服務(wù)器安全維護(hù)技巧中，我們?cè)谝郧暗奈恼轮幸呀?jīng)介紹了三種，今天，我們繼續(xù)和大家分享另外幾種有效的技巧。

技巧一：考慮工作站的安全問(wèn)題

在一個(gè)關(guān)于服務(wù)器安全的文章里談?wù)摴ぷ髡镜陌踩雌饋?lái)很奇怪。但是，工作站正是通向服務(wù)器的一個(gè)端口。加強(qiáng)工作站的安全能夠提高整個(gè)網(wǎng)絡(luò)的安全性。對(duì)于初學(xué)者，我建議在所有的工作站上使用Windows 2000.Windows 2000是一個(gè)非常安全的操作系統(tǒng)。如果你并不想這樣做，那么至少使用Windows NT.你可以鎖定工作站，使得一些沒(méi)有安全訪問(wèn)權(quán)的人想要獲得網(wǎng)絡(luò)配置信息變得困難或是不可能。

另一個(gè)技術(shù)是控制哪個(gè)人能夠訪問(wèn)哪臺(tái)工作站。例如，有一個(gè)員工叫Bob,并且你已經(jīng)知道他是一個(gè)麻煩制造者。顯然，你不想Bob能夠在午餐的時(shí)候打開(kāi)他朋友的電腦或是差上他自己的筆記本然后黑掉整個(gè)系統(tǒng)。因此，你應(yīng)該使用工作組用戶管理程序還修改Bob的帳號(hào)以便他只能從他自己的電腦（并且是在你指定的時(shí)間內(nèi)）登錄。Bob遠(yuǎn)不太可能從他自己的電腦上攻擊網(wǎng)絡(luò)，因?yàn)樗绖e人可以將他追查出來(lái)。

技巧二：給工作站和服務(wù)器合理分工

另一個(gè)技術(shù)是將工作站的功能限定為一個(gè)啞終端，或者，我沒(méi)有更好的詞語(yǔ)來(lái)形容，一個(gè)“聰明的”啞終端?？偟膩?lái)說(shuō)，它的意思是沒(méi)有任何數(shù)據(jù)和應(yīng)用程序駐留在獨(dú)立的工作站上。當(dāng)你將計(jì)算機(jī)作為啞終端使用的時(shí)候，服務(wù)器被配置成運(yùn)行Windows NT 終端服務(wù)程序，而且所有的應(yīng)用程序物理上都運(yùn)行在服務(wù)器上。所有送到工作站的東西都不過(guò)是更新的屏幕顯示而已。這意味著工作站上只有一個(gè)最小化的 Windows版本和一份微軟終端服務(wù)程序的客戶端。使用這種方法也許是最安全的網(wǎng)絡(luò)設(shè)計(jì)方案。

使用一個(gè)“聰明”的啞終端就是說(shuō)程序和數(shù)據(jù)駐留在服務(wù)器上但卻在工作站上運(yùn)行。所有安裝在工作站上的是一份Windows拷貝以及一些指向駐留在服務(wù)器上的應(yīng)用程序的圖標(biāo)。當(dāng)你點(diǎn)擊一個(gè)圖標(biāo)運(yùn)行程序時(shí)，這個(gè)程序?qū)⑹褂帽镜氐馁Y源來(lái)運(yùn)行，而不是消耗服務(wù)器的資源。這比你運(yùn)行一個(gè)完全的啞終端程序?qū)Ψ?wù)器造成的壓力要小得多。

微軟雇傭了一個(gè)程序員團(tuán)隊(duì)來(lái)檢查安全漏洞并修補(bǔ)它們。有時(shí)，這些補(bǔ)丁被捆綁進(jìn)一個(gè)大的軟件包并作為服務(wù)包（service pack）發(fā)布。通常有兩種不同的補(bǔ)丁程序版本：一個(gè)任何人都可以使用的40位的版本和一個(gè)只能在美國(guó)和加拿大使用的128位的版本。128位的版本使用 128位的加密算法，比40位的版本要安全得多。如果你現(xiàn)在還在使用40位的服務(wù)包并且生活在美國(guó)或是加拿大，我強(qiáng)烈建議你下載128位的版本。

