Apakah ada data penting di server Anda yang tidak dapat diungkapkan sesuka hati? Tentu saja ada, bukan? Baru-baru ini, server berada pada risiko yang sangat tinggi. Semakin banyak virus, peretas jahat, dan mata-mata komersial yang menargetkan server. Tentu saja masalah keamanan server tidak bisa diabaikan begitu saja.
Tip 1: Mulailah dengan dasar-dasarnya
Memulai dari dasar adalah cara yang paling aman. Anda harus mengonversi semua area di server yang berisi data rahasia ke format NTFS; demikian pula, program anti-virus harus diperbarui tepat waktu. Disarankan untuk menginstal perangkat lunak anti-virus di komputer server dan desktop. Perangkat lunak ini juga harus dikonfigurasi untuk mengunduh file definisi virus terbaru secara otomatis setiap hari. Selain itu, Exchange Server (server email) juga harus dilengkapi dengan perangkat lunak anti-virus. Perangkat lunak jenis ini dapat memindai semua email yang masuk untuk mencari lampiran yang terinfeksi virus. Jika ditemukan virus, email tersebut akan segera dikarantina mengurangi kemungkinan pengguna terinfeksi.
Cara lain yang baik untuk melindungi jaringan Anda adalah dengan membatasi akses pengguna ke jaringan berdasarkan jam kerja karyawan. Misalnya, karyawan yang bekerja di siang hari tidak boleh memiliki akses ke jaringan di tengah malam.
Terakhir, akses ke data apa pun di jaringan memerlukan login kata sandi. Paksa setiap orang untuk menggunakan campuran huruf besar dan kecil, angka, dan karakter khusus saat mengatur kata sandi. Ada perangkat lunak alat seperti itu di Windows NT Server Resource Kit. Anda juga harus menetapkan kata sandi yang Anda perbarui secara berkala dan panjangnya minimal harus delapan karakter. Jika Anda telah mengambil langkah-langkah ini tetapi masih khawatir kata sandi Anda tidak aman, Anda dapat mencoba mengunduh beberapa alat peretasan dari Internet dan menguji seberapa aman kata sandi tersebut.
Tip 2: Lindungi cadangan Anda
Apa yang kebanyakan orang tidak sadari adalah bahwa pencadangan itu sendiri merupakan lubang keamanan yang sangat besar, bukan? Bayangkan saja, sebagian besar pekerjaan pencadangan dimulai pada pukul 10 atau 11 malam, tergantung pada jumlah data, mungkin tengah malam setelah pencadangan selesai. Sekarang, bayangkan jam empat pagi dan pencadangan telah selesai. Ini adalah waktu yang tepat bagi seseorang untuk mencuri disk cadangan dan memulihkannya di server di rumah atau di kantor pesaing Anda. Namun, Anda bisa mencegah hal ini terjadi. Pertama, Anda dapat melindungi disk Anda dengan kata sandi, dan jika program cadangan Anda mendukung enkripsi, Anda juga dapat mengenkripsi data. Kedua, Anda dapat mengatur waktu penyelesaian pencadangan saat Anda memasuki kantor di pagi hari. Dalam hal ini, meskipun seseorang ingin menyelinap masuk dan mencuri disk di tengah malam, mereka tidak akan dapat melakukannya karena disk sedang digunakan; jika pencuri mengambil disk tersebut secara paksa, dia juga tidak dapat membaca data yang rusak.
Tip 3: Gunakan fungsi panggilan balik RAS
Salah satu fitur paling keren dari Windows NT adalah dukungan untuk Remote Access Server (RAS). Sayangnya, server RAS terlalu nyaman bagi peretas . Namun, Anda dapat mengambil beberapa tindakan untuk melindungi keamanan server RAS Anda.
Teknik yang Anda gunakan sangat bergantung pada cara kerja pengakses jarak jauh. Jika pengguna jarak jauh sering mengakses Internet dari rumah atau tempat tetap, disarankan agar Anda menggunakan fungsi panggilan balik. Ini memungkinkan pengguna jarak jauh untuk menutup telepon setelah masuk, dan kemudian server RAS akan menghubungi nomor telepon yang telah ditetapkan untuk terhubung Karena ini, setelah nomor telepon sudah diprogram sebelumnya, peretas tidak memiliki kesempatan untuk menentukan nomor yang harus dihubungi kembali oleh server.
Pendekatan lain adalah dengan membatasi pengguna jarak jauh untuk mengakses satu server. Anda dapat menyalin data yang sering digunakan ke titik bersama khusus di server RAS, lalu membatasi login pengguna jarak jauh ke satu server, bukan ke seluruh jaringan. Dengan cara ini, meskipun peretas menyerang host, mereka hanya dapat menimbulkan masalah pada satu mesin, sehingga secara tidak langsung mengurangi kerusakan.
