服務(wù)器安全攻略解析
企業(yè)中心機房的服務(wù)器是越來越多了,不僅維護麻煩,更何況面臨著嚴峻的安全考驗。所謂“牽一發(fā)而動全身”,試想主域服務(wù)器、ERP服務(wù)器、代理服務(wù)器、郵件服務(wù)器Web服務(wù)器等,隨便哪個癱掉了,都可能給整個公司的運轉(zhuǎn)帶來不小的影響。打造安全、穩(wěn)定、高效的服務(wù)器是管理者的主要任務(wù)。本文筆者將和大家分享在服務(wù)器安全方面的經(jīng)驗,希望對你有幫助。
1.殺毒軟件
這個部分不用多說,服務(wù)器不裝殺毒軟件的危險性可想而之。假如一臺文件服務(wù)器中毒,那么通過它進行數(shù)據(jù)中轉(zhuǎn)的很多電腦都可能被感染。所以,給服務(wù)器安裝殺毒軟件是必須的,最好使用專門為服務(wù)器設(shè)計的專業(yè)殺毒軟件。(圖1)
2.服務(wù)分屬
一般來說,公司內(nèi)的服務(wù)通常有AD活動目錄服務(wù)、DHCP眼務(wù)、DNS服務(wù)、文件服務(wù)、郵件服務(wù)、ERP服務(wù)、WSUS服務(wù)、IIS網(wǎng)站服務(wù)、代理服務(wù)等,還會有oA服務(wù)、傳真服務(wù)、FTP服務(wù)等。理論上,這些服務(wù)都應(yīng)該使用單獨的服務(wù)器,但是有時為了方便管理,
會在一臺服務(wù)器上同時安裝兩項甚至多項服務(wù)。
這是不可取的。例如,很多公司都在使用IIS作為網(wǎng)站服務(wù)器。但是眾所周之,IIS是微軟的組件中漏洞最多的一個,隔一段時間就會公布一個漏洞,很多攻擊者都回通過CGI漏洞掃描器進行破壞、攻擊。如果將主域或者其他關(guān)鍵服務(wù)器和IIS做到一一起,就相當于把內(nèi)部資料完全暴露在入侵者面前。另外,單一服務(wù)器提供多項服務(wù)也會增大服務(wù)器的自身壓力,速度緩慢或者其他稀奇古怪的病癥都可能發(fā)生。所以,筆者還是建議將服務(wù)分屬開來,實行單一化。(圖2)
3.分區(qū)格式
服務(wù)器的分區(qū)格式基本上都是NTFS的,主要是因為它具有強大的安全控制機制,對大硬盤的支持功能也是FAT32無法比擬的。如果硬盤分區(qū)是FAT32格式,就轉(zhuǎn)換一下吧,
只需使用命令:Convert c:fs:ntfs,就可以將c盤轉(zhuǎn)換成NTFS格式。不過,用這種轉(zhuǎn)換方式有一點弊端,就是轉(zhuǎn)換后安裝Windows補丁時會出現(xiàn)藍屏現(xiàn)象。如果有時問和精力,最好重裝一下系統(tǒng),在安裝時將分區(qū)格式化成NTFS格式,這才是上上之選。(圖3)
4.用戶賬戶
服務(wù)器安裝初期有一部分賬戶默認狀態(tài)是被開啟的,這些賬戶很多都是沒用的,甚至其存在本身就是對系統(tǒng)安全的威脅,比如Guest賬戶。這個賬戶被黑客運用得淋漓盡致,很多工具能輕易地將Guest賬戶提升到管理員組,一旦被攻破整個網(wǎng)絡(luò)也就沒有任何系統(tǒng)安全性可言了。所以賬戶及密碼要嚴防死守,最好做到如下幾點:
(1).關(guān)閉Guest賬戶。
(2).更改Administrator賬戶的名稱,最好使用不易暴露目標的普通名稱,同時再建立一兩個管理員賬戶,以便不時之需,但是這些賬戶的權(quán)限要嚴格控制,非必要時不要將整個服務(wù)器予以授權(quán)。
(3).鑒于暴力破解密碼的手段和速度都有所提高,密碼復(fù)雜度一定要高,最好是十位以上,且同時包含字母、數(shù)字、特殊字符。
(4).每兩周或一個月更改一次密碼,更改的同時在日志中審核賬戶,檢測賬戶密碼是否被惡意嘗試突破,并在賬號屬性中設(shè)立鎖定次數(shù),賬號失敗登錄次數(shù)超過三次就鎖定。
這些操作很簡,但是要長年累月地堅持下來,就不是每個人都能做到的了。但是,不出問題還好,一旦出了問題,賬戶、密碼的丟失會對整個網(wǎng)絡(luò)系統(tǒng)產(chǎn)生致命打擊。(圖4)
5.相關(guān)端口
端口是服務(wù)器和客戶機相連的邏輯接口,也是服務(wù)器的第一道路徑,端口的安全性直接影響到服務(wù)器的安全。比如掃描結(jié)果顯示69端口開放,那你的操作系統(tǒng)極有可能是Linux或者Unix系統(tǒng),黑客們就會拋棄Windows模式而轉(zhuǎn)為Unix系統(tǒng)模式發(fā)起攻擊。所以,根據(jù)需求僅打開服務(wù)使用的端口,會更加安全。(圖5)
6.安全審核
