重要なデータがあなたのコンピュータにあり、邪悪な者の手に渡らないようにしたいですか?もちろん、彼らはこの可能性を持っていますさらに、近年、サーバーは以前よりも大きな危険にさらされています。ますます多くのウイルス、ハッカー、および商業用スパイがサーバーを彼らの目標にしています。明らかに、サーバーのセキュリティは無視できません。
1つの記事ですべてのコンピュータセキュリティ問題を語ることは不可能です。結局のところ、このトピックに関する書籍は無数にあります。次にしなければならないのは、サーバーのセキュリティを維持するための7つのヒントをあなたに伝えることだけです。
ヒント1:基本から始める
これはナンセンスのように思えますが、Webサーバーのセキュリティについて説明するときに、私が提供できる最良のアドバイスは次のとおりです。素人にならないでください。ハッカーがあなたのネットワークを攻撃し始めると、セキュリティシステムを突破するより困難な手段を検討する前に、まず一般的なセキュリティの脆弱性をチェックします。したがって、たとえば、サーバー上のデータがFATディスクパーティションにある場合は、世界中にセキュリティソフトウェアをすべてインストールしても役に立ちません。
このため、基本から始める必要があります。機密データを含むサーバー上のすべてのディスクパーティションをNTFS形式に変換する必要があります。繰り返しますが、すべてのウイルス対策ソフトウェアを最新の状態に保つ必要があります。サーバーとデスクトップの両方でウイルス対策ソフトウェアを実行することをお勧めします。ソフトウェアはまた、毎日自動的に最新のウィルスデータベースファイルをダウンロードするように設定されるべきです。 Exchange Server用のウイルス対策ソフトウェアをインストールできることも知っておく必要があります。このソフトウェアは、すべての受信Eメールをスキャンして感染した添付ファイルを探し、ウイルスを検出すると、感染したEメールをユーザーに届く前に自動的に隔離します。
ネットワークを保護するもう1つの良い方法は、ユーザーが会社で費やす時間に基づいて、ユーザーがネットワークへのアクセスに費やす時間を制限することです。その日のうちに通常働いている臨時従業員は、その従業員の上司が特別なプロジェクトのためのものであると指示しない限り、午前3時にネットワークへのアクセスを許可されるべきではありません。
最後に、ネットワーク全体にアクセスするときにはパスワードが必要です。大文字と小文字、数字、および特殊文字で構成された強力なパスワードの使用を全員に強制する必要があります。 Windows NT Serverリソースキットには、この作業に適したツールがあります。また、期限切れのパスワードを無効にして、ユーザーのパスワードを8文字以上にするように更新することもよくあります。この作業をすべて行ったが、それでもパスワードのセキュリティについて心配している場合は、インターネットからハッキングツールをダウンロードして、これらのパスワードがどれほど安全であるかを調べることができます。
ヒント2:バックアップを保護する
すべての優れたネットワーク管理者は、ネットワークサーバーを毎日バックアップし、テープレコードを現場から遠ざけて事故から保護することを知っています。しかし、セキュリティの問題は単なるバックアップ以上のものです。ほとんどの人はあなたのバックアップが実際に大きなセキュリティホールであることに気づいていません。
その理由を理解するために、ほとんどのバックアップ作業は10:00または11:00前後に開始されます。バックアップ処理の全体は通常、バックアップする必要のあるデータ量に応じて、深夜に終了します。今、午前4時までの時間で、バックアップ作業が終了したとします。しかし、誰かがあなたのテープレコードからデータを盗んであなたの家やあなたの競争相手のオフィスのサーバーにそれらを復元することを妨げるものは何もありません。
ただし、これを防ぐことはできます。まず、テープをパスワードで保護し、バックアッププログラムが暗号化をサポートしている場合は、それを暗号化することもできます。第二に、あなたが仕事に行く朝のバックアッププログラムを動作するように設定することができます。この場合、たとえ誰かが前の晩にこっそりテープを盗もうとしたとしても、テープが使用されているので彼らは成功することができないでしょう。それでも窃盗犯がテープを取り出してそれを奪う場合、テープ上のデータは価値がありません。
ヒント3:RASにコールバックを使用する
Windows NTの最も優れた機能の1つは、リモートサーバーアクセス(RAS)のサポートです。残念ながら、RASサーバーはハッカーがあなたのシステムに侵入しようとするための扉です。ハッカーが必要とするものはすべて電話番号です、そして時々それはRASを通してホストに入るために少し忍耐を必要とします。しかし、RASサーバーのセキュリティを確保するためにいくつかの対策を講じることができます。
