1、從基礎(chǔ)做起，做好基礎(chǔ)防護(hù)。

首先將服務(wù)器上所有包含了敏感數(shù)據(jù)的磁盤(pán)分區(qū)都轉(zhuǎn)換成NTFS格式的。其次不論是Windows還是Linux,任何操作系統(tǒng)都有漏洞，及時(shí)的打上補(bǔ)丁避免漏洞被蓄意攻擊利用，是服務(wù)器安全最重要的保證之一。再次將所有的反病毒軟件及時(shí)更新，同時(shí)在服務(wù)器和桌面終端上運(yùn)行反病毒軟件。這些軟件還應(yīng)該配置成每天自動(dòng)下載最新的病毒數(shù)據(jù)庫(kù)文件。可以為Exchange Server安裝反病毒軟件。這個(gè)軟件掃描所有流人的電子郵件，尋找被感染了的附件，當(dāng)它發(fā)現(xiàn)有病毒時(shí)，會(huì)自動(dòng)將這個(gè)被感染的郵件在到達(dá)用戶(hù)以前隔離起來(lái)。

2、設(shè)置防火墻并關(guān)閉不需要的服務(wù)和端口。

防火墻是網(wǎng)絡(luò)安全的一個(gè)重要組成部分因?yàn)樗鼘⒐镜挠?jì)算機(jī)同互聯(lián)網(wǎng)上那些可能對(duì)它們?cè)斐蓳p壞的程序隔離開(kāi)來(lái)。

首先，確保防火墻不會(huì)向外界開(kāi)放超過(guò)必要的任何IP地址。至少要讓一個(gè)IP地址對(duì)外被使用來(lái)進(jìn)行所有的互聯(lián)網(wǎng)通訊。如果還有DNS注冊(cè)的Web服務(wù)器或是電子郵件服務(wù)器，它們的IP地址也許需要通過(guò)防火墻對(duì)外界可見(jiàn)。其次，服務(wù)器操作系統(tǒng)在安裝時(shí)，會(huì)啟動(dòng)一些不需要的服務(wù)，這樣不僅會(huì)占用系統(tǒng)的資源，還會(huì)增加系統(tǒng)的安全隱患。對(duì)于一段時(shí)間內(nèi)完全不會(huì)用到的服務(wù)，可以完全關(guān)閉；對(duì)于期間要使用的服務(wù)器，也應(yīng)該關(guān)閉不需要的服務(wù)，如Telnet等。另外，還要關(guān)掉沒(méi)有必要開(kāi)的TCP端口。例如，TCP／IP端口80用于HTTP通訊，因此大多數(shù)人可能并不想堵掉這個(gè)端口。但是，一般不會(huì)用端口81，因此它應(yīng)該被關(guān)掉。我們可以在Intemet上找到每個(gè)端口使用用途的歹U表。對(duì)照列表我們可以很清楚的關(guān)閉一些不常用的端口。

3、SQL SERVER的安全防護(hù)。

首先要使用Windows身份驗(yàn)證模式，在任何可能的時(shí)候，都應(yīng)該對(duì)指向SQL Server的連接要求Windows身份驗(yàn)證模式。它通過(guò)限制對(duì)Microsoft Windows用戶(hù)和域用戶(hù)帳戶(hù)的連接，保護(hù)SQL Server免受大部分Intemet工具的侵害，而且，服務(wù)器也將從Windows安全增強(qiáng)機(jī)制中獲益，例如更強(qiáng)的身份驗(yàn)證協(xié)議以及強(qiáng)制的密碼復(fù)雜眭和過(guò)期時(shí)間。另外，憑證委派在多臺(tái)服務(wù)器間橋接憑證的能力地只能在Windows身份驗(yàn)證模式中使用。在客戶(hù)端，Windows身份驗(yàn)證模式不再需要存儲(chǔ)密碼。存儲(chǔ)密碼是使用標(biāo)準(zhǔn)SQL Server登錄的應(yīng)用程序的主要漏洞之一。其次分配—個(gè)強(qiáng)健的sa密碼，sa帳戶(hù)應(yīng)該擁有一個(gè)強(qiáng)健的密碼，即使在配置為要求Windows身份驗(yàn)證的服務(wù)器上也該如此。這將保證在以后服務(wù)器被重新配置為混合模式身份驗(yàn)證時(shí)，不會(huì)出現(xiàn)空白或脆弱的sa。

