服務(wù)器安全配置工具的研究與實(shí)現(xiàn)

摘 要：雖然網(wǎng)絡(luò)技術(shù)有所提高，非法者的入侵技術(shù)也越來越高，而服務(wù)器的安全問題關(guān)系到網(wǎng)絡(luò)用戶的安全使用，一旦服務(wù)器被入侵，就會(huì)使數(shù)據(jù)和信息的泄露和丟失，這樣就會(huì)給用戶造成不小的損失。所以必須設(shè)置安全的配置工具，有效的防止非法者入侵。筆者針對(duì)服務(wù)器安全配置工具的研究與實(shí)現(xiàn)作了一系列的探討，希望對(duì)廣大的相關(guān)工作者能夠有所幫助。

關(guān)鍵詞：服務(wù)器；安全配置；工具；設(shè)置；注冊(cè)表

中圖分類號(hào)：TP393 1

1 如何設(shè)計(jì)安全配置工具

在對(duì)服務(wù)器的安全配置進(jìn)行設(shè)置之前，首先要進(jìn)行設(shè)計(jì)，使其中的每一個(gè)系統(tǒng)都能夠滿足安全要求。因?yàn)橐粋€(gè)安全配置工具是由許多個(gè)部分所組成的，每一個(gè)部分的模塊都有所不同，同時(shí)這些模塊和部分又是相互獨(dú)立、相互配合的，這樣它們就可以組成一個(gè)安全配置工具。

在設(shè)計(jì)安全配置工具的時(shí)候，需注意，安全配置工具是一個(gè)注冊(cè)表操作的應(yīng)用程序。不管是對(duì)于系統(tǒng)本身還是用戶，都被分為以下幾種方式，這幾種方式分別是開機(jī)管理項(xiàng)目、桌面管理、軟件管理、密碼管理、賬戶管理、系統(tǒng)管理、sql存儲(chǔ)等等。同時(shí)，這些部分都是分開進(jìn)行處理和執(zhí)行的，比如密碼管理、桌面管理、軟件管理是通過注冊(cè)表來進(jìn)行處理的，而系統(tǒng)管理、防火墻、桌面管理既要進(jìn)行批處理，又要經(jīng)過注冊(cè)表，才能夠進(jìn)行處理。

2 服務(wù)器安全配置工具的研究與實(shí)現(xiàn)

2.1 對(duì)總系統(tǒng)進(jìn)行設(shè)置

在對(duì)Windows2003進(jìn)行設(shè)置的時(shí)候，首先要將幾個(gè)技術(shù)線路相結(jié)合，比如批處理和DOS命令，然后對(duì)服務(wù)器的安全配置進(jìn)行分析，設(shè)置的時(shí)候要利用注冊(cè)表，接著再用剛才的技術(shù)線路對(duì)服務(wù)器安全配置工具進(jìn)行封裝，最后就可以實(shí)現(xiàn)整個(gè)服務(wù)器安全配置了。

對(duì)批處理進(jìn)行操作的時(shí)候，首先要將功能代碼都封裝在批處理當(dāng)中，因?yàn)槌绦蛑幸獔?zhí)行命令的是批處理，在其中放入批處理的名稱便可以了。其中的函數(shù)會(huì)自動(dòng)的獲取批處理文件，從而執(zhí)行命令，實(shí)現(xiàn)安全配置。

對(duì)注冊(cè)表進(jìn)行操作的時(shí)候，可以進(jìn)行讀取，也可以對(duì)注冊(cè)表進(jìn)行修改，必須運(yùn)用函數(shù)來進(jìn)行操作，同時(shí)，還要獲得函數(shù)中的value值。

2.2 對(duì)系統(tǒng)分功能的實(shí)現(xiàn)

首先要進(jìn)入開機(jī)啟動(dòng)項(xiàng)，因?yàn)檫@是系統(tǒng)的入口，在進(jìn)入之后便可以將其打開，這個(gè)部分包括了valname、value、type等項(xiàng)目，這樣便能夠明確計(jì)算機(jī)的運(yùn)行時(shí)間、地址、用戶情況等等。而系統(tǒng)的自動(dòng)更新，則是通過修改注冊(cè)表項(xiàng)值來進(jìn)行實(shí)現(xiàn)，這種自動(dòng)更新是時(shí)間、日期的自動(dòng)配置。

