Befinden sich auf Ihrem Server wichtige Daten, die nicht beliebig preisgegeben werden können? Natürlich gibt es das, oder? In letzter Zeit sind Server einem besonders hohen Risiko ausgesetzt. Immer mehr Viren, böswillige Hacker und kommerzielle Spione haben es auf Server abgesehen. Offensichtlich können Serversicherheitsprobleme nicht einen Moment lang ignoriert werden.
Tipp 1: Beginnen Sie mit den Grundlagen
Mit den Grundlagen anzufangen ist der sicherste Weg. Sie müssen alle Bereiche auf dem Server, die vertrauliche Daten enthalten, in das NTFS-Format konvertieren. Ebenso müssen Antivirenprogramme rechtzeitig aktualisiert werden. Es wird empfohlen, Antivirensoftware sowohl auf dem Server als auch auf den Desktop-Computern zu installieren. Die Software sollte außerdem so eingerichtet sein, dass sie jeden Tag automatisch die neuesten Virendefinitionsdateien herunterlädt. Darüber hinaus sollte der Exchange Server (Mailserver) mit einer Antivirensoftware ausgestattet sein, die alle eingehenden E-Mails auf vireninfizierte Anhänge scannen kann. Wenn ein Virus gefunden wird, wird die E-Mail sofort unter Quarantäne gestellt Reduzieren Sie das Risiko einer Infektion des Benutzers.
Eine weitere gute Möglichkeit, Ihr Netzwerk zu schützen, besteht darin, den Benutzerzugriff auf das Netzwerk basierend auf den Arbeitszeiten der Mitarbeiter zu beschränken. Beispielsweise sollten Mitarbeiter, die tagsüber arbeiten, mitten in der Nacht keinen Zugriff auf das Netzwerk haben.
Schließlich ist für den Zugriff auf alle Daten im Netzwerk eine Passwortanmeldung erforderlich. Zwingen Sie alle, beim Festlegen von Passwörtern eine Mischung aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen zu verwenden. Eine solche Tool-Software finden Sie im Windows NT Server Resource Kit. Außerdem sollten Sie ein Passwort festlegen, das Sie regelmäßig aktualisieren und mindestens acht Zeichen lang sein müssen. Wenn Sie diese Maßnahmen ergriffen haben, aber immer noch befürchten, dass Ihre Passwörter nicht sicher sind, können Sie versuchen, einige Hacking-Tools aus dem Internet herunterzuladen und zu testen, wie sicher diese Passwörter sind.
Tipp 2: Schützen Sie Ihre Backups
Was die meisten Menschen nicht wissen, ist, dass Backups selbst eine riesige Sicherheitslücke darstellen, oder? Stellen Sie sich vor, die meisten Backup-Jobs beginnen um 22 oder 23 Uhr. Abhängig von der Datenmenge kann es Mitternacht sein, nachdem die Sicherung abgeschlossen ist. Stellen Sie sich nun vor, es ist vier Uhr morgens und die Sicherung ist abgeschlossen. Dies ist der perfekte Zeitpunkt für jemanden, die Sicherungsdiskette zu stehlen und sie auf einem Server zu Hause oder im Büro Ihres Konkurrenten wiederherzustellen. Sie können dies jedoch verhindern. Erstens können Sie Ihre Festplatte mit einem Passwort schützen. Wenn Ihr Backup-Programm die Verschlüsselung unterstützt, können Sie auch die Daten verschlüsseln. Zweitens können Sie die Zeit festlegen, zu der die Sicherung abgeschlossen sein soll, wenn Sie morgens das Büro betreten. In diesem Fall ist dies selbst dann nicht möglich, wenn sich jemand mitten in der Nacht einschleichen und die Festplatte stehlen möchte da die Festplatte in Gebrauch ist; wenn der Dieb die Festplatte gewaltsam wegnimmt, ist es ihm auch unmöglich, die beschädigten Daten zu lesen.
Tipp 3: Nutzen Sie die Callback-Funktion von RAS
Eine der coolsten Funktionen von Windows NT ist die Unterstützung für Remote Access Server (RAS). Leider sind RAS-Server für Hacker zu praktisch. Sie benötigen lediglich eine Telefonnummer und ein wenig Geduld, um über den RAS-Host Zugriff zu erhalten . Sie können jedoch einige Maßnahmen ergreifen, um die Sicherheit Ihres RAS-Servers zu schützen.
Welche Technik Sie verwenden, hängt weitgehend davon ab, wie der Fernzugriff funktioniert. Wenn der Remote-Benutzer häufig von zu Hause oder von einem festen Ort aus auf das Internet zugreift, wird empfohlen, die Rückruffunktion zu verwenden. Sie ermöglicht dem Remote-Benutzer, nach der Anmeldung aufzulegen, und der RAS-Server wählt dann die voreingestellte Telefonnummer, um eine Verbindung herzustellen Denn sobald die Telefonnummer bereits vorprogrammiert ist, hat der Hacker keine Chance mehr, die Nummer anzugeben, die der Server zurückrufen soll.
Ein anderer Ansatz besteht darin, Remote-Benutzern den Zugriff auf einen einzelnen Server zu beschränken. Sie können häufig verwendete Daten auf einen speziellen freigegebenen Punkt auf dem RAS-Server kopieren und dann Remote-Benutzeranmeldungen auf einen Server statt auf das gesamte Netzwerk beschränken. Auf diese Weise können Hacker, selbst wenn sie in den Host eindringen, nur auf einem einzelnen Computer Probleme verursachen und so indirekt den Schaden verringern.
