Y a-t-il des données importantes sur votre serveur qui ne peuvent pas être divulguées à volonté ? Bien sûr qu'il y en a, non ? Récemment, les serveurs sont particulièrement exposés à des risques. De plus en plus de virus, de pirates malveillants et d'espions commerciaux ciblent les serveurs. Évidemment, les problèmes de sécurité des serveurs ne peuvent être ignorés un instant.
Astuce 1 : Commencez par les bases
Partir de l’essentiel est le moyen le plus sûr. Vous devez convertir toutes les zones du serveur contenant des données confidentielles au format NTFS ; de même, les programmes antivirus doivent être mis à jour à temps. Il est recommandé d'installer un logiciel antivirus sur le serveur et sur les ordinateurs de bureau. Le logiciel doit également être configuré pour télécharger automatiquement chaque jour les derniers fichiers de définitions de virus. De plus, le serveur Exchange (serveur de messagerie) doit également être équipé d'un logiciel antivirus. Ce type de logiciel peut analyser tous les e-mails entrants pour rechercher les pièces jointes infectées par un virus. Si un virus est détecté, l'e-mail sera immédiatement mis en quarantaine. réduire les risques d'infection de l'utilisateur.
Un autre bon moyen de protéger votre réseau consiste à limiter l’accès des utilisateurs au réseau en fonction des heures de travail des employés. Par exemple, les salariés qui travaillent le jour ne devraient pas avoir accès au réseau au milieu de la nuit.
Enfin, l'accès à toutes les données du réseau nécessite une connexion par mot de passe. Forcez tout le monde à utiliser un mélange de lettres majuscules et minuscules, de chiffres et de caractères spéciaux lors de la définition des mots de passe. Il existe un tel logiciel dans le Kit de ressources Windows NT Server. Vous devez également définir un mot de passe que vous mettez à jour régulièrement et qui doit comporter au moins huit caractères. Si vous avez pris ces mesures mais craignez toujours que vos mots de passe ne soient pas sécurisés, vous pouvez essayer de télécharger des outils de piratage sur Internet et tester le degré de sécurité de ces mots de passe.
Astuce 2 : Protégez vos sauvegardes
Ce que la plupart des gens ne réalisent pas, c’est que les sauvegardes elles-mêmes constituent une énorme faille de sécurité, n’est-ce pas ? Imaginez, la plupart des tâches de sauvegarde commencent à 22 ou 23 heures. Selon la quantité de données, il peut être minuit après la fin de la sauvegarde. Imaginez maintenant qu'il est quatre heures du matin et que la sauvegarde est terminée. C'est le moment idéal pour quelqu'un de voler le disque de sauvegarde et de le restaurer sur un serveur chez vous ou dans le bureau de votre concurrent. Cependant, vous pouvez empêcher que cela se produise. Tout d'abord, vous pouvez protéger votre disque par mot de passe et si votre programme de sauvegarde prend en charge le cryptage, vous pouvez également crypter les données. Deuxièmement, vous pouvez définir l'heure à laquelle la sauvegarde doit être terminée lorsque vous entrez au bureau le matin. Dans ce cas, même si quelqu'un veut se faufiler et voler le disque au milieu de la nuit, il ne pourra pas le faire. parce que le disque est en cours d'utilisation ; si le voleur l'enlève de force, il sera également impossible de lire les données endommagées.
Astuce 3 : utilisez la fonction de rappel de RAS
L'une des fonctionnalités les plus intéressantes de Windows NT est la prise en charge du serveur d'accès à distance (RAS). Malheureusement, les serveurs RAS sont trop pratiques pour les pirates informatiques. Tout ce dont ils ont besoin est un numéro de téléphone, un peu de patience, pour pouvoir accéder via l'hôte RAS. . Cependant, vous pouvez prendre certaines mesures pour protéger la sécurité de votre serveur RAS.
La technique que vous utilisez dépend en grande partie du fonctionnement de l'accesseur distant. Si l'utilisateur distant accède souvent à Internet depuis son domicile ou un endroit fixe, il est recommandé d'utiliser la fonction de rappel. Elle permet à l'utilisateur distant de raccrocher après s'être connecté, puis le serveur RAS composera le numéro de téléphone prédéfini pour se connecter. l'utilisateur. Parce que ceci Une fois le numéro de téléphone déjà préprogrammé, le pirate n'a aucune possibilité de spécifier le numéro que le serveur doit rappeler.
Une autre approche consiste à restreindre l'accès des utilisateurs distants à un seul serveur. Vous pouvez copier les données fréquemment utilisées vers un point partagé spécial sur le serveur RAS, puis limiter les connexions des utilisateurs distants à un seul serveur plutôt qu'à l'ensemble du réseau. De cette manière, même si des pirates envahissent l’hôte, ils ne peuvent causer des problèmes que sur une seule machine, réduisant ainsi indirectement les dégâts.
