何欣

摘 要：網(wǎng)站服務(wù)器是數(shù)字化校園體系結(jié)構(gòu)的重要組成部分，它對(duì)校園的數(shù)據(jù)安全和網(wǎng)絡(luò)管理有著較大的影響。結(jié)合多年的實(shí)踐經(jīng)驗(yàn)，重點(diǎn)圍繞服務(wù)器安全、IIS安全系統(tǒng)和防護(hù)安全隱患等環(huán)節(jié)探討了校園網(wǎng)絡(luò)管理工作，并提出合理、有效的防范措施，以供參考。

關(guān)鍵詞：校園網(wǎng)站；服務(wù)器安全；ISS安全；防范措施

中圖分類號(hào)：TP393.18 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2095-6835（2014）07-0147-02

目前，國內(nèi)許多學(xué)校相繼建立了自己的網(wǎng)站，用于資源共享、文化交流和信息查詢等。這樣做，不僅有利于相關(guān)工作的開展，同時(shí)，也為廣大師生提供了學(xué)習(xí)知識(shí)、采集資料和與內(nèi)外界各方交流的平臺(tái)。但是，計(jì)算機(jī)網(wǎng)絡(luò)體系、結(jié)構(gòu)有其獨(dú)特的復(fù)雜性和開放性，網(wǎng)絡(luò)入侵和攻擊現(xiàn)象非常普遍，且校園Web網(wǎng)站服務(wù)器平臺(tái)經(jīng)常是網(wǎng)絡(luò)入侵的首要攻擊對(duì)象，因此，學(xué)校網(wǎng)絡(luò)管理人員必須重視網(wǎng)站服務(wù)器的防范工作，以確保網(wǎng)站服務(wù)器的安全運(yùn)行。

1 服務(wù)器安全

服務(wù)器安全是最基礎(chǔ)也是最重要的，雖然Windows Server 2003的安全性較以前的版本有了很大的提高，但是，不能完全依靠默認(rèn)的安全設(shè)置，要根據(jù)服務(wù)器的性質(zhì)進(jìn)行安全配置。

1.1 安裝殺毒軟件和系統(tǒng)補(bǔ)丁

殺毒軟件不僅能殺掉一些病毒，還能查殺大量的木馬和后門程序。安裝了殺毒軟件后，黑客使用的木馬就沒有了用武之地，但是要注意的是必須要經(jīng)常升級(jí)病毒庫。

要及時(shí)給系統(tǒng)安裝安全漏洞補(bǔ)丁程序。漏洞是指操作系統(tǒng)或應(yīng)用程序在邏輯設(shè)計(jì)上的缺陷或在編寫時(shí)產(chǎn)生的錯(cuò)誤，這個(gè)缺陷或錯(cuò)誤可以被黑客利用，通過植入木馬、病毒等方式來攻擊網(wǎng)絡(luò)上的服務(wù)器，從而竊取網(wǎng)絡(luò)中的重要資料和信息，甚至破壞網(wǎng)絡(luò)系統(tǒng)。

1.2 開啟防火墻

Windows Server 2003自身帶有網(wǎng)絡(luò)防火墻，并可改變端口。將Internet與防火墻連接起來，可以有效地?cái)r截對(duì)Windows 2003服務(wù)器的非法入侵，防止非法遠(yuǎn)程主機(jī)對(duì)服務(wù)器的掃描，提高Windows 2003服務(wù)器的安全性。

1.3 關(guān)閉不需要的端口

很多入侵都是基于端口的，一些看似不必要的端口，卻可以向黑客透露操作系統(tǒng)中的敏感信息。如果對(duì)端口進(jìn)一步訪問，黑客就會(huì)清楚服務(wù)器上軟件及其版本的一些信息，這對(duì)黑客的入侵提供了很大的幫助，在配置服務(wù)器安全時(shí)，只開放需要的端口即可。

1.4 關(guān)閉不需要的服務(wù)

禁止不需要的服務(wù)，這些服務(wù)很可能會(huì)成為攻擊者入侵的通道，因此，要盡量關(guān)閉多余的服務(wù)，減少一些安全隱患。比如以下這些服務(wù)，不需要就可以關(guān)閉：Computer Browser，Task scheduler，Routing and Remote Access，Removable storage，Remote Registry Service，Print Spooler，IPSEC Policy Agent，Distributed Link Tracking Client，Telnet等。

