Windows Server 2003是目前成熟的網(wǎng)絡(luò)服務(wù)器系統(tǒng),提供了強(qiáng)人的網(wǎng)絡(luò)服務(wù)功能,而且極易上手,網(wǎng)絡(luò)管理者不需要太多的培訓(xùn)即可配置和管理。不過(guò),要配置一個(gè)安全的網(wǎng)絡(luò)服務(wù)器難度是比較高的,需要有經(jīng)驗(yàn)的網(wǎng)絡(luò)管理者手動(dòng)配置很長(zhǎng)時(shí)間。筆者為網(wǎng)絡(luò)管理員,結(jié)合近幾年的網(wǎng)絡(luò)安全管理實(shí)施過(guò)程,總結(jié)出一些經(jīng)驗(yàn)來(lái)提高網(wǎng)絡(luò)服務(wù)器的安全性。
一、安裝Windows Server 2003時(shí)應(yīng)注意的問(wèn)題
1.確保操作系統(tǒng)的來(lái)源合法性。不要使用非正常渠道得到的系統(tǒng)安裝盤(pán)。防止在安裝操作系統(tǒng)的同時(shí)就被安裝了木馬或者間諜軟件。
2.保證硬件設(shè)備的可靠性。盡量使系統(tǒng)運(yùn)行在RAIDS方式的磁盤(pán)陣列中,確保服務(wù)器環(huán)境的穩(wěn)定。
3.將操作系統(tǒng)安裝在一個(gè)十凈的系統(tǒng)中。在軟件安裝之前,確定磁盤(pán)所有的數(shù)據(jù)都已經(jīng)刪除十凈,磁盤(pán)完好無(wú)損。
4.在操作系統(tǒng)安裝完成但沒(méi)有正式運(yùn)行前,保證系統(tǒng)在安裝過(guò)程中不與仟何公共的系統(tǒng)相連。如果必須要有網(wǎng)絡(luò)安裝,要確保服務(wù)器在一個(gè)獨(dú)立可信的網(wǎng)段中,建議拔掉網(wǎng)線安裝操作系統(tǒng)。
5.盡量安裝操作系統(tǒng)的笑文版木。因?yàn)槲④浛偸亲钕劝l(fā)布笑文版木的補(bǔ)丁,中文版木的補(bǔ)丁相對(duì)滯后一段時(shí)間。
6.使用NTFS分區(qū)作為唯一的系統(tǒng)文件分區(qū)標(biāo)準(zhǔn)。NTFS是真正的日志性文件系統(tǒng),使用日志和檢查點(diǎn)信息,即使在系統(tǒng)崩潰或者電源故障時(shí)也能保證文件系統(tǒng)的一致性。
7.安裝TCP/IP協(xié)議,不要安裝其他仟何協(xié)議。
8.在選擇安裝程序的時(shí)候不要安裝仟何額外的程序和服務(wù)。
9.服務(wù)器最好不加入到域,要安裝成獨(dú)立服務(wù)器模式。
10.為系統(tǒng)管理員設(shè)置一個(gè)足夠強(qiáng)壯的密碼,長(zhǎng)度最好在20位以上。
二、安裝防病毒系統(tǒng)
防病毒軟件設(shè)置時(shí)應(yīng)注意的問(wèn)題:
1.確認(rèn)防病毒軟件來(lái)源的合法性、完整性及可升級(jí)性。
2.在沒(méi)有接人網(wǎng)絡(luò)環(huán)境前安裝防病毒軟件,同時(shí)安裝最新防病毒軟件的病毒庫(kù)。
3.運(yùn)行防病毒程序的病毒實(shí)時(shí)監(jiān)測(cè)系統(tǒng),同時(shí)配置防病毒軟件的自動(dòng)更新、掃描、受感染文件的處理方式等操作。
4.對(duì)剛安裝完成的操作系統(tǒng)進(jìn)行一次完整的病毒掃描。
5.經(jīng)常查看防病毒系統(tǒng)產(chǎn)生的日志文件。
三、配置應(yīng)用程序
在服務(wù)器上安裝正常使用的應(yīng)用程序(包括更新的IE瀏覽器版木),同時(shí)安裝配置網(wǎng)絡(luò)服務(wù)的程序(如微軟的IIS服務(wù)、FTP服務(wù)、SQL Server數(shù)據(jù)庫(kù)服務(wù)等)。
注意事項(xiàng):
1.不要安裝仟何多余的程序。服務(wù)器僅提供網(wǎng)絡(luò)服務(wù),不是個(gè)人電腦,不需要安裝其他程序。
2.安裝服務(wù)和應(yīng)用程序,盡量選擇最新的安裝版木,這通常可以保證沒(méi)有近期發(fā)布的程序漏洞。不需要的應(yīng)用程序服務(wù)盡量不要安裝,或者配置成禁止使用的模式。
