1、 七種維護服務器安全最佳技巧 -電腦資料你的計算機上是否存在有至關重要的數據，并且不希望它們落入惡人之手呢?當然，它們完全有這種可能 ，七種維護服務器安全最佳技巧而且，近些年來，服務器遭受的風險也比以前更大了。越來越多的病毒，心懷不軌的 ，以及那些商業間諜都將服務器作為了自己的目標。很顯然，服務器的安全問題是不容忽視的。不可能僅僅在一篇文章中就講述完所有的計算機安全方面的問題。畢竟，關于這個主題已經有無數的圖書在討論了。我下面所要做的就是告訴你七個維護你服務器安全的技巧。從基本做起我知道這聽起來象是廢話，但是當我們談論網絡服務器的安全的時候，我所能給你的最好的建議就是不要做門外漢。當 開始對你

2、的網絡發起攻擊的時候，他們首先會檢查是否存在一般的安全漏洞，然后才會考慮難度更加高一點的突破安全系統的手段。因此，比方說，當你服務器上的數據都存在于一個 FAT 的磁盤分區的時候，即使安裝上世界上所有的安全軟件也不會對你有多大幫助的。因為這個原因，你需要從基本做起。你需要將服務器上所有包含了敏感數據的磁盤分區都轉換成 NTFS 格式的。同樣，你還需要將所有的反病毒軟件及時更新。我建議你同時在服務器和桌面終端上運行反病毒軟件。這些軟件還應該配置成每天自動下載最新的病毒數據庫文件。你還更應該知道，可以為 Exchange Server 安裝反病毒軟件。這個軟件掃描所有流入的電子郵件，尋找被感染了的

3、附件，當它發現一個病毒時，會自動將這個被感染的郵件在到達用戶以前隔離起來。另一個保護網絡的好方法是以用戶待在公司里的時間為基礎限定他們訪問網絡的時間。一個通常在白天工作的臨時員工不應該被允許在臨晨三點的時候訪問網絡，除非那個員工的主管告訴你那是出于一個特殊項目的需要。最后，記住用戶在訪問整個網絡上的任何東西的時候都需要密碼。必須強迫大家使用高強度的由大小寫字母，數字和特殊字符組成的密碼。在 WindowsNTServer 資源包里有一個很好的用于這個任務的工具。你還應該經常將一些過期密碼作廢并更新還要要求用戶的密碼不得少于八個字符。如果你已經做了這所有的工作但還是擔心密碼的安全，你可以試一試從

4、互聯網下載一些 工具然后自己找出這些密碼到底有多安全。 保護你的備份每一個好的網絡管理員都知道每天都備份網絡服務器并將磁帶記錄遠離現場進行保護以防意外災害。但是，安全的問題遠不止是備份那么簡單。大多數人都沒有意識到，你的備份實際上就是一個巨大的安全漏洞。要理解這是為什么，試想一下，大多數的備份工作都是在大約晚上 10:00 或是11:00 的時候開始的。整個備份的過程通常是在半夜的時候結束，這取決于你有多少數據要備份。現在，想象一下，時間已經到了早晨四點，你的備份工作已經結束。但是，沒有什么東西能夠阻止一些人偷走你磁帶記錄上的數據并將它們在自己家中或是你競爭對手辦公室里的一臺服務器上恢復它們。

5、不過，你可以阻止這種事情的發生。首先，可以通過密碼保護你的磁帶并且如果你的備份程序支持加密功能，你還可以加密這些數據。其次，你可以將備份程序完成工作的時間定在你早晨上班的時間。這樣的話，即使有人前一天半夜想要溜進來偷走磁帶的話，他們也會因為磁帶正在使用而無法得逞。如果竊賊還是把磁帶彈出來帶走的話，磁帶上的數據也就毫無價值了。對 RAS 使用回叫功能 Windows NT 最酷的功能之一就是對服務器進行遠程訪問（RAS）的支持。不幸的是，一個 RAS 服務器對一個企圖進入你的系統的 來說是一扇敞開的大門。 們所需要的一切只是一個電話號碼，有時還需要一點耐心，然后就能通過 RAS 進入一臺主機了。

