服務(wù)器安全維護(hù)技巧中，我們在以前的文章中已經(jīng)介紹了三種，今天，我們繼續(xù)和大家分享另外幾種有效的技巧。

技巧一：考慮工作站的安全問題

在一個關(guān)于服務(wù)器安全的文章里談?wù)摴ぷ髡镜陌踩雌饋砗芷婀?。但是，工作站正是通向服?wù)器的一個端口。加強工作站的安全能夠提高整個網(wǎng)絡(luò)的安全性。對于初學(xué)者，我建議在所有的工作站上使用Windows 2000.Windows 2000是一個非常安全的操作系統(tǒng)。如果你并不想這樣做，那么至少使用Windows NT.你可以鎖定工作站，使得一些沒有安全訪問權(quán)的人想要獲得網(wǎng)絡(luò)配置信息變得困難或是不可能。

另一個技術(shù)是控制哪個人能夠訪問哪臺工作站。例如，有一個員工叫Bob,并且你已經(jīng)知道他是一個麻煩制造者。顯然，你不想Bob能夠在午餐的時候打開他朋友的電腦或是差上他自己的筆記本然后黑掉整個系統(tǒng)。因此，你應(yīng)該使用工作組用戶管理程序還修改Bob的帳號以便他只能從他自己的電腦（并且是在你指定的時間內(nèi)）登錄。Bob遠(yuǎn)不太可能從他自己的電腦上攻擊網(wǎng)絡(luò)，因為他知道別人可以將他追查出來。

技巧二：給工作站和服務(wù)器合理分工

另一個技術(shù)是將工作站的功能限定為一個啞終端，或者，我沒有更好的詞語來形容，一個“聰明的”啞終端?？偟膩碚f，它的意思是沒有任何數(shù)據(jù)和應(yīng)用程序駐留在獨立的工作站上。當(dāng)你將計算機作為啞終端使用的時候，服務(wù)器被配置成運行Windows NT 終端服務(wù)程序，而且所有的應(yīng)用程序物理上都運行在服務(wù)器上。所有送到工作站的東西都不過是更新的屏幕顯示而已。這意味著工作站上只有一個最小化的 Windows版本和一份微軟終端服務(wù)程序的客戶端。使用這種方法也許是最安全的網(wǎng)絡(luò)設(shè)計方案。

使用一個“聰明”的啞終端就是說程序和數(shù)據(jù)駐留在服務(wù)器上但卻在工作站上運行。所有安裝在工作站上的是一份Windows拷貝以及一些指向駐留在服務(wù)器上的應(yīng)用程序的圖標(biāo)。當(dāng)你點擊一個圖標(biāo)運行程序時，這個程序?qū)⑹褂帽镜氐馁Y源來運行，而不是消耗服務(wù)器的資源。這比你運行一個完全的啞終端程序?qū)Ψ?wù)器造成的壓力要小得多。

微軟雇傭了一個程序員團(tuán)隊來檢查安全漏洞并修補它們。有時，這些補丁被捆綁進(jìn)一個大的軟件包并作為服務(wù)包（service pack）發(fā)布。通常有兩種不同的補丁程序版本：一個任何人都可以使用的40位的版本和一個只能在美國和加拿大使用的128位的版本。128位的版本使用 128位的加密算法，比40位的版本要安全得多。如果你現(xiàn)在還在使用40位的服務(wù)包并且生活在美國或是加拿大，我強烈建議你下載128位的版本。

有時一個服務(wù)包的發(fā)布也許要等上好幾個月--很明顯的，當(dāng)一個大的安全漏洞被發(fā)現(xiàn)的時候，只要有可能修補它，你就不想再等下去。好在你并不需要等待。微軟定期將重要的補丁程序發(fā)布在它的FTP站點上。這些熱點補丁程序是自上一次服務(wù)包發(fā)布以后被公布的安全修補程序。我建議你經(jīng)常查看熱點補丁。記住你一定要按邏輯順序使用這些補丁。如果你以錯誤的順序使用它們，結(jié)果可能導(dǎo)致一些文件的版本錯誤，Windows也可能停止工作。

技巧三：使用一個強有力的安全政策

要提高安全性，另一個你可以做的工作就是制定一個好的，強有力的安全策略。確保每一個人都知道它并知道它是強制執(zhí)行的。這樣的一個政策需要包括對一個在公司機器上下載未授權(quán)的軟件的員工的嚴(yán)厲懲罰。

如果你使用Windows 2000 Server,你就有可能指定用戶特殊的使用權(quán)限來使用你的服務(wù)器而不需要交出管理員的控制權(quán)。一個好的用法就是授權(quán)人力資源部來刪除和禁用一個帳號。這樣，人力資源部就可以在一個行將走人的員工知道自己將被解雇以前就刪除或是禁用他的用戶帳號。這樣，不滿的員工就不會有機會來攪亂公司的系統(tǒng)了。同時，使用特殊用戶權(quán)限，你就可以授予這種刪除和禁用帳號權(quán)限并限制創(chuàng)建用戶或是更改許可等這些活動的權(quán)限了。

試一試免費的TechProGuild吧！ 如果你覺得這篇文章有用，可以看看TechRepublic的TechProGuild注冊資源，它提供有深度的技術(shù)文章，覆蓋了一些IT的主題，包括 Windows服務(wù)器和客戶端平臺，Linux,疑難解答問題，和數(shù)字網(wǎng)絡(luò)項目的難點，以及NetWare.擁有一個TechProGuild的帳戶，你還可以在線閱讀流行的IT工業(yè)書籍的全文。點擊這里注冊享受30天免費的TechProGuild試用期。

技巧四：檢查防火墻設(shè)置

我們的最后一個技巧包括仔細(xì)檢查你防火墻的設(shè)置。你的防火墻是網(wǎng)絡(luò)的一個重要部分因為它將你公司的計算機同互聯(lián)網(wǎng)上那些可能對它們造成損壞的蠱惑仔們隔離開來。

你首先要做的事情是確保防火墻不會向外界開放超過必要的任何IP地址。你總是至少要讓一個IP地址對外界可見。這個IP地址被使用來進(jìn)行所有的互聯(lián)網(wǎng)通訊。如果你還有DNS注冊的Web服務(wù)器或是電子郵件服務(wù)器，它們的IP地址也許也要通過防火墻對外界可見。但是，工作站和其他服務(wù)器的IP地址必須被隱藏起來。

你還可以查看端口列表驗證你已經(jīng)關(guān)閉了所有你并不常用的端口地址。例如，TCP/IP 端口80用于HTTP通訊，因此你可能并不想堵掉這個端口。但是，你也許永遠(yuǎn)都不會用端口81因此它應(yīng)該被關(guān)掉。你可以在Internet上找到每個端口使用用途的列表。

服務(wù)器的安全問題是一個大問題。你不希望緊要的數(shù)據(jù)被病毒或是黑客破壞或是被一個可能用這些數(shù)據(jù)來對付你的人竊取。在以前的文章再加上本次介紹的共7個技巧中你應(yīng)該在下一次安全審查中注意的地方。

【編輯推薦】

1. 新手該如何應(yīng)對服務(wù)器安全維護(hù)
2. 保護(hù)web服務(wù)器的幾個好用技巧
3. 黑客入侵服務(wù)器后的手段