您需要监视服务器的安全状态,并定期更新它,这样有助于防止新发现的漏洞被人利用。要帮助保持服务器的安全:
审核组成员身份。 | |
监视审核日志。 | |
保持最新的服务包和修补程序。 | |
执行安全评估。 | |
使用安全通知服务。 |
审核组成员身份
搞清楚用户组成员身份,尤其是特权组(例如管理员)。以下命令列出了 adminstrators 组的成员 :
net localgroup administrators
监视审核日志
定期监视审核日志,并通过手工查看日志文件或者使用“microsoft 知识库文章 296085,“如何:使用 SQL Server 分析 Web 日志”中叙述的技术进行分析。
保持最新的服务包和修补程序
制定一个分析服务器软件的进度并订阅安全警告。使用 MBSA 定期扫描您的服务器是否遗漏了修补程序。以下链接提供了最新的更新:
Windows 2000 服务包。最新的服务包位于: http://www.microsoft.com/windows2000/downloads/servicepacks/default.asp。 | |
.NET Framework 服务包。有关如何获取最新 .NET Framework 更新的信息,请参阅 MSDN 文章,“如何获取 Microsoft .NET Framework”,网址是: http://msdn.microsoft.com/netframework/downloads/howtoget.asp | |
关键更新。这些更新有助于解决已知的问题,有助于保护计算机免受已知安全漏洞之害。对于最新的关键更新,请参阅“关键更新”,网址是: http://www.microsoft.com/windows2000/downloads/critical/default.asp | |
高级安全更新。有关更多的安全更新,请参阅“高级安全更新”,网址是: http://www.microsoft.com/windows2000/downloads/security/default.asp。 |
这些还有助于保护计算机免受已知的安全漏洞之害。
执行安全评估
使用 MBSA 定期检查安全漏洞,并找出遗漏的修补程序和更新。安排 MBSA 每日运行,并分析其结果,采取必要的操作。有关自动化 MBSA 的更多信息,请参阅本指导“如何……”部分中的“如何使用 MBSA”。
使用安全通知服务
使用表 3 中列出的 Microsoft 服务获取包含可能的系统漏洞通知的安全公告。
| 表 3 安全通知服务 | |
| 服务 | 位置 |
TechNet 安全 Web 站点 | http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/current.asp |
Microsoft 安全通知服务 | http://register.microsoft.com/subscription/subscribeme.asp?ID=135 |
此外,订阅表 4 中所示的业界安全警告服务。这使您能够在还没有修补程序的时候评估漏洞的威胁。
| 表 4 业界安全通知服务 | |
| 服务 | 位置 |
CERT 警告邮件列表 | http://www.cert.org/contact_cert/certmaillist.html |
Windows 和 .NET 杂志安全更新 | http://email.winnetmag.com/winnetmag/winnetmag_prefctr.asp |
NTBugtraq | http://www.ntbugtraq.com/default.asp?pid=31&sid=1#020 |
返回页首管理员经常需要能够管理多个服务器。确保远程管理解决方案的需求不会危及安全。如果您需要远程管理能力,那么以下推荐实践将有助于提高安全性:
限制管理帐号的数量。这包括限制管理帐号的数量,以及限制哪些帐号允许远程登录。 | |
限制工具。主要选项包括 Internet 服务管理器和终端服务。另一个选项是 Web 管理(使用 IISAdmin 虚拟目录),但这是不推荐的,而且这个选项会被 IISLockdown.exe 删除。Internet 服务管理器和终端服务使用 Windows 安全。这里的主要注意事项是限制所使用的 Windows 帐号和端口。 | |
限制允许管理服务器的计算机。IPSec 可以用来限制哪些计算机能够连接 Web 服务器。 |
保护终端服务
安
