朱永杰，轩亚光

（许昌学院 网络中心，河南 许昌 461000）

高校内网服务器安全策略

朱永杰，轩亚光

（许昌学院 网络中心，河南 许昌 461000）

随着校园网的发展，高校的内网服务器面临着越来越多的威胁，提出了搭建安全的高校内网服务器的安全策略，培养管理员的良好安全习惯，做到安全以人为本.

高校内网服务器；安全策略；管理

1 引言

随着高校校园网络的建立和不断完善，越来越多的用户接入校园网，由于校园网总的出口带宽有限，就导致了网速在上网高峰时段变慢.如果利用校园内网服务器大力丰富校园网的资源，让校园网用户改变从校外寻找资源的传统方式为校内寻找资源的方式，就可以有效地缓解这种供需矛盾，由于学生好奇心理比较重，会有人在网络上学习黑客知识，如何预防对服务器的内网攻击、建设稳定高效安全的内网服务器就成了一个亟待解决的问题.由于高校服务器大部分采用的是windows操作系统，下面就以windows server2003系统为例进行讨论.

2 物理安全

服务器一旦开始提供服务就要求24*365小时不能间断，除非遇到特殊情况，这就对周围环境要求比较高.一般都要求有专门的相对密闭的机房，做到恒温恒湿防尘；做到防水防火防盗，防止意外事故发生.要有专门的人员进行日常的管理，对进入机房的其他人员进行严格限制，从而保证物理上的绝对安全.

3 正确安装操作系统

3.1 选择文件系统

Window server 2003系统中常用的文件系统格式是FAT32和NTFS.相对于FAT32来说NTFS文件系统允许为任何一个磁盘分区单独设置访问权限，可以把不同的文件放在不同的磁盘分区中，这样即使得到了一个分区的访问权限还需要突破系统的安全设置才能访问到其他分区上的文件，增强了服务器文件的安全性，因此在安装操作系统的时候要把磁盘格式化为NTFS.

3.2 定制安装组件

Window server 2003在默认情况下会安装一些常用的组件，但是这个默认安装是非常危险，根据安全原则“最少的服务+最小的权限=最大的安全”，用不到的组件一律不安装.

3.3 安装系统补丁

Windows server 2003也存在系统漏洞，系统安装以后一定要安装sp2补丁，另外微软会不定期的发布最新的漏洞补丁，设置开启系统自动更新，或者是用一些工具如360安全卫士等及时的安装最新的补丁，可以有效的防止有些黑客利用最新漏洞攻击服务器.

4 服务器安全设置

4.1 关闭不必要的服务和协议

Windows server 2003的默认安装会开启许多服务，对于不同的功能的服务器有些服务是没有必要开启的（如Computer Browser、Removable storage等），依据最小服务的安全原则，把这些不必要服务设置为手动或禁用，对于危险性高的服务（如Remote Registry Service等）一定要禁用.NETBIOS是一个只能用于局域网的协议，在局域网内对网络管理和网络通讯，在内网服务器上是一个很大的隐患，因此一定要关闭.

4.2 关闭不需要的端口

在windows server 2003中一些敏感的端口如1433、3389等不需要的要关闭，如果有管理需要用到远程桌面，最好修改远程桌面的默认3389端口到不常用的端口，这样就可以避免黑客对这些默认端口的进行攻击.

4.3 关闭默认共享的空连接

为了方便管理员进行网络管理，Windows server 2003默认开启共享功能，这些默认的共享都有“$”标志，意为隐含的，包括所有的逻辑盘（C$，D $，E$……）和系统目录Windows（admin$）.只要知道了管理员密码，网络上的任何人都可以通过共享硬盘随意进入服务器，因此这对于内网服务器来说是安全隐患.为了保证系统的安全，要关闭默认共享，可以通过修改注册表编辑器实现.

打开注册表编辑器，找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters”项，双击右侧窗口中的“AutoShareServer”项将键值由1改为0，这样就能关闭硬盘各分区的共享.如果没有AutoShare-Server项，可自己新建一个再改键值.然后还是在这一窗口下再找到“AutoShareWks”项，也把键值由1改为0，关闭admin$共享.最后到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa”项处找到“restrictanonymous”，将键值设为1，关闭IPC$共享.重启服务器就可以永远停止共享.

4.4 帐户安全策略

①系统帐户数要尽可能少，本着权限尽可能低的原则为不同的帐户分配合适的权限.②给所有的帐户设置有足够密码复杂度的密码，一般要求长度在8位以上，要字母、数字和特殊字符相结合并且无明显规律.拥有特殊权限的帐户密码要隔一段更换新的密码.③将Administrator重名为一个不容易猜测的名字，另外重新建立一个Administrator帐户作为一个陷阱帐户，分配最低权限.④部分黑客通过将Guset帐户提升为管理员权限从而控制服务器，因此将guest帐号重新命名设置复杂密码并且禁用.⑤经常查看帐号的登录审核日志，一旦发现某个帐号被反复尝试登陆，要更换帐号名和密码；可以在帐号属性中设置帐号的登录次数，一旦帐号尝试登陆失败3次以上就锁定该帐户，这样可以防范某些黑客的暴力破解.

5 安装防火墙和杀毒软件

在内网服务器上安装单机防火墙，或者在内网服务器群前面架设硬件防火墙（如图1），利用防火墙制定详细的规则过滤掉不安全的服务，让精心选择的应用协议通过防火墙，这样就可以拦截可疑的网络入侵，保护内部服务器免受很多外部攻击，为服务器提供一个技术屏障.可以有选择的对WEB服务器、BBS服务器等和用户有交互的服务器安装杀毒软件，定期对服务器上面的文件进行扫描，以防有黑客通过网页等的漏洞上传木马、病毒等对服务器造成威胁.

图1 内网服务器前架设硬件防火墙示意图

6 管理以人为本

所有的安全策略归根结底要由人去实施，那么服务器管理员的安全意识就显得非常重要.不同的学校要根据自己的实际情况制定自己的服务器管理规定和各种操作规程.作为管理员要严格按照服务器管理规定和操作规程进行操作，要具有良好的安全意识，要具有责任心，养成良好的安全习惯.定期对服务器的安全状况进行监测；向影视、下载等提供资源的服务器上面上传文件时一定要进行病毒查杀，确保无毒；要关注最新的攻击手段和方法，及时的对不适宜策略做出调整，这样才能最大限度的保证内网服务器的安全.

7 结束语

本文根据大多数高校面临的校园网内网服务器安全问题，以windows server 2003为例提出了从系统的安装到各种服务选择等综合的一个安全策略，并且提出了服务器管理最终要以人为本的理念，对各个高校内网服务器的安全策略的制定具有较大的参考价值.

〔1〕周亚峰,高仲合.校园网Web服务器的安全配置[J].网络安全技术与应用,2007(12).

〔2〕宁博,张保杰.网络安全技术及防火墙在校园网的应用[J].西安邮电学院学报,2007(12).

〔3〕解大龙，杨宁.校园网中Web服务器的配置及安全防护[J].辽宁师专学报，2008(3).

〔4〕张宇.内网服务器特点分析及安全策略[J].网络安全技术与应用，2008(4).

TP393

A

1673-260X（2010）06-0036-02