校园网站服务器安全防范措施
2014-07-03何欣
何欣
摘 要:网站服务器是数字化校园体系结构的重要组成部分,它对校园的数据安全和网络管理有着较大的影响。结合多年的实践经验,重点围绕服务器安全、IIS安全系统和防护安全隐患等环节探讨了校园网络管理工作,并提出合理、有效的防范措施,以供参考。
关键词:校园网站;服务器安全;ISS安全;防范措施
中图分类号:TP393.18 文献标识码:A 文章编号:2095-6835(2014)07-0147-02
目前,国内许多学校相继建立了自己的网站,用于资源共享、文化交流和信息查询等。这样做,不仅有利于相关工作的开展,同时,也为广大师生提供了学习知识、采集资料和与内外界各方交流的平台。但是,计算机网络体系、结构有其独特的复杂性和开放性,网络入侵和攻击现象非常普遍,且校园Web网站服务器平台经常是网络入侵的首要攻击对象,因此,学校网络管理人员必须重视网站服务器的防范工作,以确保网站服务器的安全运行。
1 服务器安全
服务器安全是最基础也是最重要的,虽然Windows Server 2003的安全性较以前的版本有了很大的提高,但是,不能完全依靠默认的安全设置,要根据服务器的性质进行安全配置。
1.1 安装杀毒软件和系统补丁
杀毒软件不仅能杀掉一些病毒,还能查杀大量的木马和后门程序。安装了杀毒软件后,黑客使用的木马就没有了用武之地,但是要注意的是必须要经常升级病毒库。
要及时给系统安装安全漏洞补丁程序。漏洞是指操作系统或应用程序在逻辑设计上的缺陷或在编写时产生的错误,这个缺陷或错误可以被黑客利用,通过植入木马、病毒等方式来攻击网络上的服务器,从而窃取网络中的重要资料和信息,甚至破坏网络系统。
1.2 开启防火墙
Windows Server 2003自身带有网络防火墙,并可改变端口。将Internet与防火墙连接起来,可以有效地拦截对Windows 2003服务器的非法入侵,防止非法远程主机对服务器的扫描,提高Windows 2003服务器的安全性。
1.3 关闭不需要的端口
很多入侵都是基于端口的,一些看似不必要的端口,却可以向黑客透露操作系统中的敏感信息。如果对端口进一步访问,黑客就会清楚服务器上软件及其版本的一些信息,这对黑客的入侵提供了很大的帮助,在配置服务器安全时,只开放需要的端口即可。
1.4 关闭不需要的服务
禁止不需要的服务,这些服务很可能会成为攻击者入侵的通道,因此,要尽量关闭多余的服务,减少一些安全隐患。比如以下这些服务,不需要就可以关闭:Computer Browser,Task scheduler,Routing and Remote Access,Removable storage,Remote Registry Service,Print Spooler,IPSEC Policy Agent,Distributed Link Tracking Client,Telnet等。
1.5 删除默认共享
Windows系统默认安装完成后,系统中所有分区和系统文件夹都已经自动共享,这被称为默认共享。这些共享文件夹都是隐藏的,但它会对系统造成很大的安全隐患,所以,必须要删除默认共享,防止入侵。
1.5.1 使用注册表删除默认共享
要删除默认共享,具体操作步骤如下:①在“开始”|“程序”|“运行”中输入命令regedit,打开注册表编辑器;②在注册表编辑器中展开HKEY_LOCAL_MACHINE\SYSTEM\Current ControlSet\Services\lanmanserver\parameters分支,将右侧窗口中的DOWRD值“AutoShareServer”设置为“0”;③重新启动计算机系统。
1.5.2 使用批处理删除默认共享
如果使用命令删除默认共享,那么,在服务器重启时又会还原。每次都执行删除命令比较麻烦,所以,可以将其编写成一个批处理文件添加到组策略中,每次服务器开机时会自动执行该命令。
1.6 禁止远程枚举本地账户和共享
这样做的目的是防止黑客的病毒软件通过远程账户和共享途径破解计算机密码,并获取各类权限。要解决这个问题的具体方法是:在“运行”对话框中输入“secpol.msc”,打开本地安全设置,展开本地安全设置左侧栏中的“安全选项”,在右窗格中找到“网络访问”:不允许SAM账户和共享的匿名连接两项服务,双击它,在“状态”中点击“已启用”。
2 IIS安全
2.1 定期访问网站前台查看是否正常
