1. 最好选用英文操作系统
windows毕竟是微软的东西,中文版的Bug要比英文版多,而中文版的补丁向来是比英文版出的晚,也就是说,如果服务器上装的是中文版windows系统,微软漏洞公布之后还需要等上一段时间才能打好补丁,也许黑客、病毒就利用这段时间入侵了你的系统。虽然没有绝对安全的系统,但可以尽量避免被入侵,最大的程度上降低风险,保护服务器安全。
2.采用NTFS文件系统格式
一般常采用的文件系统是FAT或者FAT32,NTFS是微软Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。NTFS文件系统里你可以为任何一个磁盘分区单独设置访问权限。把你自己的敏感信息和服务信息分别放在不同的磁盘分区。这样即使黑客通过某些方法获得你的服务文件所在磁盘分区的访问权限,还需要想方设法突破系统的安全设置才能进一步访问到保存在其他磁盘上的敏感信息,这在很大程度上保护了服务器安全。
3. 构建完善的安全防御系统
一套完善的安全模型一般包括:防火墙、入侵检测系统、路由系统等。
防火墙在安全系统中扮演保安角色,可以很大程度上保证来自网络的非法访问以及数据流量攻击,如拒绝服务攻击等;入侵检测系统则扮演监视器角色,监视服务器出入口,智能过滤掉那些带有入侵和攻击性质的访问。
4.软件防火墙、杀毒软件
虽然已经有了一套硬件防御系统,但是多几重保险也不是坏事。
5.开启事件日志
虽然开启日志服务对阻止黑客的入侵并没有直接的作用,但是通过他记录黑客的行踪,可以分析入侵者在系统上做过什么手脚,给系统造成了哪些破坏留下了什么隐患,黑客在系统上留了什么样的后门,服务器还存在哪些安全漏洞等。
6.做好系统备份
虽然谁都不希望系统突然遭到破坏,但是不怕一万,就怕万一,作好服务器系统备份,万一遭破坏的时候也可以及时恢复。
7.关闭不必要的服务,只开该开的端口
关闭不必要开的一些服务,做好本地管理和组管理。Windows系统有很多默认的服务其实没必要开,比如默认的共享远程注册表访问,系统很多敏感的信息都是写在注册表里的,如pcanywhere的加密密码等。一些不必要的端口,还向黑客透露许多操作系统的敏感信息,如windows 2000 server默认开启的IIS服务就告诉对方你的操作系统是windows 2000。69端口告诉黑客你的操作系统极有可能是linux或者unix系统,因为69是这些操作系统下默认的tftp服务使用的端口。对端口的进一步访问,还可以返回该服务器上软件及其版本的一些信息,这些都是有利于黑客入侵的,此外,开启的端口更有可能成为黑客进入服务器的门户。总之,做好TCP/IP端口过滤不但有助于防止黑客入侵,更利于保护服务器安全。
