摘 要：雖然網(wǎng)絡(luò)技術(shù)有所提高，非法者的入侵技術(shù)也越來越高，而服務(wù)器的安全問題關(guān)系到網(wǎng)絡(luò)用戶的安全使用，一旦服務(wù)器被入侵，就會使數(shù)據(jù)和信息的泄露和丟失，這樣就會給用戶造成不小的損失。所以必須設(shè)置安全的配置工具，有效的防止非法者入侵。筆者針對服務(wù)器安全配置工具的研究與實現(xiàn)作了一系列的探討，希望對廣大的相關(guān)工作者能夠有所幫助。

關(guān)鍵詞：服務(wù)器；安全配置；工具；設(shè)置；注冊表

中圖分類號：TP393 1

1 如何設(shè)計安全配置工具

在對服務(wù)器的安全配置進(jìn)行設(shè)置之前，首先要進(jìn)行設(shè)計，使其中的每一個系統(tǒng)都能夠滿足安全要求。因為一個安全配置工具是由許多個部分所組成的，每一個部分的模塊都有所不同，同時這些模塊和部分又是相互獨立、相互配合的，這樣它們就可以組成一個安全配置工具。

在設(shè)計安全配置工具的時候，需注意，安全配置工具是一個注冊表操作的應(yīng)用程序。不管是對于系統(tǒng)本身還是用戶，都被分為以下幾種方式，這幾種方式分別是開機(jī)管理項目、桌面管理、軟件管理、密碼管理、賬戶管理、系統(tǒng)管理、sql存儲等等。同時，這些部分都是分開進(jìn)行處理和執(zhí)行的，比如密碼管理、桌面管理、軟件管理是通過注冊表來進(jìn)行處理的，而系統(tǒng)管理、防火墻、桌面管理既要進(jìn)行批處理，又要經(jīng)過注冊表，才能夠進(jìn)行處理。

2 服務(wù)器安全配置工具的研究與實現(xiàn)

2.1 對總系統(tǒng)進(jìn)行設(shè)置

在對Windows2003進(jìn)行設(shè)置的時候，首先要將幾個技術(shù)線路相結(jié)合，比如批處理和DOS命令，然后對服務(wù)器的安全配置進(jìn)行分析，設(shè)置的時候要利用注冊表，接著再用剛才的技術(shù)線路對服務(wù)器安全配置工具進(jìn)行封裝，最后就可以實現(xiàn)整個服務(wù)器安全配置了。

對批處理進(jìn)行操作的時候，首先要將功能代碼都封裝在批處理當(dāng)中，因為程序中要執(zhí)行命令的是批處理，在其中放入批處理的名稱便可以了。其中的函數(shù)會自動的獲取批處理文件，從而執(zhí)行命令，實現(xiàn)安全配置。

對注冊表進(jìn)行操作的時候，可以進(jìn)行讀取，也可以對注冊表進(jìn)行修改，必須運用函數(shù)來進(jìn)行操作，同時，還要獲得函數(shù)中的value值。

2.2 對系統(tǒng)分功能的實現(xiàn)

首先要進(jìn)入開機(jī)啟動項，因為這是系統(tǒng)的入口，在進(jìn)入之后便可以將其打開，這個部分包括了valname、value、type等項目，這樣便能夠明確計算機(jī)的運行時間、地址、用戶情況等等。而系統(tǒng)的自動更新，則是通過修改注冊表項值來進(jìn)行實現(xiàn)，這種自動更新是時間、日期的自動配置。

