企業信息化技(jì)術(shù)的應用，以不可(kě)逆轉。随着文件服務器(qì)、ERP管理(lǐ)軟件等等在企業中生(shēng)根發芽，應用服務器(qì)也逐漸在企業中普及起來(lái)。以前在企業中有(yǒu)一台應用服務器(qì)已經是了不起的事情，現在有(yǒu)兩台、三台的，也不為(wèi)怪了。

但(dàn)是，企業應用服務器(qì)雖然增加了，可(kě)是對這個(gè)應用服務器(qì)的安全管理(lǐ)，卻跟不上(shàng)。随便到一家(jiā)企業看看，總是可(kě)以看到一些(xiē)明(míng)顯的安全管理(lǐ)漏洞。下面筆者就把其中一些(xiē)典型的漏洞列舉出來(lái)，就當作(zuò)抛磚引玉，提醒大(dà)家(jiā)注意服務器(qì)的安全管理(lǐ)。

一、所有(yǒu)主機可(kě)以Telnet到服務器(qì)。

由于服務器(qì)往往都放在一個(gè)特定的空(kōng)間(jiān)中，若對于服務器(qì)的任何維護工作(zuò)，如查看服務器(qì)的硬盤空(kōng)間(jiān)等等，這些(xiē)工作(zuò)都需要到服務器(qì)上(shàng)面去查看的話(huà)，很(hěn)明(míng)顯不是很(hěn)方便。我們希望能夠在我們平時(shí)用的電(diàn)腦(nǎo)上(shàng)就可(kě)以對服務器(qì)進行(xíng)一些(xiē)日常的維護，而不用跑到存放服務器(qì)的房(fáng)間(jiān)中去。

所以，我們對于服務器(qì)的大(dà)部分維護工作(zuò)，都可(kě)以通(tōng)過Telnet到服務器(qì)上(shàng)，以命令行(xíng)的方式進行(xíng)維護。這無疑為(wèi)我們服務器(qì)的管理(lǐ)提供了一個(gè)方便的管理(lǐ)渠道(dào)，但(dàn)是，也給服務器(qì)帶來(lái)了一些(xiē)隐患。

當非法攻擊者利用某些(xiē)特定的方法知道(dào)Telent的用戶名與密碼之後，就可(kě)以在企業任何一台主機上(shàng)暢通(tōng)無阻的訪問服務器(qì)。特别是當一些(xiē)心懷不滿的員工，更容易借此發洩自己對企業的不滿。以前我有(yǒu)個(gè)朋友(yǒu)在一家(jiā)軟件公司中當CIO，有(yǒu)個(gè)員工乘管理(lǐ)員不注意的時(shí)候，取得(de)了文件服務器(qì)的Telent用戶名與密碼。後來(lái)因為(wèi)其洩露客戶的機密信息而被公司警告處分。這個(gè)員工心懷不滿，就利用竊取過來(lái)的用戶名與密碼，登陸到文件服務器(qì)，删除了很(hěn)多(duō)文件。還(hái)好，在文件服務器(qì)中采取了比較完善的備份制(zhì)度，才避免了重大(dà)的損失。

所以，Telent技(jì)術(shù)為(wèi)我們服務器(qì)管理(lǐ)提供了比較方便的手段，但(dàn)是，其安全風險也不容忽視(shì)。一般來(lái)說，對于Telent技(jì)術(shù)，我們需要注意以下幾個(gè)方面。

一是Telent用戶名與密碼跟服務器(qì)的管理(lǐ)員登陸用戶名與密碼最好不一樣。也就是說，在服務器(qì)主機上(shàng)登陸的用戶名與密碼，與遠程Telent到服務器(qì)的管理(lǐ)員用戶名與密碼要不一樣。如此的話(huà)，可(kě)以把用戶名與密碼洩露對服務器(qì)的危害降到最低(dī)。

二是最好能夠限制(zhì)Telent到服務器(qì)的用戶主機。如我們可(kě)以在服務器(qì)上(shàng)進行(xíng)限制(zhì)，隻允許網絡管理(lǐ)員的主機才可(kě)以遠程Telent到服務器(qì)上(shàng)去。這實現起來(lái)也比較簡單。若是微軟服務器(qì)系統的話(huà)，可(kě)以利用其本身自帶的安全策略工具實現。或者可(kě)以借助防火(huǒ)牆來(lái)限制(zhì)Telent到服務器(qì)上(shàng)的IP地址或者MAC地址。如此的話(huà)，即使用戶名或者密碼洩露，由于有(yǒu)了IP地址或者MAC地址的限制(zhì)，則其他人(rén)仍然無法登陸到服務器(qì)上(shàng)去。如此的話(huà)，就可(kě)以最大(dà)限度的保障隻有(yǒu)合法的人(rén)員才可(kě)以Telent到服務器(qì)上(shàng)進行(xíng)日常的維護工作(zuò)。

