2022-10-06 分類: 網(wǎng)站建設(shè)
企業(yè)信息化技術(shù)的應(yīng)用,以不可逆轉(zhuǎn)。隨著文件服務(wù)器、ERP管理軟件等等在企業(yè)中生根發(fā)芽,應(yīng)用服務(wù)器也逐漸在企業(yè)中普及起來(lái)。以前在企業(yè)中有一臺(tái)應(yīng)用服務(wù)器已經(jīng)是了不起的事情,現(xiàn)在有兩臺(tái)、三臺(tái)的,也不為怪了。但是,企業(yè)應(yīng)用服務(wù)器雖然增加了,可是對(duì)這個(gè)應(yīng)用服務(wù) 企業(yè)信息化技術(shù)的應(yīng)用,以不可逆轉(zhuǎn)。
但是,企業(yè)應(yīng)用服務(wù)器雖然增加了,可是對(duì)這個(gè)應(yīng)用服務(wù)器的安全管理,卻跟不上。隨便到一家企業(yè)看看,總是可以看到一些明顯的安全管理漏洞。下面就把其中一些典型的漏洞列舉出來(lái),就當(dāng)作拋磚引玉,提醒大家注意服務(wù)器的安全管理。
一、所有主機(jī)可以Telnet到服務(wù)器。
由于服務(wù)器往往都放在一個(gè)特定的空間中,若對(duì)于服務(wù)器的任何維護(hù)工作,如查看服務(wù)器的硬盤空間等等,這些工作都需要到服務(wù)器上面去查看的話,很明顯不是很方便。我們希望能夠在我們平時(shí)用的電腦上就可以對(duì)服務(wù)器進(jìn)行一些日常的維護(hù),而不用跑到存放服務(wù)器的房間中去。
所以,我們對(duì)于服務(wù)器的大部分維護(hù)工作,都可以通過(guò)Telnet到服務(wù)器上,以命令行的方式進(jìn)行維護(hù)。這無(wú)疑為我們服務(wù)器的管理提供了一個(gè)方便的管理渠道,但是,也給服務(wù)器帶來(lái)了一些隱患。
當(dāng)非法攻擊者利用某些特定的方法知道Telent的用戶名與密碼之后,就可以在企業(yè)任何一臺(tái)主機(jī)上暢通無(wú)阻的服務(wù)器。Telent技術(shù)為我們服務(wù)器管理提供了比較方便的手段,但是,其安全風(fēng)險(xiǎn)也不容忽視。一般來(lái)說(shuō),對(duì)于Telent技術(shù),我們需要注意以下幾個(gè)方面。
一是Telent用戶名與密碼跟服務(wù)器的管理員登陸用戶名與密碼最好不一樣。也就是說(shuō),在服務(wù)器主機(jī)上登陸的用戶名與密碼,與遠(yuǎn)程Telent到服務(wù)器的管理員用戶名與密碼要不一樣。如此的話,可以把用戶名與密碼泄露對(duì)服務(wù)器的危害降到最低。
二是最好能夠限制Telent到服務(wù)器的用戶主機(jī)。如我們可以在服務(wù)器上進(jìn)行限制,只允許網(wǎng)絡(luò)管理員的主機(jī)才可以遠(yuǎn)程Telent到服務(wù)器上去。這實(shí)現(xiàn)起來(lái)也比較簡(jiǎn)單。若是微軟服務(wù)器系統(tǒng)的話,可以利用其本身自帶的安全策略工具實(shí)現(xiàn)?;蛘呖梢越柚阑饓?lái)限制Telent到服務(wù)器上的IP地址或者M(jìn)AC地址。如此的話,即使用戶名或者密碼泄露,由于有了IP地址或者M(jìn)AC地址的限制,則其他人仍然無(wú)法登陸到服務(wù)器上去。如此的話,就可以大限度的保障只有合法的人員才可以Telent到服務(wù)器上進(jìn)行日常的維護(hù)工作。
三是若平時(shí)不用Telent到服務(wù)器管理的話,則把這個(gè)Telent服務(wù)關(guān)閉掉。沒(méi)有必要為攻擊者留下一個(gè)后門。
二、服務(wù)器的上的共享文件家所有用戶都有權(quán)限。