另外還要對危險進(jìn)程及端口進(jìn)行限制，限制的時候要分三個步驟，第一個是在批處理的基礎(chǔ)之上，利用防火墻來對危險進(jìn)程和端口進(jìn)行阻擋。第二個也必須建立在批處理的基礎(chǔ)上，對Ipsec的端口進(jìn)行檢測與阻擋。第三個則是在注冊表的基礎(chǔ)上繼續(xù)修改，從而對遠(yuǎn)程端口進(jìn)行檢測。在將批處理進(jìn)行加載了之后，然后再進(jìn)行導(dǎo)入，再進(jìn)行策略的過程當(dāng)中，要通過控制臺編制、導(dǎo)入到其他的計算機(jī)當(dāng)中。如果是對模板比較的了解，還可以對文本進(jìn)行編輯，這種方法比較的簡單、易于操作。模板文件配置好以后，就要對組策略安全配置進(jìn)行操作了，最后再利用批處理對安全模板進(jìn)行安裝。

要進(jìn)行軟件卸載的時候，首先要查看其安裝的程序，再從注冊表中對數(shù)據(jù)進(jìn)行讀取，還要調(diào)用該軟件的卸載程序。

2.3 對IIS的配置

從目前普遍使用的windows系統(tǒng)來看，一般服務(wù)器均是基于IIS6.0設(shè)計的。為此，在進(jìn)行服務(wù)器安全配置的工作時，加強(qiáng)對IIS的配置同樣顯得十分重要。一般可從以下幾個方面進(jìn)行IIS配置。

（1）幫助IIS文件分類設(shè)置訪問權(quán)限。在這方面的工作中，主要是對于IIS當(dāng)中的各種文件及文件夾進(jìn)行必要的讀、寫權(quán)限分配。不過一個文件夾往往只是單獨設(shè)置只讀權(quán)限，或是寫入權(quán)限與執(zhí)行權(quán)限分開，以免某些非法入侵者借助互聯(lián)網(wǎng)向站點上傳并執(zhí)行惡意代碼，給服務(wù)器的安全運行造成嚴(yán)重的影響或破壞。而且在目錄的瀏覽這一功能上面，也需要加強(qiáng)安全防范，以免非法入侵者利用檢索功能尋找目錄文件中可能存在的漏洞，并對服務(wù)器進(jìn)行攻擊。

（2）保護(hù)日志安全。現(xiàn)階段，IIS的日志記錄默認(rèn)是保存在 %WinDir%＼System32＼LogFiles 下，給網(wǎng)絡(luò)非法入侵者集中入侵服務(wù)器的IIS日志記錄提供了可行的條件，嚴(yán)重影響了Web日志的安全性。針對此種情況，需要我們對IIS日志記錄的保存途徑做一個修改，最好是將其設(shè)置在較為隱蔽的位置。而且，IIS日志記錄一般是用于幫助管理人員了解當(dāng)前系統(tǒng)運行及安全狀況而設(shè)計的，普通用戶通常不需要對其進(jìn)行訪問。因此，可以考慮將IIS日志記錄存放在NTFS分區(qū)之中，并將其權(quán)限設(shè)置為僅管理人員方可訪問，進(jìn)一步增強(qiáng)服務(wù)器的運行安全。

2.4 對數(shù)據(jù)庫的配置

在現(xiàn)有的互聯(lián)網(wǎng)站當(dāng)中，幾乎所有的網(wǎng)站均是基于動態(tài)的形式設(shè)計完成的。而且基本上都是采用Access、SQL Server等作為后臺數(shù)據(jù)庫。在此方面的配置上，一般就需要根據(jù)不同類型的數(shù)據(jù)庫的特點進(jìn)行配置。在這里主要針對Access數(shù)據(jù)庫和SQL Server數(shù)據(jù)庫的配置進(jìn)行研究，具體如下。

（1）基于Access數(shù)據(jù)庫的服務(wù)器配置。為了防止數(shù)據(jù)庫的參數(shù)信息被非法盜用或下載，一般在對Access數(shù)據(jù)庫進(jìn)行配置時，可以通過對數(shù)據(jù)庫的后綴名進(jìn)行修改，或是在數(shù)據(jù)庫的名稱前面加上“#”號來實現(xiàn)。此外，最好還要將數(shù)據(jù)庫存放在web的目錄外，并使用ODBC數(shù)據(jù)源等來進(jìn)一步提高Access數(shù)據(jù)庫的安全性。

