企業(yè)信息化技術(shù)的應用��,以不可逆轉����。鄭州hp服務(wù)器的小編發(fā)現隨著(zhù)文件服務(wù)器���、ERP管理軟件等等在企業(yè)中生根發(fā)芽���,應用服務(wù)器也逐漸在企業(yè)中普及起來(lái)�。以前在企業(yè)中有一臺應用服務(wù)器已經(jīng)是了不起的事情����,現在有兩臺����、三臺的���,也不為怪了�����。但是�,企業(yè)應用服務(wù)器雖然增加了�,可是對這個(gè)應用服務(wù) 企業(yè)信息化技術(shù)的應用�����,以不可逆轉���。 但是��,企業(yè)應用服務(wù)器雖然增加了�����,可是對這個(gè)應用服務(wù)器的安全管理����,卻跟不上����。隨便到一家企業(yè)看看��,總是可以看到一些明顯的安全管理漏洞��。下面就把其中一些典型的漏洞列舉出來(lái)���,就當作拋磚引玉���,提醒大家注意服務(wù)器的安全管理�。
一�、所有主機可以Telnet到服務(wù)器���。 由于服務(wù)器往往都放在一個(gè)特定的空間中��,若對于服務(wù)器的任何維護工作�,如查看服務(wù)器的硬盤(pán)空間等等����,這些工作都需要到服務(wù)器上面去查看的話(huà)��,很明顯不是很方便�����。我們希望能夠在我們平時(shí)用的電腦上就可以對服務(wù)器進(jìn)行一些日常的維護�����,而不用跑到存放服務(wù)器的房間中去����。 所以�����,我們對于服務(wù)器的大部分維護工作����,都可以通過(guò)Telnet到服務(wù)器上��,以命令行的方式進(jìn)行維護����。這無(wú)疑為我們服務(wù)器的管理提供了一個(gè)方便的管理渠道���,但是���,也給服務(wù)器帶來(lái)了一些隱患���。 鄭州hp服務(wù)器的小編提醒當非法攻擊者利用某些特定的方法知道Telent的用戶(hù)名與密碼之后����,就可以在企業(yè)任何一臺主機上暢通無(wú)阻的服務(wù)器�。Telent技術(shù)為我們服務(wù)器管理提供了比較方便的手段�,但是��,其安全風(fēng)險也不容忽視���。一般來(lái)說(shuō)��,對于Telent技術(shù)����,我們需要注意以下幾個(gè)方面����。
一是Telent用戶(hù)名與密碼跟服務(wù)器的管理員登陸用戶(hù)名與密碼最好不一樣���。也就是說(shuō)���,在服務(wù)器主機上登陸的用戶(hù)名與密碼����,與遠程Telent到服務(wù)器的管理員用戶(hù)名與密碼要不一樣�。如此的話(huà)��,可以把用戶(hù)名與密碼泄露對服務(wù)器的危害降到最低�����。 二是最好能夠限制Telent到服務(wù)器的用戶(hù)主機����。如我們可以在服務(wù)器上進(jìn)行限制�����,只允許網(wǎng)絡(luò )管理員的主機才可以遠程Telent到服務(wù)器上去�。這實(shí)現起來(lái)也比較簡(jiǎn)單�����。若是微軟服務(wù)器系統的話(huà)����,可以利用其本身自帶的安全策略工具實(shí)現���?���;蛘呖梢越柚阑饓?lái)限制Telent到服務(wù)器上的IP地址或者M(jìn)AC地址����。如此的話(huà)�,即使用戶(hù)名或者密碼泄露�����,由于有了IP地址或者M(jìn)AC地址的限制�,則其他人仍然無(wú)法登陸到服務(wù)器上去���。如此的話(huà)����,就可以最大限度的保障只有合法的人員才可以Telent到服務(wù)器上進(jìn)行日常的維護工作�����。
三是若平時(shí)不用Telent到服務(wù)器管理的話(huà)���,則把這個(gè)Telent服務(wù)關(guān)閉掉�����。沒(méi)有必要為攻擊者留下一個(gè)后門(mén)�。
