“护驾”服务器系统能够始终稳定、安全地运行,是每一位网络管理员都要认真学习和总结的“课题”;提到服务器的“安全”字眼,不少人都会想当然地“请”来各种专业安全工具,希望通过它们的力量来给服务器多一点的安全保护。不过,我们手头并不是时常都有专业安全工具可以选用,并且即使有专业安全工具在手头,也并不能保证它就能达到特定的安全保护目的;更多的时候,我们还需要依靠自己的聪明才智,对服务器系统进行妥善“管教”,对其自身安全保护功能进行挖掘,以便让服务器享受更多一点的安全保护!
1、限制并发连接,避免服务器无法响应
大家知道,Windows XP终端服务器在缺省状态下没有对并发连接数量进行限制,这在访问人数不多的小规模局域网中是看不出任何影响的!可是在访问人数较多、规模较大的局域网中时,如果不对终端服务器的并发连接数量进行限制的话,终端服务器很可能会发生无法响应的故障,因为每一个访问连接都需要耗费一定的系统资源,太多的并发连接会将服务器系统资源消耗殆尽,从而导致服务器无法正常处理每一个网络连接请求。为了避免终端服务器系统无法响应,我们不妨在性能配置档次不高的终端服务器系统中对并发连接数量进行适当控制,保证服务器能够有足够系统资源来处理每一个网络连接请求:
首先在Windows XP终端服务器系统桌面中,单击“开始”按钮,从弹出的“开始”菜单中选择“运行”命令,打开系统运行对话框,在其中输入字符串命令“regedit”,单击“确定”按钮后,打开系统注册表编辑界面;
其次将鼠标定位于注册表编辑界面左侧显示区域的“HKEY_LOCAL_MACHINE”分支,再依次展开该分支下面的注册表子项“SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services”,仔细检查“Terminal Services”子项下面有没有“MaxInstanceCount”双字节值,要是发现该键值不存在的话,那么我们不妨用鼠标右击注册表子项“Terminal Services”,再从其后的快捷菜单中依次单击“新建”、“DWORD值”选项,之后为新创建的双字节值设置名称为“MaxInstanceCount”;
下面,用鼠标双击刚刚新建的“MaxInstanceCount”双字节值,在弹出的如图1所示编辑界面中,对服务器系统的并发连接数量进行合适控制;例如,倘若我们要求终端服务器只能处理20个并发连接请求时,只需要选中这里的“十进制”项目,再输入“20”,最后单击“确定”结束注册表的编辑操作,并重新启动一下服务器系统,如此一来终端服务器系统日后就不会轻易发生无法响应的故障现象了。
2、禁止缓存密码,预防服务器对外泄密
在默认设置下,Windows 2003服务器系统会将超级用户输入的各种管理密码内容,记忆存储到系统缓存中,而不少攻击者或木马病毒常常会想方设法地尝试扫描服务器缓存中的内容,那样一来存储在服务器缓存中的各种管理密码就能被非法攻击者或木马病毒轻易获取,如此这般,服务器系统就会受到极大的安全威胁。为了预防Windows 2003服务器系统对外泄密,我们可以尝试按照如下操作,来禁止服务器系统自动记忆存储密码:
首先以超级管理员权限进入Windows 2003服务器系统,单击该系统桌面中的“开始”按钮,选择“开始”菜单中的“运行”命令,在弹出的系统运行对话框中,输入“Regedit”字符串命令,单击“确定”按钮后,打开服务器系统的注册表编辑窗口;
其次选中该编辑窗口左侧区域中的HKEY_LOCAL_MACHINE注册表分支,再依次展开该分支下面的子项“Software\Microsoft\Windows\CurrentVersion\policies”,如图2所示;之后用鼠标右键单击“policies”子项,从弹出的快捷菜单中依次选择“新建”/“项”选项,并将新创建的子项名称设置为“Network”;
下面,再用鼠标右键单击“Network”子项,从其后的快捷菜单中依次选择“新建”、“DWORD”选项,同时将新创建的双字节键值名称设置为“DisablePasswordCaching”,再双击“DisablePasswordCaching”双字节键值,在其后界面中将其数值设置为“0x00000001”,最后按F5功能键刷新一下系统注册表,如此一来Windows 2003服务器系统就不会擅自主张地来存储各种管理密码了,那样的话非法攻击者或木马病毒即使已经进入服务器系统,它们也无法从服务器系统缓存中找到管理密码内容。
3、快速关闭共享,拒绝服务器共享攻击
考虑到在默认设置下Windows系统服务器一般都会将本地磁盘分区自动设置成隐藏共享状态,如此一来非法攻击者或木马病毒就有可能借助专业攻击方法,来对服务器实施共享攻击,从而给服务器系统造成安全威胁;为了拒绝服务器系统遭遇共享攻击,我们不妨按照下面的设置步骤,来快速关闭服务器系统中的所有隐藏共享,从而切断非法攻击者入侵服务器的共享“通道”:
首先以超级管理员权限进入Windows服务器系统,单击该系统桌面中的“开始”按钮,选择“开始”菜单中的“运行”命令,在弹出的系统运行对话框中,输入“Regedit”字符串命令,单击“确定”按钮后,打开服务器系统的注册表编辑窗口;
