企業(yè)中心機(jī)房的服務(wù)器是越來(lái)越多了，不僅維護(hù)麻煩，更何況面臨著嚴(yán)峻的安全考驗(yàn)。所謂“牽一發(fā)而動(dòng)全身”，試想主域服務(wù)器、ERP服務(wù)器、代理服務(wù)器、郵件服務(wù)器Web服務(wù)器等，隨便哪個(gè)癱掉了，都可能給整個(gè)公司的運(yùn)轉(zhuǎn)帶來(lái)不小的影響。打造安全、穩(wěn)定、高效的服務(wù)器是管理者的主要任務(wù)。本文筆者將和大家分享在服務(wù)器安全方面的經(jīng)驗(yàn)，希望對(duì)你有幫助。

1.殺毒軟件

這個(gè)部分不用多說(shuō)，服務(wù)器不裝殺毒軟件的危險(xiǎn)性可想而之。假如一臺(tái)文件服務(wù)器中毒，那么通過(guò)它進(jìn)行數(shù)據(jù)中轉(zhuǎn)的很多電腦都可能被感染。所以，給服務(wù)器安裝殺毒軟件是必須的，最好使用專(zhuān)門(mén)為服務(wù)器設(shè)計(jì)的專(zhuān)業(yè)殺毒軟件。(圖1)

2.服務(wù)分屬

一般來(lái)說(shuō)，公司內(nèi)的服務(wù)通常有AD活動(dòng)目錄服務(wù)、DHCP眼務(wù)、DNS服務(wù)、文件服務(wù)、郵件服務(wù)、ERP服務(wù)、WSUS服務(wù)、IIS網(wǎng)站服務(wù)、代理服務(wù)等，還會(huì)有oA服務(wù)、傳真服務(wù)、FTP服務(wù)等。理論上，這些服務(wù)都應(yīng)該使用單獨(dú)的服務(wù)器，但是有時(shí)為了方便管理，

會(huì)在一臺(tái)服務(wù)器上同時(shí)安裝兩項(xiàng)甚至多項(xiàng)服務(wù)。

這是不可取的。例如，很多公司都在使用IIS作為網(wǎng)站服務(wù)器。但是眾所周之，IIS是微軟的組件中漏洞最多的一個(gè)，隔一段時(shí)間就會(huì)公布一個(gè)漏洞，很多攻擊者都回通過(guò)CGI漏洞掃描器進(jìn)行破壞、攻擊。如果將主域或者其他關(guān)鍵服務(wù)器和IIS做到一一起，就相當(dāng)于把內(nèi)部資料完全暴露在入侵者面前。另外，單一服務(wù)器提供多項(xiàng)服務(wù)也會(huì)增大服務(wù)器的自身壓力，速度緩慢或者其他稀奇古怪的病癥都可能發(fā)生。所以，筆者還是建議將服務(wù)分屬開(kāi)來(lái)，實(shí)行單一化。(圖2)

3.分區(qū)格式

服務(wù)器的分區(qū)格式基本上都是NTFS的，主要是因?yàn)樗哂袕?qiáng)大的安全控制機(jī)制，對(duì)大硬盤(pán)的支持功能也是FAT32無(wú)法比擬的。如果硬盤(pán)分區(qū)是FAT32格式，就轉(zhuǎn)換一下吧，

只需使用命令：Convert c:fs:ntfs，就可以將c盤(pán)轉(zhuǎn)換成NTFS格式。不過(guò)，用這種轉(zhuǎn)換方式有一點(diǎn)弊端，就是轉(zhuǎn)換后安裝Windows補(bǔ)丁時(shí)會(huì)出現(xiàn)藍(lán)屏現(xiàn)象。如果有時(shí)問(wèn)和精力，最好重裝一下系統(tǒng)，在安裝時(shí)將分區(qū)格式化成NTFS格式，這才是上上之選。(圖3)

4.用戶賬戶

服務(wù)器安裝初期有一部分賬戶默認(rèn)狀態(tài)是被開(kāi)啟的，這些賬戶很多都是沒(méi)用的，甚至其存在本身就是對(duì)系統(tǒng)安全的威脅，比如Guest賬戶。這個(gè)賬戶被黑客運(yùn)用得淋漓盡致，很多工具能輕易地將Guest賬戶提升到管理員組，一旦被攻破整個(gè)網(wǎng)絡(luò)也就沒(méi)有任何系統(tǒng)安全性可言了。所以賬戶及密碼要嚴(yán)防死守，最好做到如下幾點(diǎn)：