Une dernière astuce consiste à utiliser un protocole réseau « alternatif » sur le serveur RAS. De nombreuses personnes utilisent le protocole TCP/ip comme protocole RAS. Tirant parti de la nature et de l'acceptation du protocole TCP/IP lui-même, ce choix est tout à fait raisonnable, mais RAS prend également en charge les protocoles IPX/SPX et NetBEUI. Si vous utilisez NetBEUI comme protocole RAS, les pirates seront certainement confus s'ils ne le font pas. soyez prudent un instant.
Astuce 4 : Pensez à la sécurité du poste de travail
Il peut sembler déplacé de mentionner la sécurité du poste de travail dans un article sur la sécurité du serveur. Cependant, le poste de travail est la porte d'accès au serveur. Renforcer la sécurité du poste de travail peut améliorer la sécurité de l'ensemble du réseau. Pour commencer, Windows 2000 est recommandé sur tous les postes de travail. Windows 2000 est un système d'exploitation très sécurisé. Si vous n'avez pas Windows 2000, utilisez au moins Windows NT. De cette façon, vous pouvez verrouiller votre poste de travail et, sans autorisation, il serait difficile pour une personne moyenne d'obtenir des informations sur la configuration du réseau.
Une autre astuce consiste à restreindre la connexion des utilisateurs à partir de postes de travail spécifiques. Une autre astuce consiste à traiter le poste de travail comme un terminal stupide, ou en d’autres termes, un terminal stupide intelligent. En d'autres termes, il n'y aura aucune donnée ni logiciel sur le poste de travail. Lorsque vous utilisez l'ordinateur comme terminal stupide, le serveur doit exécuter le programme Windows NT Terminal Service et toutes les applications ne peuvent s'exécuter que de manière passive. recevoir et afficher simplement les données. Cela signifie que le poste de travail ne dispose que d'une version minimale de Windows et d'une copie du client Microsoft Terminal Server. Cette approche devrait constituer l’option de conception de réseau la plus sécurisée.
Astuce 5 : implémentez les derniers correctifs
Microsoft dispose d'un groupe de personnel dédié à la vérification et à la correction des vulnérabilités de sécurité. Ces correctifs (correctifs) sont parfois rassemblés dans des service packs et publiés. Les Service Packs sont généralement disponibles en deux versions différentes : une version 40 bits que tout le monde peut utiliser et une version 128 bits disponible uniquement aux États-Unis et au Canada. La version 128 bits utilise un algorithme de cryptage 128 bits, beaucoup plus sécurisé que la version 40 bits.
Parfois, la publication d'un service pack prend plusieurs mois, mais si une vulnérabilité grave est découverte, vous souhaitez bien sûr la corriger immédiatement et ne voulez pas attendre un service pack tardif. Heureusement, vous n'avez pas besoin d'attendre. Microsoft publiera régulièrement des correctifs importants sur son site FTP. Ces derniers correctifs n'ont pas encore été inclus dans la dernière version du service pack. Je vous recommande de consulter fréquemment les derniers correctifs. n'oubliez pas que les correctifs doivent être utilisés dans l'ordre chronologique. S'ils sont utilisés dans le désordre, cela peut entraîner des versions incorrectes de certains fichiers et également provoquer le blocage de Windows.
Astuce 6 : Adoptez des politiques de sécurité strictes
Une autre façon d’améliorer la sécurité consiste à élaborer une politique de sécurité solide et à s’assurer que tout le monde la comprend et l’applique. Si vous utilisez Windows 2000 Server, vous pouvez accorder certaines autorisations à des agents spécifiques sans renoncer à tous les droits de gestion du réseau. Même si vous approuvez certaines autorisations de l'agent, vous pouvez toujours limiter le niveau de ses autorisations. Par exemple, il ne peut pas ouvrir de nouveaux comptes d'utilisateur ni modifier les autorisations.
Astuce 7 : Pare-feu, vérifiez, vérifiez encore
Un dernier conseil consiste à revérifier les paramètres de votre pare-feu. Les pare-feu constituent un élément important de la planification du réseau, car ils protègent les ordinateurs de l'entreprise contre les dommages malveillants provenant de l'extérieur.
Premièrement, ne publiez pas d’adresses IP qui ne sont pas nécessaires. Vous devez disposer d'au moins une adresse IP externe et toutes les communications réseau doivent passer par cette adresse. Si vous disposez également d'un serveur Web ou d'un serveur de messagerie enregistré auprès du DNS, ces adresses IP doivent également être publiées via le pare-feu. Cependant, les adresses IP des postes de travail et autres serveurs doivent être masquées.
Vous pouvez également vérifier tous les ports de communication pour vous assurer que tous ceux rarement utilisés ont été fermés. Par exemple, le port TCP/IP 80 est utilisé pour le trafic HTTP, ce port ne peut donc pas être bloqué. Peut-être que le port 81 ne sera jamais utilisé, il doit donc être désactivé.