校園網絡服務器的安全維護淺析

魏鵬

河南省義馬煤炭高級技工學校（義馬職專）

校園網絡服務器的安全維護淺析

魏鵬

河南省義馬煤炭高級技工學校（義馬職專）

校園網服務器的安全維護是很重要的，任何漏洞都有可能給整個校園網帶來安全隱患，甚至整個校園網絡癱瘓，對學校的教學及管理將造成很大的影響。該文以windows20操03作系統的服務器為例，主要從系統賬戶、密碼安全、策略設置、網絡設置等方面來探析服務器安全維護的技巧。

網絡；服務器；賬號；密碼；策略

network; The server; Account; Password; strategy

校園網服務器的安全維護是很重要的，任何漏洞都有可能給整個校園網帶來安全隱患，甚至整個校園網絡癱瘓。對學校的教學及管理將造成很大的影響。當前對校園網服務器的攻擊包括兩類：一是蓄意的攻擊行為，如拒絕服務攻擊、網絡病毒等，這些行為占用大量的服務器資源，影響服務器的正常運行速度和正常工作，甚至使服務器所在的網絡癱瘓；另外一類是蓄意的入侵行為，這種行為會導致服務器敏感信息泄露，入侵者更是可以肆意破壞服務器。要保障網絡服務器的安全就要盡量使網絡服務器避免受這兩種行為的影響。我校有機房十幾個，全部聯入校園網絡，學生對網絡服務器的攻擊也時常出現，現以基于Windows2003操作系統的服務器為例，結合自己在學校服務器維護中的實踐經驗，介紹一些網站服務器安全維護的技巧。

為防止網絡上對服務器的攻擊，主要從以下幾個方面入手：

一．系統賬戶

1.關閉Guest賬號：把計算機管理用戶里面的guest賬號停用掉，不允許guest賬號在任何時候登錄系統。為了安全起見，停用后最好給guest加一個復雜的密碼，你可以打開記事本，在里面輸入一串包含特殊字符、數字、字母的連你自己也記不起來的長字符串，然后把它作為guest賬號的密碼拷進去，并保存在其他電腦上。

2.創建2個以上的管理員用賬號：雖然這點看上去和上面這點有些矛盾，但事實上是服從上面的規則的。創建一個一般權限賬號用來收信以及處理一些日常事物，另一個擁有Administrators權限的賬戶只在需要的時候使用?？梢宰尮芾韱T使用“RunAS”命令來執行一些需要特權才能作的一些工作，以方便管理。

3.把系統administrator賬號改名：大家都知道，windows2003的administrator賬號是不能被停用的，這意味著別人可以一遍又一遍的嘗試這個賬戶的密碼。把Administrator賬戶改名可以有效地防止這一點。當然，請不要使用Admin之類的名字，改了等于沒改，盡量把它偽裝成普通用戶，比如改成：guestone。

4.創建一個陷阱賬號：什么是陷阱賬號？創建一個名為“Administrator”的本地賬戶，把它的權限設置成最低，什么事也干不了的那種，并且加上一個超過10位的超級復雜密碼。這樣可以讓那些Scriptss忙上一段時間了，并且可以借此發現它們的入侵企圖?；蛘咴谒膌oginscripts上面做點手腳。

5.把共享文件的權限從“everyone”組改成“授權用戶”：“everyone”在win2003中意味著任何有權進入你的網絡的用戶都能夠獲得這些共享資料。任何時候都不要把共享文件的用戶設置成“everyone”組。包括打印共享，默認的屬性就是“everyone”組的，一定要改。

眾所周知，對于Windows2003，必須以某個賬號登錄才能進入系統，只要我們嚴把每個賬號關，就可以避免其他人進入系統。

二．密碼安全

1.使用安全密碼：一個好的密碼對于一個網絡是非常重要的，但是它是最容易被忽略的。前面的所說的也許已經可以說明這一點了。一些公司的管理員創建賬號的時候往往用公司名，計算機名，或者一些別的一猜就到的東西做用戶名，然后又把這些賬戶的密碼設置得太簡單，比如“welcome”“iloveyou”“letmein”或者和用戶名相同等等。

2.密碼的有效期：還要注意經常更改密碼。好密碼的定義：安全期內無法破解出來的密碼就是好密碼，也就是說，如果人家得到了你的密碼文檔，必須花43天或者更長的時間才能破解出來，而你的密碼策略是42天必須改密碼。

3.設置屏幕保護密碼：很簡單也很有必要，設置屏幕保護密碼也是防止內部人員破壞服務器的一個屏障。注意不要使用OpenGL和一些復雜的屏幕保護程序，浪費系統資源，讓他黑屏就可以了。還有一點，所有系統用戶所使用的機器也最好加上屏幕保護密碼。

三．策略設置

使用win2003系統的安全配置工具來配置策略：微軟集成了一套的基于MMC(管理控制臺)安全配置和分析工具，利用他們可以很方便地配置服務器以滿足你的要求。

1.用戶策略：限制一些不必要的用戶訪問，并禁用用戶枚舉。

2.網絡訪問：限制一些不必要的網絡訪問。

四．網絡設置

1.關閉不必要的端口：關閉端口意味著減少功能，在安全和功能上面需要你作一點決策。如果服務器安裝在防火墻的后面，冒的險就會少些，但是，永遠不要認為你可以高枕無憂了。用端口掃描器掃描系統所開放的端口，確定開放了哪些服務是黑客入侵你的系統的第一步。system32driversetcservices文件中有知名端口和服務的對照表可供參考。具體方法為：網上鄰居＞屬性＞本地連接＞屬性＞internet協議(tcp/ip)＞屬性＞高級＞選項＞tcp/ip篩選＞屬性打開tcp/ip篩選，添加需要的tcp,udp,協議即可。

2.不讓系統顯示上次登錄的用戶名

默認情況下，終端服務接入服務器時，登錄對話框中會顯示上次登陸的賬戶明，本地的登錄對話框也是一樣。這使得別人可以很容易的得到系統的一些用戶名，進而作密碼猜測。修改注冊表可以不讓對話框里顯示上次登錄的用戶名，具體是：

HKLMSoftwareMicrosoftWindowsNT

CurrentVersionWinlogonDontDisplay

LastUserName把REG_SZ的鍵值改成1.

3.禁止建立空鏈接

默認情況下，任何用戶通過空連接連上服務器，進而枚舉出賬號，猜測密碼。我們可以通過修改注冊表來禁止建立空鏈接：

Local_MachineSystemCurrentControlSet

Contr0olLSA-RestrictAnonymous的值改成“1”即可。

最后記住到微軟網站下載最新的補丁程序：很多網絡管理員沒有訪問安全站點的習慣，以至于一些漏洞都出了很久了，還放著服務器的漏洞不補給人家當靶子用。誰也不敢保證數百萬行以上代碼的2003不出一點安全漏洞，經常訪問微軟和一些安全站點，下載最新的servicepack和漏洞補丁，是保障服務器長久安全的唯一方法。

the safety of network server maintenance is very important, any leaks are likely to bring the whole campus network safe hidden trouble, even the whole campus network for paralysis, of the school's teaching and management will have a big impact. Based on the server windows2003operating system as an example, mainly from the system accounts, password safe, Settings, network Settings to explore server security aspects maintain skills.

10.3969/j.issn.1001-8972.2011.12.056

魏鵬（1973.2-），河南孟津人，本科，講師職稱，現系義馬煤炭高級技工學校教務科教師，研究方向：計算機教學、系統集成應用。