任何网络的核心都在于服务器,包括数据库服务器、Web服务器、DNS服务器、文件和打印服务器等等。这些服务器为网络提供了大量的资源,通常,大多数重要的信息都存储在这些服务器上,这就意味着这些计算机对骇客来说是尤其诱人的,首当其冲,当然应该重点防护。
任何网络的核心都在于服务器,包括数据库服务器、Web服务器、DNS服务器、文件和打印服务器等等。这些服务器为网络提供了大量的资源,通常,大多数重要的信息都存储在这些服务器上,这就意味着这些计算机对骇客来说是尤其诱人的,首当其冲,当然应该重点防护。
对于防护服务器来说,除了应用防护个人工作站的措施以外,还应该有些额外的重要措施。服务器上不会有人处理文档和电子表格,所以对服务器的防护不会像个人终端那样情况复杂。
首先,应该应用个人工作站的防护措施。打补丁,安装防病毒、防间谍软件,严格管理服务器的使用,除此之外还需要额外的防护措施。大多操作系统(如Windows2003、Linux)都有日志功能,包括登陆日志、安装软件日志等等,应该确保所有安全相关行为都有日志,并定期对这些日志做检查。要知道服务器上的数据要比一般计算机上的数据有价值的多,正因为此,服务器上的数据一般都有定期备份。建议每天备份一次,但通常情况下,一礼拜备份一次也就够了。备份磁带应该放在不联网的地方(例如单位的保险库)、且防火的地方。对备份磁带进行安全管理与对服务器进行安全管理一样重要。对于任何计算机来说,所有不需要的服务都应该关闭,对于服务器,可能要把不需要的服务和操作系统组件彻底卸载。但是执行之前要慎重,显然游戏和办公软件服务器并不需要,浏览器对于更新补丁来说是需要的。对于服务器来说还需要做的一点,大多服务器都有内建账户,例如Windows就有三个内建账户:administrator、guest、power guest。骇客猜测账户密码会首先从这些内建账户开始。事实上,互联网上有很多自动化的工具为骇客做这项工作。首先,应该自己创建一个账户不要显示账户的权限级别。例如,创建一个账户basic_user,并禁用administrator账户,设置basic_user为管理员账户,并赋予相应的权限。(当然,这个账户是给具有管理员资格的人用的)这样做了以后,骇客就不会马上对这个账户感兴趣。要知道骇客总是想要管理员权限,为管理员账户做掩护对于防止骇客攻击来说是非常重要的。
对于Windows来说,还有一系列注册表设置可以提高计算机安全。使用Cerberus,可以扫描出注册表设置的一些漏洞。什么样的设置会引起安全问题呢?通常要检查以下项目:
登陆:假如注册表设置在登陆时显示上一次登陆账户,那么黑客就少了一半工作要做。当黑客知道了密码,只需要破解密码就行了。
默认共享:一些文件及驱动器是默认共享的,打开这些共享是极不安全的。
在Windows组册表还有一些潜在的安全问题,Cerberus不但能把这些问题扫描出来,还会提出解决这些问题的建议。
下面总结一下,对服务器的常规动作:
1、应用个人工作站常规防护措施。
2、定期做好备份,并做好灾备方案。
3、打开日志功能,定期做好审计。
4、为管理员账户加以伪装。
做好了工作站与服务器的安全防护措施,下面介绍一下如何防护整个网络,如果有兴趣的话请看下篇:防护企业网络。