มีข้อมูลสำคัญบางอย่างบนเซิร์ฟเวอร์ของคุณที่ไม่สามารถเปิดเผยได้ตามต้องการหรือไม่? แน่นอนว่ามีใช่ไหม? ช่วงนี้เซิร์ฟเวอร์มีความเสี่ยงสูงเป็นพิเศษ ไวรัส แฮกเกอร์ที่เป็นอันตราย และสายลับเชิงพาณิชย์จำนวนมากขึ้นเรื่อยๆ มุ่งเป้าไปที่เซิร์ฟเวอร์ แน่นอนว่าปัญหาด้านความปลอดภัยของเซิร์ฟเวอร์ไม่สามารถละเลยได้ชั่วขณะหนึ่ง
เคล็ดลับที่ 1: เริ่มต้นด้วยพื้นฐาน
การเริ่มจากพื้นฐานคือวิธีที่ปลอดภัยที่สุด คุณต้องแปลงพื้นที่ทั้งหมดบนเซิร์ฟเวอร์ที่มีข้อมูลที่เป็นความลับเป็นรูปแบบ NTFS ในทำนองเดียวกัน โปรแกรมป้องกันไวรัสจะต้องได้รับการอัปเดตตรงเวลา ขอแนะนำให้ติดตั้งซอฟต์แวร์ป้องกันไวรัสทั้งบนเซิร์ฟเวอร์และคอมพิวเตอร์เดสก์ท็อป ควรตั้งค่าซอฟต์แวร์ให้ดาวน์โหลดไฟล์คำจำกัดความไวรัสล่าสุดโดยอัตโนมัติทุกวัน นอกจากนี้ Exchange Server (เมลเซิร์ฟเวอร์) ควรติดตั้งซอฟต์แวร์ป้องกันไวรัสด้วย ซอฟต์แวร์ประเภทนี้สามารถสแกนอีเมลขาเข้าทั้งหมดเพื่อค้นหาไฟล์แนบที่ติดไวรัส หากพบไวรัส อีเมลนั้นจะถูกกักกันทันที ลดโอกาสที่ผู้ใช้จะติดเชื้อ
อีกวิธีที่ดีในการปกป้องเครือข่ายของคุณคือการจำกัดการเข้าถึงเครือข่ายของผู้ใช้ตามเวลาทำงานของพนักงาน เช่น พนักงานที่ทำงานช่วงกลางวันไม่ควรเข้าถึงเครือข่ายในตอนกลางคืน
สุดท้ายนี้ การเข้าถึงข้อมูลใด ๆ บนเครือข่ายจำเป็นต้องมีการเข้าสู่ระบบด้วยรหัสผ่าน บังคับให้ทุกคนใช้ตัวอักษรพิมพ์ใหญ่และพิมพ์เล็ก ตัวเลข และอักขระพิเศษผสมกันเมื่อตั้งรหัสผ่าน มีซอฟต์แวร์เครื่องมือดังกล่าวอยู่ใน Windows NT Server Resource Kit คุณควรตั้งรหัสผ่านที่คุณอัปเดตเป็นประจำและต้องมีความยาวอย่างน้อยแปดอักขระ หากคุณใช้มาตรการเหล่านี้แล้ว แต่ยังกังวลว่ารหัสผ่านของคุณไม่ปลอดภัย คุณสามารถลองดาวน์โหลดเครื่องมือแฮ็กจากอินเทอร์เน็ต และทดสอบว่ารหัสผ่านเหล่านี้ปลอดภัยแค่ไหน
เคล็ดลับ 2: ปกป้องการสำรองข้อมูลของคุณ