服務(wù)器的審核非常關(guān)鍵,通過審核日志,網(wǎng)管能輕松找出系統(tǒng)入侵行為、異常動向等相關(guān)信息。但是審核是有技巧的,審核項目過多會占用很多系統(tǒng)資源而且會導(dǎo)致網(wǎng)管根本沒空去看,審核項目過少又無法得知自己需要的相關(guān)信息,那樣的審核沒有意義。所以,需要根據(jù)服務(wù)器需求設(shè)定審核的項目。
比如,提供遠程服務(wù)的Terminal Service服務(wù)器,一般來說,我們只要審核登錄、注銷事件即可,目的只是查看是否有人非法登錄。再比如,提供郵箱服務(wù)的Exchange服務(wù)器,需要監(jiān)視和審核的是收件人、發(fā)件人、時間、過濾附件這幾項。如果有病毒在服務(wù)器中轉(zhuǎn),通過監(jiān)視記錄非常容易找出來。當然,為了減輕服務(wù)器負擔以及便于管理員查看每臺服務(wù)器只記錄比較銘感的信息。(圖6)
#p#
7.權(quán)限配置
這里說的“權(quán)限配置” 主要是文件服務(wù)器、Web服務(wù)器的權(quán)限。對于公司來講,為了分工合作,很多資源需要讀寫共享。“讀共享” 還好說,服務(wù)器不會感染病毒,而“寫權(quán)限” 就不是那么容易控制的了,一旦客戶端中毒,此機器訪問某共享文件夾時很可能將病毒同時寫入服務(wù)器。這種病毒入侵只能依靠殺毒軟件來被動檢測,但作為網(wǎng)管,主動一點的防御措施還是很有必要的。
(1).盡可能用“組” 來進行權(quán)限控制。
(2).在用戶需求基礎(chǔ)上,盡可能分配最小的權(quán)限。
(3).權(quán)限是累計效應(yīng)的,隸屬多個組,盡量不重復(fù)授權(quán)。
(4).由于拒絕的權(quán)限要比允許的權(quán)限高,所以要善用拒絕權(quán)限,任何一個不合理的拒絕都有可能造成共享無法正常運行。(圖7)
8.關(guān)閉共享資源
除了文件服務(wù)器外,幾乎所有的服務(wù)器都不需要共享資源。因此,為了防止不法分子利用共享發(fā)起攻擊,最好關(guān)閉所用共享選項:
(1).打開“本地連接” 屬性窗口,將“Microsoft網(wǎng)絡(luò)的文件和打印機共享”項去掉。
(2).關(guān)閉默認共享。
(3).關(guān)閉Server這項共享服務(wù)。
關(guān)閉這些網(wǎng)絡(luò)共享途徑,不法分子就不能通過共享的文件來入侵服務(wù)器了,少了一種入侵手段,安全性自然要有所提高。還有,不需要的功能和協(xié)議也應(yīng)盡可能關(guān)閉或禁用。比如:大量的ICMP數(shù)據(jù)包會形成“ICMP風暴”,造成網(wǎng)絡(luò)堵塞,受到流量攻擊,“ICMP路由公告” 可以造成客戶機與服務(wù)器的網(wǎng)絡(luò)連接異常,數(shù)據(jù)被竊聽、盜竊。可以通過修改注冊表來防止ICMP重定向報文的攻擊,禁止響應(yīng)ICMP路由通告報文。
另外,刪除NetBEUI和即將退出歷史舞臺的IPX/PX協(xié)議,也將在很大程度上保護服務(wù)器的安全。原則上,服務(wù)器只要能提供相應(yīng)服務(wù),所用的東西能少就少。(圖8)
9.加強數(shù)據(jù)備份
域賬戶數(shù)據(jù)、內(nèi)網(wǎng)郵箱賬戶數(shù)據(jù)、外網(wǎng)郵箱賬戶數(shù)據(jù)、ERP資源數(shù)據(jù),這些數(shù)據(jù)不用多說大家也知道它們的重要性吧,保證數(shù)據(jù)安全就要對這些數(shù)據(jù)加大備份強度。筆者建議,每天做增量備份,每星期做全盤備份,每個月檢測數(shù)據(jù)備份是否完善。當數(shù)據(jù)到達指定大小時刻錄光盤,并制作冗余光盤,防止數(shù)據(jù)因保存不當丟失。關(guān)鍵的數(shù)據(jù)盡可能做冗余備份,成本不會增加很多,但是數(shù)據(jù)安全性卻能大大提高。(圖9)
10.保留地址
服務(wù)器的地址要有完全的受控性和永久不被侵占性,這就要保留一部分地址只供服務(wù)器使用。比如,在DHCP地址池中劃分出相應(yīng)的IP地址作為保留地址,然后將這些IP地址和對應(yīng)服務(wù)器的MAC地址綁定。這樣,即便是客戶機非法使用該IP地址,也無法進行網(wǎng)絡(luò)訪問。(圖10)
總結(jié):服務(wù)器的安全是個系統(tǒng)工程,任何一個方面的隱患或者疏忽將會使整個防御體系告破。因此,全方位地做好服務(wù)器的安全部署是必要的也是必須的。
【編輯推薦】
