教你学会七种维护服务器安全最佳技巧

导读:
  你的计算机上是否存在有至关重要的数据,并且不希望它们落入恶人之手呢?当然,它们完全有这种可能 。而且,近些年来,服务器遭受的风险也比以前更大了.越来越多的病毒,心怀不轨的黑客,以及那些商业间谍都将服务器作为了自己的目标.很显然,服务器的安全问题是不容忽视的.
  不可能仅仅在一篇文章中就讲述完所有的计算机安全方面的问题.毕竟,关于这个主题已经有无数的图书在讨论了.我下面所要做的就是告诉你七个维护你服务器安全的技巧.
  技巧一:从基本做起
  我知道这听起来象是废话,但是当我们谈论网络服务器的安全的时候,我所能给你的最好的建议就是不要做门外汉.当黑客开始对你的网络发起攻击的时候,他们首先会检查是否存在一般的安全漏洞,然后才会考虑难度更加高一点的突破安全系统的手段.因此,比方说,当你服务器上的数据都存在于一个FAT的磁盘分区的时候,即使安装上世界上所有的安全软件也不会对你有多大帮助的.
  因为这个原因,你需要从基本做起.你需要将服务器上所有包含了敏感数据的磁盘分区都转换成NTFS格式的.同样,你还需要将所有的反病毒软件及时更新.我建议你同时在服务器和桌面终端上运行反病毒软件.这些软件还应该配置成每天自动下载最新的病毒数据库文件.你还更应该知道,可以为Exchange Server安装反病毒软件.这个软件扫描所有流入的电子邮件,寻找被感染了的附件,当它发现一个病毒时,会自动将这个被感染的邮件在到达用户以前隔离起来.
  另一个保护网络的好方法是以用户待在公司里的时间为基础限定他们访问网络的时间.一个通常在白天工作的临时员工不应该被允许在临晨三点的时候访问网络,除非那个员工的主管告诉你那是出于一个特殊项目的需要.
  最后,记住用户在访问整个网络上的任何东西的时候都需要密码.必须强迫大家使用高强度的由大小写字母,数字和特殊字符组成的密码.在Windows NT Server资源包里有一个很好的用于这个任务的工具.你还应该经常将一些过期密码作废并更新还要要求用户的密码不得少于八个字符.如果你已经做了这所有的工作但还是担心密码的安全,你可以试一试从互联网下载一些黑客工具然后自己找出这些密码到底有多安全.
  技巧二:保护你的备份
  每一个好的网络管理员都知道每天都备份网络服务器并将磁带记录远离现场进行保护以防意外灾害.但是,安全的问题远不止是备份那么简单.大多数人都没有意识到,你的备份实际上就是一个巨大的安全漏洞.
  要理解这是为什么,试想一下,大多数的备份工作都是在大约晚上10:00或是11:00的时候开始的.整个备份的过程通常是在半夜的时候结束,这取决于你有多少数据要备份.现在,想象一下,时间已经到了早晨四点,你的备份工作已经结束.但是,没有什么东西能够阻止一些人偷走你磁带记录上的数据并将它们在自己家中或是你竞争对手办公室里的一台服务器上恢复它们.
  不过,你可以阻止这种事情的发生.首先,可以通过密码保护你的磁带并且如果你的备份程序支持加密功能,你还可以加密这些数据.其次,你可以将备份程序完成工作的时间定在你早晨上班的时间.这样的话,即使有人前一天半夜想要溜进来偷走磁带的话,他们也会因为磁带正在使用而无法得逞.如果窃贼还是把磁带弹出来带走的话,磁带上的数据也就毫无价值了.
  技巧三:对RAS使用回叫功能
  Windows NT最酷的功能之一就是对服务器进行远程访问(RAS)的支持.不幸的是,一个RAS服务器对一个企图进入你的系统的黑客来说是一扇敞开的大门.黑客们所需要的一切只是一个电话号码,有时还需要一点耐心,然后就能通过RAS进入一台主机了.但你可以采取一些方法来保证RAS服务器的安全.
  你所要使用的技术将在很大程度上取决于你的远程用户如何使用RAS.如果远程用户经常是从家里或是类似的不太变动的地方呼叫主机,我建议你使用回叫功能,它允许远程用户登录以后切断连接.然后RAS服务器拨通一个预先定义的电话号码再次接通用户.因为这个号码是预先设定了的,黑客也就没有机会设定服务器回叫的号码了.
  另一个可选的办法是限定所有的远程用户都访问单一的服务器.你可以将用户通常访问的数据放置在RAS服务器的一个特殊的共享点上.你于是可以将远程用户的访问限制在一台服务器上,而不是整个网络.这样,即使黑客通过破坏手段来进入主机,那么他们也会被隔离在单一的一台机器上,在这里,他们造成的破坏被减少到了最小.
  最后还有一个技巧就是在你的RAS服务器上使用出人意料的协议.我知道的每一个人都使用TCP/IP协议作为RAS协议.考虑到TCP/IP协议本身的性质和典型的用途,这看起来象是一个合理的选择.但是,RAS还支持IPX/SPX和NetBEUI协议.如果你使用NetBEUI作为你RAS的协议,你确实可以迷惑一些不加提防的黑客.
  技巧四:考虑工作站的安全问题