สิ่งที่คนส่วนใหญ่ไม่ทราบก็คือการสำรองข้อมูลนั้นเป็นช่องโหว่ด้านความปลอดภัยขนาดใหญ่ใช่ไหม ลองนึกภาพว่างานสำรองข้อมูลส่วนใหญ่เริ่มต้นเวลา 22.00 น. หรือ 23.00 น. อาจเป็นเวลาเที่ยงคืนหลังจากการสำรองข้อมูลเสร็จสิ้น ตอนนี้ ลองนึกภาพว่าเป็นเวลาสี่โมงเช้าและการสำรองข้อมูลเสร็จสิ้นแล้ว นี่เป็นเวลาที่เหมาะที่สุดสำหรับใครบางคนที่จะขโมยดิสก์สำรองข้อมูลและกู้คืนบนเซิร์ฟเวอร์ที่บ้านหรือที่สำนักงานของคู่แข่งของคุณ อย่างไรก็ตาม คุณสามารถป้องกันไม่ให้สิ่งนี้เกิดขึ้นได้ ขั้นแรก คุณสามารถป้องกันดิสก์ของคุณด้วยรหัสผ่านได้ และหากโปรแกรมสำรองข้อมูลของคุณรองรับการเข้ารหัส คุณก็สามารถเข้ารหัสข้อมูลได้เช่นกัน ประการที่สอง คุณสามารถกำหนดเวลาในการสำรองข้อมูลให้เสร็จสิ้นเมื่อคุณเข้าไปในสำนักงานในตอนเช้า ในกรณีนี้ แม้ว่าจะมีใครต้องการแอบเข้าไปขโมยดิสก์ตอนกลางดึก พวกเขาก็จะไม่สามารถทำได้ เพราะดิสก์ถูกใช้งาน หากขโมยเอาดิสก์ออกไปโดยบังคับ เขาก็จะอ่านข้อมูลที่เสียหายไม่ได้เช่นกัน
เคล็ดลับ 3: ใช้ฟังก์ชันโทรกลับของ RAS
หนึ่งในคุณสมบัติที่ยอดเยี่ยมที่สุดของ Windows NT คือการรองรับ Remote Access Server (RAS) น่าเสียดายที่เซิร์ฟเวอร์ RAS สะดวกเกินไปสำหรับแฮกเกอร์ . อย่างไรก็ตาม คุณสามารถใช้มาตรการบางอย่างเพื่อปกป้องความปลอดภัยของเซิร์ฟเวอร์ RAS ของคุณได้
เทคนิคที่คุณใช้ขึ้นอยู่กับวิธีการทำงานของตัวเข้าถึงระยะไกลเป็นหลัก หากผู้ใช้ระยะไกลเข้าถึงอินเทอร์เน็ตจากที่บ้านหรือจากสถานที่ประจำ ขอแนะนำให้คุณใช้ฟังก์ชันโทรกลับ ซึ่งจะอนุญาตให้ผู้ใช้ระยะไกลวางสายหลังจากเข้าสู่ระบบ จากนั้นเซิร์ฟเวอร์ RAS จะกดหมายเลขโทรศัพท์ที่ตั้งไว้ล่วงหน้าเพื่อเชื่อมต่อ เนื่องจากเมื่อตั้งโปรแกรมหมายเลขโทรศัพท์ไว้ล่วงหน้าแล้วแฮกเกอร์จึงไม่มีโอกาสระบุหมายเลขที่เซิร์ฟเวอร์ควรโทรกลับ
อีกวิธีหนึ่งคือการจำกัดผู้ใช้ระยะไกลให้เข้าถึงเซิร์ฟเวอร์เดียว คุณสามารถคัดลอกข้อมูลที่ใช้บ่อยไปยังจุดแชร์พิเศษบนเซิร์ฟเวอร์ RAS จากนั้นจำกัดการเข้าสู่ระบบของผู้ใช้ระยะไกลไว้ที่เซิร์ฟเวอร์เดียว แทนที่จะจำกัดทั้งเครือข่าย ด้วยวิธีนี้ แม้ว่าแฮกเกอร์จะบุกรุกโฮสต์ แต่ก็สามารถสร้างปัญหาให้กับเครื่องเครื่องเดียวเท่านั้น ซึ่งช่วยลดความเสียหายทางอ้อมได้