另外還要對(duì)危險(xiǎn)進(jìn)程及端口進(jìn)行限制，限制的時(shí)候要分三個(gè)步驟，第一個(gè)是在批處理的基礎(chǔ)之上，利用防火墻來對(duì)危險(xiǎn)進(jìn)程和端口進(jìn)行阻擋。第二個(gè)也必須建立在批處理的基礎(chǔ)上，對(duì)Ipsec的端口進(jìn)行檢測(cè)與阻擋。第三個(gè)則是在注冊(cè)表的基礎(chǔ)上繼續(xù)修改，從而對(duì)遠(yuǎn)程端口進(jìn)行檢測(cè)。在將批處理進(jìn)行加載了之后，然后再進(jìn)行導(dǎo)入，再進(jìn)行策略的過程當(dāng)中，要通過控制臺(tái)編制、導(dǎo)入到其他的計(jì)算機(jī)當(dāng)中。如果是對(duì)模板比較的了解，還可以對(duì)文本進(jìn)行編輯，這種方法比較的簡(jiǎn)單、易于操作。模板文件配置好以后，就要對(duì)組策略安全配置進(jìn)行操作了，最后再利用批處理對(duì)安全模板進(jìn)行安裝。

要進(jìn)行軟件卸載的時(shí)候，首先要查看其安裝的程序，再?gòu)淖?cè)表中對(duì)數(shù)據(jù)進(jìn)行讀取，還要調(diào)用該軟件的卸載程序。

2.3 對(duì)IIS的配置

從目前普遍使用的windows系統(tǒng)來看，一般服務(wù)器均是基于IIS6.0設(shè)計(jì)的。為此，在進(jìn)行服務(wù)器安全配置的工作時(shí)，加強(qiáng)對(duì)IIS的配置同樣顯得十分重要。一般可從以下幾個(gè)方面進(jìn)行IIS配置。

（1）幫助IIS文件分類設(shè)置訪問權(quán)限。在這方面的工作中，主要是對(duì)于IIS當(dāng)中的各種文件及文件夾進(jìn)行必要的讀、寫權(quán)限分配。不過一個(gè)文件夾往往只是單獨(dú)設(shè)置只讀權(quán)限，或是寫入權(quán)限與執(zhí)行權(quán)限分開，以免某些非法入侵者借助互聯(lián)網(wǎng)向站點(diǎn)上傳并執(zhí)行惡意代碼，給服務(wù)器的安全運(yùn)行造成嚴(yán)重的影響或破壞。而且在目錄的瀏覽這一功能上面，也需要加強(qiáng)安全防范，以免非法入侵者利用檢索功能尋找目錄文件中可能存在的漏洞，并對(duì)服務(wù)器進(jìn)行攻擊。

（2）保護(hù)日志安全?，F(xiàn)階段，IIS的日志記錄默認(rèn)是保存在 %WinDir%＼System32＼LogFiles 下，給網(wǎng)絡(luò)非法入侵者集中入侵服務(wù)器的IIS日志記錄提供了可行的條件，嚴(yán)重影響了Web日志的安全性。針對(duì)此種情況，需要我們對(duì)IIS日志記錄的保存途徑做一個(gè)修改，最好是將其設(shè)置在較為隱蔽的位置。而且，IIS日志記錄一般是用于幫助管理人員了解當(dāng)前系統(tǒng)運(yùn)行及安全狀況而設(shè)計(jì)的，普通用戶通常不需要對(duì)其進(jìn)行訪問。因此，可以考慮將IIS日志記錄存放在NTFS分區(qū)之中，并將其權(quán)限設(shè)置為僅管理人員方可訪問，進(jìn)一步增強(qiáng)服務(wù)器的運(yùn)行安全。

2.4 對(duì)數(shù)據(jù)庫(kù)的配置

在現(xiàn)有的互聯(lián)網(wǎng)站當(dāng)中，幾乎所有的網(wǎng)站均是基于動(dòng)態(tài)的形式設(shè)計(jì)完成的。而且基本上都是采用Access、SQL Server等作為后臺(tái)數(shù)據(jù)庫(kù)。在此方面的配置上，一般就需要根據(jù)不同類型的數(shù)據(jù)庫(kù)的特點(diǎn)進(jìn)行配置。在這里主要針對(duì)Access數(shù)據(jù)庫(kù)和SQL Server數(shù)據(jù)庫(kù)的配置進(jìn)行研究，具體如下。

（1）基于Access數(shù)據(jù)庫(kù)的服務(wù)器配置。為了防止數(shù)據(jù)庫(kù)的參數(shù)信息被非法盜用或下載，一般在對(duì)Access數(shù)據(jù)庫(kù)進(jìn)行配置時(shí)，可以通過對(duì)數(shù)據(jù)庫(kù)的后綴名進(jìn)行修改，或是在數(shù)據(jù)庫(kù)的名稱前面加上“#”號(hào)來實(shí)現(xiàn)。此外，最好還要將數(shù)據(jù)庫(kù)存放在web的目錄外，并使用ODBC數(shù)據(jù)源等來進(jìn)一步提高Access數(shù)據(jù)庫(kù)的安全性。