二�、服務(wù)器的上的共享文件家所有用戶(hù)都有權限��。 在應用服務(wù)器上����,我們有時(shí)會(huì )為了維護的方便�,會(huì )在上面建立幾個(gè)共享文件夾�����。但是��,若這些共享文件夾管理不當�,也會(huì )給應用服務(wù)器帶來(lái)比較大的安全隱患���。 如若我們某個(gè)共享文件夾設置所有用戶(hù)都可以無(wú)限制的進(jìn)行的話(huà)�����,則會(huì )出現一個(gè)問(wèn)題���,當網(wǎng)絡(luò )中若有病毒的話(huà)�,這些文件夾就很容易被感染����。當我們在服務(wù)器上不小心打開(kāi)這些共享文件夾的時(shí)候���,服務(wù)器就會(huì )感染病毒��,甚至會(huì )導致服務(wù)器當機��。 所以��,在服務(wù)器上設置共享文件夾的時(shí)候需要特別的注意���,因為服務(wù)器崩潰后���,對于企業(yè)的信息化應用來(lái)說(shuō)���,是致命的��。一般情況下���,不要在應用服務(wù)器上設置共享文件夾��。若一定要的話(huà)��,則也需要遵循如下的安全原則����。
一是用好以后需要及時(shí)把文件加設置為不共享�����。當我們因為某種需要建立一個(gè)臨時(shí)的共享文件夾時(shí)����,當我們用完之后�,需要及時(shí)把這個(gè)共享文件夾刪除掉��,或者改為不共享���。及時(shí)清理共享文件夾�����,使保護共享文件夾安全的不二法則�。 二是為共享文件夾設置最小權限���。平時(shí)在設置共享文件夾的時(shí)候����,我們可能習慣了不設置權限����,所以員工都可以不受限制的共享文件夾���。但是��,若在文件服務(wù)器上面設置共享文件夾的時(shí)候���,一定需要注意����,在設置共享的時(shí)候�����,就需要設置的用戶(hù)����,最好只有特定的用戶(hù)才可以這個(gè)共享文件夾���,特別是讀寫(xiě)權限需要嚴格控制���。有些人可能會(huì )以為我只是暫時(shí)共享一下����,中間不超過(guò)十分鐘���?�?墒?���,若網(wǎng)絡(luò )中有病毒的話(huà)��,則會(huì )自需要一秒鐘的時(shí)間就可以感染共享文件夾����。故在服務(wù)器管理的時(shí)候�����,不能夠有這種僥幸心理��。
三��、沒(méi)有關(guān)閉不必要的服務(wù)�。 在服務(wù)器操作系統安裝的時(shí)候�����,會(huì )裝了比較多的服務(wù)���。如我們在安裝文件服務(wù)器系統的話(huà)�����,默認情況下���,可能會(huì )開(kāi)啟WWW服務(wù)����、Telent服務(wù)�、DSN服務(wù)等等�。但是��,對于文件服務(wù)器來(lái)說(shuō)����,這些服務(wù)往往是沒(méi)有必要的���。我們在應用服務(wù)器上開(kāi)啟了這些不必要的服務(wù)�����,不但會(huì )占用可貴的硬件資源���,而且���,最重要的是�,會(huì )降低文件服務(wù)器的安全性�����。
所以�����,建議�,在服務(wù)器管理的時(shí)候�,把一些沒(méi)有必要的服務(wù)關(guān)閉掉��。 若采用的是微軟的服務(wù)器操作系統�,我們可以通過(guò)開(kāi)始��、設置����、控制面板���、管理工具����、服務(wù)來(lái)查看當前操作系統所開(kāi)啟的服務(wù)���。如一般情況下����,我們可以把如下的一些服務(wù)關(guān)閉掉�。
一是DHCP客戶(hù)端�。由于應用服務(wù)器我們一般都采用固定的IP地址���,所以可以把這個(gè)DHCP客戶(hù)端關(guān)閉掉���,禁止服務(wù)器從DHCP服務(wù)器那邊獲取IP地址���。這可以有效的防治IP地址的沖突��,從而造成服務(wù)器斷網(wǎng)���。
