服務(wù)器安全管理都有哪些漏洞

    企業(yè)信息化技術(shù)的應(yīng)用,以不可逆轉(zhuǎn)。隨著文件服務(wù)器、ERP管理軟件等等在企業(yè)中生根發(fā)芽,應(yīng)用服務(wù)器也逐漸在企業(yè)中普及起來。以前在企業(yè)中有一臺應(yīng)用服務(wù)器已經(jīng)是了不起的事情,現(xiàn)在有兩臺、三臺的,也不為怪了。

    但是,企業(yè)應(yīng)用服務(wù)器雖然增加了,可是對這個應(yīng)用服務(wù)器的安全管理,卻跟不上。隨便到一家企業(yè)看看,總是可以看到一些明顯的安全管理漏洞。下面筆者就把其中一些典型的漏洞列舉出來,就當作拋磚引玉,提醒大家注意服務(wù)器的安全管理。

一、所有主機可以Telnet到服務(wù)器。

    由于服務(wù)器往往都放在一個特定的空間中,若對于服務(wù)器的任何維護工作,如查看服務(wù)器的硬盤空間等等,這些工作都需要到服務(wù)器上面去查看的話,很明顯不是很方便。我們希望能夠在我們平時用的電腦上就可以對服務(wù)器進行一些日常的維護,而不用跑到存放服務(wù)器的房間中去。

    所以,我們對于服務(wù)器的大部分維護工作,都可以通過Telnet到服務(wù)器上,以命令行的方式進行維護。這無疑為我們服務(wù)器的管理提供了一個方便的管理渠道,但是,也給服務(wù)器帶來了一些隱患。

    當非法攻擊者利用某些特定的方法知道Telent的用戶名與密碼之后,就可以在企業(yè)任何一臺主機上暢通無阻的訪問服務(wù)器。特別是當一些心懷不滿的員工,更容易借此發(fā)泄自己對企業(yè)的不滿。以前我有個朋友在一家軟件公司中當CIO,有個員工乘管理員不注意的時候,取得了文件服務(wù)器的Telent用戶名與密碼。后來因為其泄露客戶的機密信息而被公司警告處分。這個員工心懷不滿,就利用竊取過來的用戶名與密碼,登陸到文件服務(wù)器,刪除了很多文件。還好,在文件服務(wù)器中采取了比較完善的備份制度,才避免了重大的損失。

    所以,Telent技術(shù)為我們服務(wù)器管理提供了比較方便的手段,但是,其安全風(fēng)險也不容忽視。一般來說,對于Telent技術(shù),我們需要注意以下幾個方面。

    一是Telent用戶名與密碼跟服務(wù)器的管理員登陸用戶名與密碼最好不一樣。也就是說,在服務(wù)器主機上登陸的用戶名與密碼,與遠程Telent到服務(wù)器的管理員用戶名與密碼要不一樣。如此的話,可以把用戶名與密碼泄露對服務(wù)器的危害降到最低。

    二是最好能夠限制Telent到服務(wù)器的用戶主機。如我們可以在服務(wù)器上進行限制,只允許網(wǎng)絡(luò)管理員的主機才可以遠程Telent到服務(wù)器上去。這實現(xiàn)起來也比較簡單。若是微軟服務(wù)器系統(tǒng)的話,可以利用其本身自帶的安全策略工具實現(xiàn);蛘呖梢越柚阑饓硐拗芓elent到服務(wù)器上的IP地址或者MAC地址。如此的話,即使用戶名或者密碼泄露,由于有了IP地址或者MAC地址的限制,則其他人仍然無法登陸到服務(wù)器上去。如此的話,就可以最大限度的保障只有合法的人員才可以Telent到服務(wù)器上進行日常的維護工作。

三是若平時不用Telent到服務(wù)器管理的話,則把這個Telent服務(wù)關(guān)閉掉。沒有必要為攻擊者留下一個后門。

二、服務(wù)器的上的共享文件家所有用戶都有訪問權(quán)限。

    在應(yīng)用服務(wù)器上,我們有時會為了維護的方便,會在上面建立幾個共享文件夾。但是,若這些共享文件夾管理不當,也會給應(yīng)用服務(wù)器帶來比較大的安全隱患。

    如若我們某個共享文件夾設(shè)置所有用戶都可以無限制的進行訪問的話,則會出現(xiàn)一個問題,當網(wǎng)絡(luò)中若有病毒的話,這些文件夾就很容易被感染。當我們在服務(wù)器上不小心打開這些共享文件夾的時候,服務(wù)器就會感染病毒,甚至?xí)䦟?dǎo)致服務(wù)器當機。

    所以,在服務(wù)器上設(shè)置共享文件夾的時候需要特別的注意,因為服務(wù)器崩潰后,對于企業(yè)的信息化應(yīng)用來說,是致命的。一般情況下,不要在應(yīng)用服務(wù)器上設(shè)置共享文件夾。若一定要的話,則也需要遵循如下的安全原則。

    一是用好以后需要及時把文件加設(shè)置為不共享。當我們因為某種需要建立一個臨時的共享文件夾時,當我們用完之后,需要及時把這個共享文件夾刪除掉,或者改為不共享。及時清理共享文件夾,使保護共享文件夾安全的不二法則。