เคล็ดลับสุดท้ายประการหนึ่งคือการใช้โปรโตคอลเครือข่าย "ทางเลือก" บนเซิร์ฟเวอร์ RAS หลายๆ คนใช้โปรโตคอล TCP/ip เป็นโปรโตคอล RAS การใช้ประโยชน์จากลักษณะและการยอมรับโปรโตคอล TCP/IP เอง ตัวเลือกนี้ค่อนข้างสมเหตุสมผล แต่ RAS ยังรองรับโปรโตคอล IPX/SPX และ NetBEUI หากคุณใช้ NetBEUI เป็นโปรโตคอล RAS แฮกเกอร์จะสับสนอย่างแน่นอนหากไม่เป็นเช่นนั้น ระวังสักครู่
เคล็ดลับ 4: พิจารณาความปลอดภัยของเวิร์กสเตชัน
อาจดูเหมือนไม่เหมาะสมที่จะกล่าวถึงความปลอดภัยของเวิร์กสเตชันในบทความเกี่ยวกับความปลอดภัยของเซิร์ฟเวอร์ อย่างไรก็ตาม เวิร์กสเตชันเป็นประตูสู่เซิร์ฟเวอร์ การเสริมสร้างความปลอดภัยของเวิร์กสเตชันสามารถปรับปรุงความปลอดภัยของเครือข่ายโดยรวมได้ สำหรับผู้เริ่มต้น แนะนำให้ใช้ Windows 2000 บนเวิร์กสเตชันทั้งหมด Windows 2000 เป็นระบบปฏิบัติการที่ปลอดภัยมาก หากคุณไม่มี Windows 2000 อย่างน้อยก็ใช้ Windows NT วิธีนี้ทำให้คุณสามารถล็อกเวิร์กสเตชันของคุณได้ และหากไม่ได้รับอนุญาต คนทั่วไปจะรับข้อมูลการกำหนดค่าเครือข่ายได้ยาก
เคล็ดลับอีกประการหนึ่งคือการจำกัดผู้ใช้ให้เข้าสู่ระบบจากเวิร์กสเตชันที่ระบุ เคล็ดลับอีกประการหนึ่งคือให้ปฏิบัติต่อเวิร์กสเตชันเสมือนเป็นเทอร์มินัลที่เป็นใบ้ หรืออีกนัยหนึ่งคือเป็นเทอร์มินัลใบ้อัจฉริยะ กล่าวอีกนัยหนึ่ง จะไม่มีข้อมูลหรือซอฟต์แวร์บนเวิร์กสเตชัน เมื่อคุณใช้คอมพิวเตอร์เป็นเทอร์มินัลโง่ เซิร์ฟเวอร์จะต้องรันโปรแกรม Windows NT Terminal Service และแอปพลิเคชันทั้งหมดจะทำงานบนเซิร์ฟเวอร์เท่านั้น รับและเพียงแสดงข้อมูล ซึ่งหมายความว่าเวิร์กสเตชันมี Windows เวอร์ชันขั้นต่ำติดตั้งอยู่ และมีสำเนาของ Microsoft Terminal Server Client แนวทางนี้ควรเป็นตัวเลือกการออกแบบเครือข่ายที่ปลอดภัยที่สุด
เคล็ดลับ 5: ใช้แพตช์ล่าสุด
Microsoft มีกลุ่มบุคลากรที่ทุ่มเทให้กับการตรวจสอบและแก้ไขจุดอ่อนด้านความปลอดภัย บางครั้งการแก้ไข (แพตช์) เหล่านี้จะถูกรวบรวมไว้ใน Service Pack และเผยแพร่ Service Pack มักจะมาในสองเวอร์ชันที่แตกต่างกัน: เวอร์ชัน 40 บิตที่ใครๆ ก็สามารถใช้ได้ และเวอร์ชัน 128 บิตที่มีให้บริการเฉพาะในสหรัฐอเมริกาและแคนาดาเท่านั้น เวอร์ชัน 128 บิตใช้อัลกอริธึมการเข้ารหัส 128 บิต ซึ่งมีความปลอดภัยมากกว่าเวอร์ชัน 40 บิตมาก