  在一个关于服务器安全的文章里谈论工作站的安全看起来很奇怪.但是,工作站正是通向服务器的一个端口.加强工作站的安全能够提高整个网络的安全性.对于初学者,我建议在所有的工作站上使用Windows 2000.Windows 2000是一个非常安全的操作系统.如果你并不想这样做,那么至少使用Windows NT.你可以锁定工作站,使得一些没有安全访问权的人想要获得网络配置信息变得困难或是不可能.
  另一个技术是控制哪个人能够访问哪台工作站.例如,有一个员工叫Bob,并且你已经知道他是一个麻烦制造者.显然,你不想Bob能够在午餐的时候打开他朋友的电脑或是差上他自己的笔记本然后黑掉整个系统.因此,你应该使用工作组用户管理程序还修改Bob的帐号以便他只能从他自己的电脑(并且是在你指定的时间内)登录.Bob远不太可能从他自己的电脑上攻击网络,因为他知道别人可以将他追查出来.
  另一个技术是将工作站的功能限定为一个哑终端,或者,我没有更好的词语来形容,一个"聪明的"哑终端.总的来说,它的意思是没有任何数据和应用程序驻留在独立的工作站上.当你将计算机作为哑终端使用的时候,服务器被配置成运行Windows NT 终端服务程序,而且所有的应用程序物理上都运行在服务器上.所有送到工作站的东西都不过是更新的屏幕显示而已.这意味着工作站上只有一个最小化的Windows版本和一份微软终端服务程序的客户端.使用这种方法也许是最安全的网络设计方案.
  使用一个"聪明"的哑终端就是说程序和数据驻留在服务器上但却在工作站上运行.所有安装在工作站上的是一份Windows拷贝以及一些指向驻留在服务器上的应用程序的图标.当你点击一个图标运行程序时,这个程序将使用本地的资源来运行,而不是消耗服务器的资源.这比你运行一个完全的哑终端程序对服务器造成的压力要小得多.
  技巧五:使用流行的补丁程序
  微软雇佣了一个程序员团队来检查安全漏洞并修补它们.有时,这些补丁被捆绑进一个大的软件包并作为服务包(service pack)发布.通常有两种不同的补丁程序版本:一个任何人都可以使用的40位的版本和一个只能在美国和加拿大使用的128位的版本.128位的版本使用128位的加密算法,比40位的版本要安全得多.如果你现在还在使用40位的服务包并且生活在美国或是加拿大,我强烈建议你下载128位的版本.
  有时一个服务包的发布也许要等上好几个月--很明显的,当一个大的安全漏洞被发现的时候,只要有可能修补它,你就不想再等下去.好在你并不需要等待.微软定期将重要的补丁程序发布在它的FTP站点上.这些热点补丁程序是自上一次服务包发布以后被公布的安全修补程序.我建议你经常查看热点补丁.记住你一定要按逻辑顺序使用这些补丁.如果你以错误的顺序使用它们,结果可能导致一些文件的版本错误,Windows也可能停止工作.
  技巧六:使用一个强有力的安全政策
  要提高安全性,另一个你可以做的工作就是制定一个好的,强有力的安全策略.确保每一个人都知道它并知道它是强制执行的.这样的一个政策需要包括对一个在公司机器上下载未授权的软件的员工的严厉惩罚.
  如果你使用Windows 2000 Server,你就有可能指定用户特殊的使用权限来使用你的服务器而不需要交出管理员的控制权.一个好的用法就是授权人力资源部来删除和禁用一个帐号.这样,人力资源部就可以在一个行将走人的员工知道自己将被解雇以前就删除或是禁用他的用户帐号.这样,不满的员工就不会有机会来搅乱公司的系统了.同时,使用特殊用户权限,你就可以授予这种删除和禁用帐号权限并限制创建用户或是更改许可等这些活动的权限了.
  试一试免费的TechProGuild吧! 如果你觉得这篇文章有用,可以看看TechRepublic的TechProGuild注册资源,它提供有深度的技术文章,覆盖了一些IT的主题,包括Windows服务器和客户端平台,Linux,疑难解答问题,和数字网络项目的难点,以及NetWare.拥有一个TechProGuild的帐户,你还可以在线阅读流行的IT工业书籍的全文.点击这里注册享受30天免费的TechProGuild试用期.
  技巧七:反复检查你的防火墙
  我们的最后一个技巧包括仔细检查你防火墙的设置.你的防火墙是网络的一个重要部分因为它将你公司的计算机同互联网上那些可能对它们造成损坏的蛊惑仔们隔离开来.
  你首先要做的事情是确保防火墙不会向外界开放超过必要的任何IP地址.你总是至少要让一个IP地址对外界可见.这个IP地址被使用来进行所有的互联网通讯.如果你还有DNS注册的Web服务器或是电子邮件服务器,它们的IP地址也许也要通过防火墙对外界可见.但是,工作站和其他服务器的IP地址必须被隐藏起来.
  你还可以查看端口列表验证你已经关闭了所有你并不常用的端口地址.例如,TCP/IP 端口80用于HTTP通讯,因此你可能并不想堵掉这个端口.但是,你也许永远都不会用端口81因此它应该被关掉.你可以在Internet上找到每个端口使用用途的列表.
  结论
  服务器的安全问题是一个大问题.你不希望紧要的数据被病毒或是黑客破坏或是被一个可能用这些数据来对付你的人窃取.在本文中,我介绍了7个你应该在下一次安全审查中注意的地方.

