Есть ли на вашем сервере важные данные, которые нельзя разглашать по собственному желанию? Конечно, есть, правда? В последнее время серверы подвергаются особенно высокому риску. Все больше и больше вирусов, злоумышленников и коммерческих шпионов атакуют серверы. Очевидно, что вопросы безопасности серверов нельзя игнорировать ни на мгновение.
Совет 1: Начните с основ
Самый безопасный способ — начать с азов. Необходимо преобразовать все области на сервере, содержащие конфиденциальные данные, в формат NTFS, а также своевременно обновлять антивирусные программы; Рекомендуется устанавливать антивирусное программное обеспечение как на сервер, так и на настольные компьютеры. Программное обеспечение также должно быть настроено на автоматическую ежедневную загрузку последних файлов описаний вирусов. Кроме того, сервер Exchange (почтовый сервер) также должен быть оснащен антивирусным программным обеспечением. Этот тип программного обеспечения может сканировать все входящие электронные письма на наличие зараженных вирусом вложений. В случае обнаружения вируса электронное письмо будет немедленно помещено в карантин. снизить вероятность заражения пользователя.
Еще один хороший способ защитить вашу сеть — ограничить доступ пользователей к сети в зависимости от рабочего времени сотрудников. Например, сотрудники, работающие днем, не должны иметь доступа к сети посреди ночи.
Наконец, для доступа к любым данным в сети требуется вход в систему с паролем. Заставьте всех использовать при установке паролей сочетание прописных и строчных букв, цифр и специальных символов. Такое программное обеспечение имеется в составе Windows NT Server Resource Kit. Вам также следует установить пароль, который вы регулярно обновляете, и он должен иметь длину не менее восьми символов. Если вы приняли эти меры, но все еще обеспокоены тем, что ваши пароли небезопасны, вы можете попробовать загрузить из Интернета некоторые инструменты для взлома и проверить, насколько безопасны эти пароли.
Совет 2. Защитите свои резервные копии
Большинство людей не осознают, что резервные копии сами по себе представляют собой огромную дыру в безопасности, верно? Представьте себе, что большинство заданий резервного копирования начинаются в 22:00 или 23:00. В зависимости от объема данных после завершения резервного копирования может наступить полночь. Теперь представьте, что сейчас четыре часа утра, и резервное копирование завершено. Это идеальное время для того, чтобы кто-то украл резервный диск и восстановил его на сервере дома или в офисе вашего конкурента. Однако вы можете предотвратить это. Во-первых, вы можете защитить свой диск паролем, а если ваша программа резервного копирования поддерживает шифрование, вы также можете зашифровать данные. Во-вторых, вы можете установить время завершения резервного копирования при входе в офис утром. В этом случае, даже если кто-то захочет проникнуть и украсть диск посреди ночи, он не сможет это сделать. поскольку диск находится в использовании; если вор заберет диск силой, он также не сможет прочитать поврежденные данные.
Совет 3. Используйте функцию обратного вызова RAS.
Одной из самых замечательных особенностей Windows NT является поддержка сервера удаленного доступа (RAS). К сожалению, серверы RAS слишком удобны для хакеров. Все, что им нужно, это номер телефона и немного терпения, и тогда они смогут получить доступ через хост RAS. . Однако вы можете принять некоторые меры для защиты безопасности вашего сервера RAS.
Используемый вами метод во многом зависит от того, как работает средство удаленного доступа. Если удаленный пользователь часто выходит в Интернет из дома или фиксированного места, рекомендуется использовать функцию обратного вызова. Она позволяет удаленному пользователю повесить трубку после входа в систему, а затем сервер RAS наберет заранее заданный номер телефона для подключения. пользователь. Потому что это. Если номер телефона уже запрограммирован, у хакера нет возможности указать номер, на который сервер должен перезвонить.
Другой подход — ограничить доступ удаленных пользователей к одному серверу. Вы можете скопировать часто используемые данные в специальную общую точку на сервере RAS, а затем ограничить вход удаленных пользователей одним сервером, а не всей сетью. Таким образом, даже если хакеры вторгнутся на хост, они смогут вызвать проблемы только на одной машине, косвенно уменьшая ущерб.