其次选中该编辑窗口左侧区域中的HKEY_LOCAL_MACHINE注册表分支,再依次展开该分支下面的子项“SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters”,在“Parameters”注册表子项下面找到“AutoShareServer”字符串值,并用鼠标双击该键值,打开如图3所示的编辑界面,在该界面的“数值数据”文本框中输入“0”,再单击“确定”按钮,最后重新启动一下计算机系统,这样的话本地服务器系统就不可能遭受非法共享攻击了,那么服务器的安全性也就能得到有效保证了。
4、更改端口号码,禁止非法扫描服务器
为了方便对服务器系统进行管理,不少网络管理员都在服务器系统中开启了远程桌面功能,希望通过该功能能够异地管理服务器;然而,在默认状态下远程桌面功能使用的通信端口号码为3389,该端口号码在缺省状态下很容易被非法扫描到,那样一来非法攻击者可能会利用远程桌面功能来攻击服务器系统。可是,对于相当一部分网络管理人员来说,他们又不能简单地将远程桌面功能关闭掉,那该如何保护服务器系统的远程桌面功能不被非法利用呢?其实很简单,我们只要将远程桌面的通信端口号码修改成陌生的数字,那样一来专业扫描工具自然无法扫描到服务器系统的安全漏洞了,下面就是禁止非法扫描服务器的具体操作步骤:
首先以超级管理员身份登录进服务器系统,单击“开始”按钮,从中选择“运行”命令,在弹出的系统运行框中,输入“regedit”字符串命令,单击“确定”后,进入服务器的注册表编辑界面;
其次将鼠标定位于该编辑界面左侧区域中的HKEY_LOCAL_MACHINE注册表分支上,再用鼠标依次展开该分支下面的注册表分支子项“SYSTEM\CurrentControlSet\Ctrol\Terminal Server\WinStations\RDP-Tcp”,找到“RDP-Tcp”子项下面的“PortNumber”键值,在弹出的如图4所示设置对话框中,输入字符串“1c58”,同时将“十六进制”项目选中,最后单击“确定”按钮,并刷新一下注册表,那样的话服务器系统中的远程桌面的端口号码就变成了“7256”,那样的话专业扫描工具是无法扫描到这个号码的,那么非法攻击者自然也就不能利用远程桌面功能来对服务器进行非法攻击了。
5、修改IIS属性,远程访问服务器日志
一般来说,对服务器系统进行的任何一次攻击都会自动在日志文件中留下痕迹,网络管理员只要善于查阅服务器系统的安全日志文件,就能在第一时间知道服务器是否存在安全隐患了。可是话又说回来,网络管理员往往只能在服务器本地访问安全日志文件,不过一旦网络管理员不在现场时,难道他们就无法通过远程访问方式查阅服务器的安全日志文件了吗?答案是否定的!我们只要开通服务器系统的远程维护功能,日后网络管理员就能在IE浏览窗口中,输入服务器的地址来远程调阅系统的安全日志文件了;不过,在缺省状态下,Windows服务器系统并没有将远程维护功能启用起来,我们可以尝试通过手工方法进行启动:
首先在Windows服务器系统中检查IIS组件是否已经安装成功(IIS6.0组件在默认状态下不会自动安装),一旦发现系统还没有安装该组件时,就需要按照正确方法将该组件安装好;
其次在服务器系统桌面中单击“开始”按钮,从“开始”菜单中逐一选择“设置”/“控制面板”命令,在弹出的控制面板窗口中,双击“添加或删除程序”图标,在之后出现的对话框中单击“添加/删除Windows组件”按钮,打开系统组件安装向导对话框,选中其中的“应用程序服务器”项目,再单击旁边的“详细信息”按钮;
随后屏幕上将弹出如图5所示的界面,将该界面中的“Internet信息服务(IIS)”项目选中,再单击“详细信息”按钮;接着选中其后界面中的“万维网服务”选项,之后再单击“详细信息”按钮,选中“远程管理(html)”选项,并单击“确定”按钮,最后根据提示完成剩余的安装操作,如此一来服务器系统的远程管理功能就被成功启用了;
日后,我们无论在不在服务器现场,都能在第一时间查阅服务器的安全日志文件了!只要在能够上网的工作站中,打开IE浏览器窗口,在地址栏中输入“http://xxx.xxx.xxx.xxx:8098”地址(其中xxx.xxx.xxx.xxx指的是Windows服务器系统的真实IP地址),单击回车键后打开服务器远程管理维护页面,在该页面中我们就能轻易找到服务器中的安全日志文件并进行远程访问了,那样一来我们就能在第一时间知道服务器系统是否存在安全隐患了。
6、改变模拟级别,禁止改变服务器地址
有时一台服务器可能同时有几位系统管理员来对它进行管理与维护,有的系统管理员为了在服务器中完成某项测试,常常会对服务器使用的IP地址进行改变,殊不知这会影响多数人对服务器系统的正常访问。为了保证服务器系统能够稳定安全运行,我们可以按照如下方法改变服务器系统默认的模拟级别参数,来禁止系统管理员对服务器的地址进行随意改动,当然这种方法仅在Windows 2000服务器系统中有效:
首先以超级管理员权限进入服务器系统,单击系统桌面中的“开始”按钮,从“开始”菜单中选择“运行”选项,在弹出的系统运行文本框中,输入“dcomcnfg”字符串命令,单击“确定”按钮后,打开本地系统的分布式COM配置窗口;
其次在该配置窗口中单击“默认属性”标签,进入如图6所示的标签页面,将该页面中的“在这台计算机上启用分布式COM”选项选中,之后将“默认身份验证级别”参数调整为“连接”;再单击“默认模拟级别”处的下拉按钮,从下拉列表中将“匿名”项目选中,并单击“确定”按钮,最后重新启动一下服务器系统;
等到服务器系统启动稳定后,我们发现再次打开服务器系统的网络连接列表窗口后,找不到“本地连接”图标的影子了,这样一来系统管理员也就不能进入TCP/IP属性设置界面,来任意修改服务器系统的真实IP地址了。