1.5 刪除默認(rèn)共享

Windows系統(tǒng)默認(rèn)安裝完成后，系統(tǒng)中所有分區(qū)和系統(tǒng)文件夾都已經(jīng)自動(dòng)共享，這被稱為默認(rèn)共享。這些共享文件夾都是隱藏的，但它會(huì)對(duì)系統(tǒng)造成很大的安全隱患，所以，必須要?jiǎng)h除默認(rèn)共享，防止入侵。

1.5.1 使用注冊(cè)表刪除默認(rèn)共享

要?jiǎng)h除默認(rèn)共享，具體操作步驟如下：①在“開始”|“程序”|“運(yùn)行”中輸入命令regedit，打開注冊(cè)表編輯器；②在注冊(cè)表編輯器中展開HKEY_LOCAL_MACHINE＼SYSTEM＼Current ControlSet＼Services＼lanmanserver＼parameters分支，將右側(cè)窗口中的DOWRD值“AutoShareServer”設(shè)置為“0”；③重新啟動(dòng)計(jì)算機(jī)系統(tǒng)。

1.5.2 使用批處理刪除默認(rèn)共享

如果使用命令刪除默認(rèn)共享，那么，在服務(wù)器重啟時(shí)又會(huì)還原。每次都執(zhí)行刪除命令比較麻煩，所以，可以將其編寫成一個(gè)批處理文件添加到組策略中，每次服務(wù)器開機(jī)時(shí)會(huì)自動(dòng)執(zhí)行該命令。

1.6 禁止遠(yuǎn)程枚舉本地賬戶和共享

這樣做的目的是防止黑客的病毒軟件通過遠(yuǎn)程賬戶和共享途徑破解計(jì)算機(jī)密碼，并獲取各類權(quán)限。要解決這個(gè)問題的具體方法是：在“運(yùn)行”對(duì)話框中輸入“secpol.msc”，打開本地安全設(shè)置，展開本地安全設(shè)置左側(cè)欄中的“安全選項(xiàng)”，在右窗格中找到“網(wǎng)絡(luò)訪問”：不允許SAM賬戶和共享的匿名連接兩項(xiàng)服務(wù)，雙擊它，在“狀態(tài)”中點(diǎn)擊“已啟用”。

2 IIS安全

2.1 定期訪問網(wǎng)站前臺(tái)查看是否正常

管理員要定期訪問網(wǎng)站，至少每天早晨和晚上要進(jìn)行一次訪問，及時(shí)發(fā)現(xiàn)威脅，這樣做是因?yàn)楹诳腿肭质录蠖喟l(fā)生在夜間。

2.2 修改默認(rèn)站點(diǎn)

刪除默認(rèn)建立的站點(diǎn)虛擬目錄，停止默認(rèn)Web站點(diǎn)，刪除相對(duì)應(yīng)的文件目錄C：＼inetpub，配置所有站點(diǎn)的公共設(shè)置，設(shè)置好相關(guān)的連接數(shù)限制、帶寬設(shè)置和性能設(shè)置等其他設(shè)置。配置應(yīng)用程序映射，刪除所有不必要的應(yīng)用程序擴(kuò)展，只保留asp，php，cgi，pl，aspx應(yīng)用程序擴(kuò)展。對(duì)php和cgi，推薦使用isapi方式解析，因?yàn)橛胑xe解析對(duì)安全和性能都有所影響。用戶程序調(diào)試設(shè)置后，會(huì)發(fā)送文本錯(cuò)誤信息給用戶。

3 防護(hù)安全隱患

盡管Windows 2003的功能在不斷增強(qiáng)，但是由于系統(tǒng)設(shè)計(jì)的原因，它還存在不少安全隱患，要是不對(duì)這些隱患進(jìn)行防護(hù)，可能會(huì)給整個(gè)系統(tǒng)帶來不必要的麻煩，下面筆者就介紹Windows 2003中不常見安全隱患的防護(hù)方法。

3.1 防護(hù)自動(dòng)保存隱患

要解決自動(dòng)保存隱患，具體步驟如下：①在注冊(cè)表編輯器中

展開HKEY_local_machine＼software＼Microsoft＼WindowsdowsNT＼ current Version＼AeDebug分支，在對(duì)應(yīng)AeDebug鍵值的右邊子窗口中，用鼠標(biāo)雙擊Auto值，在彈出的參數(shù)設(shè)置窗口中將其數(shù)值重新設(shè)置為“0”；②打開系統(tǒng)的Windows資源管理器窗口，并在其中依次展開Documents and Settings文件夾、All Users文件夾、Shared Documents文件夾和Dr Watson文件夾，最后將對(duì)應(yīng)Dr Watson文件夾中的User.dmp文件、Drwtsn32.log文件刪除掉；③重新啟動(dòng)系統(tǒng)。

