校園網(wǎng)絡(luò)服務(wù)器的安全維護(hù)淺析

魏鵬

河南省義馬煤炭高級(jí)技工學(xué)校（義馬職專）

校園網(wǎng)絡(luò)服務(wù)器的安全維護(hù)淺析

魏鵬

河南省義馬煤炭高級(jí)技工學(xué)校（義馬職專）

校園網(wǎng)服務(wù)器的安全維護(hù)是很重要的，任何漏洞都有可能給整個(gè)校園網(wǎng)帶來(lái)安全隱患，甚至整個(gè)校園網(wǎng)絡(luò)癱瘓，對(duì)學(xué)校的教學(xué)及管理將造成很大的影響。該文以windows20操03作系統(tǒng)的服務(wù)器為例，主要從系統(tǒng)賬戶、密碼安全、策略設(shè)置、網(wǎng)絡(luò)設(shè)置等方面來(lái)探析服務(wù)器安全維護(hù)的技巧。

網(wǎng)絡(luò)；服務(wù)器；賬號(hào)；密碼；策略

network; The server; Account; Password; strategy

校園網(wǎng)服務(wù)器的安全維護(hù)是很重要的，任何漏洞都有可能給整個(gè)校園網(wǎng)帶來(lái)安全隱患，甚至整個(gè)校園網(wǎng)絡(luò)癱瘓。對(duì)學(xué)校的教學(xué)及管理將造成很大的影響。當(dāng)前對(duì)校園網(wǎng)服務(wù)器的攻擊包括兩類(lèi)：一是蓄意的攻擊行為，如拒絕服務(wù)攻擊、網(wǎng)絡(luò)病毒等，這些行為占用大量的服務(wù)器資源，影響服務(wù)器的正常運(yùn)行速度和正常工作，甚至使服務(wù)器所在的網(wǎng)絡(luò)癱瘓；另外一類(lèi)是蓄意的入侵行為，這種行為會(huì)導(dǎo)致服務(wù)器敏感信息泄露，入侵者更是可以肆意破壞服務(wù)器。要保障網(wǎng)絡(luò)服務(wù)器的安全就要盡量使網(wǎng)絡(luò)服務(wù)器避免受這兩種行為的影響。我校有機(jī)房十幾個(gè)，全部聯(lián)入校園網(wǎng)絡(luò)，學(xué)生對(duì)網(wǎng)絡(luò)服務(wù)器的攻擊也時(shí)常出現(xiàn)，現(xiàn)以基于Windows2003操作系統(tǒng)的服務(wù)器為例，結(jié)合自己在學(xué)校服務(wù)器維護(hù)中的實(shí)踐經(jīng)驗(yàn)，介紹一些網(wǎng)站服務(wù)器安全維護(hù)的技巧。

為防止網(wǎng)絡(luò)上對(duì)服務(wù)器的攻擊，主要從以下幾個(gè)方面入手：

一．系統(tǒng)賬戶

1.關(guān)閉Guest賬號(hào)：把計(jì)算機(jī)管理用戶里面的guest賬號(hào)停用掉，不允許guest賬號(hào)在任何時(shí)候登錄系統(tǒng)。為了安全起見(jiàn)，停用后最好給guest加一個(gè)復(fù)雜的密碼，你可以打開(kāi)記事本，在里面輸入一串包含特殊字符、數(shù)字、字母的連你自己也記不起來(lái)的長(zhǎng)字符串，然后把它作為guest賬號(hào)的密碼拷進(jìn)去，并保存在其他電腦上。

2.創(chuàng)建2個(gè)以上的管理員用賬號(hào)：雖然這點(diǎn)看上去和上面這點(diǎn)有些矛盾，但事實(shí)上是服從上面的規(guī)則的。創(chuàng)建一個(gè)一般權(quán)限賬號(hào)用來(lái)收信以及處理一些日常事物，另一個(gè)擁有Administrators權(quán)限的賬戶只在需要的時(shí)候使用。可以讓管理員使用“RunAS”命令來(lái)執(zhí)行一些需要特權(quán)才能作的一些工作，以方便管理。

3.把系統(tǒng)administrator賬號(hào)改名：大家都知道，windows2003的administrator賬號(hào)是不能被停用的，這意味著別人可以一遍又一遍的嘗試這個(gè)賬戶的密碼。把Administrator賬戶改名可以有效地防止這一點(diǎn)。當(dāng)然，請(qǐng)不要使用Admin之類(lèi)的名字，改了等于沒(méi)改，盡量把它偽裝成普通用戶，比如改成：guestone。

4.創(chuàng)建一個(gè)陷阱賬號(hào)：什么是陷阱賬號(hào)？創(chuàng)建一個(gè)名為“Administrator”的本地賬戶，把它的權(quán)限設(shè)置成最低，什么事也干不了的那種，并且加上一個(gè)超過(guò)10位的超級(jí)復(fù)雜密碼。這樣可以讓那些Scriptss忙上一段時(shí)間了，并且可以借此發(fā)現(xiàn)它們的入侵企圖。或者在它的loginscripts上面做點(diǎn)手腳。

5.把共享文件的權(quán)限從“everyone”組改成“授權(quán)用戶”：“everyone”在win2003中意味著任何有權(quán)進(jìn)入你的網(wǎng)絡(luò)的用戶都能夠獲得這些共享資料。任何時(shí)候都不要把共享文件的用戶設(shè)置成“everyone”組。包括打印共享，默認(rèn)的屬性就是“everyone”組的，一定要改。