Salah satu trik terakhir adalah dengan menggunakan protokol jaringan "alternatif" pada server RAS. Banyak orang menggunakan protokol TCP/ip sebagai protokol RAS. Memanfaatkan sifat dan penerimaan protokol TCP/IP itu sendiri, pilihan ini cukup masuk akal, namun RAS juga mendukung protokol IPX/SPX dan NetBEUI. Jika menggunakan NetBEUI sebagai protokol RAS, hacker pasti akan bingung jika tidak hati-hati sejenak.
Tip 4: Pertimbangkan keamanan stasiun kerja
Tampaknya tidak tepat untuk menyebutkan keamanan workstation dalam artikel tentang keamanan server. Namun, workstation adalah pintu menuju server. Sebagai permulaan, Windows 2000 direkomendasikan pada semua workstation. Windows 2000 adalah sistem operasi yang sangat aman. Jika Anda tidak memiliki Windows 2000, setidaknya gunakan Windows NT. Dengan cara ini Anda dapat mengunci stasiun kerja Anda, dan tanpa izin, akan sulit bagi kebanyakan orang untuk mendapatkan informasi konfigurasi jaringan.
Tip lainnya adalah membatasi pengguna untuk login dari workstation tertentu. Trik lainnya adalah dengan memperlakukan stasiun kerja sebagai terminal bodoh, atau dengan kata lain, terminal bodoh yang cerdas. Dengan kata lain, tidak akan ada data atau perangkat lunak di workstation. Saat Anda menggunakan komputer sebagai terminal bodoh, server harus menjalankan program Layanan Terminal Windows NT, dan semua aplikasi hanya dapat berjalan di server menerima dan Hanya menampilkan data. Ini berarti workstation hanya memiliki versi minimal Windows yang terinstal, dan salinan Microsoft Terminal Server Client. Pendekatan ini harus menjadi pilihan desain jaringan yang paling aman.
Tip 5: Terapkan patch terbaru
Microsoft memiliki sekelompok tenaga kerja yang didedikasikan untuk memeriksa dan menambal kerentanan keamanan. Perbaikan (tambalan) ini terkadang dikumpulkan ke dalam paket layanan dan dirilis. Paket layanan biasanya hadir dalam dua versi berbeda: versi 40-bit yang dapat digunakan siapa saja, dan versi 128-bit yang hanya tersedia di Amerika Serikat dan Kanada. Versi 128-bit menggunakan algoritma enkripsi 128-bit, yang jauh lebih aman dibandingkan versi 40-bit.
Terkadang dibutuhkan waktu beberapa bulan untuk sebuah service pack dirilis, namun jika ditemukan kerentanan yang serius, tentunya Anda ingin segera menambalnya dan tidak ingin menunggu service pack yang terlambat. Untungnya, Anda tidak perlu menunggu. Microsoft akan merilis patch penting secara berkala di situs FTP-nya. Patch terbaru ini belum disertakan dalam versi terbaru paket layanan. ingat bahwa tambalan harus digunakan dalam urutan kronologis. Jika digunakan tidak berurutan, hal ini dapat menyebabkan versi beberapa file salah dan juga dapat menyebabkan Windows mogok.
Tip 6: Terapkan kebijakan keamanan yang ketat
Cara lain untuk meningkatkan keamanan adalah dengan mengembangkan kebijakan keamanan yang kuat dan memastikan semua orang memahami dan menegakkannya. Jika Anda menggunakan Windows 2000 Server, Anda dapat mengotorisasi beberapa izin untuk agen tertentu tanpa menyerahkan semua hak pengelolaan jaringan. Meskipun Anda menyetujui izin tertentu dari agen, Anda masih dapat membatasi tingkat izin mereka, misalnya, mereka tidak dapat membuka akun pengguna baru atau mengubah izin.
Tip 7: Firewall, periksa, periksa lagi
Salah satu tip terakhir adalah memeriksa ulang pengaturan firewall Anda. Firewall adalah bagian penting dari perencanaan jaringan karena melindungi komputer perusahaan dari kerusakan berbahaya dari luar.
Pertama, jangan publikasikan alamat IP yang tidak diperlukan. Anda harus memiliki setidaknya satu alamat IP eksternal, dan semua komunikasi jaringan harus melewati alamat ini. Jika Anda juga memiliki server web atau server email yang terdaftar DNS, alamat IP ini juga harus dipublikasikan melalui firewall. Namun, alamat IP stasiun kerja dan server lain harus disembunyikan.
Anda juga dapat memeriksa semua port komunikasi untuk memastikan semua port yang jarang digunakan telah ditutup. Misal port TCP/IP 80 digunakan untuk traffic HTTP, jadi port ini tidak bisa diblokir. Mungkin port 81 tidak akan pernah digunakan, jadi sebaiknya dimatikan.