（2）基于SQL Server數(shù)據(jù)庫(kù)的服務(wù)器配置。若是采用SQL Server數(shù)據(jù)庫(kù)作為服務(wù)器的后臺(tái)數(shù)據(jù)庫(kù)，則最好是采用混合認(rèn)證用戶身份、設(shè)置較為復(fù)雜的數(shù)據(jù)密碼等方式來加強(qiáng)安全防范的能力，并做好及時(shí)更新和升級(jí)工作。

3 服務(wù)器安全配置的規(guī)則

3.1 限制用戶數(shù)量

在對(duì)用戶賬號(hào)進(jìn)行測(cè)試的時(shí)候，要在用戶組策略設(shè)置一定的權(quán)限，另外，還要對(duì)賬號(hào)進(jìn)行檢查，對(duì)已經(jīng)廢棄，或者不再使用的賬號(hào)進(jìn)行刪除。必須要限制用戶數(shù)量，因?yàn)槿绻脩籼嗔?，?huì)給管理帶來一定的難度，同時(shí)也會(huì)給入侵者帶來可乘之機(jī)。

3.2 限制管理員的賬號(hào)

管理員賬號(hào)有一定的缺陷，容易被入侵者盜取進(jìn)程中的密碼，或者是查看到運(yùn)行情況。因此，管理者應(yīng)該建立一個(gè)普通的賬號(hào)，而非管理員賬號(hào)，這樣才不會(huì)很容易被盜取信息和數(shù)據(jù)。因?yàn)槿肭终咭坏┍I取了管理員賬號(hào)，就有權(quán)限對(duì)系統(tǒng)和數(shù)據(jù)、信息進(jìn)行篡改，因此也為系統(tǒng)帶來了一定的危險(xiǎn)。

3.3 陷阱賬號(hào)

一些入侵者會(huì)建立一個(gè)類似于普通用戶的假賬號(hào)，進(jìn)入系統(tǒng)內(nèi)部，對(duì)數(shù)據(jù)、信息進(jìn)行盜取。因此，為了防止這一現(xiàn)象發(fā)生，可以將其權(quán)限設(shè)置為最低。或者也可以使用戶的密碼復(fù)雜化，密碼至少是8位數(shù)以上，還要用字母和數(shù)字組合的方式。這樣可以減少被侵入的機(jī)率。

3.4 安裝殺毒軟件

操作系統(tǒng)必須要安裝殺毒的軟件，如果沒有殺毒軟件，就會(huì)給病毒和非法者入侵的機(jī)會(huì)。選擇一款合適的殺毒軟件，不但能夠殺掉一些病毒程序，還可以揪出隱藏在系統(tǒng)中的病毒。此外，通過安裝殺毒軟件，還能夠?qū)⑷肭终甙l(fā)來的不明文件、危險(xiǎn)程序阻擋在服務(wù)器以外。

3.5 禁止采用Guest賬號(hào)

Guest賬號(hào)是不能夠使用的，同時(shí)也是不符合規(guī)范的。如果一定要使用Guest賬號(hào)，則必須給其加上一個(gè)復(fù)雜的密碼，另外還要對(duì)Guest賬號(hào)的屬性進(jìn)行修改，從而防止外來的不明用戶的訪問。

4 總結(jié)與體會(huì)

隨著信息網(wǎng)絡(luò)的普及和用戶的增加，其危險(xiǎn)性和不安全性也在隨之而增加，任何一個(gè)小的安全漏洞都可能被入侵者所利用，從而給用戶帶來?yè)p失。因此，對(duì)服務(wù)器進(jìn)行安全配置顯得非常的重要，但在進(jìn)行安全配置的時(shí)候也需要注意，不一定所有的方法都適用，必須根據(jù)系統(tǒng)、網(wǎng)絡(luò)的實(shí)際情況來進(jìn)行操作和配置，這樣才能保障用戶們的利益。

參考文獻(xiàn)：

[1]彎彎.快速維護(hù)服務(wù)器安全[J].網(wǎng)管員世界，2011（10）：110-111.

[2]陳光.服務(wù)器安全要點(diǎn)[J].網(wǎng)管員世界，2010（11）：92-92.

[3]周濤，葉新恩，劉璀，劉明剛.服務(wù)器虛擬化的安全實(shí)現(xiàn)研究[J].中國(guó)電子商務(wù)，2013（4）：60-62.

作者單位：青海油田公司測(cè)試公司信息檔案部，青海茫崖 816400