管理员要定期访问网站,至少每天早晨和晚上要进行一次访问,及时发现威胁,这样做是因为黑客入侵事件大多发生在夜间。
2.2 修改默认站点
删除默认建立的站点虚拟目录,停止默认Web站点,删除相对应的文件目录C:\inetpub,配置所有站点的公共设置,设置好相关的连接数限制、带宽设置和性能设置等其他设置。配置应用程序映射,删除所有不必要的应用程序扩展,只保留asp,php,cgi,pl,aspx应用程序扩展。对php和cgi,推荐使用isapi方式解析,因为用exe解析对安全和性能都有所影响。用户程序调试设置后,会发送文本错误信息给用户。
3 防护安全隐患
尽管Windows 2003的功能在不断增强,但是由于系统设计的原因,它还存在不少安全隐患,要是不对这些隐患进行防护,可能会给整个系统带来不必要的麻烦,下面笔者就介绍Windows 2003中不常见安全隐患的防护方法。
3.1 防护自动保存隐患
要解决自动保存隐患,具体步骤如下:①在注册表编辑器中
展开HKEY_local_machine\software\Microsoft\WindowsdowsNT\ current Version\AeDebug分支,在对应AeDebug键值的右边子窗口中,用鼠标双击Auto值,在弹出的参数设置窗口中将其数值重新设置为“0”;②打开系统的Windows资源管理器窗口,并在其中依次展开Documents and Settings文件夹、All Users文件夹、Shared Documents文件夹和Dr Watson文件夹,最后将对应Dr Watson文件夹中的User.dmp文件、Drwtsn32.log文件删除掉;③重新启动系统。
3.2 防护资源共享隐患
为了局域网用户相互之间方便传输信息,Windows Server 2003系统提供了文件和打印共享功能。不过该功也存在不少的漏洞,给服务器系统造成了很大的安全隐患,所以,在用完文件和打印共享功能时,要随时将功能关闭,防护资源共享隐患。具体操作方法是:打开“网络连接”|“属性”|“本地连接”|“属性”“Internet协议(TCP/IP)”的属性设置对话框,取消“Microsoft网络的文件和打印机共享”选项,本地计算机就没有办法对外提供文件和打印共享服务了,这样自然就少了黑客对系统“通道”的攻击。
3.3 防护远程访问隐患
在Windows 2003系统下,要进行远程网络访问连接时,该系统下的远程桌面功能可以将进行网络连接时输入的用户名和密码通过普通明文内容方式传输给对应连接端的客户端程序。在明文账号传输过程中,黑客使用各种嗅探工具,很容易就可以截获明文账号。为了防护这种安全隐患,要关闭远程服务,具体方法是:打开“我的电脑”|“属性”|“远程”对话框,将“允许用户远程连接到这台计算机”选项取消掉,这样就可以将远程访问连接功能屏蔽掉,有效防护远程访问隐患。
3.4 防护用户切换隐患
Windows 2003系统提供了快速用户切换功能,利用该功能可以很轻松地登录到系统中,但要是执行系统“开始”菜单中的“注销”命令来快速“切换用户”时,再用传统的方式登录系统,系统很有可能会将本次登录错误地当作是对计算机系统的一次暴力“袭击”,这样,Windows 2003系统就可能将当前登录的账号当作非法账号锁定。所以,要防护用户切换隐患,具体方法是:打开“开始”|“程序”|“管理工具”|“计算机管理”|“用户和组”|“用户账户”窗口,将“允使用快速用户切换”选项取消掉。
3.5 防护页面交换隐患
在Windows 2003操作系统的页面交换文件中,隐藏了不少重要隐私信息,这些信息都是在动态中产生的,要是不及时将它们清除,就很有可能成为黑客的入侵突破口。为此,在关闭Windows 2003操作系统时,可自动将系统工作时产生的页面文件全部删除掉。
4 结束语
综上所述,校园网站服务器安全防范工作对校园网络的可持续发展有着重要的意义。因此,网络管理人员应认识到校园网站服务器管理工作的重要性,提高自身网络技术水平,并制订出一系列切实、有效的防范措施,最大限度降低服务器遭受入侵和攻击的可能性,从而确保校园网站服务器的安全运行。
参考文献
[1]鲁雪皎,牛利华.浅析计算机网络服务器的安全运行及防御研究[J].科技资讯,2013(31).
[2]张永海.浅谈校园网的服务器的安全配置管理[J].中国科技博览,2013(33).
〔编辑:白洁〕