一是Telent用戶名與密碼跟服務(wù)器的管理員登陸用戶名與密碼最好不一樣。也就是說,在服務(wù)器主機(jī)上登陸的用戶名與密碼,與遠(yuǎn)程Telent到服務(wù)器的管理員用戶名與密碼要不一樣。如此的話,可以把用戶名與密碼泄露對服務(wù)器的危害降到最低。
二是最好能夠限制Telent到服務(wù)器的用戶主機(jī)。如我們可以在服務(wù)器上進(jìn)行限制,只允許網(wǎng)絡(luò)管理員的主機(jī)才可以遠(yuǎn)程Telent到服務(wù)器上去。這實(shí)現(xiàn)起來也比較簡單。若是微軟服務(wù)器系統(tǒng)的話,可以利用其本身自帶的安全策略工具實(shí)現(xiàn)。或者可以借助防火墻來限制Telent到服務(wù)器上的IP地址或者M(jìn)AC地址。如此的話,即使用戶名或者密碼泄露,由于有了IP地址或者M(jìn)AC地址的限制,則其他人仍然無法登陸到服務(wù)器上去。如此的話,就可以最大限度的保障只有合法的人員才可以Telent到服務(wù)器上進(jìn)行日常的維護(hù)工作。
三是若平時(shí)不用Telent到服務(wù)器管理的話,則把這個Telent服務(wù)關(guān)閉掉。沒有必要為攻擊者留下一個后門。
二、服務(wù)器的上的共享文件家所有用戶都有權(quán)限。
一是用好以后需要及時(shí)把文件加設(shè)置為不共享。當(dāng)我們因?yàn)槟撤N需要建立一個臨時(shí)的共享文件夾時(shí),當(dāng)我們用完之后,需要及時(shí)把這個共享文件夾刪除掉,或者改為不共享。及時(shí)清理共享文件夾,使保護(hù)共享文件夾安全的不二法則。
二是為共享文件夾設(shè)置最小權(quán)限。平時(shí)在設(shè)置共享文件夾的時(shí)候,我們可能習(xí)慣了不設(shè)置權(quán)限,所以員工都可以不受限制的共享文件夾。但是,若在文件服務(wù)器上面設(shè)置共享文件夾的時(shí)候,一定需要注意,在設(shè)置共享的時(shí)候,就需要設(shè)置的用戶,最好只有特定的用戶才可以這個共享文件夾,特別是讀寫權(quán)限需要嚴(yán)格控制。有些人可能會以為我只是暫時(shí)共享一下,中間不超過十分鐘?墒,若網(wǎng)絡(luò)中有病毒的話,則會自需要一秒鐘的時(shí)間就可以感染共享文件夾。故在服務(wù)器管理的時(shí)候,不能夠有這種僥幸心理。
三、沒有關(guān)閉不必要的服務(wù)。
一是DHCP客戶端。由于應(yīng)用服務(wù)器我們一般都采用固定的IP地址,所以可以把這個DHCP客戶端關(guān)閉掉,禁止服務(wù)器從DHCP服務(wù)器那邊獲取IP地址。這可以有效的防治IP地址的沖突,從而造成服務(wù)器斷網(wǎng)。
二是要注意Ping 攻擊。利用Ping命令來對應(yīng)用服務(wù)器實(shí)施拒絕服務(wù)式攻擊是很多攻擊者常用的一個手段。其基本原理就是利用肉雞同時(shí)連續(xù)的Ping應(yīng)用服務(wù)器,從而導(dǎo)致應(yīng)用服務(wù)器資源耗竭而當(dāng)機(jī)。所以,一般情況下,需要在文件服務(wù)器上,設(shè)置禁止他人Ping自己,如此的話,就可以杜絕DDOS等惡性攻擊。
三是可以關(guān)閉Remote Desktop Help Session Manager服務(wù)。這個服務(wù)主要用來管理并控制遠(yuǎn)程協(xié)助。如果此服務(wù)被終止的話,遠(yuǎn)程協(xié)助將不可用。若我們平時(shí)不用遠(yuǎn)程桌面連接等工具遠(yuǎn)程維護(hù)這個應(yīng)用服務(wù)器的話,則可以直接把這個服務(wù)關(guān)閉掉。默認(rèn)情況下,這個服務(wù)需要手工啟動。我們?yōu)榱税踩鹨,可以把這個服務(wù)禁用。
四是自動更新服務(wù)。這是一個有爭議的服務(wù)。若啟用了這個服務(wù)的話,則應(yīng)用服務(wù)器操作系統(tǒng)可以自動從網(wǎng)絡(luò)上升級最新的操作系統(tǒng)補(bǔ)丁,提高操作系統(tǒng)的安全性。但是,有時(shí)候當(dāng)裝了微軟的升級補(bǔ)丁后,服務(wù)器反而不穩(wěn)定了,有時(shí)候甚至導(dǎo)致部屬在上面的應(yīng)用服務(wù)器無法使用。故的建議是,若你在應(yīng)用服務(wù)器上部屬的都是微軟的產(chǎn)品,如微軟的郵箱服務(wù)器等等,則可以打開這個自動更新服務(wù)。若你在他們的服務(wù)器操作系統(tǒng)上,部署了其他牌子的郵箱服務(wù)器,或者部署了一些其他牌子的數(shù)據(jù)庫系統(tǒng)的話,則是否開啟這個自動更新服務(wù),則要慎重考慮了。
四、不同管理人員利用同一個賬戶管理服務(wù)器。
有時(shí)候,在一個服務(wù)器上可能會部署多個應(yīng)用,如在一臺應(yīng)用服務(wù)器中,可能既是郵箱服務(wù)器,又是文件服務(wù)器。而不同的應(yīng)用有不同的管理員負(fù)責(zé)。有些企業(yè)為了管理的方便,可能會利用同一個用戶名來管理不同的服務(wù)。認(rèn)為,這是不安全的