一是Telent用戶名與密碼跟服務器的管理員登陸用戶名與密碼最好不一樣��。也就是說�,在服務器主機上登陸的用戶名與密碼����,與遠程Telent到服務器的管理員用戶名與密碼要不一樣。如此的話�����,可以把用戶名與密碼泄露對服務器的危害降到最低�����。
二是最好能夠限制Telent到服務器的用戶主機���。如我們可以在服務器上進行限制����,只允許網(wǎng)絡管理員的主機才可以遠程Telent到服務器上去���。這實現(xiàn)起來也比較簡單�����。若是微軟服務器系統(tǒng)的話��,可以利用其本身自帶的安全策略工具實現(xiàn)��������;蛘呖梢越柚阑饓硐拗芓elent到服務器上的IP地址或者MAC地址。如此的話�����,即使用戶名或者密碼泄露�,由于有了IP地址或者MAC地址的限制,則其他人仍然無法登陸到服務器上去����。如此的話,就可以最大限度的保障只有合法的人員才可以Telent到服務器上進行日常的維護工作��。
三是若平時不用Telent到服務器管理的話����,則把這個Telent服務關閉掉�����。沒有必要為攻擊者留下一個后門��。
二����、服務器的上的共享文件家所有用戶都有權限���。
一是用好以后需要及時把文件加設置為不共享�����。當我們因為某種需要建立一個臨時的共享文件夾時�����,當我們用完之后���,需要及時把這個共享文件夾刪除掉,或者改為不共享���。及時清理共享文件夾�,使保護共享文件夾安全的不二法則。
二是為共享文件夾設置最小權限����。平時在設置共享文件夾的時候,我們可能習慣了不設置權限����,所以員工都可以不受限制的共享文件夾。但是����,若在文件服務器上面設置共享文件夾的時候���,一定需要注意����,在設置共享的時候���,就需要設置的用戶�,最好只有特定的用戶才可以這個共享文件夾���,特別是讀寫權限需要嚴格控制�����。有些人可能會以為我只是暫時共享一下��,中間不超過十分鐘����。可是���,若網(wǎng)絡中有病毒的話�,則會自需要一秒鐘的時間就可以感染共享文件夾���。故在服務器管理的時候�����,不能夠有這種僥幸心理�。
三�、沒有關閉不必要的服務。
一是DHCP客戶端��。由于應用服務器我們一般都采用固定的IP地址,所以可以把這個DHCP客戶端關閉掉�����,禁止服務器從DHCP服務器那邊獲取IP地址����。這可以有效的防治IP地址的沖突,從而造成服務器斷網(wǎng)�。
二是要注意Ping 攻擊。利用Ping命令來對應用服務器實施拒絕服務式攻擊是很多攻擊者常用的一個手段���。其基本原理就是利用肉雞同時連續(xù)的Ping應用服務器�,從而導致應用服務器資源耗竭而當機�����。所以���,一般情況下,需要在文件服務器上��,設置禁止他人Ping自己��,如此的話,就可以杜絕DDOS等惡性攻擊��。
三是可以關閉Remote Desktop Help Session Manager服務��。這個服務主要用來管理并控制遠程協(xié)助�。如果此服務被終止的話,遠程協(xié)助將不可用�。若我們平時不用遠程桌面連接等工具遠程維護這個應用服務器的話,則可以直接把這個服務關閉掉��。默認情況下����,這個服務需要手工啟動。我們?yōu)榱税踩鹨�����,可以把這個服務禁用����。
四是自動更新服務。這是一個有爭議的服務��。若啟用了這個服務的話,則應用服務器操作系統(tǒng)可以自動從網(wǎng)絡上升級最新的操作系統(tǒng)補丁���,提高操作系統(tǒng)的安全性��。但是����,有時候當裝了微軟的升級補丁后���,服務器反而不穩(wěn)定了��,有時候甚至導致部屬在上面的應用服務器無法使用����。故的建議是��,若你在應用服務器上部屬的都是微軟的產(chǎn)品�����,如微軟的郵箱服務器等等����,則可以打開這個自動更新服務。若你在他們的服務器操作系統(tǒng)上�����,部署了其他牌子的郵箱服務器�����,或者部署了一些其他牌子的數(shù)據(jù)庫系統(tǒng)的話�����,則是否開啟這個自動更新服務�����,則要慎重考慮了�。
四�����、不同管理人員利用同一個賬戶管理服務器。
有時候�����,在一個服務器上可能會部署多個應用,如在一臺應用服務器中�����,可能既是郵箱服務器���,又是文件服務器�����。而不同的應用有不同的管理員負責�。有些企業(yè)為了管理的方便��,可能會利用同一個用戶名來管理不同的服務���。認為����,這是不安全的
