3.52 一次安全升级引发的故障

安全升级惹麻烦

最近笔者管理的Windows服务器总是遭受黑客的攻击，因此抓安全成了我们的工作重点。在网上浏览大量安全性文章后，发现提及最多的是禁止系统默认共享，特别是IPC$默认共享，于是笔者按图索骥将这些“安全隐患”一一清除。可是没过几天，笔者发现在“事件查看器”中出现了大量的警告事件，如图1所示。

图1  警告事件

从事件的详细信息中可以看出，这是由于Windows和许可证服务器不能进行正常通信造成的。根据事件ID号进入微软知识库中查询，发现是因为域控制器降级的原因。可是实际上域控制器并没这方面的问题，经过分析判断可能是由于关闭了和域控制器通信的通道，那么根据最近的服务器操作记录，基本上可以判断是由于关闭了IPC$共享引起的。

根据猜想通过以下步骤打开默认的IPC$共享：

（1）单击“开始→运行”打开运行程序窗口。

（2）在“运行”窗口中输入“cmd.exe”并按回车键。

（3）在上一步操作中弹出的命令行窗口中输入“net share IPC$”。

经过以上设置后，重新打开了Server 1的IPC$通信，继续查看事件查看器，发现事件ID为213的事件已经没有了。

安全设置也要对症下药

通过这次故障出现和排除的整个过程，笔者认为服务器安全是一个比较复杂的问题。针对具体的应用系统，必须进行周详的分析才能执行某些安全增强设置，服务器不同于普通的个人客户端，很多在个人电脑中可以禁用或删除的服务不能在服务器环境中盲目操作。

当前一些文章讲“打造安全服务器”，其实都是在某种特定条件下，不一定具有普遍性。那么如何正确提高自己服务器的安全呢？微软公司最新发布的Windows Server 2003 SP1 操作系统中，提供了一个名为“安全配置向导”（Security Configuration Wizard，简称SCW）的工具。服务器管理者只要运行SCW.EXE程序，在提示向导的指引下逐步配置就可以订制一个适合自己安全的服务器环境了。不过要想能够真正管理好服务器，光靠这些工具还是不够的，还需要注意以下几点。

（1）了解系统中常见服务的相关性，了解系统常见进程和端口情况。在执行新的安全部署前，详细分析可能影响的服务、进程及端口，从源头杜绝一些事故的发生。

（2）完善系统日志，在管理过程中要对每次系统的更改进行详细记录，包括系统升级、安装补丁、应用程序安装等操作的详细信息。

（3）简化系统的相关性，尽量每台服务器都能有一个侧重点，不要将太多的服务放在同一台服务器上，否则系统中各类软件之间很可能出现相互制约或者不兼容的故障。

（4）完善反病毒策略，如果服务器接入Internet的话，不可避免各类病毒的侵袭，所以一款功能强大的反病毒软件能大大减轻管理员的负担。除了反病毒软件，某些不是反病毒的软件对系统的监控能力在某些程度上还超过了反病毒软件的能力，在这里笔者推荐安装Microsoft AntiSpyware，它是一款功能齐全的反间谍软件，它能常驻系统，当有后门程序企图更改系统的时候，它能够第一时间发现，并且由于它不是反病毒软件，所以很多黑客的后门程序不会关闭它的进程，因此它自身也有很强的抗病毒能力。

（5）熟练掌握几种简单有效的系统进程查看工具，用来反病毒或者抵御后门程序的入侵，最有效的方法就是先捕获到这些有问题的进程，由于现在的病毒以及黑客程序的技术都比较先进，利用系统自带的工具往往不能进行追踪和处理，因此需要一些小巧但却非常实用的工具，例如：Process Explorer（下载地址：http://www.sysinternals.com/Files/ ProcessExplorerNt.zip）就可以轻松识破Rundll32.exe进程的真实身份。