¿Hay algunos datos importantes en su servidor que no se pueden revelar a voluntad? Por supuesto que sí, ¿verdad? Últimamente, los servidores corren un riesgo especialmente alto. Cada vez más virus, piratas informáticos maliciosos y espías comerciales atacan a los servidores. Obviamente, los problemas de seguridad del servidor no se pueden ignorar ni por un momento.
Consejo 1: comience con lo básico
Empezar desde lo básico es la forma más segura. Debe convertir todas las áreas del servidor que contienen datos confidenciales al formato NTFS; de manera similar, los programas antivirus deben actualizarse a tiempo. Se recomienda instalar software antivirus tanto en el servidor como en las computadoras de escritorio. El software también debe configurarse para descargar automáticamente los archivos de definición de virus más recientes todos los días. Además, el servidor Exchange (servidor de correo) también debe estar equipado con software antivirus. Este tipo de software puede escanear todos los correos electrónicos entrantes en busca de archivos adjuntos infectados con virus. Si se encuentra un virus, el correo electrónico se pondrá en cuarentena inmediatamente. reducir la posibilidad del usuario de ser infectado.
Otra buena forma de proteger su red es limitar el acceso de los usuarios a la red según las horas de trabajo de los empleados. Por ejemplo, los empleados que trabajan durante el día no deberían tener acceso a la red en mitad de la noche.
Finalmente, el acceso a cualquier dato en la red requiere un inicio de sesión con contraseña. Obliga a todos a utilizar una combinación de letras mayúsculas y minúsculas, números y caracteres especiales al configurar contraseñas. Existe dicha herramienta de software en el Kit de recursos de Windows NT Server. También debe establecer una contraseña que actualice periódicamente y que debe tener al menos ocho caracteres. Si ha tomado estas medidas pero todavía le preocupa que sus contraseñas no sean seguras, puede intentar descargar algunas herramientas de piratería de Internet y probar qué tan seguras son estas contraseñas.
Consejo 2: proteja sus copias de seguridad
Lo que la mayoría de la gente no se da cuenta es que las copias de seguridad en sí mismas son un enorme agujero de seguridad, ¿verdad? Imagínese, la mayoría de las tareas de copia de seguridad comienzan a las 10 u 11 p.m. Dependiendo de la cantidad de datos, puede ser medianoche después de que se completa la copia de seguridad. Ahora imagina que son las cuatro de la mañana y la copia de seguridad ha terminado. Este es el momento perfecto para que alguien robe el disco de respaldo y lo restaure en un servidor en casa o en la oficina de su competidor. Sin embargo, puedes evitar que esto suceda. Primero, puede proteger su disco con contraseña y, si su programa de respaldo admite el cifrado, también puede cifrar los datos. En segundo lugar, puede configurar la hora para que se complete la copia de seguridad cuando ingrese a la oficina por la mañana. En este caso, incluso si alguien quiere colarse y robar el disco en medio de la noche, no podrá hacerlo. porque el disco está en uso, si el ladrón se lo lleva a la fuerza, tampoco podrá leer los datos dañados.
Consejo 3: utilice la función de devolución de llamada de RAS
Una de las características más interesantes de Windows NT es la compatibilidad con el servidor de acceso remoto (RAS). Desafortunadamente, los servidores RAS son demasiado convenientes para los piratas informáticos. Todo lo que necesitan es un número de teléfono, un poco de paciencia, y luego podrán obtener acceso a través de RAS. . Sin embargo, puede tomar algunas medidas para proteger la seguridad de su servidor RAS.
La técnica que utilice depende en gran medida de cómo funciona el descriptor de acceso remoto. Si el usuario remoto accede con frecuencia a Internet desde su casa o desde un lugar fijo, se recomienda utilizar la función de devolución de llamada. Permite al usuario remoto colgar después de iniciar sesión y luego el servidor RAS marcará el número de teléfono preestablecido para conectarse. El usuario, porque una vez que el número de teléfono ya está preprogramado, el hacker no tiene posibilidad de especificar el número al que el servidor debe devolver la llamada.
Otro enfoque es restringir el acceso de los usuarios remotos a un único servidor. Puede copiar los datos utilizados con frecuencia en un punto compartido especial en el servidor RAS y luego limitar los inicios de sesión de usuarios remotos a un servidor en lugar de a toda la red. De esta manera, incluso si los piratas informáticos invaden el host, sólo pueden causar problemas en una sola máquina, lo que reduce indirectamente el daño.
