Existem alguns dados importantes no seu servidor que não podem ser divulgados à vontade? Claro que existe, certo? Recentemente, os servidores correm um risco particularmente elevado. Cada vez mais vírus, hackers mal-intencionados e espiões comerciais têm como alvo os servidores. Obviamente, as questões de segurança do servidor não podem ser ignoradas nem por um momento.
Dica 1: comece com o básico
Começar do básico é o caminho mais seguro. Você deve converter todas as áreas do servidor que contêm dados confidenciais para o formato NTFS. Da mesma forma, os programas antivírus devem ser atualizados a tempo; Recomenda-se instalar software antivírus no servidor e nos computadores desktop. O software também deve ser configurado para baixar automaticamente os arquivos de definição de vírus mais recentes todos os dias. Além disso, o Exchange Server (servidor de e-mail) também deve estar equipado com software antivírus. Este tipo de software pode verificar todos os e-mails recebidos em busca de anexos infectados por vírus. Se um vírus for encontrado, o e-mail será imediatamente colocado em quarentena. reduzir a chance do usuário ser infectado.
Outra boa maneira de proteger sua rede é limitar o acesso dos usuários à rede com base no horário de trabalho dos funcionários. Por exemplo, os funcionários que trabalham durante o dia não devem ter acesso à rede no meio da noite.
Finalmente, o acesso a quaisquer dados na rede requer um login com senha. Force todos a usar uma mistura de letras maiúsculas e minúsculas, números e caracteres especiais ao definir senhas. Existe esse software de ferramenta no Windows NT Server Resource Kit. Você também deve definir uma senha que será atualizada regularmente e que deve ter pelo menos oito caracteres. Se você tomou essas medidas, mas ainda está preocupado com o fato de suas senhas não serem seguras, você pode tentar baixar algumas ferramentas de hacking da Internet e testar o quão seguras essas senhas são.
Dica 2: Proteja seus backups
O que a maioria das pessoas não percebe é que os próprios backups são uma enorme falha de segurança, certo? Imagine só, a maioria dos trabalhos de backup começa às 22h ou 23h. Dependendo da quantidade de dados, pode ser meia-noite após a conclusão do backup. Agora imagine que são quatro da manhã e o backup foi concluído. Este é o momento perfeito para alguém roubar o disco de backup e restaurá-lo em um servidor em casa ou no escritório do seu concorrente. No entanto, você pode evitar que isso aconteça. Primeiro, você pode proteger seu disco com senha e, se o seu programa de backup suportar criptografia, você também pode criptografar os dados. Em segundo lugar, você pode definir o horário para que o backup seja concluído ao entrar no escritório pela manhã. Nesse caso, mesmo que alguém queira entrar furtivamente e roubar o disco no meio da noite, não conseguirá. porque o disco está em uso; se o ladrão retirar o disco à força, também será impossível ler os dados danificados.
Dica 3: Use a função de retorno de chamada do RAS
Um dos recursos mais interessantes do Windows NT é o suporte para Servidor de Acesso Remoto (RAS). Infelizmente, os servidores RAS são muito convenientes para os hackers. Tudo o que eles precisam é de um número de telefone, um pouco de paciência e então podem obter acesso através do host RAS. . Entretanto, você pode tomar algumas medidas para proteger a segurança do seu servidor RAS.
A técnica usada depende muito de como o acessador remoto funciona. Se o usuário remoto acessa frequentemente a Internet de casa ou de um local fixo, é recomendável usar a função de retorno de chamada. Ela permite que o usuário remoto desligue após o login e, em seguida, o servidor RAS discará o número de telefone predefinido para se conectar. o usuário. Porque isso Uma vez que o número de telefone já está pré-programado, o hacker não tem chance de especificar o número para o qual o servidor deve ligar de volta.
Outra abordagem é restringir o acesso de usuários remotos a um único servidor. Você pode copiar dados usados com frequência para um ponto compartilhado especial no servidor RAS e, em seguida, limitar os logins de usuários remotos a um servidor em vez de a toda a rede. Dessa forma, mesmo que hackers invadam o host, eles só poderão causar problemas em uma única máquina, reduzindo indiretamente os danos.