3.2 防護(hù)資源共享隱患

為了局域網(wǎng)用戶相互之間方便傳輸信息，Windows Server 2003系統(tǒng)提供了文件和打印共享功能。不過該功也存在不少的漏洞，給服務(wù)器系統(tǒng)造成了很大的安全隱患，所以，在用完文件和打印共享功能時(shí)，要隨時(shí)將功能關(guān)閉，防護(hù)資源共享隱患。具體操作方法是：打開“網(wǎng)絡(luò)連接”|“屬性”|“本地連接”|“屬性”“Internet協(xié)議（TCP/IP）”的屬性設(shè)置對(duì)話框，取消“Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享”選項(xiàng)，本地計(jì)算機(jī)就沒有辦法對(duì)外提供文件和打印共享服務(wù)了，這樣自然就少了黑客對(duì)系統(tǒng)“通道”的攻擊。

3.3 防護(hù)遠(yuǎn)程訪問隱患

在Windows 2003系統(tǒng)下，要進(jìn)行遠(yuǎn)程網(wǎng)絡(luò)訪問連接時(shí)，該系統(tǒng)下的遠(yuǎn)程桌面功能可以將進(jìn)行網(wǎng)絡(luò)連接時(shí)輸入的用戶名和密碼通過普通明文內(nèi)容方式傳輸給對(duì)應(yīng)連接端的客戶端程序。在明文賬號(hào)傳輸過程中，黑客使用各種嗅探工具，很容易就可以截獲明文賬號(hào)。為了防護(hù)這種安全隱患，要關(guān)閉遠(yuǎn)程服務(wù)，具體方法是：打開“我的電腦”|“屬性”|“遠(yuǎn)程”對(duì)話框，將“允許用戶遠(yuǎn)程連接到這臺(tái)計(jì)算機(jī)”選項(xiàng)取消掉，這樣就可以將遠(yuǎn)程訪問連接功能屏蔽掉，有效防護(hù)遠(yuǎn)程訪問隱患。

3.4 防護(hù)用戶切換隱患

Windows 2003系統(tǒng)提供了快速用戶切換功能，利用該功能可以很輕松地登錄到系統(tǒng)中，但要是執(zhí)行系統(tǒng)“開始”菜單中的“注銷”命令來快速“切換用戶”時(shí)，再用傳統(tǒng)的方式登錄系統(tǒng)，系統(tǒng)很有可能會(huì)將本次登錄錯(cuò)誤地當(dāng)作是對(duì)計(jì)算機(jī)系統(tǒng)的一次暴力“襲擊”，這樣，Windows 2003系統(tǒng)就可能將當(dāng)前登錄的賬號(hào)當(dāng)作非法賬號(hào)鎖定。所以，要防護(hù)用戶切換隱患，具體方法是：打開“開始”|“程序”|“管理工具”|“計(jì)算機(jī)管理”|“用戶和組”|“用戶賬戶”窗口，將“允使用快速用戶切換”選項(xiàng)取消掉。

3.5 防護(hù)頁面交換隱患

在Windows 2003操作系統(tǒng)的頁面交換文件中，隱藏了不少重要隱私信息，這些信息都是在動(dòng)態(tài)中產(chǎn)生的，要是不及時(shí)將它們清除，就很有可能成為黑客的入侵突破口。為此，在關(guān)閉Windows 2003操作系統(tǒng)時(shí)，可自動(dòng)將系統(tǒng)工作時(shí)產(chǎn)生的頁面文件全部刪除掉。

4 結(jié)束語

綜上所述，校園網(wǎng)站服務(wù)器安全防范工作對(duì)校園網(wǎng)絡(luò)的可持續(xù)發(fā)展有著重要的意義。因此，網(wǎng)絡(luò)管理人員應(yīng)認(rèn)識(shí)到校園網(wǎng)站服務(wù)器管理工作的重要性，提高自身網(wǎng)絡(luò)技術(shù)水平，并制訂出一系列切實(shí)、有效的防范措施，最大限度降低服務(wù)器遭受入侵和攻擊的可能性，從而確保校園網(wǎng)站服務(wù)器的安全運(yùn)行。

參考文獻(xiàn)

[1]魯雪皎，牛利華.淺析計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)器的安全運(yùn)行及防御研究[J].科技資訊，2013（31）.

[2]張永海.淺談校園網(wǎng)的服務(wù)器的安全配置管理[J].中國科技博覽，2013（33）.

〔編輯：白潔〕