1、從基礎做起,做好基礎防護。
首先將服務器上所有包含了敏感數據的磁盤分區都轉換成NTFS格式的。其次不論是Windows還是Linux,任何操作系統都有漏洞,及時的打上補丁避免漏洞被蓄意攻擊利用,是服務器安全最重要的保證之一。再次將所有的反病毒軟件及時更新,同時在服務器和桌面終端上運行反病毒軟件。這些軟件還應該配置成每天自動下載最新的病毒數據庫文件。可以為Exchange Server安裝反病毒軟件。這個軟件掃描所有流人的電子郵件,尋找被感染了的附件,當它發現有病毒時,會自動將這個被感染的郵件在到達用戶以前隔離起來。
2、設置防火墻并關閉不需要的服務和端口。
防火墻是網絡安全的一個重要組成部分因為它將公司的計算機同互聯網上那些可能對它們造成損壞的程序隔離開來。
首先,確保防火墻不會向外界開放超過必要的任何IP地址。至少要讓一個IP地址對外被使用來進行所有的互聯網通訊。如果還有DNS注冊的Web服務器或是電子郵件服務器,它們的IP地址也許需要通過防火墻對外界可見。其次,服務器操作系統在安裝時,會啟動一些不需要的服務,這樣不僅會占用系統的資源,還會增加系統的安全隱患。對于一段時間內完全不會用到的服務,可以完全關閉;對于期間要使用的服務器,也應該關閉不需要的服務,如Telnet等。另外,還要關掉沒有必要開的TCP端口。例如,TCP/IP端口80用于HTTP通訊,因此大多數人可能并不想堵掉這個端口。但是,一般不會用端口81,因此它應該被關掉。我們可以在Intemet上找到每個端口使用用途的歹U表。對照列表我們可以很清楚的關閉一些不常用的端口。
3、SQL SERVER的安全防護。
首先要使用Windows身份驗證模式,在任何可能的時候,都應該對指向SQL Server的連接要求Windows身份驗證模式。它通過限制對Microsoft Windows用戶和域用戶帳戶的連接,保護SQL Server免受大部分Intemet工具的侵害,而且,服務器也將從Windows安全增強機制中獲益,例如更強的身份驗證協議以及強制的密碼復雜眭和過期時間。另外,憑證委派在多臺服務器間橋接憑證的能力地只能在Windows身份驗證模式中使用。在客戶端,Windows身份驗證模式不再需要存儲密碼。存儲密碼是使用標準SQL Server登錄的應用程序的主要漏洞之一。其次分配—個強健的sa密碼,sa帳戶應該擁有一個強健的密碼,即使在配置為要求Windows身份驗證的服務器上也該如此。這將保證在以后服務器被重新配置為混合模式身份驗證時,不會出現空白或脆弱的sa。
4、做好數據的備份并保護好備份磁帶。
首先定期對服務器進行備份,為防止未知的系統故障或用戶不小心的非法操作,必須對系統進行安全備份。除了對全系統進行每月一次的備份外,還應對修改過的數據進行及時的備份。同時,應該將修改過的重要系統文件存放在不同服務器上,以便出現系統崩潰時(通常是硬盤出錯),可以及時地將系統恢復到正常狀態。通常情況下,備份工作都是在大約晚上10:00或者更晚開始的,而結束時間也在午夜時分。整個備份過程的時間長短主要取決于要備份數據的多少。但是如果深夜有人偷竊備份好的磁帶,這樣的時間將是最好的時機。為了避免這樣的人為事件,我們可以通過對磁帶進行密碼保護,對備份程序進行加密,從而加密這些數據。其次,可以將備份程序完成的時間定在第二日的上班時間內。這樣一來,可以避免人為盜竊備份磁帶所帶來的損失。因為磁帶在備份沒有結束被強行帶走的話,磁帶上的數據也毫無價值。
5、對RAS使用回叫功能。
Windows NT最強的功能之一就是對服務器進行遠程訪問(RAS)的支持。不幸的是,—個RAS服務器對一個企圖進入服務器系統的黑客來說是一扇敞開的大門。黑客們所需要的僅僅是一個電話號碼,再加上一點點耐心,就能通過RAS進入一臺主機了。針對這一方法我們可以采取一些措施來保證RAS服務器的安全。使用回叫功能,它允許遠程用戶登錄以后切斷連接。然后RAS服務器撥通一個預先定義的電話號碼再次接通用戶。因為這個號碼是預先設定了的,黑客也就沒有機會設定服務器回叫的號碼了。
另一個可選的辦法是限定所有的遠程用戶都訪問單一的服務器。可以將用戶通常訪問的數據放置在RAS服務器的一個特殊的共享點上。可以將遠程用戶的訪問限制在一臺服務器上,而不是整個網絡。這樣,即使黑客通過破壞手段強制進入主機,那么他們也會被隔離在單一的一臺機器上,這樣一來,他們造成的破壞被減少到了最小。
最后還有一個技巧就是在RAS服務器上使用不常用的協議。一般來說幾乎每—個人都使用TCP/IP協議作為RAS協議。考慮到TCP/IP協議本身的性質和典型的用途,這看起來象是一個合理的選擇。但是,RAS還支持IPX/SPX和NetBEUI協議。如果使用NetBEUI作為RAS的協議,這樣可以迷惑一些不加提防的黑客。
6、頒布嚴格的安全政策。
要提高安全性還需要制定一強有力的安全策略,確保每一個人都了解,并強制執行。若使用Windows 2000Server,可以將部分權限授權給特定代理人,而無須將全部的網管權利交出。即使特定代理人某些權限,我們依然可限制其權限大小,例如無法開設新的使用者帳號,或改變權限等。
7、開啟系統日志。
通過運行系統日志程序,系統會記錄下所有用戶使用系統的情形,包括最近登錄時間、使用的賬號、進行的活動等。日志程序會定期生成報表,通過對報表進行分析,我們可以知道是否有異常現象。
