【IT168 专稿】让服务器一直安全、稳定地运行,是许多网络管理员都要面对的重要“课题”;提到“安全”字眼,相信多数网络管理员都会下意识地“请”来各式各样的安全保护工具,来“护驾”服务器的安全运行。但事实上,许多安全保护工具并不是功能较多的,服务器的安全运行状态仅仅指望它们的“保驾”,也并不是无懈可击的,更多的时候我们还需要从系统自身挖掘,来“堵”住服务器系统存在的各种安全漏洞,让服务器安全更上一层楼!
1、巧改TTL,伪装服务器系统
非法攻击者在攻击服务器系统之前,往往会采用Ping命令来测试一下服务器主机的IP地址,该命令被执行后一般会返回一个TTL数值,在排除了网络中间节点、网络路由等系列因素后,非法攻击者可以依据TTL数值的不同来大概判断出服务器使用了什么类型的操作系统,以便据此来进行有针对性地攻击。为了保护服务器系统的安全,我们可以自己动手,修改服务器系统的TTL数值,让服务器给非法攻击者返回一个错误的测试结果,以便将非法攻击者引入歧途,下面就是具体的修改步骤:
首先用鼠标逐一单击服务器系统桌面中的“开始”、“运行”菜单命令,在弹出的系统运行对话框中,输入“regedit.exe”字符串命令,单击“确定”按钮后,进入到服务器系统的注册表编辑窗口;
其次在注册表编辑窗口的左侧显示窗格中,用鼠标展开其中的注册表分支“HKEY_LOCAL_MACHINE”,然后依次选中该分支下面的注册表子项“SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”,在“Parameters”子项所对应的右侧显示窗格中,检查一下是否存在一个名为“DefaultTTL”的双字节值,要是没有找到该键值的话,那么我们可以直接用鼠标右键单击“Parameters”子项,从随后弹出的快捷菜单中依次选中“新建”/“Dword值”命令,并将新创建的双字节值名称设置为“DefaultTTL”,如图1所示;
 |
| 图1 |
接下来用鼠标双击刚刚创建好的“DefaultTTL”键值,从其后弹出的编辑Dword值对话框中,选中“十进制”选项,并在“数值”文本框中输入“64”,再单击“确定”按钮后,最后按一下键盘中的F5功能键刷新系统注册表,这么一来当非法攻击者再次尝试使用Ping命令来测试一下服务器主机的IP地址时,服务器系统返回给测试者的TTL数值就变成了64,那样的话非法攻击者还以为服务器安装了Linux操作系统。
小提示:一般来说,Windows服务器系统返回的TTL数值通常为128,而Linux服务器系统返回的TTL数值为64。在进行了上面的TTL数值修改操作之后,我们可以按照如下步骤来检测系统的TTL数值是否修改成功:首先打开系统的运行对话框,在其中执行字符串命令“cmd”,单击“确定”后,将系统运行状态切换到MS-DOS状态,并在DOS命令行中输入字符串命令“ping 127.0.0.1”,单击回车键后,我们就能从随后出现的结果信息中看到目前的TTL数值了。2、巧改屏保,拒绝他人乘虚而入
为了提高服务器的管理效率,不少网络管理人员往往会采用自动登录系统的方式来重新启动服务器,要是有朝一日服务器完成自动登录后,网络管理人员恰好不在服务器现场时,那么他人可能会乘虚而入进入到服务器系统中作出一些不利的事情来。为了进一步提高服务器安全防范能力,我们可以通过修改屏幕保护等待时间的办法,来及时让服务器系统处于屏幕安全保护状态而拒绝他人乘虚而入,下面就是具体的实现步骤:
首先以超级管理员身份登录进服务器系统,并在该系统桌面中用鼠标逐一单击“开始”、“运行”菜单命令,从其后弹出的系统运行对话框中,输入“regedit”字符串命令,单击回车键后,进入到服务器系统的注册表编辑窗口;
其次在该窗口的左侧显示区域中,用鼠标展开“HKEY_CURRENT_USER”注册表分支,并从该分支下面依次选中“Control Panel”、“desktop”注册表子项,在“desktop”子项所对应的右侧显示区域中,寻找一下“ScreenSaveActive”键值是否存在,倘若该键值不存在的话,我们可以直接用鼠标右键单击“desktop”子项,并从弹出的快捷菜单中依次选择“新建”、“字符串值”命令,再将新的字符串值取名为“ScreenSaveActive”;
接下来用鼠标双击“ScreenSaveActive”字符串值,从弹出的如图2所示对话框中, 输入数字“1”,并单击“确定”按钮,再按F5功能键刷新一下服务器系统注册表,这样的话服务器在自动登录成功后,在很短时间内就会自动处于屏幕安全保护状态了;
|
| 图2 |