Ein letzter Trick besteht darin, ein „alternatives“ Netzwerkprotokoll auf dem RAS-Server zu verwenden. Viele Leute verwenden das TCP/IP-Protokoll als RAS-Protokoll. Aufgrund der Beschaffenheit und Akzeptanz des TCP/IP-Protokolls selbst ist diese Wahl durchaus sinnvoll, aber RAS unterstützt auch die Protokolle IPX/SPX und NetBEUI. Wenn Sie NetBEUI als RAS-Protokoll verwenden, werden Hacker definitiv verwirrt sein, wenn dies nicht der Fall ist einen Moment vorsichtig sein.
Tipp 4: Berücksichtigen Sie die Sicherheit des Arbeitsplatzes
Es mag unangebracht erscheinen, in einem Artikel über die Sicherheit von Servern die Sicherheit des Arbeitsplatzes zu erwähnen. Die Stärkung der Sicherheit des Arbeitsplatzes kann jedoch die Sicherheit des gesamten Netzwerks verbessern. Für den Anfang wird Windows 2000 auf allen Workstations empfohlen. Windows 2000 ist ein sehr sicheres Betriebssystem. Wenn Sie nicht über Windows 2000 verfügen, verwenden Sie zumindest Windows NT. Auf diese Weise können Sie Ihre Workstation sperren, und ohne Erlaubnis wäre es für den Durchschnittsbürger schwierig, an Informationen zur Netzwerkkonfiguration zu gelangen.
Ein weiterer Tipp besteht darin, die Anmeldung von Benutzern auf bestimmte Workstations zu beschränken. Ein weiterer Trick besteht darin, die Workstation als dummes Terminal zu behandeln, oder mit anderen Worten, als intelligentes dummes Terminal. Mit anderen Worten: Wenn Sie den Computer als dummes Terminal verwenden, muss der Server das Windows NT-Terminaldienstprogramm ausführen und alle Anwendungen können nur passiv auf dem Server ausgeführt werden Daten empfangen und einfach anzeigen. Das bedeutet, dass auf der Workstation nur eine Minimalversion von Windows und eine Kopie des Microsoft Terminal Server Client installiert ist. Dieser Ansatz sollte die sicherste Option für das Netzwerkdesign sein.
Tipp 5: Implementieren Sie die neuesten Patches
Microsoft verfügt über eine Gruppe von Mitarbeitern, die sich mit der Überprüfung und Behebung von Sicherheitslücken befassen. Diese Korrekturen (Patches) werden manchmal in Service Packs zusammengefasst und veröffentlicht. Service Packs gibt es normalerweise in zwei verschiedenen Versionen: einer 40-Bit-Version, die jeder verwenden kann, und einer 128-Bit-Version, die nur in den USA und Kanada verfügbar ist. Die 128-Bit-Version verwendet einen 128-Bit-Verschlüsselungsalgorithmus, der viel sicherer ist als die 40-Bit-Version.
Manchmal dauert es mehrere Monate, bis ein Service Pack veröffentlicht wird, aber wenn eine schwerwiegende Schwachstelle entdeckt wird, möchten Sie diese natürlich sofort patchen und nicht auf ein verspätetes Service Pack warten. Glücklicherweise müssen Sie nicht warten, bis Microsoft wichtige Patches auf seiner FTP-Site veröffentlicht. Ich empfehle Ihnen, regelmäßig nach den neuesten Patches zu suchen. Denken Sie daran, dass die Patches in chronologischer Reihenfolge verwendet werden müssen. Wenn sie nicht in der richtigen Reihenfolge verwendet werden, kann dies zu falschen Versionen einiger Dateien führen und auch zum Absturz von Windows führen.
Tipp 6: Setzen Sie strenge Sicherheitsrichtlinien ein
Eine weitere Möglichkeit zur Verbesserung der Sicherheit besteht darin, eine strenge Sicherheitsrichtlinie zu entwickeln und sicherzustellen, dass jeder sie versteht und durchsetzt. Wenn Sie Windows 2000 Server verwenden, können Sie bestimmten Agenten einige Berechtigungen erteilen, ohne alle Netzwerkverwaltungsrechte aufzugeben. Auch wenn Sie bestimmte Berechtigungen des Agenten genehmigen, können Sie die Ebene seiner Berechtigungen dennoch einschränken. Er kann beispielsweise keine neuen Benutzerkonten eröffnen oder Berechtigungen ändern.
Tipp 7: Firewall, prüfen, nochmal prüfen
Ein letzter Tipp ist, Ihre Firewall-Einstellungen noch einmal zu überprüfen. Firewalls sind ein wichtiger Bestandteil der Netzwerkplanung, denn sie schützen Firmenrechner vor böswilligen Schäden von außen.
Erstens: Veröffentlichen Sie keine IP-Adressen, die nicht erforderlich sind. Sie müssen über mindestens eine externe IP-Adresse verfügen und die gesamte Netzwerkkommunikation muss über diese Adresse laufen. Wenn Sie zusätzlich über einen DNS-registrierten Webserver oder E-Mail-Server verfügen, müssen diese IP-Adressen auch über die Firewall veröffentlicht werden. Allerdings müssen die IP-Adressen von Workstations und anderen Servern ausgeblendet werden.
Sie können auch alle Kommunikationsports überprüfen, um sicherzustellen, dass alle selten verwendeten Ports geschlossen wurden. Beispielsweise wird der TCP/IP-Port 80 für den HTTP-Verkehr verwendet, sodass dieser Port nicht blockiert werden kann. Möglicherweise wird Port 81 nie verwendet und sollte daher deaktiviert werden.