在應(yīng)用服務(wù)器上,我們有時(shí)會(huì)為了維護(hù)的方便,會(huì)在上面建立幾個(gè)共享文件夾。但是,若這些共享文件夾管理不當(dāng),也會(huì)給應(yīng)用服務(wù)器帶來(lái)比較大的安全隱患。
如若我們某個(gè)共享文件夾設(shè)置所有用戶都可以無(wú)限制的進(jìn)行的話,則會(huì)出現(xiàn)一個(gè)問(wèn)題,當(dāng)網(wǎng)絡(luò)中若有病毒的話,這些文件夾就很容易被感染。當(dāng)我們?cè)诜?wù)器上不小心打開(kāi)這些共享文件夾的時(shí)候,服務(wù)器就會(huì)感染病毒,甚至?xí)?dǎo)致服務(wù)器當(dāng)機(jī)。
所以,在服務(wù)器上設(shè)置共享文件夾的時(shí)候需要特別的注意,因?yàn)榉?wù)器崩潰后,對(duì)于企業(yè)的信息化應(yīng)用來(lái)說(shuō),是致命的。一般情況下,不要在應(yīng)用服務(wù)器上設(shè)置共享文件夾。若一定要的話,則也需要遵循如下的安全原則。
一是用好以后需要及時(shí)把文件加設(shè)置為不共享。當(dāng)我們因?yàn)槟撤N需要建立一個(gè)臨時(shí)的共享文件夾時(shí),當(dāng)我們用完之后,需要及時(shí)把這個(gè)共享文件夾刪除掉,或者改為不共享。及時(shí)清理共享文件夾,使保護(hù)共享文件夾安全的不二法則。
二是為共享文件夾設(shè)置最小權(quán)限。平時(shí)在設(shè)置共享文件夾的時(shí)候,我們可能習(xí)慣了不設(shè)置權(quán)限,所以員工都可以不受限制的共享文件夾。但是,若在文件服務(wù)器上面設(shè)置共享文件夾的時(shí)候,一定需要注意,在設(shè)置共享的時(shí)候,就需要設(shè)置的用戶,最好只有特定的用戶才可以這個(gè)共享文件夾,特別是讀寫權(quán)限需要嚴(yán)格控制。有些人可能會(huì)以為我只是暫時(shí)共享一下,中間不超過(guò)十分鐘。可是,若網(wǎng)絡(luò)中有病毒的話,則會(huì)自需要一秒鐘的時(shí)間就可以感染共享文件夾。故在服務(wù)器管理的時(shí)候,不能夠有這種僥幸心理。
三、沒(méi)有關(guān)閉不必要的服務(wù)。
在服務(wù)器操作系統(tǒng)安裝的時(shí)候,會(huì)裝了比較多的服務(wù)。如我們?cè)诎惭b文件服務(wù)器系統(tǒng)的話,默認(rèn)情況下,可能會(huì)開(kāi)啟WWW服務(wù)、Telent服務(wù)、DSN服務(wù)等等。但是,對(duì)于文件服務(wù)器來(lái)說(shuō),這些服務(wù)往往是沒(méi)有必要的。我們?cè)趹?yīng)用服務(wù)器上開(kāi)啟了這些不必要的服務(wù),不但會(huì)占用可貴的硬件資源,而且,最重要的是,會(huì)降低文件服務(wù)器的安全性。
所以,建議,在服務(wù)器管理的時(shí)候,把一些沒(méi)有必要的服務(wù)關(guān)閉掉。
若采用的是微軟的服務(wù)器操作系統(tǒng),我們可以通過(guò)開(kāi)始、設(shè)置、控制面板、管理工具、服務(wù)來(lái)查看當(dāng)前操作系統(tǒng)所開(kāi)啟的服務(wù)。如一般情況下,我們可以把如下的一些服務(wù)關(guān)閉掉。
一是DHCP客戶端。由于應(yīng)用服務(wù)器我們一般都采用固定的IP地址,所以可以把這個(gè)DHCP客戶端關(guān)閉掉,禁止服務(wù)器從DHCP服務(wù)器那邊獲取IP地址。這可以有效的防治IP地址的沖突,從而造成服務(wù)器斷網(wǎng)。