使用するテクノロジは、リモートユーザーがRASを使用する方法に大きく左右されますが、リモートユーザーが頻繁に自宅などの変化しない場所からホストに電話をかける場合は、次のようにしてください。リモートユーザーが後でログインして切断できるようにするコールバック機能。その後、RASサーバーは事前に定義された電話番号をダイヤルしてユーザーの電源を入れます。この番号は事前に設定されているので、ハッカーはサーバーがコールバックする番号を設定する機会がありません。
もう1つの選択肢は、すべてのリモートユーザーに対して単一のサーバーへのアクセスを制限することです。ユーザーが通常アクセスするデータをRASサーバー上の特別な共有ポイントに配置できます。その後、リモートユーザーへのアクセスをネットワーク全体ではなく単一のサーバーに制限できます。このようにして、たとえハッカーが破壊によってホストに侵入したとしても、それらは単一のマシン上で隔離され、そこで彼らが引き起こすダメージは最小限に抑えられます。
最後になりましたが、重要なこととして、RASサーバーで予期しないプロトコルを使用することです。私が知っている人は誰でも、RASプロトコルとしてTCP /IPプロトコルを使用しています。 TCP /IPプロトコル自体の性質と典型的な使用法を考えると、これは妥当な選択のように思えます。ただし、RASはIPX /SPXおよびNetBEUIプロトコルもサポートしています。 RASプロトコルとしてNetBEUIを使用している場合は、疑う余地のないハッカーを混乱させる可能性があります。
ヒント4:ワークステーションのセキュリティの問題を考慮する
サーバーのセキュリティに関する記事でワークステーションのセキュリティについて話すのは奇妙に思えます。ただし、ワークステーションはサーバーへのポートです。ワークステーションのセキュリティを強化すると、ネットワーク全体のセキュリティを強化できます。初心者には、すべてのワークステーションでWindows 2000を使用することをお勧めしますWindows 2000は非常に安全なオペレーティングシステムです。これを実行したくない場合は、少なくともWindows NTを使用しますワークステーションをロックすると、安全なアクセス権を持たない人がネットワーク構成情報を取得するのが困難または不可能になります。
もう1つの方法は、人がアクセスできるワークステーションを制御することです。たとえば、ボブという従業員がいて、あなたは彼がトラブルメイカーであることをすでに知っています。明らかに、昼休みにボブに友達のコンピュータを開かせたり、自分のノートブックを落としてシステム全体をハックさせたりしたくないのです。そのため、ワークグループユーザーマネージャを使用して、自分のコンピュータから(および指定した時間内に)ログインできるように、Bobのアカウントも変更する必要があります。他の人が彼を追い出すことができることを知っているので、ボブは自分のコンピュータからネットワークを攻撃する可能性がはるかに低いです。
ヒント5:ワークステーションとサーバーを合理的に分割する
もう1つのテクニックは、ワークステーションの機能をダム端末に限定することです。 「ダム端末。一般に、データとアプリケーションが別々のワークステーションに存在しないことを意味します。コンピュータをダム端末として使用すると、サーバーはWindows NTターミナルサービスを実行するように構成され、すべてのアプリケーションはサーバー上で物理的に実行されます。ワークステーションに送信されるものはすべて、更新された画面表示に他なりません。つまり、ワークステーションには、最低限1つのバージョンのWindowsと、Microsoftターミナルサービス用の1つのクライアントしかありません。この方法を使用するのがおそらく最も安全なネットワーク設計です。
「スマートな」ダム端末を使用するということは、プログラムとデータはサーバー上にありますが、ワークステーション上で実行されるということです。ワークステーションにインストールされているものはすべてWindowsのコピーであり、いくつかのアイコンはサーバー上のアプリケーションを指しています。アイコンをクリックしてプログラムを実行すると、プログラムはサーバーのリソースを消費する代わりにローカルリソースを使用して実行されます。これは、フルダム端末プログラムを実行するよりも、サーバーに対するストレスがはるかに少ないということです。
マイクロソフトは、セキュリティホールをチェックしてそれらを修正するためにプログラマのチームを雇いました。時々これらのパッチは大きなパッケージにまとめられ、サービスパックとしてリリースされます。通常、2つの異なるパッチバージョンがあります。誰でも使用できる40ビットバージョンと、米国とカナダでのみ使用できる128ビットバージョンです。 128ビット版は、40ビット版よりはるかに安全な128ビット暗号化アルゴリズムを使用します。それでも40ビットのサービスパックを使用していて、米国またはカナダに住んでいる場合は、128ビット版をダウンロードすることを強くお勧めします。