(1).關(guān)閉Guest賬戶。

(2).更改Administrator賬戶的名稱，最好使用不易暴露目標(biāo)的普通名稱，同時(shí)再建立一兩個(gè)管理員賬戶，以便不時(shí)之需，但是這些賬戶的權(quán)限要嚴(yán)格控制，非必要時(shí)不要將整個(gè)服務(wù)器予以授權(quán)。

(3).鑒于暴力破解密碼的手段和速度都有所提高，密碼復(fù)雜度一定要高，最好是十位以上，且同時(shí)包含字母、數(shù)字、特殊字符。

(4).每?jī)芍芑蛞粋€(gè)月更改一次密碼，更改的同時(shí)在日志中審核賬戶，檢測(cè)賬戶密碼是否被惡意嘗試突破，并在賬號(hào)屬性中設(shè)立鎖定次數(shù)，賬號(hào)失敗登錄次數(shù)超過(guò)三次就鎖定。

這些操作很簡(jiǎn)，但是要長(zhǎng)年累月地堅(jiān)持下來(lái)，就不是每個(gè)人都能做到的了。但是，不出問(wèn)題還好，一旦出了問(wèn)題，賬戶、密碼的丟失會(huì)對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)產(chǎn)生致命打擊。(圖4)
　　

5.相關(guān)端口

端口是服務(wù)器和客戶機(jī)相連的邏輯接口，也是服務(wù)器的第一道路徑，端口的安全性直接影響到服務(wù)器的安全。比如掃描結(jié)果顯示69端口開(kāi)放，那你的操作系統(tǒng)極有可能是Linux或者Unix系統(tǒng)，黑客們就會(huì)拋棄Windows模式而轉(zhuǎn)為Unix系統(tǒng)模式發(fā)起攻擊。所以，根據(jù)需求僅打開(kāi)服務(wù)使用的端口，會(huì)更加安全。(圖5)
　　

[[6253]]

6.安全審核

服務(wù)器的審核非常關(guān)鍵，通過(guò)審核日志，網(wǎng)管能輕松找出系統(tǒng)入侵行為、異常動(dòng)向等相關(guān)信息。但是審核是有技巧的，審核項(xiàng)目過(guò)多會(huì)占用很多系統(tǒng)資源而且會(huì)導(dǎo)致網(wǎng)管根本沒(méi)空去看，審核項(xiàng)目過(guò)少又無(wú)法得知自己需要的相關(guān)信息，那樣的審核沒(méi)有意義。所以，需要根據(jù)服務(wù)器需求設(shè)定審核的項(xiàng)目。

比如，提供遠(yuǎn)程服務(wù)的Terminal Service服務(wù)器，一般來(lái)說(shuō)，我們只要審核登錄、注銷(xiāo)事件即可，目的只是查看是否有人非法登錄。再比如，提供郵箱服務(wù)的Exchange服務(wù)器，需要監(jiān)視和審核的是收件人、發(fā)件人、時(shí)間、過(guò)濾附件這幾項(xiàng)。如果有病毒在服務(wù)器中轉(zhuǎn)，通過(guò)監(jiān)視記錄非常容易找出來(lái)。當(dāng)然，為了減輕服務(wù)器負(fù)擔(dān)以及便于管理員查看每臺(tái)服務(wù)器只記錄比較銘感的信息。(圖6)

[[6254]]

7.權(quán)限配置

這里說(shuō)的“權(quán)限配置” 主要是文件服務(wù)器、Web服務(wù)器的權(quán)限。對(duì)于公司來(lái)講，為了分工合作，很多資源需要讀寫(xiě)共享?！白x共享” 還好說(shuō)，服務(wù)器不會(huì)感染病毒，而“寫(xiě)權(quán)限” 就不是那么容易控制的了，一旦客戶端中毒，此機(jī)器訪問(wèn)某共享文件夾時(shí)很可能將病毒同時(shí)寫(xiě)入服務(wù)器。這種病毒入侵只能依靠殺毒軟件來(lái)被動(dòng)檢測(cè)，但作為網(wǎng)管，主動(dòng)一點(diǎn)的防御措施還是很有必要的。

