高校內網服務器安全策略

朱永杰，軒亞光

（許昌學院 網絡中心，河南 許昌 461000）

高校內網服務器安全策略

朱永杰，軒亞光

（許昌學院 網絡中心，河南 許昌 461000）

隨著校園網的發展，高校的內網服務器面臨著越來越多的威脅，提出了搭建安全的高校內網服務器的安全策略，培養管理員的良好安全習慣，做到安全以人為本.

高校內網服務器；安全策略；管理

1 引言

隨著高校校園網絡的建立和不斷完善，越來越多的用戶接入校園網，由于校園網總的出口帶寬有限，就導致了網速在上網高峰時段變慢.如果利用校園內網服務器大力豐富校園網的資源，讓校園網用戶改變從校外尋找資源的傳統方式為校內尋找資源的方式，就可以有效地緩解這種供需矛盾，由于學生好奇心理比較重，會有人在網絡上學習黑客知識，如何預防對服務器的內網攻擊、建設穩定高效安全的內網服務器就成了一個亟待解決的問題.由于高校服務器大部分采用的是windows操作系統，下面就以windows server2003系統為例進行討論.

2 物理安全

服務器一旦開始提供服務就要求24*365小時不能間斷，除非遇到特殊情況，這就對周圍環境要求比較高.一般都要求有專門的相對密閉的機房，做到恒溫恒濕防塵；做到防水防火防盜，防止意外事故發生.要有專門的人員進行日常的管理，對進入機房的其他人員進行嚴格限制，從而保證物理上的絕對安全.

3 正確安裝操作系統

3.1 選擇文件系統

Window server 2003系統中常用的文件系統格式是FAT32和NTFS.相對于FAT32來說NTFS文件系統允許為任何一個磁盤分區單獨設置訪問權限，可以把不同的文件放在不同的磁盤分區中，這樣即使得到了一個分區的訪問權限還需要突破系統的安全設置才能訪問到其他分區上的文件，增強了服務器文件的安全性，因此在安裝操作系統的時候要把磁盤格式化為NTFS.

3.2 定制安裝組件

Window server 2003在默認情況下會安裝一些常用的組件，但是這個默認安裝是非常危險，根據安全原則“最少的服務+最小的權限=最大的安全”，用不到的組件一律不安裝.

3.3 安裝系統補丁

Windows server 2003也存在系統漏洞，系統安裝以后一定要安裝sp2補丁，另外微軟會不定期的發布最新的漏洞補丁，設置開啟系統自動更新，或者是用一些工具如360安全衛士等及時的安裝最新的補丁，可以有效的防止有些黑客利用最新漏洞攻擊服務器.

4 服務器安全設置

4.1 關閉不必要的服務和協議

Windows server 2003的默認安裝會開啟許多服務，對于不同的功能的服務器有些服務是沒有必要開啟的（如Computer Browser、Removable storage等），依據最小服務的安全原則，把這些不必要服務設置為手動或禁用，對于危險性高的服務（如Remote Registry Service等）一定要禁用.NETBIOS是一個只能用于局域網的協議，在局域網內對網絡管理和網絡通訊，在內網服務器上是一個很大的隱患，因此一定要關閉.

4.2 關閉不需要的端口

在windows server 2003中一些敏感的端口如1433、3389等不需要的要關閉，如果有管理需要用到遠程桌面，最好修改遠程桌面的默認3389端口到不常用的端口，這樣就可以避免黑客對這些默認端口的進行攻擊.

4.3 關閉默認共享的空連接

為了方便管理員進行網絡管理，Windows server 2003默認開啟共享功能，這些默認的共享都有“$”標志，意為隱含的，包括所有的邏輯盤（C$，D $，E$……）和系統目錄Windows（admin$）.只要知道了管理員密碼，網絡上的任何人都可以通過共享硬盤隨意進入服務器，因此這對于內網服務器來說是安全隱患.為了保證系統的安全，要關閉默認共享，可以通過修改注冊表編輯器實現.

打開注冊表編輯器，找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters”項，雙擊右側窗口中的“AutoShareServer”項將鍵值由1改為0，這樣就能關閉硬盤各分區的共享.如果沒有AutoShare-Server項，可自己新建一個再改鍵值.然后還是在這一窗口下再找到“AutoShareWks”項，也把鍵值由1改為0，關閉admin$共享.最后到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa”項處找到“restrictanonymous”，將鍵值設為1，關閉IPC$共享.重啟服務器就可以永遠停止共享.

4.4 帳戶安全策略

①系統帳戶數要盡可能少，本著權限盡可能低的原則為不同的帳戶分配合適的權限.②給所有的帳戶設置有足夠密碼復雜度的密碼，一般要求長度在8位以上，要字母、數字和特殊字符相結合并且無明顯規律.擁有特殊權限的帳戶密碼要隔一段更換新的密碼.③將Administrator重名為一個不容易猜測的名字，另外重新建立一個Administrator帳戶作為一個陷阱帳戶，分配最低權限.④部分黑客通過將Guset帳戶提升為管理員權限從而控制服務器，因此將guest帳號重新命名設置復雜密碼并且禁用.⑤經常查看帳號的登錄審核日志，一旦發現某個帳號被反復嘗試登陸，要更換帳號名和密碼；可以在帳號屬性中設置帳號的登錄次數，一旦帳號嘗試登陸失敗3次以上就鎖定該帳戶，這樣可以防范某些黑客的暴力破解.

5 安裝防火墻和殺毒軟件

在內網服務器上安裝單機防火墻，或者在內網服務器群前面架設硬件防火墻（如圖1），利用防火墻制定詳細的規則過濾掉不安全的服務，讓精心選擇的應用協議通過防火墻，這樣就可以攔截可疑的網絡入侵，保護內部服務器免受很多外部攻擊，為服務器提供一個技術屏障.可以有選擇的對WEB服務器、BBS服務器等和用戶有交互的服務器安裝殺毒軟件，定期對服務器上面的文件進行掃描，以防有黑客通過網頁等的漏洞上傳木馬、病毒等對服務器造成威脅.

圖1 內網服務器前架設硬件防火墻示意圖

6 管理以人為本

所有的安全策略歸根結底要由人去實施，那么服務器管理員的安全意識就顯得非常重要.不同的學校要根據自己的實際情況制定自己的服務器管理規定和各種操作規程.作為管理員要嚴格按照服務器管理規定和操作規程進行操作，要具有良好的安全意識，要具有責任心，養成良好的安全習慣.定期對服務器的安全狀況進行監測；向影視、下載等提供資源的服務器上面上傳文件時一定要進行病毒查殺，確保無毒；要關注最新的攻擊手段和方法，及時的對不適宜策略做出調整，這樣才能最大限度的保證內網服務器的安全.

7 結束語

本文根據大多數高校面臨的校園網內網服務器安全問題，以windows server 2003為例提出了從系統的安裝到各種服務選擇等綜合的一個安全策略，并且提出了服務器管理最終要以人為本的理念，對各個高校內網服務器的安全策略的制定具有較大的參考價值.

〔1〕周亞峰,高仲合.校園網Web服務器的安全配置[J].網絡安全技術與應用,2007(12).

〔2〕寧博,張保杰.網絡安全技術及防火墻在校園網的應用[J].西安郵電學院學報,2007(12).

〔3〕解大龍，楊寧.校園網中Web服務器的配置及安全防護[J].遼寧師專學報，2008(3).

〔4〕張宇.內網服務器特點分析及安全策略[J].網絡安全技術與應用，2008(4).

TP393

A

1673-260X（2010）06-0036-02