Un último truco consiste en utilizar un protocolo de red "alternativo" en el servidor RAS. Mucha gente utiliza el protocolo TCP/ip como protocolo RAS. Aprovechando la naturaleza y aceptación del protocolo TCP/IP en sí, esta elección es bastante razonable, pero RAS también admite los protocolos IPX/SPX y NetBEUI. Si utiliza NetBEUI como protocolo RAS, los piratas informáticos definitivamente se confundirán si no lo hacen. cuidado por un momento.
Consejo 4: considere la seguridad de la estación de trabajo
Puede parecer fuera de lugar mencionar la seguridad de la estación de trabajo en un artículo sobre seguridad del servidor. Sin embargo, la estación de trabajo es la puerta al servidor. Fortalecer la seguridad de la estación de trabajo puede mejorar la seguridad de la red en general. Para empezar, se recomienda Windows 2000 en todas las estaciones de trabajo. Windows 2000 es un sistema operativo muy seguro. Si no tiene Windows 2000, al menos utilice Windows NT. De esta manera puede bloquear su estación de trabajo y, sin permiso, sería difícil para una persona promedio obtener información de configuración de red.
Otro consejo es restringir a los usuarios para que inicien sesión desde estaciones de trabajo específicas. Otro truco consiste en tratar la estación de trabajo como un terminal tonto o, en otras palabras, un terminal tonto inteligente. En otras palabras, no habrá datos ni software en la estación de trabajo. Cuando utilice la computadora como una terminal tonta, el servidor debe ejecutar el programa Windows NT Terminal Service y todas las aplicaciones solo pueden ejecutarse en la estación de trabajo. recibir y simplemente mostrar datos. Esto significa que la estación de trabajo sólo tiene instalada una versión mínima de Windows y una copia de Microsoft Terminal Server Client. Este enfoque debería ser la opción de diseño de red más segura.
Consejo 5: implemente los últimos parches
Microsoft cuenta con un grupo de personal dedicado a comprobar y parchear las vulnerabilidades de seguridad. Estas correcciones (parches) a veces se recopilan en paquetes de servicio y se publican. Los paquetes de servicio suelen venir en dos versiones diferentes: una versión de 40 bits que cualquiera puede utilizar y una versión de 128 bits que sólo está disponible en Estados Unidos y Canadá. La versión de 128 bits utiliza un algoritmo de cifrado de 128 bits, que es mucho más seguro que la versión de 40 bits.
A veces, se necesitan varios meses para que se publique un paquete de servicio, pero si se descubre una vulnerabilidad grave, por supuesto querrá parchearla de inmediato y no esperar a recibir un paquete de servicio tardío. Afortunadamente, no es necesario esperar. Microsoft publicará periódicamente parches importantes en su sitio FTP. Estos parches más recientes aún no se han incluido en la última versión del paquete de servicio. Recuerde que los parches deben usarse en orden cronológico. Si se usan fuera de orden, puede generar versiones incorrectas de algunos archivos y también puede provocar que Windows falle.
Consejo 6: implemente políticas de seguridad estrictas
Otra forma de mejorar la seguridad es desarrollar una política de seguridad sólida y asegurarse de que todos la comprendan y la apliquen. Si utiliza Windows 2000 Server, puede autorizar algunos permisos a agentes específicos sin renunciar a todos los derechos de administración de la red. Incluso si aprueba ciertos permisos del agente, aún puede limitar el nivel de sus permisos. Por ejemplo, no puede abrir nuevas cuentas de usuario ni cambiar permisos.
Consejo 7: Firewall, verifique, verifique nuevamente
Un último consejo es volver a verificar la configuración de su firewall. Los cortafuegos son una parte importante de la planificación de la red porque protegen los ordenadores de la empresa de daños maliciosos procedentes del exterior.
Primero, no publique direcciones IP que no sean necesarias. Debe tener al menos una dirección IP externa y todas las comunicaciones de la red deben pasar a través de esta dirección. Si también tiene un servidor web o un servidor de correo electrónico registrado en DNS, estas direcciones IP también deben publicarse a través del firewall. Sin embargo, las direcciones IP de las estaciones de trabajo y otros servidores deben estar ocultas.
También puede verificar todos los puertos de comunicación para asegurarse de que todos los que se utilizan con poca frecuencia estén cerrados. Por ejemplo, el puerto TCP/IP 80 se utiliza para el tráfico HTTP, por lo que este puerto no se puede bloquear. Quizás el puerto 81 nunca se utilice, por lo que debería desactivarse.