Windows Server 2003是目前成熟的網絡服務器系統,提供了強人的網絡服務功能,而且極易上手,網絡管理者不需要太多的培訓即可配置和管理。不過,要配置一個安全的網絡服務器難度是比較高的,需要有經驗的網絡管理者手動配置很長時間。筆者為網絡管理員,結合近幾年的網絡安全管理實施過程,總結出一些經驗來提高網絡服務器的安全性。
一、安裝Windows Server 2003時應注意的問題
1.確保操作系統的來源合法性。不要使用非正常渠道得到的系統安裝盤。防止在安裝操作系統的同時就被安裝了木馬或者間諜軟件。
2.保證硬件設備的可靠性。盡量使系統運行在RAIDS方式的磁盤陣列中,確保服務器環境的穩定。
3.將操作系統安裝在一個十凈的系統中。在軟件安裝之前,確定磁盤所有的數據都已經刪除十凈,磁盤完好無損。
4.在操作系統安裝完成但沒有正式運行前,保證系統在安裝過程中不與仟何公共的系統相連。如果必須要有網絡安裝,要確保服務器在一個獨立可信的網段中,建議拔掉網線安裝操作系統。
5.盡量安裝操作系統的笑文版木。因為微軟總是最先發布笑文版木的補丁,中文版木的補丁相對滯后一段時間。
6.使用NTFS分區作為唯一的系統文件分區標準。NTFS是真正的日志性文件系統,使用日志和檢查點信息,即使在系統崩潰或者電源故障時也能保證文件系統的一致性。
7.安裝TCP/IP協議,不要安裝其他仟何協議。
8.在選擇安裝程序的時候不要安裝仟何額外的程序和服務。
9.服務器最好不加入到域,要安裝成獨立服務器模式。
10.為系統管理員設置一個足夠強壯的密碼,長度最好在20位以上。
二、安裝防病毒系統
防病毒軟件設置時應注意的問題:
1.確認防病毒軟件來源的合法性、完整性及可升級性。
2.在沒有接人網絡環境前安裝防病毒軟件,同時安裝最新防病毒軟件的病毒庫。
3.運行防病毒程序的病毒實時監測系統,同時配置防病毒軟件的自動更新、掃描、受感染文件的處理方式等操作。
4.對剛安裝完成的操作系統進行一次完整的病毒掃描。
5.經常查看防病毒系統產生的日志文件。
三、配置應用程序
在服務器上安裝正常使用的應用程序(包括更新的IE瀏覽器版木),同時安裝配置網絡服務的程序(如微軟的IIS服務、FTP服務、SQL Server數據庫服務等)。
注意事項:
1.不要安裝仟何多余的程序。服務器僅提供網絡服務,不是個人電腦,不需要安裝其他程序。
2.安裝服務和應用程序,盡量選擇最新的安裝版木,這通常可以保證沒有近期發布的程序漏洞。不需要的應用程序服務盡量不要安裝,或者配置成禁止使用的模式。
3.不要在服務器上運行系統提供的應用程序訪問網絡,服務器的漏洞有時會被惡意利用。
4.為安全起見,建議將系統附件中除寫字板、記事木以外的所有應用程序刪除。
5.不要在服務器上安裝仟何開發工具、軟件調試器、扇區讀寫編輯器等可對系統底層進行操作的應用軟件,可執行程序越少越好。
四、賬戶管理注意事項
配置服務器系統時,應當注意對系統賬戶的管理。
1.重新命名管理員賬號。這是為了防止對“Administrator"賬號的密碼猜測行為。
2.禁用或者刪除“Guest"賬號。Windows 2003操作系統默認此賬號禁止使用,必須檢查此賬號是否處于啟用狀態。
3.檢查系統中存在的賬號的狀況。審核不必要的賬號和組,審核賬號隸屬的組權限和用戶權限井定期記錄;對于長時間不使用的賬號應該查明原因;對于因為員工離職等原因廢棄的賬號要立即刪除。
4.建議使用非管理員賬號來管理系統,只有在必須使用管理員權限的時候才采用管理員賬號。
5.建議新用戶賦予User或者Guest組權限,不要賦予“Power Users”組權限,對于仟何特定的操作在建立一個特定組的同時賦予其權限來執行。
五、啟用日志審核
審核是Windows 2003中木地安全策略的一部分,它是一個維護系統安全性的工具,允許跟蹤用戶的活動和Windows NT/2000系統的活動。
根據監控審核結果,管理員可以將計算機資源的非法使用消除或減到最小。
微軟操作系統的日志審核默認是關閉的,必須手動開啟。
六、禁止遠程注冊表訪問
Windows Server 2003在默認安裝的時候啟用了允許遠程訪問注冊表如果開啟此功能,服務的啟動、ACL權限的修改、用戶名的建立等信息,都可以在注冊表中完成,嚴禁使用遠程注冊表訪問功能。
七、設定訪問控制的文件權限
在使用NTFS文件系統的基礎上定制分區和文件訪問條件,加強Windows Server 2003在默認狀態下的訪問權限,構建一個更加安全的系統。
1.取消默認安裝時“Everyone”組擁有的對所有磁盤的完全控制權限。
2.取消系統的文件保護功能。移除系統中備份的系統文件,包括在根分區“Winnt Driver cache”目錄下的所有文件以及如果在安裝SP包時選擇了“存檔”選項時要移除的存檔文件夾。移除系統文件以后,在命令行模式下先執行“SFC/Purgccache”命令清除緩存文件,再執行“SFC/cachcsize=0”命令井重新啟動系統,就可以取消操作系統的文件保護功能。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:網絡服務器安全配置最佳實踐
本文網址:http://www.guhuozai8.cn/html/consultation/1083953910.html