有時(shí)一個(gè)服務(wù)包的發(fā)布也許要等上好幾個(gè)月--很明顯的，當(dāng)一個(gè)大的安全漏洞被發(fā)現(xiàn)的時(shí)候，只要有可能修補(bǔ)它，你就不想再等下去。好在你并不需要等待。微軟定期將重要的補(bǔ)丁程序發(fā)布在它的FTP站點(diǎn)上。這些熱點(diǎn)補(bǔ)丁程序是自上一次服務(wù)包發(fā)布以后被公布的安全修補(bǔ)程序。我建議你經(jīng)常查看熱點(diǎn)補(bǔ)丁。記住你一定要按邏輯順序使用這些補(bǔ)丁。如果你以錯(cuò)誤的順序使用它們，結(jié)果可能導(dǎo)致一些文件的版本錯(cuò)誤，Windows也可能停止工作。

技巧三：使用一個(gè)強(qiáng)有力的安全政策

要提高安全性，另一個(gè)你可以做的工作就是制定一個(gè)好的，強(qiáng)有力的安全策略。確保每一個(gè)人都知道它并知道它是強(qiáng)制執(zhí)行的。這樣的一個(gè)政策需要包括對(duì)一個(gè)在公司機(jī)器上下載未授權(quán)的軟件的員工的嚴(yán)厲懲罰。

如果你使用Windows 2000 Server,你就有可能指定用戶特殊的使用權(quán)限來(lái)使用你的服務(wù)器而不需要交出管理員的控制權(quán)。一個(gè)好的用法就是授權(quán)人力資源部來(lái)刪除和禁用一個(gè)帳號(hào)。這樣，人力資源部就可以在一個(gè)行將走人的員工知道自己將被解雇以前就刪除或是禁用他的用戶帳號(hào)。這樣，不滿的員工就不會(huì)有機(jī)會(huì)來(lái)攪亂公司的系統(tǒng)了。同時(shí)，使用特殊用戶權(quán)限，你就可以授予這種刪除和禁用帳號(hào)權(quán)限并限制創(chuàng)建用戶或是更改許可等這些活動(dòng)的權(quán)限了。

試一試免費(fèi)的TechProGuild吧！ 如果你覺(jué)得這篇文章有用，可以看看TechRepublic的TechProGuild注冊(cè)資源，它提供有深度的技術(shù)文章，覆蓋了一些IT的主題，包括 Windows服務(wù)器和客戶端平臺(tái)，Linux,疑難解答問(wèn)題，和數(shù)字網(wǎng)絡(luò)項(xiàng)目的難點(diǎn)，以及NetWare.擁有一個(gè)TechProGuild的帳戶，你還可以在線閱讀流行的IT工業(yè)書籍的全文。點(diǎn)擊這里注冊(cè)享受30天免費(fèi)的TechProGuild試用期。

技巧四：檢查防火墻設(shè)置

我們的最后一個(gè)技巧包括仔細(xì)檢查你防火墻的設(shè)置。你的防火墻是網(wǎng)絡(luò)的一個(gè)重要部分因?yàn)樗鼘⒛愎镜挠?jì)算機(jī)同互聯(lián)網(wǎng)上那些可能對(duì)它們?cè)斐蓳p壞的蠱惑仔們隔離開(kāi)來(lái)。

你首先要做的事情是確保防火墻不會(huì)向外界開(kāi)放超過(guò)必要的任何IP地址。你總是至少要讓一個(gè)IP地址對(duì)外界可見(jiàn)。這個(gè)IP地址被使用來(lái)進(jìn)行所有的互聯(lián)網(wǎng)通訊。如果你還有DNS注冊(cè)的Web服務(wù)器或是電子郵件服務(wù)器，它們的IP地址也許也要通過(guò)防火墻對(duì)外界可見(jiàn)。但是，工作站和其他服務(wù)器的IP地址必須被隱藏起來(lái)。

你還可以查看端口列表驗(yàn)證你已經(jīng)關(guān)閉了所有你并不常用的端口地址。例如，TCP/IP 端口80用于HTTP通訊，因此你可能并不想堵掉這個(gè)端口。但是，你也許永遠(yuǎn)都不會(huì)用端口81因此它應(yīng)該被關(guān)掉。你可以在Internet上找到每個(gè)端口使用用途的列表。

服務(wù)器的安全問(wèn)題是一個(gè)大問(wèn)題。你不希望緊要的數(shù)據(jù)被病毒或是黑客破壞或是被一個(gè)可能用這些數(shù)據(jù)來(lái)對(duì)付你的人竊取。在以前的文章再加上本次介紹的共7個(gè)技巧中你應(yīng)該在下一次安全審查中注意的地方。

【編輯推薦】

1. 新手該如何應(yīng)對(duì)服務(wù)器安全維護(hù)
2. 保護(hù)web服務(wù)器的幾個(gè)好用技巧
3. 黑客入侵服務(wù)器后的手段