服務器安全保護的七大要點

確保企業服務器的安全，保證其正常運行是服務器運維人員的首要職責。那麼怎樣才能切實有效的保證服務器安全呢？請謹記本文的七大要點吧。

一、從基礎作起，作好基礎防禦

首先將服務器上全部包含了敏感數據的磁盤分區都轉換成NTFS格式的。其次不管是Windows仍是Linux,任何操做系統都有漏洞，及時的打上補丁避免漏洞被蓄意***利用，是服務器安全最重要的保證之一。再次將全部的反病毒軟件及時更新，同時在服務器和桌面終端上運行反病毒軟件。這些軟件還應該配置成天天自動下載最新的病毒數據庫文件。能夠爲Exchange Server安裝反病毒軟件。這個軟件掃描全部流人的電子郵件，尋找被感染了的附件，當它發現有病毒時，會自動將這個被感染的郵件在到達用戶之前隔離起來。

二、設置防火牆並關閉不須要的服務和端口

防火牆是網絡安全的一個重要組成部分由於它將公司的計算機同互聯網上那些可能對它們形成損壞的程序隔離開來。

首先，確保防火牆不會向外界開放超過必要的任何IP地址。至少要讓一個IP地址對外被使用來進行全部的互聯網通信。若是還有DNS註冊的Web服務器或是電子郵件服務器，它們的IP地址也許須要經過防火牆對外界可見。其次，服務器操做系統在安裝時，會啓動一些不須要的服務，這樣不只會佔用系統的資源，還會增長系統的安全隱患。對於一段時間內徹底不會用到的服務，能夠徹底關閉；對於期間要使用的服務器，也應該關閉不須要的服務，如Telnet等。另外，還要關掉沒有必要開的TCP端口。例如，TCP／IP端口80用於HTTP通信，所以大多數人可能並不想堵掉這個端口。可是，通常不會用端口81，所以它應該被關掉。咱們能夠在Intemet上找到每一個端口使用用途的歹U表。對照列表咱們能夠很清楚的關閉一些不經常使用的端口。

三、SQL SERVER的安全防禦

首先要使用Windows身份驗證模式，在任何可能的時候，都應該對指向SQL Server的鏈接要求Windows身份驗證模式。它經過限制對Microsoft Windows用戶和域用戶賬戶的鏈接，保護SQL Server免受大部分Intemet工具的侵害，並且，服務器也將從Windows安全加強機制中獲益，例如更強的身份驗證協議以及強制的密碼複雜眭和過時時間。另外，憑證委派在多臺服務器間橋接憑證的能力地只能在Windows身份驗證模式中使用。在客戶端，Windows身份驗證模式再也不須要存儲密碼。存儲密碼是使用標準SQL Server登陸的應用程序的主要漏洞之一。其次分配—個強健的sa密碼，sa賬戶應該擁有一個強健的密碼，即便在配置爲要求Windows身份驗證的服務器上也該如此。這將保證在之後服務器被從新配置爲混合模式身份驗證時，不會出現空白或脆弱的sa。

四、作好數據的備份並保護好備份磁帶

首先按期對服務器進行備份，爲防止未知的系統故障或用戶不當心的非法操做，必須對系統進行安全備份。除了對全系統進行每個月一次的備份外，還應對修改過的數據進行及時的備份。同時，應該將修改過的重要系統文件存放在不一樣服務器上，以便出現系統崩潰時（一般是硬盤出錯），能夠及時地將系統恢復到正常狀態。一般狀況下，備份工做都是在大約晚上10：00或者更晚開始的，而結束時間也在午夜時分。整個備份過程的時間長短主要取決於要備份數據的多少。可是若是深夜有人偷竊備份好的磁帶，這樣的時間將是最好的時機。爲了不這樣的人爲事件，咱們能夠經過對磁帶進行密碼保護，對備份程序進行加密，從而加密這些數據。其次，能夠將備份程序完成的時間定在第二日的上班時間內。這樣一來，能夠避免人爲盜竊備份磁帶所帶來的損失。由於磁帶在備份沒有結束被強行帶走的話，磁帶上的數據也毫無價值。

五、對RAS使用回叫功能

Windows NT最強的功能之一就是對服務器進行遠程訪問（RAS）的支持。不幸的是，—個RAS服務器對一個企圖進入服務器系統的***來講是一扇敞開的大門。***們所須要的僅僅是一個電話號碼，再加上一點點耐心，就能經過RAS進入一臺主機了。針對這一方法咱們能夠採起一些措施來保證RAS服務器的安全。使用回叫功能，它容許遠程用戶登陸之後切斷鏈接。而後RAS服務器撥通一個預先定義的電話號碼再次接通用戶。由於這個號碼是預先設定了的，***也就沒有機會設定服務器回叫的號碼了。

另外一個可選的辦法是限定全部的遠程用戶都訪問單一的服務器。能夠將用戶一般訪問的數據放置在RAS服務器的一個特殊的共享點上。能夠將遠程用戶的訪問限制在一臺服務器上，而不是整個網絡。這樣，即便***經過破壞手段強制進入主機，那麼他們也會被隔離在單一的一臺機器上，這樣一來，他們形成的破壞被減小到了最小。

最後還有一個技巧就是在RAS服務器上使用不經常使用的協議。通常來講幾乎每—我的都使用TCP／IP協議做爲RAS協議。考慮到TCP／IP協議自己的性質和典型的用途，這看起來象是一個合理的選擇。可是，RAS還支持IPX／SPX和NetBEUI協議。若是使用NetBEUI做爲RAS的協議，這樣能夠迷惑一些不加提防的***。

六、頒佈嚴格的安全政策

要提升安全性還須要制定一強有力的安全策略，確保每個人都瞭解，並強制執行。若使用Windows 2000Server，能夠將部分權限受權給特定代理人，而無須將所有的網管權利交出。即便特定代理人某些權限，咱們依然可限制其權限大小，例如沒法開設新的使用者賬號，或改變權限等。

七、開啓系統日誌

經過運行系統日誌程序，系統會記錄下全部用戶使用系統的情形，包括最近登陸時間、使用的帳號、進行的活動等。日誌程序會按期生成報表，經過對報表進行分析，咱們能夠知道是否有異常現象。

出自：http://os.51cto.com/art/201211/367114.htm