Um truque final é usar um protocolo de rede “alternativo” no servidor RAS. Muitas pessoas usam o protocolo TCP/ip como protocolo RAS. Aproveitando a natureza e a aceitação do próprio protocolo TCP/IP, esta escolha é bastante razoável, mas o RAS também suporta os protocolos IPX/SPX e NetBEUI. Se você usar o NetBEUI como protocolo RAS, os hackers definitivamente ficarão confusos se não o fizerem. cuidado por um momento.
Dica 4: considere a segurança da estação de trabalho
Pode parecer inadequado mencionar a segurança da estação de trabalho em um artigo sobre segurança do servidor. No entanto, a estação de trabalho é a porta de entrada para o servidor. Para começar, o Windows 2000 é recomendado em todas as estações de trabalho. O Windows 2000 é um sistema operacional muito seguro. Se você não possui o Windows 2000, use pelo menos o Windows NT. Dessa forma, você pode bloquear sua estação de trabalho e, sem permissão, seria difícil para uma pessoa comum obter informações de configuração de rede.
Outra dica é restringir o login dos usuários em estações de trabalho específicas. Outro truque é tratar a estação de trabalho como um terminal burro, ou em outras palavras, um terminal burro inteligente. Em outras palavras, não haverá dados ou software na estação de trabalho. Quando você usa o computador como um terminal burro, o servidor deve executar o programa Windows NT Terminal Service e todos os aplicativos só podem ser executados na estação de trabalho passivamente. receber e apenas exibir dados. Isso significa que a estação de trabalho possui apenas uma versão mínima do Windows instalada e uma cópia do Microsoft Terminal Server Client. Esta abordagem deve ser a opção de projeto de rede mais segura.
Dica 5: implemente os patches mais recentes
A Microsoft possui um grupo de profissionais dedicados a verificar e corrigir vulnerabilidades de segurança. Essas correções (patches) às vezes são coletadas em service packs e lançadas. Os service packs geralmente vêm em duas versões diferentes: uma versão de 40 bits que qualquer pessoa pode usar e uma versão de 128 bits que está disponível apenas nos Estados Unidos e no Canadá. A versão de 128 bits usa um algoritmo de criptografia de 128 bits, que é muito mais seguro que a versão de 40 bits.
Às vezes, leva vários meses para que um service pack seja lançado, mas se uma vulnerabilidade séria for descoberta, é claro que você deseja corrigi-la imediatamente e não quer esperar por um service pack tardio. Felizmente, você não precisa esperar. A Microsoft lançará regularmente patches importantes em seu site FTP. Esses patches mais recentes ainda não foram incluídos na versão mais recente do service pack. lembre-se de que os patches devem ser usados em ordem cronológica. Se usados fora de ordem, podem levar a versões incorretas de alguns arquivos e também causar travamento do Windows.
Dica 6: estabeleça políticas de segurança rígidas
Outra forma de melhorar a segurança é desenvolver uma política de segurança forte e garantir que todos a compreendam e a apliquem. Se você usa o Windows 2000 Server, poderá autorizar algumas permissões para agentes específicos sem abrir mão de todos os direitos de gerenciamento de rede. Mesmo se você aprovar determinadas permissões do agente, ainda poderá limitar o nível de suas permissões. Por exemplo, eles não poderão abrir novas contas de usuário ou alterar permissões.
Dica 7: Firewall, verifique, verifique novamente
Uma dica final é verificar novamente as configurações do firewall. Os firewalls são uma parte importante do planejamento da rede porque protegem os computadores da empresa contra danos externos maliciosos.
Primeiro, não publique endereços IP que não sejam necessários. Você deve ter pelo menos um endereço IP externo e todas as comunicações de rede devem passar por esse endereço. Se você também tiver um servidor web ou servidor de e-mail registrado no DNS, esses endereços IP também deverão ser publicados através do firewall. No entanto, os endereços IP das estações de trabalho e de outros servidores devem ser ocultados.
Você também pode verificar todas as portas de comunicação para certificar-se de que todas as usadas com pouca frequência foram fechadas. Por exemplo, a porta TCP/IP 80 é usada para tráfego HTTP, portanto esta porta não pode ser bloqueada. Talvez a porta 81 nunca seja usada, por isso deve ser desativada.