（2）基于SQL Server數(shù)據(jù)庫的服務(wù)器配置。若是采用SQL Server數(shù)據(jù)庫作為服務(wù)器的后臺數(shù)據(jù)庫，則最好是采用混合認(rèn)證用戶身份、設(shè)置較為復(fù)雜的數(shù)據(jù)密碼等方式來加強(qiáng)安全防范的能力，并做好及時更新和升級工作。

3 服務(wù)器安全配置的規(guī)則

3.1 限制用戶數(shù)量

在對用戶賬號進(jìn)行測試的時候，要在用戶組策略設(shè)置一定的權(quán)限，另外，還要對賬號進(jìn)行檢查，對已經(jīng)廢棄，或者不再使用的賬號進(jìn)行刪除。必須要限制用戶數(shù)量，因為如果用戶太多了，會給管理帶來一定的難度，同時也會給入侵者帶來可乘之機(jī)。

3.2 限制管理員的賬號

管理員賬號有一定的缺陷，容易被入侵者盜取進(jìn)程中的密碼，或者是查看到運行情況。因此，管理者應(yīng)該建立一個普通的賬號，而非管理員賬號，這樣才不會很容易被盜取信息和數(shù)據(jù)。因為入侵者一旦盜取了管理員賬號，就有權(quán)限對系統(tǒng)和數(shù)據(jù)、信息進(jìn)行篡改，因此也為系統(tǒng)帶來了一定的危險。

3.3 陷阱賬號

一些入侵者會建立一個類似于普通用戶的假賬號，進(jìn)入系統(tǒng)內(nèi)部，對數(shù)據(jù)、信息進(jìn)行盜取。因此，為了防止這一現(xiàn)象發(fā)生，可以將其權(quán)限設(shè)置為最低?；蛘咭部梢允褂脩舻拿艽a復(fù)雜化，密碼至少是8位數(shù)以上，還要用字母和數(shù)字組合的方式。這樣可以減少被侵入的機(jī)率。

3.4 安裝殺毒軟件

操作系統(tǒng)必須要安裝殺毒的軟件，如果沒有殺毒軟件，就會給病毒和非法者入侵的機(jī)會。選擇一款合適的殺毒軟件，不但能夠殺掉一些病毒程序，還可以揪出隱藏在系統(tǒng)中的病毒。此外，通過安裝殺毒軟件，還能夠?qū)⑷肭终甙l(fā)來的不明文件、危險程序阻擋在服務(wù)器以外。

3.5 禁止采用Guest賬號

Guest賬號是不能夠使用的，同時也是不符合規(guī)范的。如果一定要使用Guest賬號，則必須給其加上一個復(fù)雜的密碼，另外還要對Guest賬號的屬性進(jìn)行修改，從而防止外來的不明用戶的訪問。

4 總結(jié)與體會

隨著信息網(wǎng)絡(luò)的普及和用戶的增加，其危險性和不安全性也在隨之而增加，任何一個小的安全漏洞都可能被入侵者所利用，從而給用戶帶來損失。因此，對服務(wù)器進(jìn)行安全配置顯得非常的重要，但在進(jìn)行安全配置的時候也需要注意，不一定所有的方法都適用，必須根據(jù)系統(tǒng)、網(wǎng)絡(luò)的實際情況來進(jìn)行操作和配置，這樣才能保障用戶們的利益。

參考文獻(xiàn)：

[1]彎彎.快速維護(hù)服務(wù)器安全[J].網(wǎng)管員世界，2011（10）：110-111.

[2]陳光.服務(wù)器安全要點[J].網(wǎng)管員世界，2010（11）：92-92.

[3]周濤，葉新恩，劉璀，劉明剛.服務(wù)器虛擬化的安全實現(xiàn)研究[J].中國電子商務(wù)，2013（4）：60-62.

作者單位：青海油田公司測試公司信息檔案部，青海茫崖 816400