И последний трюк — использовать «альтернативный» сетевой протокол на сервере RAS. Многие люди используют протокол TCP/ip в качестве протокола RAS. Учитывая природу и признание самого протокола TCP/IP, этот выбор вполне разумен, но RAS также поддерживает протоколы IPX/SPX и NetBEUI. Если вы используете NetBEUI в качестве протокола RAS, хакеры определенно будут сбиты с толку, если они этого не сделают. осторожен на мгновение.
Совет 4. Подумайте о безопасности рабочей станции
Упоминание о безопасности рабочей станции в статье о безопасности сервера может показаться неуместным. Однако рабочая станция — это дверь на сервер. Усиление безопасности рабочей станции может улучшить безопасность всей сети. Во-первых, на всех рабочих станциях рекомендуется использовать Windows 2000. Windows 2000 — очень безопасная операционная система. Если у вас нет Windows 2000, используйте хотя бы Windows NT. Таким образом, вы можете заблокировать свою рабочую станцию, и без разрешения обычному человеку будет сложно получить информацию о конфигурации сети.
Еще один совет — ограничить пользователям вход в систему с определенных рабочих станций. Еще один трюк — относиться к рабочей станции как к тупому терминалу или, другими словами, как к умному тупому терминалу. Другими словами, на рабочей станции не будет никаких данных или программного обеспечения. Когда вы используете компьютер в качестве тупого терминала, сервер должен выполнять программу службы терминалов Windows NT, и все приложения могут работать на сервере только пассивно. получать и просто отображать данные. Это означает, что на рабочей станции установлена только минимальная версия Windows и копия клиента Microsoft Terminal Server. Этот подход должен быть наиболее безопасным вариантом проектирования сети.
Совет 5. Установите последние исправления
У Microsoft есть группа специалистов, занимающихся проверкой и исправлением уязвимостей безопасности. Эти исправления (исправления) иногда собираются в пакеты обновлений и выпускаются. Пакеты обновлений обычно поставляются в двух разных версиях: 40-битная версия, которую может использовать каждый, и 128-битная версия, доступная только в США и Канаде. 128-битная версия использует 128-битный алгоритм шифрования, который намного безопаснее, чем 40-битная версия.
Иногда на выпуск пакета обновлений уходит несколько месяцев, но если обнаруживается серьезная уязвимость, конечно, хочется исправить ее немедленно, а не ждать запоздалого пакета обновлений. К счастью, вам не нужно ждать. Microsoft будет регулярно выпускать важные исправления на своем FTP-сайте. Эти последние исправления еще не включены в последнюю версию пакета обновления. помните, что патчи необходимо использовать в хронологическом порядке. Использование не по порядку может привести к созданию неверных версий некоторых файлов, а также к сбою Windows.
Совет 6: Примите строгие политики безопасности
Еще один способ повысить безопасность — разработать надежную политику безопасности и убедиться, что все понимают ее и соблюдают ее. Если вы используете Windows 2000 Server, вы можете предоставить некоторые разрешения определенным агентам, не отказываясь от всех прав управления сетью. Даже если вы одобряете определенные разрешения агента, вы все равно можете ограничить уровень их разрешений. Например, они не могут открывать новые учетные записи пользователей или изменять разрешения.
Совет 7: Брандмауэр, проверьте, проверьте еще раз
И последний совет: дважды проверьте настройки брандмауэра. Брандмауэры являются важной частью сетевого планирования, поскольку они защищают компьютеры компании от вредоносного повреждения извне.
Во-первых, не публикуйте ненужные IP-адреса. У вас должен быть хотя бы один внешний IP-адрес, и все сетевые соединения должны проходить через этот адрес. Если у вас также есть зарегистрированный в DNS веб-сервер или сервер электронной почты, эти IP-адреса также должны быть опубликованы через брандмауэр. Однако IP-адреса рабочих станций и других серверов должны быть скрыты.
Вы также можете проверить все коммуникационные порты, чтобы убедиться, что все редко используемые из них закрыты. Например, порт TCP/IP 80 используется для HTTP-трафика, поэтому этот порт невозможно заблокировать. Возможно, порт 81 никогда не будет использоваться, поэтому его следует отключить.