眾所周知，對(duì)于Windows2003，必須以某個(gè)賬號(hào)登錄才能進(jìn)入系統(tǒng)，只要我們嚴(yán)把每個(gè)賬號(hào)關(guān)，就可以避免其他人進(jìn)入系統(tǒng)。

二．密碼安全

1.使用安全密碼：一個(gè)好的密碼對(duì)于一個(gè)網(wǎng)絡(luò)是非常重要的，但是它是最容易被忽略的。前面的所說(shuō)的也許已經(jīng)可以說(shuō)明這一點(diǎn)了。一些公司的管理員創(chuàng)建賬號(hào)的時(shí)候往往用公司名，計(jì)算機(jī)名，或者一些別的一猜就到的東西做用戶名，然后又把這些賬戶的密碼設(shè)置得太簡(jiǎn)單，比如“welcome”“iloveyou”“l(fā)etmein”或者和用戶名相同等等。

2.密碼的有效期：還要注意經(jīng)常更改密碼。好密碼的定義：安全期內(nèi)無(wú)法破解出來(lái)的密碼就是好密碼，也就是說(shuō)，如果人家得到了你的密碼文檔，必須花43天或者更長(zhǎng)的時(shí)間才能破解出來(lái)，而你的密碼策略是42天必須改密碼。

3.設(shè)置屏幕保護(hù)密碼：很簡(jiǎn)單也很有必要，設(shè)置屏幕保護(hù)密碼也是防止內(nèi)部人員破壞服務(wù)器的一個(gè)屏障。注意不要使用OpenGL和一些復(fù)雜的屏幕保護(hù)程序，浪費(fèi)系統(tǒng)資源，讓他黑屏就可以了。還有一點(diǎn)，所有系統(tǒng)用戶所使用的機(jī)器也最好加上屏幕保護(hù)密碼。

三．策略設(shè)置

使用win2003系統(tǒng)的安全配置工具來(lái)配置策略：微軟集成了一套的基于MMC(管理控制臺(tái))安全配置和分析工具，利用他們可以很方便地配置服務(wù)器以滿足你的要求。

1.用戶策略：限制一些不必要的用戶訪問(wèn)，并禁用用戶枚舉。

2.網(wǎng)絡(luò)訪問(wèn)：限制一些不必要的網(wǎng)絡(luò)訪問(wèn)。

四．網(wǎng)絡(luò)設(shè)置

1.關(guān)閉不必要的端口：關(guān)閉端口意味著減少功能，在安全和功能上面需要你作一點(diǎn)決策。如果服務(wù)器安裝在防火墻的后面，冒的險(xiǎn)就會(huì)少些，但是，永遠(yuǎn)不要認(rèn)為你可以高枕無(wú)憂了。用端口掃描器掃描系統(tǒng)所開(kāi)放的端口，確定開(kāi)放了哪些服務(wù)是黑客入侵你的系統(tǒng)的第一步。system32driversetcservices文件中有知名端口和服務(wù)的對(duì)照表可供參考。具體方法為：網(wǎng)上鄰居＞屬性＞本地連接＞屬性＞internet協(xié)議(tcp/ip)＞屬性＞高級(jí)＞選項(xiàng)＞tcp/ip篩選＞屬性打開(kāi)tcp/ip篩選，添加需要的tcp,udp,協(xié)議即可。

2.不讓系統(tǒng)顯示上次登錄的用戶名

默認(rèn)情況下，終端服務(wù)接入服務(wù)器時(shí)，登錄對(duì)話框中會(huì)顯示上次登陸的賬戶明，本地的登錄對(duì)話框也是一樣。這使得別人可以很容易的得到系統(tǒng)的一些用戶名，進(jìn)而作密碼猜測(cè)。修改注冊(cè)表可以不讓對(duì)話框里顯示上次登錄的用戶名，具體是：

HKLMSoftwareMicrosoftWindowsNT

CurrentVersionWinlogonDontDisplay

LastUserName把REG_SZ的鍵值改成1.

3.禁止建立空鏈接

默認(rèn)情況下，任何用戶通過(guò)空連接連上服務(wù)器，進(jìn)而枚舉出賬號(hào)，猜測(cè)密碼。我們可以通過(guò)修改注冊(cè)表來(lái)禁止建立空鏈接：

Local_MachineSystemCurrentControlSet

Contr0olLSA-RestrictAnonymous的值改成“1”即可。

最后記住到微軟網(wǎng)站下載最新的補(bǔ)丁程序：很多網(wǎng)絡(luò)管理員沒(méi)有訪問(wèn)安全站點(diǎn)的習(xí)慣，以至于一些漏洞都出了很久了，還放著服務(wù)器的漏洞不補(bǔ)給人家當(dāng)靶子用。誰(shuí)也不敢保證數(shù)百萬(wàn)行以上代碼的2003不出一點(diǎn)安全漏洞，經(jīng)常訪問(wèn)微軟和一些安全站點(diǎn)，下載最新的servicepack和漏洞補(bǔ)丁，是保障服務(wù)器長(zhǎng)久安全的唯一方法。

the safety of network server maintenance is very important, any leaks are likely to bring the whole campus network safe hidden trouble, even the whole campus network for paralysis, of the school's teaching and management will have a big impact. Based on the server windows2003operating system as an example, mainly from the system accounts, password safe, Settings, network Settings to explore server security aspects maintain skills.

10.3969/j.issn.1001-8972.2011.12.056

魏鵬（1973.2-），河南孟津人，本科，講師職稱，現(xiàn)系義馬煤炭高級(jí)技工學(xué)校教務(wù)科教師，研究方向：計(jì)算機(jī)教學(xué)、系統(tǒng)集成應(yīng)用。