(1).盡可能用“組” 來(lái)進(jìn)行權(quán)限控制。

(2).在用戶需求基礎(chǔ)上，盡可能分配最小的權(quán)限。

(3).權(quán)限是累計(jì)效應(yīng)的，隸屬多個(gè)組，盡量不重復(fù)授權(quán)。

(4).由于拒絕的權(quán)限要比允許的權(quán)限高，所以要善用拒絕權(quán)限，任何一個(gè)不合理的拒絕都有可能造成共享無(wú)法正常運(yùn)行。(圖7)
　　

[[6255]]

8.關(guān)閉共享資源

除了文件服務(wù)器外，幾乎所有的服務(wù)器都不需要共享資源。因此，為了防止不法分子利用共享發(fā)起攻擊，最好關(guān)閉所用共享選項(xiàng)：

(1).打開(kāi)“本地連接” 屬性窗口，將“Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享”項(xiàng)去掉。

(2).關(guān)閉默認(rèn)共享。

(3).關(guān)閉Server這項(xiàng)共享服務(wù)。

關(guān)閉這些網(wǎng)絡(luò)共享途徑，不法分子就不能通過(guò)共享的文件來(lái)入侵服務(wù)器了，少了一種入侵手段，安全性自然要有所提高。還有，不需要的功能和協(xié)議也應(yīng)盡可能關(guān)閉或禁用。比如：大量的ICMP數(shù)據(jù)包會(huì)形成“ICMP風(fēng)暴”，造成網(wǎng)絡(luò)堵塞，受到流量攻擊，“ICMP路由公告” 可以造成客戶機(jī)與服務(wù)器的網(wǎng)絡(luò)連接異常，數(shù)據(jù)被竊聽(tīng)、盜竊?？梢酝ㄟ^(guò)修改注冊(cè)表來(lái)防止ICMP重定向報(bào)文的攻擊，禁止響應(yīng)ICMP路由通告報(bào)文。

另外，刪除NetBEUI和即將退出歷史舞臺(tái)的IPX/PX協(xié)議，也將在很大程度上保護(hù)服務(wù)器的安全。原則上，服務(wù)器只要能提供相應(yīng)服務(wù)，所用的東西能少就少。(圖8)　　

9.加強(qiáng)數(shù)據(jù)備份

域賬戶數(shù)據(jù)、內(nèi)網(wǎng)郵箱賬戶數(shù)據(jù)、外網(wǎng)郵箱賬戶數(shù)據(jù)、ERP資源數(shù)據(jù)，這些數(shù)據(jù)不用多說(shuō)大家也知道它們的重要性吧，保證數(shù)據(jù)安全就要對(duì)這些數(shù)據(jù)加大備份強(qiáng)度。筆者建議，每天做增量備份，每星期做全盤(pán)備份，每個(gè)月檢測(cè)數(shù)據(jù)備份是否完善。當(dāng)數(shù)據(jù)到達(dá)指定大小時(shí)刻錄光盤(pán)，并制作冗余光盤(pán)，防止數(shù)據(jù)因保存不當(dāng)丟失。關(guān)鍵的數(shù)據(jù)盡可能做冗余備份，成本不會(huì)增加很多，但是數(shù)據(jù)安全性卻能大大提高。(圖9)

10.保留地址

服務(wù)器的地址要有完全的受控性和永久不被侵占性，這就要保留一部分地址只供服務(wù)器使用。比如，在DHCP地址池中劃分出相應(yīng)的IP地址作為保留地址，然后將這些IP地址和對(duì)應(yīng)服務(wù)器的MAC地址綁定。這樣，即便是客戶機(jī)非法使用該IP地址，也無(wú)法進(jìn)行網(wǎng)絡(luò)訪問(wèn)。(圖10)

總結(jié)：服務(wù)器的安全是個(gè)系統(tǒng)工程，任何一個(gè)方面的隱患或者疏忽將會(huì)使整個(gè)防御體系告破。因此，全方位地做好服務(wù)器的安全部署是必要的也是必須的。

【編輯推薦】

1. 從入侵者角度談服務(wù)器安全基本配置(Windows環(huán)境)
2. 如何增強(qiáng)Linux和Unix服務(wù)器系統(tǒng)安全性
3. 解析：服務(wù)器安全的三大紀(jì)律