บางครั้งอาจต้องใช้เวลาหลายเดือนกว่า Service Pack จะออก แต่หากพบช่องโหว่ร้ายแรง แน่นอนว่าคุณก็ต้องแพทช์ทันทีและไม่ต้องการรอ Service Pack ที่ล่าช้า โชคดีที่คุณไม่จำเป็นต้องรอ Microsoft จะเผยแพร่แพตช์สำคัญบนไซต์ FTP เป็นประจำ โปรดจำไว้ว่าต้องใช้แพตช์ตามลำดับเวลา หากใช้ไม่ถูกต้องอาจทำให้ไฟล์บางเวอร์ชันไม่ถูกต้องและอาจทำให้ Windows หยุดทำงานด้วย
เคล็ดลับ 6: บังคับใช้นโยบายความปลอดภัยที่เข้มงวด
อีกวิธีในการปรับปรุงความปลอดภัยคือการพัฒนานโยบายความปลอดภัยที่เข้มงวดและทำให้แน่ใจว่าทุกคนเข้าใจและบังคับใช้นโยบายดังกล่าว หากคุณใช้ Windows 2000 Server คุณสามารถให้สิทธิ์บางอย่างกับเอเจนต์เฉพาะได้โดยไม่ต้องสละสิทธิ์การจัดการเครือข่ายทั้งหมด แม้ว่าคุณจะอนุมัติสิทธิ์บางอย่างของตัวแทน คุณยังคงสามารถจำกัดระดับสิทธิ์ได้ ตัวอย่างเช่น ไม่สามารถเปิดบัญชีผู้ใช้ใหม่หรือเปลี่ยนแปลงสิทธิ์ได้
เคล็ดลับ 7: ไฟร์วอลล์ ตรวจสอบ ตรวจสอบอีกครั้ง
เคล็ดลับสุดท้ายประการหนึ่งคือตรวจสอบการตั้งค่าไฟร์วอลล์ของคุณอีกครั้ง ไฟร์วอลล์เป็นส่วนสำคัญของการวางแผนเครือข่ายเนื่องจากจะปกป้องคอมพิวเตอร์ของบริษัทจากความเสียหายที่เป็นอันตรายจากภายนอก
ขั้นแรก อย่าเผยแพร่ที่อยู่ IP ที่ไม่จำเป็น คุณต้องมีที่อยู่ IP ภายนอกอย่างน้อยหนึ่งรายการ และการสื่อสารเครือข่ายทั้งหมดจะต้องผ่านที่อยู่นี้ หากคุณมีเว็บเซิร์ฟเวอร์หรือเซิร์ฟเวอร์อีเมลที่ลงทะเบียน DNS ที่อยู่ IP เหล่านี้จะต้องเผยแพร่ผ่านไฟร์วอลล์ด้วย อย่างไรก็ตาม ที่อยู่ IP ของเวิร์กสเตชันและเซิร์ฟเวอร์อื่นๆ จะต้องถูกซ่อนไว้
คุณยังสามารถตรวจสอบพอร์ตการสื่อสารทั้งหมดเพื่อให้แน่ใจว่าพอร์ตที่ใช้ไม่บ่อยทั้งหมดถูกปิดแล้ว ตัวอย่างเช่น พอร์ต TCP/IP 80 ใช้สำหรับการรับส่งข้อมูล HTTP ดังนั้นพอร์ตนี้จึงไม่สามารถบล็อกได้ บางทีพอร์ต 81 จะไม่ถูกใช้ ดังนั้นจึงควรปิด