三是若平時(shí)不用Telent到服務器(qì)管理(lǐ)的話(huà)，則把這個(gè)Telent服務關閉掉。沒有(yǒu)必要為(wèi)攻擊者留下一個(gè)後門(mén)。

二、服務器(qì)的上(shàng)的共享文件家(jiā)所有(yǒu)用戶都有(yǒu)訪問權限。

在應用服務器(qì)上(shàng)，我們有(yǒu)時(shí)會(huì)為(wèi)了維護的方便，會(huì)在上(shàng)面建立幾個(gè)共享文件夾。但(dàn)是，若這些(xiē)共享文件夾管理(lǐ)不當，也會(huì)給應用服務器(qì)帶來(lái)比較大(dà)的安全隐患。

如若我們某個(gè)共享文件夾設置所有(yǒu)用戶都可(kě)以無限制(zhì)的進行(xíng)訪問的話(huà)，則會(huì)出現一個(gè)問題，當網絡中若有(yǒu)病毒的話(huà)，這些(xiē)文件夾就很(hěn)容易被感染。當我們在服務器(qì)上(shàng)不小(xiǎo)心打開(kāi)這些(xiē)共享文件夾的時(shí)候，服務器(qì)就會(huì)感染病毒，甚至會(huì)導緻服務器(qì)當機。

所以，在服務器(qì)上(shàng)設置共享文件夾的時(shí)候需要特别的注意，因為(wèi)服務器(qì)崩潰後，對于企業的信息化應用來(lái)說，是緻命的。一般情況下，不要在應用服務器(qì)上(shàng)設置共享文件夾。若一定要的話(huà)，則也需要遵循如下的安全原則。

一是用好以後需要及時(shí)把文件加設置為(wèi)不共享。當我們因為(wèi)某種需要建立一個(gè)臨時(shí)的共享文件夾時(shí)，當我們用完之後，需要及時(shí)把這個(gè)共享文件夾删除掉，或者改為(wèi)不共享。及時(shí)清理(lǐ)共享文件夾，使保護共享文件夾安全的不二法則。

二是為(wèi)共享文件夾設置最小(xiǎo)權限。平時(shí)在設置共享文件夾的時(shí)候，我們可(kě)能系習慣了不設置訪問權限，所以員工都可(kě)以不受限制(zhì)的訪問共享文件夾。但(dàn)是，若在文件服務器(qì)上(shàng)面設置共享文件夾的時(shí)候，一定需要注意，在設置共享的時(shí)候，就需要設置訪問的用戶，最好隻有(yǒu)特定的用戶才可(kě)以訪問這個(gè)共享文件夾，特别是讀寫權限需要嚴格控制(zhì)。有(yǒu)些(xiē)人(rén)可(kě)能會(huì)以為(wèi)我隻是暫時(shí)共享一下，中間(jiān)不超過十分鍾。可(kě)是，若網絡中有(yǒu)病毒的話(huà)，則會(huì)自需要一秒(miǎo)鍾的時(shí)間(jiān)就可(kě)以感染共享文件夾。故在服務器(qì)管理(lǐ)的時(shí)候，不能夠有(yǒu)這種僥幸心理(lǐ)。

三、沒有(yǒu)關閉不必要的服務。

在服務器(qì)操作(zuò)系統安裝的時(shí)候，會(huì)裝了比較多(duō)的服務。如我們在安裝文件服務器(qì)系統的話(huà)，默認情況下，可(kě)能會(huì)開(kāi)啓WWW服務、Telent服務、DSN服務等等。但(dàn)是，對于文件服務器(qì)來(lái)說，這些(xiē)服務往往是沒有(yǒu)必要的。我們在應用服務器(qì)上(shàng)開(kāi)啓了這些(xiē)不必要的服務，不但(dàn)會(huì)占用可(kě)貴的硬件資源，而且，最重要的是，會(huì)降低(dī)文件服務器(qì)的安全性。

所以，筆者建議，在服務器(qì)管理(lǐ)的時(shí)候，把一些(xiē)沒有(yǒu)必要的服務關閉掉。

若采用的是微軟的服務器(qì)操作(zuò)系統，我們可(kě)以通(tōng)過開(kāi)始、設置、控制(zhì)面闆、管理(lǐ)工具、服務來(lái)查看當前操作(zuò)系統所開(kāi)啓的服務。如一般情況下，我們可(kě)以把如下的一些(xiē)服務關閉掉。