本文转自
http://net.zdnet.com.cn/network_security_zone/2008/0302/751078.shtml

转载于:https://www.cnblogs.com/java20130725/archive/2008/03/03/3216062.html

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/276936.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

mysql 快速生成百万条测试数据

转自:http://www.cnblogs.com/jiangxiaobo/p/6101072.html 1、生成思路 利用mysql内存表插入速度快的特点,先利用函数和存储过程在内存表中生成数据,然后再从内存表插入普通表中2、创建内存表及普通表 CREATE TABLE vote_record_memory (id I…

自动化专业学python有用吗-马哥教育官网-专业Linux培训班,Python培训机构

今天小编要来说一下Python自动化的学习思路, 对于刚刚进入的测试行业的人来说,未来该怎么样朝着自动化方向发展,即使接触到了自动化测试,又该从何下手去学呢? 简单的说, 做测试做的好,会了接口&…

java JVM

每一个Java虚拟机都由一个类加载器子系统(class loader subsystem),负责加载程序中的类型(类和接口),并赋予唯一的名字。每一个Java虚拟机都有一个执行引擎(execution engine)负责执…

马化腾联手10余位科学家发起科学探索奖,腾讯基金投入10亿元启动资金

11月9日消息,据腾讯科技报道,腾讯基金会于腾讯公司成立20周年之际宣布,腾讯公司董事会主席兼首席执行官,腾讯基金会发起人马化腾,与北京大学教授饶毅,携手杨振宁、毛淑德、何华武、邬贺铨、李培根、陈十一、…

给Domino系统管理员的十二项建议

Domino系统管理员的日常工作就是维护Domino系统的正常运行。以下简要说明了管理员所必做的一些工作。对于系统管理员,特别是新建系统的管理员来说,这些建议能帮助他们完成基本的维护工作。 根据许多资深的Domino管理员和咨询人员的经验,我们对…

delphi 软件在线人数统计_8款值得学习的科研论文作图软件

写在前面科研绘图在国外已经非常流行,且被高度重视,国内科研人员也越来越重视科研方面的绘图。不少科研工作者,包括在读的博士生、研究生等可能都有这样的体会:千辛万苦得来的实验结果,不知道该如何展现给别人?曾经有…

技术管理—管理书籍推荐

技术出身,考虑接触下管理方面的知识。也许管理真的适合你,角色认知角色实践角色胜任!最后爱上它! 我最喜欢的一本书--高效能人士的七个习惯 作者:史蒂芬柯维(Stephen Richards Covey) 该…

JS 几种数据类型及其转换

ECMAScript 标准定义了 7 种数据类型: Number;String;Boolean;Symbol;Null;Undefined;Object 。通常,数值、字符串、布尔值、undefined和null这五种类型,合称为简单类型的值&#xf…

网络虚拟化有几种实现方式_停车场管理系统的防砸车功能有几种方式?如何实现?...