二是要注意Ping 攻擊。利用Ping命令來(lái)對(duì)應(yīng)用服務(wù)器實(shí)施拒絕服務(wù)式攻擊是很多攻擊者常用的一個(gè)手段。其基本原理就是利用肉雞同時(shí)連續(xù)的Ping應(yīng)用服務(wù)器,從而導(dǎo)致應(yīng)用服務(wù)器資源耗竭而當(dāng)機(jī)。所以,一般情況下,需要在文件服務(wù)器上,設(shè)置禁止他人Ping自己,如此的話,就可以杜絕DDOS等惡性攻擊。
三是可以關(guān)閉Remote Desktop Help Session Manager服務(wù)。這個(gè)服務(wù)主要用來(lái)管理并控制遠(yuǎn)程協(xié)助。如果此服務(wù)被終止的話,遠(yuǎn)程協(xié)助將不可用。若我們平時(shí)不用遠(yuǎn)程桌面連接等工具遠(yuǎn)程維護(hù)這個(gè)應(yīng)用服務(wù)器的話,則可以直接把這個(gè)服務(wù)關(guān)閉掉。默認(rèn)情況下,這個(gè)服務(wù)需要手工啟動(dòng)。我們?yōu)榱税踩鹨?jiàn),可以把這個(gè)服務(wù)禁用。
四是自動(dòng)更新服務(wù)。這是一個(gè)有爭(zhēng)議的服務(wù)。若啟用了這個(gè)服務(wù)的話,則應(yīng)用服務(wù)器操作系統(tǒng)可以自動(dòng)從網(wǎng)絡(luò)上升級(jí)最新的操作系統(tǒng)補(bǔ)丁,提高操作系統(tǒng)的安全性。但是,有時(shí)候當(dāng)裝了微軟的升級(jí)補(bǔ)丁后,服務(wù)器反而不穩(wěn)定了,有時(shí)候甚至導(dǎo)致部屬在上面的應(yīng)用服務(wù)器無(wú)法使用。故的建議是,若你在應(yīng)用服務(wù)器上部屬的都是微軟的產(chǎn)品,如微軟的郵箱服務(wù)器等等,則可以打開(kāi)這個(gè)自動(dòng)更新服務(wù)。若你在他們的服務(wù)器操作系統(tǒng)上,部署了其他牌子的郵箱服務(wù)器,或者部署了一些其他牌子的數(shù)據(jù)庫(kù)系統(tǒng)的話,則是否開(kāi)啟這個(gè)自動(dòng)更新服務(wù),則要慎重考慮了。
四、不同管理人員利用同一個(gè)賬戶管理服務(wù)器。
有時(shí)候,在一個(gè)服務(wù)器上可能會(huì)部署多個(gè)應(yīng)用,如在一臺(tái)應(yīng)用服務(wù)器中,可能既是郵箱服務(wù)器,又是文件服務(wù)器。而不同的應(yīng)用有不同的管理員負(fù)責(zé)。有些企業(yè)為了管理的方便,可能會(huì)利用同一個(gè)用戶名來(lái)管理不同的服務(wù)。認(rèn)為,這是不安全的。
當(dāng)某個(gè)管理員在一個(gè)應(yīng)用服務(wù)管理的時(shí)候,有可能會(huì)不小心更改另外一個(gè)服務(wù)的配置,而此時(shí),另外一個(gè)管理員并不知情。如此的話,就可能會(huì)導(dǎo)致另外一個(gè)服務(wù)出現(xiàn)運(yùn)行上的錯(cuò)誤。所以,這就會(huì)給服務(wù)器管理產(chǎn)生安全上的漏洞。
為此,建議,最好是一個(gè)服務(wù)采用一臺(tái)服務(wù)器,雖然這需要增加一定的支出,但是,一臺(tái)服務(wù)器出現(xiàn)問(wèn)題的話,最多只影響一個(gè)應(yīng)用,可以把因?yàn)榉?wù)器的問(wèn)題造成的不良影響降至到最低。
網(wǎng)頁(yè)題目:服務(wù)器安全管理都有哪些漏洞
標(biāo)題URL:http://www.rwnh.cn/news38/202388.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供定制網(wǎng)站、網(wǎng)站建設(shè)、品牌網(wǎng)站制作、ChatGPT、標(biāo)簽優(yōu)化、域名注冊(cè)
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容