サービスパックは、リリースまでに数ヶ月待たなければならないことがあります - 明らかに、大きなセキュリティホールが発見されたとき、それを修正することが可能になるまで待つことを望まないのです。幸い、待つ必要はありません。マイクロソフトは、FTPサイトで重要なパッチを定期的にリリースしています。これらのホットフィックスは、サービスパックが最後にリリースされたときから公開されているセキュリティパッチです。ホットフィックスを頻繁にチェックすることをお勧めします。これらのパッチは論理的な順序で使用する必要があることを忘れないでください。間違った順番で使用すると、ファイルによってはバージョンエラーが発生し、Windowsが動作しなくなる可能性があります。
ヒント6:強力なセキュリティポリシーを使用する
セキュリティを向上させるためのもう1つの仕事は、強力で強力なセキュリティポリシーを開発することです。誰もがそれを知っていて、それが実施されていることを知っていることを確認してください。このようなポリシーには、許可されていないソフトウェアを会社のコンピュータにダウンロードした従業員に対する厳しい罰則を含める必要があります。
Windows 2000 Serverを使用している場合は、管理者の管理下に置かなくてもサーバーを使用するためのユーザーの特別な使用権を指定できます。良い使い方は、人事部にアカウントの削除と無効化を許可することです。このようにして、人事部は、店員が解雇されることを知る前に、自分のユーザーアカウントを削除または無効にすることができます。このように、不満のある従業員は会社のシステムを混乱させる機会がありません。同時に、特別なユーザー権限を使用して、この権限を付与してアカウント権限を削除および無効化し、ユーザーの作成や権限やその他のアクティビティへの変更を制限することができます。
無料のTechProGuildをお試しください。この記事が役に立つ場合は、TechRepublicのTechProGuild登録リソースを調べてください。Windowsサーバーとクライアントプラットフォーム、Linux、トラブルシューティングの問題、デジタルネットワークプロジェクトなど、ITに関するいくつかのトピックを網羅した詳細な技術記事があります。 NetWareと同様に難しいTechProGuildアカウントでも、人気のあるIT業界の本の全文をオンラインで読むことができます。 TechProGuildの30日間無料トライアルにサインアップするには、ここをクリックしてください。
ヒント7:ファイアウォールの設定を確認する
最後のヒントとして、ファイアウォールの設定について詳しく説明します。ファイアウォールは、企業のコンピュータをインターネット上のコンピュータから損傷を与える可能性のあるものから隔離するため、ネットワークの重要な部分です。
最初にする必要があるのは、ファイアウォールが必要なIPアドレスを外部に開かないようにすることです。少なくとも1つのIPアドレスを外界から見えるようにする必要があります。このIPアドレスはすべてのインターネット通信に使用されます。 DNSに登録されたWebサーバーまたは電子メールサーバーを使用している場合は、それらのIPアドレスもファイアウォールを介して外部から見えている可能性があります。ただし、ワークステーションや他のサーバーのIPアドレスは隠さなければなりません。
ポートリストをチェックして、使用していないポートアドレスをすべて閉じたことを確認することもできます。たとえば、TCP /IPポート80はHTTP通信に使用されるため、このポートをブロックしたくない場合があります。ただし、ポート81は使用しないでください。無効にする必要があります。インターネット上の各ポートの用途のリストを見つけることができます。
サーバーのセキュリティ問題は大きな問題です。重要なデータがウイルスやハッカー、あるいはあなたと取引をするためにそれを使用するかもしれない誰かによって破壊されることを望まないでしょう。この記事では、次回のセキュリティレビューで注目すべき7つの分野を紹介しました。
IISへの同時接続数を表示する場合、最も簡単で便利な方法は「Webサイトの統計」でWebサイトの統計を表示することです。現在のオンラインユーザー数は現在のIIS接続と見なすことができます。番号しかしな
便利なように、確立されたFTPサイトは匿名ユーザーによるアクセスを許可するだけでなく、ホームディレクトリに対する 読み取りおよび 書き込みアクセス許可も有効にします。このようにして、だれでも制限なしに
最近、作業上の理由から、部署の従業員はLANファイルサーバーの共有リソースにアクセスする必要がありますが、これは単純な操作であると考えられていましたが、多くの従業員は共有アクセスプロセス中に、共有リソ
長時間実行していると、会社のWebサイトプログラムが遅くなり、Webサイトを再起動した後の速度が明らかに速くなっています。あなたは定期的にリソースを解放するためにウェブサイトを再起動する必要があります