新手攻略:維護(hù)服務(wù)器安全的七大秘笈(2)

　　技巧三:對(duì)RAS使用回叫功能

　　WindowsNT最酷的功能之一就是對(duì)服務(wù)器進(jìn)行遠(yuǎn)程訪問(RAS)的支持。不幸的是，一個(gè)RAS服務(wù)器對(duì)一個(gè)企圖進(jìn)入你的系統(tǒng)的黑客來說是一扇敞開的大門。黑客們所需要的一切只是一個(gè)電話號(hào)碼，有時(shí)還需要一點(diǎn)耐心，然后就能通過RAS進(jìn)入一臺(tái)主機(jī)了。但你可以采取一些方法來保證RAS服務(wù)器的安全。

　　你所要使用的技術(shù)將在很大程度上取決于你的遠(yuǎn)程用戶如何使用RAS。如果遠(yuǎn)程用戶經(jīng)常是從家里或是類似的不太變動(dòng)的地方呼叫主機(jī)，我建議你使用回叫功能，它允許遠(yuǎn)程用戶登錄以后切斷連接。然后RAS服務(wù)器撥通一個(gè)預(yù)先定義的電話號(hào)碼再次接通用戶。因?yàn)檫@個(gè)號(hào)碼是預(yù)先設(shè)定了的，黑客也就沒有機(jī)會(huì)設(shè)定服務(wù)器回叫的號(hào)碼了。

　　另一個(gè)可選的辦法是限定所有的遠(yuǎn)程用戶都訪問單一的服務(wù)器。你可以將用戶通常訪問的數(shù)據(jù)放置在RAS服務(wù)器的一個(gè)特殊的共享點(diǎn)上。你于是可以將遠(yuǎn)程用戶的訪問限制在一臺(tái)服務(wù)器上，而不是整個(gè)網(wǎng)絡(luò)。這樣，即使黑客通過破壞手段來進(jìn)入主機(jī)，那么他們也會(huì)被隔離在單一的一臺(tái)機(jī)器上，在這里，他們?cè)斐傻钠茐谋粶p少到了最小。

　　最后還有一個(gè)技巧就是在你的RAS服務(wù)器上使用出人意料的協(xié)議。我知道的每一個(gè)人都使用TCP/IP協(xié)議作為RAS協(xié)議�？紤]到TCP/IP協(xié)議本身的性質(zhì)和典型的用途，這看起來象是一個(gè)合理的選擇。但是，RAS還支持IPX/SPX和NetBEUI協(xié)議。如果你使用NetBEUI作為你RAS的協(xié)議，你確實(shí)可以迷惑一些不加提防的黑客。

　　技巧四:考慮工作站的安全問題

　　在一個(gè)關(guān)于服務(wù)器安全的文章里談?wù)摴ぷ髡镜陌踩�看起來很奇怪。但是，工作站正是通向服�?wù)器的一個(gè)端口。加強(qiáng)工作站的安全能夠提高整個(gè)網(wǎng)絡(luò)的安全性。對(duì)于初學(xué)者，我建議在所有的工作站上使用Windows 2000。Windows 2000是一個(gè)非常安全的操作系統(tǒng)。如果你并不想這樣做，那么至少使用Windows NT。你可以鎖定工作站，使得一些沒有安全訪問權(quán)的人想要獲得網(wǎng)絡(luò)配置信息變得困難或是不可能。

　　另一個(gè)技術(shù)是控制哪個(gè)人能夠訪問哪臺(tái)工作站。例如，有一個(gè)員工叫Bob，并且你已經(jīng)知道他是一個(gè)麻煩制造者。顯然，你不想Bob能夠在午餐的時(shí)候打開他朋友的電腦或是差上他自己的筆記本然后黑掉整個(gè)系統(tǒng)。因此，你應(yīng)該使用工作組用戶管理程序還修改Bob的帳號(hào)以便他只能從他自己的電腦(并且是在你指定的時(shí)間內(nèi))登錄。Bob遠(yuǎn)不太可能從他自己的電腦上攻擊網(wǎng)絡(luò)，因?yàn)樗�知道別人可以將他追查出來。

　　另一個(gè)技術(shù)是將工作站的功能限定為一個(gè)啞終端，或者，我沒有更好的詞語來形容，一個(gè)"聰明的"啞終端�？偟膩碚f，它的意思是沒有任何數(shù)據(jù)和應(yīng)用程序駐留在獨(dú)立的工作站上。當(dāng)你將計(jì)算機(jī)作為啞終端使用的時(shí)候，服務(wù)器被配置成運(yùn)行Windows NT 終端服務(wù)程序，而且所有的應(yīng)用程序物理上都運(yùn)行在服務(wù)器上。所有送到工作站的東西都不過是更新的屏幕顯示而已。這意味著工作站上只有一個(gè)最小化的Windows版本和一份微軟終端服務(wù)程序的客戶端。使用這種方法也許是最安全的網(wǎng)絡(luò)設(shè)計(jì)方案。

　　使用一個(gè)"聰明"的啞終端就是說程序和數(shù)據(jù)駐留在服務(wù)器上但卻在工作站上運(yùn)行。所有安裝在工作站上的是一份Windows拷貝以及一些指向駐留在服務(wù)器上的應(yīng)用程序的圖標(biāo)。當(dāng)你點(diǎn)擊一個(gè)圖標(biāo)運(yùn)行程序時(shí)，這個(gè)程序?qū)⑹褂帽镜氐馁Y源來運(yùn)行，而不是消耗服務(wù)器的資源。這比你運(yùn)行一個(gè)完全的啞終端程序?qū)Ψ��?wù)器造成的壓力要小得多。