6、但你可以采取一些方法來保證 RAS 服務器的安全。你所要使用的技術將在很大程度上取決于你的遠程用戶如何使用 RAS。如果遠程用戶經常是從家里或是類似的不太變動的地方呼叫主機，我建議你使用回叫功能，它允許遠程用戶登錄以后切斷連接。然后 RAS 服務器撥通一個預先定義的電話號碼再次接通用戶。因為這個號碼是預先設定了的， 也就沒有機會設定服務器回叫的號碼了。另一個可選的辦法是限定所有的遠程用戶都訪問單一的服務器。你可以將用戶通常訪問的數據放置在 RAS 服務器的一個特殊的共享點上，電腦資料七種維護服務器安全最佳技巧。你于是可以將遠程用戶的訪問限制在一臺服務器上，而不是整個網絡。這樣，即使 通過破壞手

7、段來進入主機，那么他們也會被隔離在單一的一臺機器上，在這里，他們造成的破壞被減少到了最小。最后還有一個技巧就是在你的 RAS 服務器上使用出人意料的協議。我知道的每一個人都使用 TCP/IP 協議作為 RAS 協議?？紤]到 TCP/IP 協議本身的性質和典型的用途，這看起來象是一個合理的選擇。但是，RAS 還支持 IPX/SPX 和 NetBEUI 協議。如果你使用 NetBEUI 作為你 RAS 的協議，你確實可以迷惑一些不加提防的 ?？紤]工作站的安全問題 在一個關于服務器安全的文章里談論工作站的安全看起來很奇怪。但是，工作站正是通向服務器的一個端口。加強工作站的安全能夠提高整個網絡的安全性

8、。對于初學者，我建議在所有的工作站上使用 Windows 2000。Windows 2000 是一個非常安全的操作系統。如果你并不想這樣做，那么至少使用 Windows NT。你可以鎖定工作站，使得一些沒有安全訪問權的人想要獲得網絡配置信息變得困難或是不可能。另一個技術是控制哪個人能夠訪問哪臺工作站。例如，有一個員工叫 Bob，并且你已經知道他是一個麻煩制造者。顯然，你不想 Bob 能夠在午餐的時候打開他朋友的電腦或是差上他自己的筆記本然后黑掉整個系統。因此，你應該使用工作組用戶管理程序還修改 Bob 的帳號以便他只能從他自己的電腦（并且是在你指定的時間內）登錄。Bob 遠不太可能從他自己的電

9、腦上攻擊網絡，因為他知道別人可以將他追查出來。另一個技術是將工作站的功能限定為一個啞終端，或者，我沒有更好的詞語來形容，一個聰明的啞終端。總的來說，它的意思是沒有任何數據和應用程序駐留在獨立的工作站上。當你將計算機作為啞終端使用的時候，服務器被配置成運行Windows NT 終端服務程序，而且所有的應用程序物理上都運行在服務器上。所有送到工作站的東西都不過是更新的屏幕顯示而已。這意味著工作站上只有一個最小化的 Windows 版本和一份微軟終端服務程序的客戶端。使用這種方法也許是最安全的網絡設計方案。使用一個聰明的啞終端就是說程序和數據駐留在服務器上但卻在工作站上運行。所有安裝在工作站上的是一

10、份 Windows 拷貝以及一些指向駐留在服務器上的應用程序的圖標。當你點擊一個圖標運行程序時，這個程序將使用本地的資源來運行，而不是消耗服務器的資源。這比你運行一個完全的啞終端程序對服務器造成的壓力要小得多。使用流行的補丁程序微軟雇傭了一個程序員團隊來檢查安全漏洞并修補它們。有時，這些補丁被捆綁進一個大的軟件包并作為服務包（service pack）發布。通常有兩種不同的補丁程序版本:一個任何人都可以使用的 40 位的版本和一個只能在美國和加拿大使用的128 位的版本。128 位的版本使用 128 位的加密算法，比 40 位的版本要安全得多。如果你現在還在使用 40 位的服務包并輕生活在美國

11、或是加拿大，我強烈建議你下載 128 位的版本。有時一個服務包的發布也許要等上好幾個月-很明顯的，當一個大的安全漏洞被發現的時候，只要有可能修補它，你就不想再等下去。好在你并不需要等待。微軟定期將重要的補丁程序發布在它的 FTP 站點上。這些熱點補丁程序是自上一次服務包發布以后被公布的安全修補程序。我建議你經常查看熱點補丁。記住你一定要按邏輯順序使用這些補丁。如果你以錯誤的順序使用它們，結果可能導致一些文件的版本錯誤，Windows 也可能停止工作。 使用一個強有力的安全政策要提高安全性，另一個你可以做的工作就是制定一個好的，強有力的安全策略。確保每一個人都知道它并知道它是強制執行的。這樣的一個政策需要包括對一個在公司機器上下載未授權的軟件的員工的嚴厲懲罰。如果你使用 Windows 2000 Server，你就有可能指定用