网络服务器安全配置最佳实践

日期: 2012-10-10 来源:TechTarget中国 英文

  Windows Server 2003是目前成熟的网络服务器系统,提供了强人的网络服务功能,而且极易上手,网络管理者不需要太多的培训即可配置和管理。不过,要配置一个安全的网络服务器难度是比较高的,需要有经验的网络管理者手动配置很长时间。笔者为网络管理员,结合近几年的网络安全管理实施过程,总结出一些经验来提高网络服务器的安全性。

  一、安装WindowsServer2003时应注意的问题

  确保操作系统的来源合法性。不要使用非正常渠道得到的系统安装盘。防止在安装操作系统的同时就被安装了木马或者间谍软件。保证硬件设备的可靠性。尽量使系统运行在RAIDS方式的磁盘阵列中,确保服务器环境的稳定。将操作系统安装在一个十净的系统中。在软件安装之前,确定磁盘所有的数据都已经删除十净,磁盘完好无损。在操作系统安装完成但没有正式运行前,保证系统在安装过程中不与仟何公共的系统相连。如果必须要有网络安装,要确保服务器在一个独立可信的网段中,建议拔掉网线安装操作系统。尽量安装操作系统的笑文版木。因为微软总是最先发布笑文版木的补丁,中文版木的补丁相对滞后一段时间。使用NTFS分区作为唯一的系统文件分区标准。NTFS是真正的日志性文件系统,使用日志和检查点信息,即使在系统崩溃或者电源故障时也能保证文件系统的一致性。安装TCP/IP协议,不要安装其他仟何协议。在选择安装程序的时候不要安装仟何额外的程序和服务。服务器最好不加入到域,要安装成独立服务器模式。为系统管理员设置一个足够强壮的密码,长度最好在20位以上。

  二、安装防病毒系统

  防病毒软件设置时应注意的问题:确认防病毒软件来源的合法性、完整性及可升级性。在没有接人网络环境前安装防病毒软件,同时安装最新防病毒软件的病毒库。运行防病毒程序的病毒实时监测系统,同时配置防病毒软件的自动更新、扫描、受感染文件的处理方式等操作。对刚安装完成的操作系统进行一次完整的病毒扫描。经常查看防病毒系统产生的日志文件。

  三、配置应用程序

  在服务器上安装正常使用的应用程序(包括更新的IE浏览器版木),同时安装配置网络服务的程序(如微软的IIS服务、FTP服务、SQLServer数据库服务等)。注意事项:不要安装仟何多余的程序。服务器仅提供网络服务,不是个人电脑,不需要安装其他程序。安装服务和应用程序,尽量选择最新的安装版木,这通常可以保证没有近期发布的程序漏洞。不需要的应用程序服务尽量不要安装,或者配置成禁止使用的模式。不要在服务器上运行系统提供的应用程序访问网络,服务器的漏洞有时会被恶意利用。为安全起见,建议将系统附件中除写字板、记事木以外的所有应用程序删除。不要在服务器上安装仟何开发工具、软件调试器、扇区读写编辑器等可对系统底层进行操作的应用软件,可执行程序越少越好。

  四、账户管理注意事项

  配置服务器系统时,应当注意对系统账户的管理。重新命名管理员账号。这是为了防止对“Administrator”账号的密码猜测行为。禁用或者删除“Guest”账号。Windows2003操作系统默认此账号禁止使用,必须检查此账号是否处于启用状态。检查系统中存在的账号的状况。审核不必要的账号和组,审核账号隶属的组权限和用户权限井定期记录;对于长时间不使用的账号应该查明原因;对于因为员工离职等原因废弃的账号要立即删除。建议使用非管理员账号来管理系统,只有在必须使用管理员权限的时候才采用管理员账号。建议新用户赋予User或者Guest组权限,不要赋予“PowerUsers”组权限,对于仟何特定的操作在建立一个特定组的同时赋予其权限来执行。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