很多時候都是黑客們?nèi)肭窒到y(tǒng)的突破口。
  (4)把系統(tǒng)administrator用戶改名,。大家都知道,,Windows server的Administrator用戶是不能被停用的,這意味著別人可以一遍又一遍地嘗試這個用戶的密碼,。盡量把它偽裝成普通用戶,,將Administrator賬號改名可以防止黑客知道自己的管理員賬號,這會在很大程度上保證計算機安全,。
  (5)創(chuàng)建一個陷阱用戶,。什么是陷阱用戶?即創(chuàng)建一個名為“Administrator”的本地用戶,把它的權限設置成最低,,什么事也干不了的那種,,并且加上一個超過1O位的超級復雜密碼,。這樣可以讓那些黑客們忙上一段時間,借此發(fā)現(xiàn)它們的入侵企圖,。
  (6)把共享文件的權限從everyone組改成授權用戶,。任何時候都不要把共享文件的用戶設置成“Everyone”組,包括打印共享,,默認的屬性就是“Everyone”組的,,一定不要忘了改。
  (7)開啟用戶策略,。使用用戶策略,,分別設置復位用戶鎖定計數(shù)器時間為20分鐘,用戶鎖定時間為20分鐘,,用戶鎖定閾值為3次,。
  (8)不讓系統(tǒng)顯示上次登錄的用戶名。默認情況下,,登錄對話框中會顯示上次登錄的用戶名,。這使得別人可以很容易地得到系統(tǒng)的一些用戶名,進而做密碼猜測,??梢酝ㄟ^修改注冊表不讓對話框里顯示上次登錄的用戶名。
  2.2 密碼安全設置
  (1)使用安全密碼,,注意密碼的復雜性。一些公司的管理員創(chuàng)建賬號的時候往往用公司名,、計算機名做用戶名,,然后又把這些用戶的密碼設置得太簡單,比如“welcome”等等,。因此,,要注意密碼的復雜性,還要記住經(jīng)常改密碼,。
  (2)設置屏幕保護密碼,。這是一個很簡單也很有必要的操作。設置屏幕保護密碼也是防止內(nèi)部人員破壞服務器的一個屏障,。
  (3)考慮使用智能卡來代替密碼,。對于密碼,總是使安全管理員進退兩難,,密碼設置簡單容易受到黑客的攻擊,,密碼設置復雜又容易忘記。如果條件允許,,用智能卡來代替復雜的密碼是一個很好的解決方法,。
  (4)開啟密碼策略控制,。密碼策略控制是否允許用戶重新使用舊的密碼,在兩次更改密碼之間的時間,,最小密碼長度,,以及用戶是否必須混合使用大小寫字母、數(shù)字和特殊字符,。最低要求,,您應該要求每45天更改一次密碼,或要求至少8個字符的密碼,,并確保開啟了密碼必須滿足復雜性要求設置,。
  2.3 系統(tǒng)安全設置
  (1)關閉默認共享。微軟的初衷是便于網(wǎng)管進行遠程管理,,它雖然方便了局域網(wǎng)用戶,,但對我們來說這樣的設置是不安全的。如果電腦聯(lián)網(wǎng),,網(wǎng)絡上的任何人都可以通過共享硬盤,,隨意進入你的電腦。更為可怕的是,,黑客可以通過連接你的電腦實現(xiàn)對這些默認共享的訪問,。所以我們有必要關閉這些共享??梢允褂脀ww.idczq.com建立一個批處理文件放在啟動項目里面的方法來刪除默認共享,。方法如下:
  打開記事本,輸入或復制以下內(nèi)容:
  netshareipc$/delete
  netshareadmin$/delete
  netsharec$/delete
  netshared$/delete
  netsharee$/delete
  保存為NotShare.bat(注意后綴),,然后把這個批處理文件拖到“程序”至“啟動”項,,這樣每次開機就會運行它,也就是通過net命令關閉共享,。如果哪一天你需要開啟某個或某些共享,,只要重新編輯這個批處理文件即可。
  (2)禁止用戶從軟盤和光驅啟動系統(tǒng),。一些第三方的工具能通過引導系統(tǒng)來繞過原有的安全機制,。如果你的服務器對安全要求非常高,可以考慮使用可移動軟盤和光驅,。
三 在服務安全設置方面
  (1)把敏感文件存放在另外的文件服務器中,。雖然現(xiàn)在服務器的硬盤都很大,但還是應該考慮是否有必要把一些重要的用戶數(shù)據(jù)存放在另外一個安全的服務器中,,并且經(jīng)常備份它們,。
  (2)禁止建立空連接,在默認情況下,,任何用戶都可以通過空連接連上服務器,,進而枚舉出帳號,,猜測密碼,可以通過修改注冊表來禁止建立空連接,。
  (3)關閉不必要的端口,,開放的端口越多,入侵者通過這些端口入侵的機會越多,。我們可以根據(jù)相應的服務開相應的端口,,比如說一臺WEB服務器需要開放80端口,其他端口就關閉,。我們可以通過本地網(wǎng)絡自帶的windows防火墻,、核心交換機的ACL來設置什么服務就允許訪問什么端口。
  (4)根據(jù)“最少的服務+最小的權限=最大的安全”的原則,,可以把一些不需要的服務停止,,減少入侵者入侵的機會。服務器和人一樣,,做的事越多了,,就越容易出現(xiàn)差錯,做的事越少則越專精,,不必要的錯誤就不會發(fā)生了,。
四 制定相應的安全管理制度
  從管理的角度,通過一些文字性的規(guī)章制度規(guī)范,、制約各種與網(wǎng)絡服務有關的行為,。加強網(wǎng)絡服務器的實體安全,如防水,、防震,、防盜、防火等,,如服務器機房的安全制度,、上網(wǎng)行為管理制度,、應急方案等等,,另外,有條件的應該實施24小時機房值班制度,。
五 結語
  網(wǎng)絡服務器的安全一直都是個新的課題,,安全和應用是一對矛盾,如果安全妨礙了系統(tǒng)的應用,,那么這個安全原則就不是一個好的原則,,因此要求我們需要建立有機的、智能化的安全防范體系來保護網(wǎng)絡服務器中的重要數(shù)據(jù)和信息,,不受病毒損壞和黑客的偷盜,,用作不利我們的用途,。

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權禁止轉載,。