    二是為共享文件夾設(shè)置最小權(quán)限。平時在設(shè)置共享文件夾的時候,我們可能系習(xí)慣了不設(shè)置訪問權(quán)限,所以員工都可以不受限制的訪問共享文件夾。但是,若在文件服務(wù)器上面設(shè)置共享文件夾的時候,一定需要注意,在設(shè)置共享的時候,就需要設(shè)置訪問的用戶,最好只有特定的用戶才可以訪問這個共享文件夾,特別是讀寫權(quán)限需要嚴格控制。有些人可能會以為我只是暫時共享一下,中間不超過十分鐘。可是,若網(wǎng)絡(luò)中有病毒的話,則會自需要一秒鐘的時間就可以感染共享文件夾。故在服務(wù)器管理的時候,不能夠有這種僥幸心理。

 

三、沒有關(guān)閉不必要的服務(wù)。

    在服務(wù)器操作系統(tǒng)安裝的時候,會裝了比較多的服務(wù)。如我們在安裝文件服務(wù)器系統(tǒng)的話,默認情況下,可能會開啟WWW服務(wù)、Telent服務(wù)、DSN服務(wù)等等。但是,對于文件服務(wù)器來說,這些服務(wù)往往是沒有必要的。我們在應(yīng)用服務(wù)器上開啟了這些不必要的服務(wù),不但會占用可貴的硬件資源,而且,最重要的是,會降低文件服務(wù)器的安全性。

    所以,筆者建議,在服務(wù)器管理的時候,把一些沒有必要的服務(wù)關(guān)閉掉。

    若采用的是微軟的服務(wù)器操作系統(tǒng),我們可以通過開始、設(shè)置、控制面板、管理工具、服務(wù)來查看當前操作系統(tǒng)所開啟的服務(wù)。如一般情況下,我們可以把如下的一些服務(wù)關(guān)閉掉。

    一是DHCP客戶端。由于應(yīng)用服務(wù)器我們一般都采用固定的IP地址,所以可以把這個DHCP客戶端關(guān)閉掉,禁止服務(wù)器從DHCP服務(wù)器那邊獲取IP地址。這可以有效的防治IP地址的沖突,從而造成服務(wù)器斷網(wǎng)。

    二是要注意Ping 攻擊。利用Ping命令來對應(yīng)用服務(wù)器實施拒絕服務(wù)式攻擊是很多攻擊者常用的一個手段。其基本原理就是利用肉雞同時連續(xù)的Ping應(yīng)用服務(wù)器,從而導(dǎo)致應(yīng)用服務(wù)器資源耗竭而當機。所以,一般情況下,需要在文件服務(wù)器上,設(shè)置“禁止他人Ping自己”,如此的話,就可以杜絕DDOS等惡性攻擊。

    三是可以關(guān)閉Remote Desktop Help Session Manager服務(wù)。這個服務(wù)主要用來管理并控制遠程協(xié)助。如果此服務(wù)被終止的話,遠程協(xié)助將不可用。若我們平時不用遠程桌面連接等工具遠程維護這個應(yīng)用服務(wù)器的話,則可以直接把這個服務(wù)關(guān)閉掉。默認情況下,這個服務(wù)需要手工啟動。我們?yōu)榱税踩鹨,可以把這個服務(wù)禁用。

    四是自動更新服務(wù)。這是一個有爭議的服務(wù)。若啟用了這個服務(wù)的話,則應(yīng)用服務(wù)器操作系統(tǒng)可以自動從網(wǎng)絡(luò)上升級最新的操作系統(tǒng)補丁,提高操作系統(tǒng)的安全性。但是,有時候當裝了微軟的升級補丁后,服務(wù)器反而不穩(wěn)定了,有時候甚至導(dǎo)致部屬在上面的應(yīng)用服務(wù)器無法使用。故筆者的建議是,若你在應(yīng)用服務(wù)器上部屬的都是微軟的產(chǎn)品,如微軟的郵箱服務(wù)器等等,則可以打開這個自動更新服務(wù)。若你在他們的服務(wù)器操作系統(tǒng)上,部署了其他牌子的郵箱服務(wù)器,或者部署了一些其他牌子的數(shù)據(jù)庫系統(tǒng)的話,則是否開啟這個自動更新服務(wù),則要慎重考慮了。

四、不同管理人員利用同一個賬戶管理服務(wù)器。

    有時候,在一個服務(wù)器上可能會部署多個應(yīng)用,如在一臺應(yīng)用服務(wù)器中,可能既是郵箱服務(wù)器,又是文件服務(wù)器。而不同的應(yīng)用有不同的管理員負責(zé)。有些企業(yè)為了管理的方便,可能會利用同一個用戶名來管理不同的服務(wù)。筆者認為,這是不安全的。

    當某個管理員在一個應(yīng)用服務(wù)管理的時候,有可能會不小心更改另外一個服務(wù)的配置,而此時,另外一個管理員并不知情。如此的話,就可能會導(dǎo)致另外一個服務(wù)出現(xiàn)運行上的錯誤。所以,這就會給服務(wù)器管理產(chǎn)生安全上的漏洞。

    為此,筆者建議,最好是一個服務(wù)采用一臺服務(wù)器,雖然這需要增加一定的支出,但是,一臺服務(wù)器出現(xiàn)問題的話,最多只影響一個應(yīng)用,可以把因為服務(wù)器的問題造成的不良影響降至到最低。

    若出于成本的限制的話,確實需要在不同的服務(wù)器中部署不同的服務(wù)的話,則最好在安裝服務(wù)的時候,就先建立不同的管理員帳戶,然后利用對應(yīng)的帳戶登陸再部署相關(guān)的服務(wù)。如此的話,就可以最大限度的減少管理員之間的相互干擾。即使是同一個管理員管理不同的服務(wù),最好也是建立不同的帳戶為妙 !

北大青鳥網(wǎng)上報名
北大青鳥招生簡章