一是DHCP客戶端。由于應用服務器(qì)我們一般都采用固定的IP地址，所以可(kě)以把這個(gè)DHCP客戶端關閉掉，禁止服務器(qì)從DHCP服務器(qì)那(nà)邊獲取IP地址。這可(kě)以有(yǒu)效的防治IP地址的沖突，從而造成服務器(qì)斷網。

二是要注意Ping 攻擊。利用Ping命令來(lái)對應用服務器(qì)實施拒絕服務式攻擊是很(hěn)多(duō)攻擊者常用的一個(gè)手段。其基本原理(lǐ)就是利用肉雞同時(shí)連續的Ping應用服務器(qì)，從而導緻應用服務器(qì)資源耗竭而當機。所以，一般情況下，需要在文件服務器(qì)上(shàng)，設置“禁止他人(rén)Ping自己”，如此的話(huà)，就可(kě)以杜絕DDOS等惡性攻擊。

三是可(kě)以關閉Remote Desktop Help Session Manager服務。這個(gè)服務主要用來(lái)管理(lǐ)并控制(zhì)遠程協助。如果此服務被終止的話(huà)，遠程協助将不可(kě)用。若我們平時(shí)不用遠程桌面連接等工具遠程維護這個(gè)應用服務器(qì)的話(huà)，則可(kě)以直接把這個(gè)服務關閉掉。默認情況下，這個(gè)服務需要手工啓動。我們為(wèi)了安全起見，可(kě)以把這個(gè)服務禁用。

三是自動更新服務。這是一個(gè)有(yǒu)争議的服務。若啓用了這個(gè)服務的話(huà)，則應用服務器(qì)操作(zuò)系統可(kě)以自動從網絡上(shàng)升級最新的操作(zuò)系統補丁，提高(gāo)操作(zuò)系統的安全性。但(dàn)是，有(yǒu)時(shí)候當裝了微軟的升級補丁後，服務器(qì)反而不穩定了，有(yǒu)時(shí)候甚至導緻部屬在上(shàng)面的應用服務器(qì)無法使用。故筆者的建議是，若你(nǐ)在應用服務器(qì)上(shàng)部屬的都是微軟的産品，如微軟的郵箱服務器(qì)等等，則可(kě)以打開(kāi)這個(gè)自動更新服務。若你(nǐ)在他們的服務器(qì)操作(zuò)系統上(shàng)，部署了其他牌子的郵箱服務器(qì)，或者部署了一些(xiē)其他牌子的數(shù)據庫系統的話(huà)，則是否開(kāi)啓這個(gè)自動更新服務，則要慎重考慮了。

四、不同管理(lǐ)人(rén)員利用同一個(gè)賬戶管理(lǐ)服務器(qì)。

有(yǒu)時(shí)候，在一個(gè)服務器(qì)上(shàng)可(kě)能會(huì)部署多(duō)個(gè)應用，如在一台應用服務器(qì)中，可(kě)能既是郵箱服務器(qì)，又是文件服務器(qì)。而不同的應用有(yǒu)不同的管理(lǐ)員負責。有(yǒu)些(xiē)企業為(wèi)了管理(lǐ)的方便，可(kě)能會(huì)利用同一個(gè)用戶名來(lái)管理(lǐ)不同的服務。筆者認為(wèi)，這是不安全的。

當某個(gè)管理(lǐ)員在一個(gè)應用服務管理(lǐ)的時(shí)候，有(yǒu)可(kě)能會(huì)不小(xiǎo)心更改另外一個(gè)服務的配置，而此時(shí)，另外一個(gè)管理(lǐ)員并不知情。如此的話(huà)，就可(kě)能會(huì)導緻另外一個(gè)服務出現運行(xíng)上(shàng)的錯誤。所以，這就會(huì)給服務器(qì)管理(lǐ)産生(shēng)安全上(shàng)的漏洞。

為(wèi)此，筆者建議，最好是一個(gè)服務采用一台服務器(qì)，雖然這需要增加一定的支出，但(dàn)是，一台服務器(qì)出現問題的話(huà)，最多(duō)隻影(yǐng)響一個(gè)應用，可(kě)以把因為(wèi)服務器(qì)的問題造成的不良影(yǐng)響降至到最低(dī)。

若出于成本的限制(zhì)的話(huà)，确實需要在不同的服務器(qì)中部署不同的服務的話(huà)，則最好在安裝服務的時(shí)候，就先建立不同的管理(lǐ)員帳戶，然後利用對應的帳戶登陸再部署相關的服務。如此的話(huà)，就可(kě)以最大(dà)限度的減少(shǎo)管理(lǐ)員之間(jiān)的相互幹擾。即使是同一個(gè)管理(lǐ)員管理(lǐ)不同的服務，最好也是建立不同的帳戶為(wèi)妙 ！