按照相同的操作方法,我们再在“desktop”子项下面创建一个“ScreenSaverlsSecure”的字符串值,并将它的数值也调整为1,如此一来就能强制服务器使用密码保护功能了;同样地,再创建一个“ScreenSaveTimeOut”字符串值,将该键值数值设置得稍微小一些,以便让服务器快速切换到屏幕加密保护状态。3、切断通道,减少服务器隐患
为了随时随地管理服务器,许多网络管理人员会在服务器系统中开通远程连接访问功能,以便希望在Internet网络中的任何角落都可以随心所欲“遥控”管理服务器。从表面上来看,这给Windows服务器系统的管理与维护带来了方便,其实远程连接访问功能一旦开通后,许多非法攻击者或黑客也会利用该功能作为攻击服务器的通道。因此,为了尽可能地减少服务器安全运行的隐患,我们有必要及时将当前创建的各种远程访问连接切断,然后强行关闭远程访问连接功能,下面就是具体的操作步骤:
首先在服务器系统桌面中依次选择“开始”、“运行”菜单命令,并在弹出的运行对话框中,输入“gpedit.msc”字符串命令,单击回车键后,进入到本地服务器的系统组策略编辑界面;
其次在该编辑界面的左侧显示窗格中,将鼠标定位于“用户配置”分支,再用鼠标依次选中该组策略分支下面的“管理模板”/“网络”/“网络连接”策略选项,在“网络连接”选项下面找到“删除所有用户远程访问连接”,并用鼠标双击该策略,打开如图3所示的策略设置界面;
|
| 图3 |
检查一下该设置界面中的“已启用”项目是否处于选中状态,要是还没有选中的话,我们必须及时将它重新选中,再单击一下“确定”按钮返回,那样的话当前与服务器创建的所有远程访问连接都会自动被切断,那样任何企图对服务器进行的远程破坏或攻击都将被强行停止了。此外,为了稳妥起见,我们最好将服务器系统中的远程桌面连接功能和远程桌面协助功能全部关闭掉,具体关闭方法很多媒体上都有介绍,在这里本文就不重复了。4、控制数量,谨防服务器瘫痪
在默认状态下,Windows XP终端服务器对同时访问的连接数量并没有限制,不过当遇到服务器自身性能不是很高的情况下,这种不加限制的终端访问连接可能会导致服务器系统发生瘫痪现象。为了能够保证终端服务器系统安全、稳定地运行,我们可以按照如下步骤来对终端服务器在某一时刻的远程连接数量进行严格控制,避免太多访问连接过度消耗终端服务器资源:
首先以系统管理员帐号登录进Windows XP终端服务器系统中,并在该系统中逐一选择“开始”、“运行”菜单命令,在弹出的系统运行框中,输入“Regedit”字符串命令,单击回车键后,进入到本地系统的注册表编辑窗口;
其次在该编辑窗口的左侧显示区域,用鼠标展开“HKEY_LOCAL_MACHINE”注册表分支,并从中依次选择“SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services”注册表子项,在对应“Terminal Services”子项所在的右侧显示区域中,检查一下是否存在“MaxInstanceCount”双字节值,如果找不到该键值的话,那么可以用鼠标右键单击“Terminal Services”注册表子项,从弹出的快捷菜单中依次选择“新建”、“DWORD值”菜单命令,再将新建双字节值名称取为“MaxInstanceCount”;
|
| 图4 |
接下来用鼠标双击双字节值“MaxInstanceCount”,打开如图4所示的数值设置对话框, 并在其中输入合适的连接数量;比方说,我们希望终端服务器最多只能允许20个用户同时与之建立连接时,那可以选中“十进制”选项,并输入数字“20”,再单击“确定”按钮就能使设置生效了。5、停用端口,保护服务器帐号
我们知道,黑客或非法攻击者往往会通过服务器系统中开通的3389端口,来窃取服务器的特权帐号或超级管理员帐号,一旦这些帐号被盗用的话,那么服务器几乎就变成一台“任人宰割”的裸机了;很显然,停用3389端口,可以有效地防范服务器特权帐号或超级管理员帐号被盗现象的发生。
停用3389端口的方法有很多,例如在Windows XP服务器系统中停用3389端口时,我们可以用鼠标右键单击“我的电脑”图标,并从弹出的右键菜单中执行“属性”命令,然后单击系统属性窗口中的“远程”标签,同时将对应标签页面中的“允许用户远程连接到这台计算机”项目“允许从这台计算机发送远程协助邀请”项目全部取消选中(如图5所示), 最后单击“确定”按钮就可以了。
|
| 图5 |
在Windows 2000、Windows 2003服务器系统中停用3389端口时,我们可以依次单击“开始”/“运行”命令,并在弹出的系统运行对话框中输入“services.msc”字符串命令,单击“确定”按钮后,打开服务器系统的服务列表窗口;用鼠标双击该窗口中的“Terminal Services”服务项目,进入到对应服务的属性设置界面,在该界面中单击“停止”按钮,并将它的启动类型设置为“已禁用”,最后单击“确定”按钮就可以使设置生效了。