3.不要在服務(wù)器上運(yùn)行系統(tǒng)提供的應(yīng)用程序訪問(wèn)網(wǎng)絡(luò),服務(wù)器的漏洞有時(shí)會(huì)被惡意利用。
4.為安全起見(jiàn),建議將系統(tǒng)附件中除寫(xiě)字板、記事木以外的所有應(yīng)用程序刪除。
5.不要在服務(wù)器上安裝仟何開(kāi)發(fā)工具、軟件調(diào)試器、扇區(qū)讀寫(xiě)編輯器等可對(duì)系統(tǒng)底層進(jìn)行操作的應(yīng)用軟件,可執(zhí)行程序越少越好。
四、賬戶管理注意事項(xiàng)
配置服務(wù)器系統(tǒng)時(shí),應(yīng)當(dāng)注意對(duì)系統(tǒng)賬戶的管理。
1.重新命名管理員賬號(hào)。這是為了防止對(duì)“Administrator"賬號(hào)的密碼猜測(cè)行為。
2.禁用或者刪除“Guest"賬號(hào)。Windows 2003操作系統(tǒng)默認(rèn)此賬號(hào)禁止使用,必須檢查此賬號(hào)是否處于啟用狀態(tài)。
3.檢查系統(tǒng)中存在的賬號(hào)的狀況。審核不必要的賬號(hào)和組,審核賬號(hào)隸屬的組權(quán)限和用戶權(quán)限井定期記錄;對(duì)于長(zhǎng)時(shí)間不使用的賬號(hào)應(yīng)該查明原因;對(duì)于因?yàn)閱T工離職等原因廢棄的賬號(hào)要立即刪除。
4.建議使用非管理員賬號(hào)來(lái)管理系統(tǒng),只有在必須使用管理員權(quán)限的時(shí)候才采用管理員賬號(hào)。
5.建議新用戶賦予User或者Guest組權(quán)限,不要賦予“Power Users”組權(quán)限,對(duì)于仟何特定的操作在建立一個(gè)特定組的同時(shí)賦予其權(quán)限來(lái)執(zhí)行。
五、啟用日志審核
審核是Windows 2003中木地安全策略的一部分,它是一個(gè)維護(hù)系統(tǒng)安全性的工具,允許跟蹤用戶的活動(dòng)和Windows NT/2000系統(tǒng)的活動(dòng)。
根據(jù)監(jiān)控審核結(jié)果,管理員可以將計(jì)算機(jī)資源的非法使用消除或減到最小。
微軟操作系統(tǒng)的日志審核默認(rèn)是關(guān)閉的,必須手動(dòng)開(kāi)啟。
六、禁止遠(yuǎn)程注冊(cè)表訪問(wèn)
Windows Server 2003在默認(rèn)安裝的時(shí)候啟用了允許遠(yuǎn)程訪問(wèn)注冊(cè)表如果開(kāi)啟此功能,服務(wù)的啟動(dòng)、ACL權(quán)限的修改、用戶名的建立等信息,都可以在注冊(cè)表中完成,嚴(yán)禁使用遠(yuǎn)程注冊(cè)表訪問(wèn)功能。
七、設(shè)定訪問(wèn)控制的文件權(quán)限
在使用NTFS文件系統(tǒng)的基礎(chǔ)上定制分區(qū)和文件訪問(wèn)條件,加強(qiáng)Windows Server 2003在默認(rèn)狀態(tài)下的訪問(wèn)權(quán)限,構(gòu)建一個(gè)更加安全的系統(tǒng)。
1.取消默認(rèn)安裝時(shí)“Everyone”組擁有的對(duì)所有磁盤(pán)的完全控制權(quán)限。
2.取消系統(tǒng)的文件保護(hù)功能。移除系統(tǒng)中備份的系統(tǒng)文件,包括在根分區(qū)“Winnt Driver cache”目錄下的所有文件以及如果在安裝SP包時(shí)選擇了“存檔”選項(xiàng)時(shí)要移除的存檔文件夾。移除系統(tǒng)文件以后,在命令行模式下先執(zhí)行“SFC/Purgccache”命令清除緩存文件,再執(zhí)行“SFC/cachcsize=0”命令井重新啟動(dòng)系統(tǒng),就可以取消操作系統(tǒng)的文件保護(hù)功能。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:網(wǎng)絡(luò)服務(wù)器安全配置最佳實(shí)踐
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083953910.html