企业中心机房的服务器是越来越多了,不仅维护麻烦,更何况面临着严峻的安全考验。所谓“牵一发而动全身”,试想主域服务器、ERP服务器、代理服务器、邮件服务器Web服务器等,随便哪个瘫掉了,都可能给整个公司的运转带来不小的影响。打造安全、稳定、高效的服务器是管理者的主要任务。本文笔者将和大家分享在服务器安全方面的经验,希望对你有帮助。
1.杀毒软件
这个部分不用多说,服务器不装杀毒软件的危险性可想而之。假如一台文件服务器中毒,那么通过它进行数据中转的很多电脑都可能被感染。所以,给服务器安装杀毒软件是必须的,最好使用专门为服务器设计的专业杀毒软件。(图1)
2.服务分属
一般来说,公司内的服务通常有AD活动目录服务、DHCP眼务、DNS服务、文件服务、邮件服务、ERP服务、WSUS服务、IIS网站服务、代理服务等,还会有oA服务、传真服务、FTP服务等。理论上,这些服务都应该使用单独的服务器,但是有时为了方便管理,
会在一台服务器上同时安装两项甚至多项服务。
这是不可取的。例如,很多公司都在使用IIS作为网站服务器。但是众所周之,IIS是微软的组件中漏洞最多的一个,隔一段时间就会公布一个漏洞,很多攻击者都回通过CGI漏洞扫描器进行破坏、攻击。如果将主域或者其他关键服务器和IIS做到一一起,就相当于把内部资料完全暴露在入侵者面前。另外,单一服务器提供多项服务也会增大服务器的自身压力,速度缓慢或者其他稀奇古怪的病症都可能发生。所以,笔者还是建议将服务分属开来,实行单一化。(图2)
3.分区格式
服务器的分区格式基本上都是NTFS的,主要是因为它具有强大的安全控制机制,对大硬盘的支持功能也是FAT32无法比拟的。如果硬盘分区是FAT32格式,就转换一下吧,
只需使用命令:Convert c:fs:ntfs,就可以将c盘转换成NTFS格式。不过,用这种转换方式有一点弊端,就是转换后安装Windows补丁时会出现蓝屏现象。如果有时问和精力,最好重装一下系统,在安装时将分区格式化成NTFS格式,这才是上上之选。(图3)
#p#
4.用户账户
服务器安装初期有一部分账户默认状态是被开启的,这些账户很多都是没用的,甚至其存在本身就是对系统安全的威胁,比如Guest账户。这个账户被黑客运用得淋漓尽致,很多工具能轻易地将Guest账户提升到管理员组,一旦被攻破整个网络也就没有任何系统安全性可言了。所以账户及密码要严防死守,最好做到如下几点:
(1).关闭Guest账户。
(2).更改Administrator账户的名称,最好使用不易暴露目标的普通名称,同时再建立一两个管理员账户,以便不时之需,但是这些账户的权限要严格控制,非必要时不要将整个服务器予以授权。
(3).鉴于暴力破解密码的手段和速度都有所提高,密码复杂度一定要高,最好是十位以上,且同时包含字母、数字、特殊字符。
(4).每两周或一个月更改一次密码,更改的同时在日志中审核账户,检测账户密码是否被恶意尝试突破,并在账号属性中设立锁定次数,账号失败登录次数超过三次就锁定。
这些操作很简,但是要长年累月地坚持下来,就不是每个人都能做到的了。但是,不出问题还好,一旦出了问题,账户、密码的丢失会对整个网络系统产生致命打击。(图4)
5.相关端口
端口是服务器和客户机相连的逻辑接口,也是服务器的第一道路径,端口的安全性直接影响到服务器的安全。比如扫描结果显示69端口开放,那你的操作系统极有可能是Linux或者Unix系统,黑客们就会抛弃Windows模式而转为Unix系统模式发起攻击。所以,根据需求仅打开服务使用的端口,会更加安全。(图5)
6.安全审核
服务器的审核非常关键,通过审核日志,网管能轻松找出系统入侵行为、异常动向等相关信息。但是审核是有技巧的,审核项目过多会占用很多系统资源而且会导致网管根本没空去看,审核项目过少又无法得知自己需要的相关信息,那样的审核没有意义。所以,需要根据服务器需求设定审核的项目。
比如,提供远程服务的Terminal Service服务器,一般来说,我们只要审核登录、注销事件即可,目的只是查看是否有人非法登录。再比如,提供邮箱服务的Exchange服务器,需要监视和审核的是收件人、发件人、时间、过滤附件这几项。如果有病毒在服务器中转,通过监视记录非常容易找出来。当然,为了减轻服务器负担以及便于管理员查看每台服务器只记录比较铭感的信息。(图6)
#p#
7.权限配置
这里说的“权限配置” 主要是文件服务器、Web服务器的权限。对于公司来讲,为了分工合作,很多资源需要读写共享。“读共享” 还好说,服务器不会感染病毒,而“写权限” 就不是那么容易控制的了,一旦客户端中毒,此机器访问某共享文件夹时很可能将病毒同时写入服务器。这种病毒入侵只能依靠杀毒软件来被动检测,但作为网管,主动一点的防御措施还是很有必要的。
(1).尽可能用“组” 来进行权限控制。
(2).在用户需求基础上,尽可能分配最小的权限。
(3).权限是累计效应的,隶属多个组,尽量不重复授权。
(4).由于拒绝的权限要比允许的权限高,所以要善用拒绝权限,任何一个不合理的拒绝都有可能造成共享无法正常运行。(图7)
8.关闭共享资源
除了文件服务器外,几乎所有的服务器都不需要共享资源。因此,为了防止不法分子利用共享发起攻击,最好关闭所用共享选项:
(1).打开“本地连接” 属性窗口,将“Microsoft网络的文件和打印机共享”项去掉。
(2).关闭默认共享。
(3).关闭Server这项共享服务。
关闭这些网络共享途径,不法分子就不能通过共享的文件来入侵服务器了,少了一种入侵手段,安全性自然要有所提高。还有,不需要的功能和协议也应尽可能关闭或禁用。比如:大量的ICMP数据包会形成“ICMP风暴”,造成网络堵塞,受到流量攻击,“ICMP路由公告” 可以造成客户机与服务器的网络连接异常,数据被窃听、盗窃。可以通过修改注册表来防止ICMP重定向报文的攻击,禁止响应ICMP路由通告报文。
另外,删除NetBEUI和即将退出历史舞台的IPX/PX协议,也将在很大程度上保护服务器的安全。原则上,服务器只要能提供相应服务,所用的东西能少就少。(图8)
9.加强数据备份
域账户数据、内网邮箱账户数据、外网邮箱账户数据、ERP资源数据,这些数据不用多说大家也知道它们的重要性吧,保证数据安全就要对这些数据加大备份强度。笔者建议,每天做增量备份,每星期做全盘备份,每个月检测数据备份是否完善。当数据到达指定大小时刻录光盘,并制作冗余光盘,防止数据因保存不当丢失。关键的数据尽可能做冗余备份,成本不会增加很多,但是数据安全性却能大大提高。(图9)
10.保留地址
服务器的地址要有完全的受控性和永久不被侵占性,这就要保留一部分地址只供服务器使用。比如,在DHCP地址池中划分出相应的IP地址作为保留地址,然后将这些IP地址和对应服务器的MAC地址绑定。这样,即便是客户机非法使用该IP地址,也无法进行网络访问。(图10)
总结:服务器的安全是个系统工程,任何一个方面的隐患或者疏忽将会使整个防御体系告破。因此,全方位地做好服务器的安全部署是必要的也是必须的。
【编辑推荐】