原标题:停车场管理系统的防砸车功能有几种方式?如何实现?前言0101正文一、压力波防砸装置也叫遇阻防砸,主要是安装遇阻返回装置,当道闸杆下落过程中接触到车辆或者行人(接触力度是可以调节的),装置道闸杆底…

Socket 死连接详解

当使用 Socket 进行通信时,由于各种不同的因素,都有可能导致死连接停留在服务器端,假如服务端需要处理的连接较多,就有可能造成服务器资源严重浪费,对此,本文将阐述其原理以及解决方法。 在写 Socket 进行通…

[Swift]LeetCode1146. 快照数组 | Snapshot Array

★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★➤微信公众号:山青咏芝(shanqingyongzhi)➤博客园地址:山青咏芝(https://www.cnblogs.com/strengthen/)➤GitHub地址&a…

aspnet中gridview文本只显示开始几个文本_软网推荐:三个小软件 轻松解决文本操作难题...

TXT文本操作在Windows操作中算是比较容易的事了,但简单的文本操作也会遇到难题。例如,对于我们反复需要使用的多个信息,如果仅靠CtrlC和CtrlV来回复制、粘贴,效率会极低;再如,对于一些软件组件中显示的文本…

刚被IBM收购的红帽,它的下一站是中国

前不久IBM斥资340亿美元收购红帽的新闻震惊了所有人,这个金额是互联网上第三大交易,也是开源史上最大交易。这个收购背后到底有哪些目的?红帽接下来会做什么?11月6日红帽在北京举办红帽论坛,向外界介绍了红帽的想法。 …

验证DetailsView插入数据不为空

验证DetailsView插入数据不为空,在对象数据源ObjectDataScource(ChannelDS)的Inserting事件中写如下代码:protected void ChannelDS_Inserting(object sender, ObjectDataSourceMethodEventArgs e) { string name "";…

为什么onenote一直在加载_OneNote:科研笔记独一无二的无敌利器

每个人都梦想着自己有超乎常人的记忆力,拥有者过目不忘的技能,从此走向人生巅峰……然而我们都不是那样的人,在这个高速发展的数字新信息时代,进行有效的记忆,保存我们随时到来的灵感等,这就需要我们进行笔…

WPF 实现 DataGrid/ListView 分页控件

原文:WPF 实现 DataGrid/ListView 分页控件在WPF中,通常会选用DataGrid/ListView进行数据展示,如果数据量不多,可以直接一个页面显示出来。如果数据量很大,2000条数据,一次性显示在一个页面中,不仅消耗资源…

Sql Server 中汉字处理排序规则,全角半角

--1. 为数据库指定排序规则CREATEDATABASEdb COLLATE Chinese_PRC_CI_ASGOALTERDATABASEdb COLLATE Chinese_PRC_BINGO/**//**/--2. 为表中的列指定排序规则CREATETABLEtb(col1 varchar(10),col2 varchar(10) COLLATE Chinese_PRC_CI_AS)GOALTERTABLEtb ADDcol3 varchar(10) CO…

解决局域网设置固定IP后无法上网?

1.cmd中输入ipconfig /all查看ip和dns的状态 2.查看自动获取的dns是什么,然后手动设置ip和dns时,和自动获取的保持一样即可 注解:设置后还是无法上网后主要检查ip与dns是否设置错误. 转载于:https://www.cnblogs.com/yanans/p/11301061.html

鼠标输入

一、隐藏并捕捉光标 偏航角和俯仰角是通过鼠标移动获得的,水平的移动影响偏航角,竖直的移动影响俯仰角。 原理是,存储上一帧鼠标的位置,在当前帧中计算鼠标位置与上一帧的位置相差多少。如果水平/竖直差别越大,那么俯仰…

c#用canny算子做边缘提取_机器视觉学习(三)边缘检测

一、边缘检测二、边缘检测流程三、Canny边缘检测前言边缘检测是图像处理和计算机视觉中,尤其是特征提取中的一个研究领域。有许多方法用于边缘检测,它们的绝大部分可以划分为两类:基于一阶导数首先计算边缘强度, 通常用一阶导数表…