【IT168 专稿】在《网管吐真经:服务器安全八步走本宏观篇》中，我们讲解了服务器安全八步走的前四步，分别是增强网络整体安全，加强服务器本地文件格式安全级别，定期备份数据以及员工机防护的不容忽视。今天我们讲解剩下的四步，相信完善了这八步后你们公司整体网络安全级别会得到大大增加，服务器的安全也大大加强。 

第五步：远程访问不留死角

    大家都知道目前服务器上用到最多的操作系统是MICROSOFT出品的WINDOWS系列，是WINDOWS2000或者WINDOWS2003，而这些系统都内置了一个叫做远程桌面访问的组件。网络管理员可以通过这个远程桌面程序从网络中的其他计算机连接到服务器并进行操作，所有操作就好象直接登录到该服务器上一样，这样在很大程度上省去了跑到中心机房物理接触服务器的工作。很多网络管理员甚至通过远程桌面访问实现了在家中办公，通过家里的ADSL等拨号方式连接到公司服务器上，从而保证了服务器的24小时正常运行。

    远程桌面访问为我们日常工作带来了巨大的便利，但在一定程度上添加了安全隐患。众所周知远程桌面访问是通过3389端口进行连接和管理的，只有打开了这个端口才能正常使用，很多黑客就利用了这个默认的3389端口远程连接到了公司服务器上，再通过密码工具进行暴力破解，因此远程桌面访问采用默认端口的话会造成安全问题。

    如何解决3389端口的安全问题呢？其实我们可以通过修改注册表将远程桌面访问的默认端口3389进行修改，将其修改为类似21或其他常用端口。笔者所在公司就是将其设置为21端口，这样黑客用扫描器扫描服务器时就会发现21端口打开的，他会以为是对外开放了FTP服务，对FTP服务进行攻击，而结果必然是徒劳的。下面简单的为大家介绍一下如何修改默认远程桌面连接端口：

    1.在单位服务器上启动3389远程控制，也就是选择控制面板的“添加删除程序”的“添加删除WINDOWS组件”，找到“终端服务器”将其安装后重新启动计算机完成远程控制启动工作。
    2.在服务器上通过任务栏的“开始->运行->输入regedit”，打开注册表编辑器。
    3.在注册表中找到hkey_local_machine\system\currentcontrolset\control\terminal server\wds\repwd\tds\tcp，将其下的portnumber值从3389修改为21即可，注意10进制和16进制数字的区别。
    4.在注册表中找到hkey_local_machine\system\currentcontrolset\control\terminal server\WINSTATIONS\RDP-TCP,将其下的portnumber值从3389修改为21，同样注意10进制和16进制数字的区别。全部修改后重新启动服务器就完成了服务器上的全部设置。

    通过修改后的远程桌面就只能用类似ip:21的方式来访问了，例如公司IP地址为10.91.30.1,那么在家中进行远程桌面访问时需要在地址处填写10.91.30.1:21进行连接，而连接速度和连接方式和原来没有一点区别。

第六步：漏洞补丁及时更新

    大家都知道WINDOWS系统有个最大的特点就是漏洞太多，经常每隔一段时间微软都会发布一些系统补丁。而大面积的病毒都是通过漏洞来传播的，很多黑客也是利用专有的漏洞扫描器进行攻击的。

    如何有效的避免由于漏洞带来的安全问题呢？打补丁是唯一的方法。

    安装漏洞补丁有两种方法:

    一种是网络管理员手动到微软更新网站进行更新，另一种方法是启动系统的自动更新功能。笔者所在的公司服务器都是采用系统自动更新的方式进行漏洞补丁的弥补。因为手动的话一方面很麻烦需要管理员去操作，另一方面也容易遗忘，网络管理员有可能会因为工作的原因而忘记打补丁。因此建议大家也采用让系统自动更新的方式来打补丁。唯一要注意的是定期重新启动服务器，因为很多补丁虽然可以由系统自动安装，但要让其生效需要重新启动才可以，所以重启这个环节不要遗忘。笔者曾经遇到过专业的网络管理员在纳闷自己的服务器为什么会被攻击，原因就是打了补丁而没有重启来生效。

第七步：服务器的安全防范

    服务器的防范措施很多，笔者根据工作经验总结了以下几点，供大家参考。

    1.将计算机中的帐户密码设置得复杂些，不要保留空密码或弱口令的帐号，将GUEST帐户禁用并删除无用的用户。

    2.关闭不必要的系统服务，如MESSENGER，REMOTE REGISTRY SERVICE等。

    3.关闭无用的共享资源，象系统默认的共享都要关闭，如c$,d$,ipc$,admin$等。

    4.为本机安装杀毒软件及防火墙，从而有效的防范病毒和黑客的入侵。不要以为安装其中之一就可大功告成，需要两者兼得才能起到最大的效果。在防火墙上要配置恰当的规则，杀毒软件也要及时更新病毒库。

第八步：安全设备巧配置

    如果公司有单独的防火墙的话对于这些安全设备的防护也是必须的，因为他们是公司安全的第一道防线，要在防火墙上设置合理的规则，尽量将防火墙放在所有服务器的外头，将公司内部计算机和所有服务器完全保护起来，不要试图对外界开放IP地址，因为IP地址开放得越多网络受到攻击的可能就越大，服务器的安全性也就越低。

    同样有的公司没有添置专门的防火墙，那么可以使用路由器来进行简单的防火墙功能，在路由器上设置必要的访问控制列表ACL可以最大限度阻止病毒和黑客的攻击，不过ACL设置过多也会对网络数据传输有所影响，太简单则又起不到防范的作用，因此设置方面就要把握一个合理的限度，通过少量的ACL条数起到更大的作用。

总结：

    安全是一个恒久的话题，不是今天做完就可以不再管理了，需要网络管理员不断的维护不断的管理，当然网管员自身的安全技术与安全意识也要不断提高，这样才能有效的利用网络为企业提供更好的应用。