4、做好數(shù)據(jù)的備份并保護(hù)好備份磁帶。

首先定期對(duì)服務(wù)器進(jìn)行備份，為防止未知的系統(tǒng)故障或用戶(hù)不小心的非法操作，必須對(duì)系統(tǒng)進(jìn)行安全備份。除了對(duì)全系統(tǒng)進(jìn)行每月一次的備份外，還應(yīng)對(duì)修改過(guò)的數(shù)據(jù)進(jìn)行及時(shí)的備份。同時(shí)，應(yīng)該將修改過(guò)的重要系統(tǒng)文件存放在不同服務(wù)器上，以便出現(xiàn)系統(tǒng)崩潰時(shí)（通常是硬盤(pán)出錯(cuò)），可以及時(shí)地將系統(tǒng)恢復(fù)到正常狀態(tài)。通常情況下，備份工作都是在大約晚上10：00或者更晚開(kāi)始的，而結(jié)束時(shí)間也在午夜時(shí)分。整個(gè)備份過(guò)程的時(shí)間長(zhǎng)短主要取決于要備份數(shù)據(jù)的多少。但是如果深夜有人偷竊備份好的磁帶，這樣的時(shí)間將是最好的時(shí)機(jī)。為了避免這樣的人為事件，我們可以通過(guò)對(duì)磁帶進(jìn)行密碼保護(hù)，對(duì)備份程序進(jìn)行加密，從而加密這些數(shù)據(jù)。其次，可以將備份程序完成的時(shí)間定在第二日的上班時(shí)間內(nèi)。這樣一來(lái)，可以避免人為盜竊備份磁帶所帶來(lái)的損失。因?yàn)榇艓г趥浞輿](méi)有結(jié)束被強(qiáng)行帶走的話，磁帶上的數(shù)據(jù)也毫無(wú)價(jià)值。

5、對(duì)RAS使用回叫功能。

Windows NT最強(qiáng)的功能之一就是對(duì)服務(wù)器進(jìn)行遠(yuǎn)程訪問(wèn)（RAS）的支持。不幸的是，—個(gè)RAS服務(wù)器對(duì)一個(gè)企圖進(jìn)入服務(wù)器系統(tǒng)的黑客來(lái)說(shuō)是一扇敞開(kāi)的大門(mén)。黑客們所需要的僅僅是一個(gè)電話號(hào)碼，再加上一點(diǎn)點(diǎn)耐心，就能通過(guò)RAS進(jìn)入一臺(tái)主機(jī)了。針對(duì)這一方法我們可以采取一些措施來(lái)保證RAS服務(wù)器的安全。使用回叫功能，它允許遠(yuǎn)程用戶(hù)登錄以后切斷連接。然后RAS服務(wù)器撥通一個(gè)預(yù)先定義的電話號(hào)碼再次接通用戶(hù)。因?yàn)檫@個(gè)號(hào)碼是預(yù)先設(shè)定了的，黑客也就沒(méi)有機(jī)會(huì)設(shè)定服務(wù)器回叫的號(hào)碼了。

另一個(gè)可選的辦法是限定所有的遠(yuǎn)程用戶(hù)都訪問(wèn)單一的服務(wù)器。可以將用戶(hù)通常訪問(wèn)的數(shù)據(jù)放置在RAS服務(wù)器的一個(gè)特殊的共享點(diǎn)上。可以將遠(yuǎn)程用戶(hù)的訪問(wèn)限制在一臺(tái)服務(wù)器上，而不是整個(gè)網(wǎng)絡(luò)。這樣，即使黑客通過(guò)破壞手段強(qiáng)制進(jìn)入主機(jī)，那么他們也會(huì)被隔離在單一的一臺(tái)機(jī)器上，這樣一來(lái)，他們?cè)斐傻钠茐谋粶p少到了最小。

最后還有一個(gè)技巧就是在RAS服務(wù)器上使用不常用的協(xié)議。一般來(lái)說(shuō)幾乎每—個(gè)人都使用TCP／IP協(xié)議作為RAS協(xié)議。考慮到TCP／IP協(xié)議本身的性質(zhì)和典型的用途，這看起來(lái)象是一個(gè)合理的選擇。但是，RAS還支持IPX／SPX和NetBEUI協(xié)議。如果使用NetBEUI作為RAS的協(xié)議，這樣可以迷惑一些不加提防的黑客。

6、頒布嚴(yán)格的安全政策。

要提高安全性還需要制定一強(qiáng)有力的安全策略，確保每一個(gè)人都了解，并強(qiáng)制執(zhí)行。若使用Windows 2000Server，可以將部分權(quán)限授權(quán)給特定代理人，而無(wú)須將全部的網(wǎng)管權(quán)利交出。即使特定代理人某些權(quán)限，我們依然可限制其權(quán)限大小，例如無(wú)法開(kāi)設(shè)新的使用者帳號(hào)，或改變權(quán)限等。

7、開(kāi)啟系統(tǒng)日志。

通過(guò)運(yùn)行系統(tǒng)日志程序，系統(tǒng)會(huì)記錄下所有用戶(hù)使用系統(tǒng)的情形，包括最近登錄時(shí)間、使用的賬號(hào)、進(jìn)行的活動(dòng)等。日志程序會(huì)定期生成報(bào)表，通過(guò)對(duì)報(bào)表進(jìn)行分析，我們可以知道是否有異常現(xiàn)象。