常見服務(wù)器安全管理漏洞

      企業(yè)信息化技術(shù)的應(yīng)用，以不可逆轉(zhuǎn)。隨著文件服務(wù)器、ERP管理軟件等等在企業(yè)中生根發(fā)芽，應(yīng)用服務(wù)器也逐漸在企業(yè)中普及起來。以前在企業(yè)中有一臺(tái)應(yīng)用服務(wù)器已經(jīng)是了不起的事情，現(xiàn)在有兩臺(tái)、三臺(tái)的，也不為怪了。

　　但是，企業(yè)應(yīng)用服務(wù)器雖然增加了，可是對這個(gè)應(yīng)用服務(wù)器的安全管理，卻跟不上。隨便到一家企業(yè)看看，總是可以看到一些明顯的安全管理漏洞。下面就把其中一些典型的漏洞列舉出來，就當(dāng)作拋磚引玉，提醒大家注意服務(wù)器的安全管理。

　　一、所有主機(jī)可以Telnet到服務(wù)器。

　　由于服務(wù)器往往都放在一個(gè)特定的空間中，若對于服務(wù)器的任何維護(hù)工作，如查看服務(wù)器的硬盤空間等等，這些工作都需要到服務(wù)器上面去查看的話，很明顯不是很方便。我們希望能夠在我們平時(shí)用的電腦上就可以對服務(wù)器進(jìn)行一些日常的維護(hù)，而不用跑到存放服務(wù)器的房間中去。

　　所以，我們對于服務(wù)器的大部分維護(hù)工作，都可以通過Telnet到服務(wù)器上，以命令行的方式進(jìn)行維護(hù)。這無疑為我們服務(wù)器的管理提供了一個(gè)方便的管理渠道，但是，也給服務(wù)器帶來了一些隱患。

　　當(dāng)非法攻擊者利用某些特定的方法知道Telent的用戶名與密碼之后，就可以在企業(yè)任何一臺(tái)主機(jī)上暢通無阻的訪問服務(wù)器。特別是當(dāng)一些心懷不滿的員工，更容易借此發(fā)泄自己對企業(yè)的不滿。以前我有個(gè)朋友在一家軟件公司中當(dāng)CIO，有個(gè)員工乘管理員不注意的時(shí)候，取得了文件服務(wù)器的Telent用戶名與密碼。后來因?yàn)槠湫孤犊蛻舻臋C(jī)密信息而被公司警告處分。這個(gè)員工心懷不滿，就利用竊取過來的用戶名與密碼，登陸到文件服務(wù)器，刪除了很多文件。還好，在文件服務(wù)器中采取了比較完善的備份制度，才避免了重大的損失。

　　所以，Telent技術(shù)為我們服務(wù)器管理提供了比較方便的手段，但是，其安全風(fēng)險(xiǎn)也不容忽視。一般來說，對于Telent技術(shù)，我們需要注意以下幾個(gè)方面。

　　一是Telent用戶名與密碼跟服務(wù)器的管理員登陸用戶名與密碼最好不一樣。也就是說，在服務(wù)器主機(jī)上登陸的用戶名與密碼，與遠(yuǎn)程Telent到服務(wù)器的管理員用戶名與密碼要不一樣。如此的話，可以把用戶名與密碼泄露對服務(wù)器的危害降到最低。

　　二是最好能夠限制Telent到服務(wù)器的用戶主機(jī)。如我們可以在服務(wù)器上進(jìn)行限制，只允許網(wǎng)絡(luò)管理員的主機(jī)才可以遠(yuǎn)程Telent到服務(wù)器上去。這實(shí)現(xiàn)起來也比較簡單。若是微軟服務(wù)器系統(tǒng)的話，可以利用其本身自帶的安全策略工具實(shí)現(xiàn)。或者可以借助防火墻來限制Telent到服務(wù)器上的IP地址或者M(jìn)AC地址。如此的話，即使用戶名或者密碼泄露，由于有了IP地址或者M(jìn)AC地址的限制，則其他人仍然無法登陸到服務(wù)器上去。如此的話，就可以最大限度的保障只有合法的人員才可以Telent到服務(wù)器上進(jìn)行日常的維護(hù)工作。

　　三是若平時(shí)不用Telent到服務(wù)器管理的話，則把這個(gè)Telent服務(wù)關(guān)閉掉。沒有必要為攻擊者留下一個(gè)后門。

　　二、服務(wù)器的上的共享文件家所有用戶都有訪問權(quán)限。

　　在應(yīng)用服務(wù)器上，我們有時(shí)會(huì)為了維護(hù)的方便，會(huì)在上面建立幾個(gè)共享文件夾。但是，若這些共享文件夾管理不當(dāng)，也會(huì)給應(yīng)用服務(wù)器帶來比較大的安全隱患。

　　如若我們某個(gè)共享文件夾設(shè)置所有用戶都可以無限制的進(jìn)行訪問的話，則會(huì)出現(xiàn)一個(gè)問題，當(dāng)網(wǎng)絡(luò)中若有病毒的話，這些文件夾就很容易被感染。當(dāng)我們在服務(wù)器上不小心打開這些共享文件夾的時(shí)候，服務(wù)器就會(huì)感染病毒，甚至?xí)��?dǎo)致服務(wù)器當(dāng)機(jī)。

　　所以，在服務(wù)器上設(shè)置共享文件夾的時(shí)候需要特別的注意，因?yàn)榉��?wù)器崩潰后，對于企業(yè)的信息化應(yīng)用來說，是致命的。一般情況下，不要在應(yīng)用服務(wù)器上設(shè)置共享文件夾。若一定要的話，則也需要遵循如下的安全原則。

　　一是用好以后需要及時(shí)把文件加設(shè)置為不共享。當(dāng)我們因?yàn)槟撤N需要建立一個(gè)臨時(shí)的共享文件夾時(shí)，當(dāng)我們用完之后，需要及時(shí)把這個(gè)共享文件夾刪除掉，或者改為不共享。及時(shí)清理共享文件夾，使保護(hù)共享文件夾安全的不二法則。

　　二是為共享文件夾設(shè)置最小權(quán)限。平時(shí)在設(shè)置共享文件夾的時(shí)候，我們可能系習(xí)慣了不設(shè)置訪問權(quán)限，所以員工都可以不受限制的訪問共享文件夾。但是，若在文件服務(wù)器上面設(shè)置共享文件夾的時(shí)候，一定需要注意，在設(shè)置共享的時(shí)候，就需要設(shè)置訪問的用戶，最好只有特定的用戶才可以訪問這個(gè)共享文件夾，特別是讀寫權(quán)限需要嚴(yán)格控制。有些人可能會(huì)以為我只是暫時(shí)共享一下，中間不超過十分鐘�？墒�，若網(wǎng)絡(luò)中有病毒的話，則會(huì)自需要一秒鐘的時(shí)間就可以感染共享文件夾。故在服務(wù)器管理的時(shí)候，不能夠有這種僥幸心理。

　　三、沒有關(guān)閉不必要的服務(wù)。

　　在服務(wù)器操作系統(tǒng)安裝的時(shí)候，會(huì)裝了比較多的服務(wù)。如我們在安裝文件服務(wù)器系統(tǒng)的話，默認(rèn)情況下，可能會(huì)開啟WWW服務(wù)、Telent服務(wù)、DSN服務(wù)等等。但是，對于文件服務(wù)器來說，這些服務(wù)往