發(fā)布時間:2012-11-26 作者:admin
1��、做好基礎(chǔ)防護�����。
首先將服務(wù)器上所有包含了敏感數(shù)據(jù)的磁盤分區(qū)都轉(zhuǎn)換成NTFS格式的�。其次不論是Windows還是Linux,任何操作系統(tǒng)都有漏洞����,及時的打上補丁避免漏洞被蓄意攻擊利用,是服務(wù)器安全最重要的保證之一��。再次將所有的反病毒軟件及時更新���,同時在服務(wù)器和桌面終端上運行反病毒軟件�。這些軟件還應(yīng)該配置成每天自動下載最新的病毒數(shù)據(jù)庫文件�。可以為Exchange Server安裝反病毒軟件����。
2、設(shè)置防火墻并關(guān)閉不需要的服務(wù)和端口����。
防火墻是網(wǎng)絡(luò)安全的一個重要組成部分因為它將公司的計算機同互聯(lián)網(wǎng)上那些可能對它們造成損壞的程序隔離開來���。
首先,確保防火墻不會向外界開放超過必要的任何IP地址�����。至少要讓一個IP地址對外被使用來進行所有的互聯(lián)網(wǎng)通訊�。如果還有DNS注冊的Web服務(wù)器或是電子郵件服務(wù)器����,它們的IP地址也許需要通過防火墻對外界可見。其次���,服務(wù)器操作系統(tǒng)在安裝時����,會啟動一些不需要的服務(wù)����,這樣不僅會占用系統(tǒng)的資源,還會增加系統(tǒng)的安全隱患���。對于一段時間內(nèi)完全不會用到的服務(wù),可以完全關(guān)閉�����;對于期間要使用的服務(wù)器�,也應(yīng)該關(guān)閉不需要的服務(wù),如Telnet等���。另外�����,還要關(guān)掉沒有必要開的TCP端口����。
3���、SQL SERVER的安全防護��。
首先要使用Windows身份驗證模式����,在任何可能的時候,都應(yīng)該對指向SQL Server的連接要求Windows身份驗證模式���。它通過限制對Microsoft Windows用戶和域用戶帳戶的連接��,保護SQL Server免受大部分Intemet工具的侵害�,而且�����,服務(wù)器也將從Windows安全增強機制中獲益���,例如更強的身份驗證協(xié)議以及強制的密碼復(fù)雜眭和過期時間���。另外,憑證委派在多臺服務(wù)器間橋接憑證的能力地只能在Windows身份驗證模式中使用����。在客戶端,Windows身份驗證模式不再需要存儲密碼����。存儲密碼是使用標(biāo)準(zhǔn)SQL Server登錄的應(yīng)用程序的主要漏洞之一�。其次分配—個強健的sa密碼�����,sa帳戶應(yīng)該擁有一個強健的密碼,即使在配置為要求Windows身份驗證的服務(wù)器上也該如此�。這將保證在以后服務(wù)器被重新配置為混合模式身份驗證時���,不會出現(xiàn)空白或脆弱的sa����。
4����、數(shù)據(jù)的備份并保護好備份磁帶�����。
首先定期對服務(wù)器進行備份,為防止未知的系統(tǒng)故障或用戶不小心的非法操作�����,必須對系統(tǒng)進行安全備份�����。除了對全系統(tǒng)進行每月一次的備份外�,還應(yīng)對修改過的數(shù)據(jù)進行及時的備份�����。同時,應(yīng)該將修改過的重要系統(tǒng)文件存放在不同服務(wù)器上��,以便出現(xiàn)系統(tǒng)崩潰時(通常是硬盤出錯)�����,可以及時地將系統(tǒng)恢復(fù)到正常狀態(tài)。通常情況下���,備份工作都是在大約晚上10:00或者更晚開始的���,而結(jié)束時間也在午夜時分�����。整個備份過程的時間長短主要取決于要備份數(shù)據(jù)的多少。但是如果深夜有人偷竊備份好的磁帶����,這樣的時間將是最好的時機�。為了避免這樣的人為事件,我們可以通過對磁帶進行密碼保護�,對備份程序進行加密,從而加密這些數(shù)據(jù)����。其次����,可以將備份程序完成的時間定在第二日的上班時間內(nèi)��。這樣一來���,可以避免人為盜竊備份磁帶所帶來的損失。因為磁帶在備份沒有結(jié)束被強行帶走的話��,磁帶上的數(shù)據(jù)也毫無價值����。
5���、對RAS使用回叫功能。
Windows NT最強的功能之一就是對服務(wù)器進行遠程訪問(RAS)的支持��。不幸的是���,—個RAS服務(wù)器對一個企圖進入服務(wù)器系統(tǒng)的黑客來說是一扇敞開的大門��。黑客們所需要的僅僅是一個電話號碼�,再加上一點點耐心���,就能通過RAS進入一臺主機了。針對這一方法我們可以采取一些措施來保證RAS服務(wù)器的安全�。使用回叫功能���,它允許遠程用戶登錄以后切斷連接�。然后RAS服務(wù)器撥通一個預(yù)先定義的電話號碼再次接通用戶。因為這個號碼是預(yù)先設(shè)定了的�����,黑客也就沒有機會設(shè)定服務(wù)器回叫的號碼了�����。
另一個可選的辦法是限定所有的遠程用戶都訪問單一的服務(wù)器��。可以將用戶通常訪問的數(shù)據(jù)放置在RAS服務(wù)器的一個特殊的共享點上�。可以將遠程用戶的訪問限制在一臺服務(wù)器上���,而不是整個網(wǎng)絡(luò)����。這樣,即使黑客通過破壞手段強制進入主機��,那么他們也會被隔離在單一的一臺機器上�����,這樣一來�,他們造成的破壞被減少到了最小����。
最后還有一個技巧就是在RAS服務(wù)器上使用不常用的協(xié)議�����。一般來說幾乎每—個人都使用TCP/IP協(xié)議作為RAS協(xié)議��。考慮到TCP/IP協(xié)議本身的性質(zhì)和典型的用途����,這看起來象是一個合理的選擇����。但是�,RAS還支持IPX/SPX和NetBEUI協(xié)議。如果使用NetBEUI作為RAS的協(xié)議���,這樣可以迷惑一些不加提防的黑客。
6、頒布嚴(yán)格的安全政策。
要提高安全性還需要制定一強有力的安全策略����,確保每一個人都了解�����,并強制執(zhí)行�。若使用Windows 2000Server,可以將部分權(quán)限授權(quán)給特定代理人�����,而無須將全部的網(wǎng)管權(quán)利交出。即使特定代理人某些權(quán)限,我們依然可限制其權(quán)限大小,例如無法開設(shè)新的使用者帳號�����,或改變權(quán)限等�����。
7、開啟系統(tǒng)日志�����。
通過運行系統(tǒng)日志程序,系統(tǒng)會記錄下所有用戶使用系統(tǒng)的情形����,包括最近登錄時間、使用的賬號����、進行的活動等��。日志程序會定期生成報表����,通過對報表進行分析���,我們可以知道是否有異常現(xiàn)象。
騰佑科技IDC服務(wù)有雙線服務(wù)器租用、網(wǎng)通服務(wù)器租用、電信服務(wù)器租用��。
咨詢熱線:
400-996-8756
產(chǎn)品詳情頁
0371-89913000