二是要注意Ping 攻擊�����。利用Ping命令來(lái)對應用服務(wù)器實(shí)施拒絕服務(wù)式攻擊是很多攻擊者常用的一個(gè)手段����。其基本原理就是利用肉雞同時(shí)連續的Ping應用服務(wù)器�����,從而導致應用服務(wù)器資源耗竭而當機����。所以�,一般情況下����,需要在文件服務(wù)器上���,設置禁止他人Ping自己�����,如此的話(huà)���,就可以杜絕DDOS等惡性攻擊�。
三是可以關(guān)閉Remote Desktop Help Session Manager服務(wù)���。這個(gè)服務(wù)主要用來(lái)管理并控制遠程協(xié)助�����。如果此服務(wù)被終止的話(huà)���,遠程協(xié)助將不可用�����。若我們平時(shí)不用遠程桌面連接等工具遠程維護這個(gè)應用服務(wù)器的話(huà)���,則可以直接把這個(gè)服務(wù)關(guān)閉掉��。默認情況下��,這個(gè)服務(wù)需要手工啟動(dòng)�����。我們?yōu)榱税踩鹨?jiàn)���,可以把這個(gè)服務(wù)禁用����。 四是自動(dòng)更新服務(wù)�。這是一個(gè)有爭議的服務(wù)���。若啟用了這個(gè)服務(wù)的話(huà)����,則應用服務(wù)器操作系統可以自動(dòng)從網(wǎng)絡(luò )上升級最新的操作系統補丁�����,提高操作系統的安全性���。但是����,有時(shí)候當裝了微軟的升級補丁后��,服務(wù)器反而不穩定了��,有時(shí)候甚至導致部屬在上面的應用服務(wù)器無(wú)法使用�����。故的建議是��,若你在應用服務(wù)器上部屬的都是微軟的產(chǎn)品����,如微軟的郵箱服務(wù)器等等���,則可以打開(kāi)這個(gè)自動(dòng)更新服務(wù)���。若你在他們的服務(wù)器操作系統上�,部署了其他牌子的郵箱服務(wù)器����,或者部署了一些其他牌子的數據庫系統的話(huà)�,則是否開(kāi)啟這個(gè)自動(dòng)更新服務(wù)����,則要慎重考慮了����。
四��、不同管理人員利用同一個(gè)賬戶(hù)管理服務(wù)器�。 有時(shí)候�����,在一個(gè)服務(wù)器上可能會(huì )部署多個(gè)應用�,如在一臺應用服務(wù)器中����,可能既是郵箱服務(wù)器�����,又是文件服務(wù)器���。而不同的應用有不同的管理員負責�����。有些企業(yè)為了管理的方便���,可能會(huì )利用同一個(gè)用戶(hù)名來(lái)管理不同的服務(wù)�。認為��,這是不安全的��。 當某個(gè)管理員在一個(gè)應用服務(wù)管理的時(shí)候��,有可能會(huì )不小心更改另外一個(gè)服務(wù)的配置���,而此時(shí)���,另外一個(gè)管理員并不知情����。如此的話(huà)��,就可能會(huì )導致另外一個(gè)服務(wù)出現運行上的錯誤��。所以�,這就會(huì )給服務(wù)器管理產(chǎn)生安全上的漏洞����。 為此�,建議���,最好是一個(gè)服務(wù)采用一臺服務(wù)器�,雖然這需要增加一定的支出�����,但是��,一臺服務(wù)器出現問(wèn)題的話(huà)����,最多只影響一個(gè)應用��,可以把因為服務(wù)器的問(wèn)題造成的不良影響降至到最低��。
以上就是鄭州hp服務(wù)器的小編帶來(lái)的相關(guān)內容����,希望可以幫助到你����,更多詳情請聯(lián)系鄭州創(chuàng )之匯電子科技有限公司
