在此頁面,你還可以設置系統“故障/恢復”的有關選項。
刪除“網絡”中的“NetBiOS接口”
為了使你的服務器比較安全,安裝最少的服務是降低安全風險的好辦法。所以我一般要去掉“網絡”中“NetBiOS接口”服務,這樣,我就只安裝了四個服務:
1、RPC配置
2、服務器
3、工作站
4、計算機浏覽器
請記住:服務越少越安全!
小心配置TCP/IP協議
同樣的道理,我們要安裝盡可能少的協議。千萬別安裝點對點通道通訊協議。此外,你還必須小心地配置TCP/IP協議。在TCP/IP的屬性頁中選擇“IP地址”項目,然後選擇“高級”按鈕,在彈出的對話框中選擇“啟用安全機制”,並選擇“配置”,這時又有一個界面出現。在這裡你就可以設置TCP/UDP的端口了。為了安全,你可以禁止使用UDP,然後開啟IP端口6和TCP的端口80。當然,開啟哪些端口完全由你決定。只有你覺得安全性對你確實不太重要時,你才能開啟全部的端口。(每一個端口都有上千個黑客在等候喲!)
不要使用遠程管理軟件
由於NT不太支持遠程管理,所以你可能正打算安裝Reachout或者PC Anywhere這樣的遠程管理軟件。可惜的是,如果你安裝了這些軟件,你將不得不開啟TCP/IP的所有端口,這樣你才能使用這些軟件。所以我的建議是,不要安裝這些軟件。
隨時記住:鎖定你的計算機
在你離開服務器以後,記住按下“Ctrl+Alt+Del”,並選擇“鎖定工作站”。如果你使用遠程管理,在結束之前,特別要注意“鎖定工作站”。
把所有的硬盤分區設置為NTFS
建議你從光盤安裝系統。這樣你可以對硬盤進行NTFS分區並做一個全新的安裝。有許多朋友是這樣安裝系統的:
首先開機即如DOS,運行FDISK,格式化C:盤,然後運行如下命令:
WinNT /B
這是非常不安全的安裝方法。請一定從光盤開始安裝,並在格式化硬盤時選擇NTFS。因為只有NTFS才能更好地進行安全性配置。
SQL Server的安全性
SQL Server中保留了商店的所有交易數據,這些數據如果落入了競爭者的手裡,那就不會得到我們想要的結果;而如果有人進入了SQL Server,他會不會刪除你的數據?會不會修改你的數據?。。。後果是可怕的。
小心地配置NT,小心地配置SQL Server!
安裝遠程數據庫管理有風險
SQL Server支持從遠程進行數據庫的維護。在安裝時你可以選擇不安裝,安裝完成以後,你還可以通過“SQL Server Network Utility”來刪除遠程管理。如果你要使用遠程管理,請使用TCP/IP,並將缺省的端口1433改變為其他的數值。
使用遠程管理對你可能比較方便,但同樣也方便了黑客。一個Hacker只要知道你的SQ
然後就可以編輯SQL Server的屬性。請在彈出的對話框中選擇:
Always prompt for logins and passWord
數據庫的登錄賬號不要寫入ASP頁面
有許多人會看到你的ASP頁面,其中包括黑客。我們不贊成將核心的商業代碼寫入ASP程序,同樣,我們也不贊成將數據庫的賬號等重要信息寫入ASP。實際上,這是非常危險的。國內的許多站點,包括一個吹的很厲害的電子商務站點,它的數據庫密碼可以很輕易地得到。在本書付印時,這個情況還沒有改變。
這太可怕了!
IIS 的安全性
微軟的IIS(Internet Information Server)的bug真是太多了。我不知道中文Sp5出來了會不會好一點。如果你不小心地安裝IIS,即使你再怎麼小心地配置NT server和SQL Server都沒有用。
IIS的安全性是必須從安裝開始的。
安裝必須的選項
我一般選擇這些項目進行安裝:
Internet Information Server
Internet服務管理器
WWW服務器
Microsoft Data Access Component 1.5
Microsoft管理控制台
千萬別安裝IIS的文檔和例子站點。許多攻擊都是針對這些文檔和例子站點的。建議你也不要安裝Internet服務管理器的Html版本。這個部件也使問題多多,黑客喜歡也!
好好規劃你的硬盤
黑客突破系統具有一定的規律。建議你將系統安裝到C:,Web 數據在D:,而數據庫的數據在E:。這樣,及時損失,也可以防止系統所有東西被黑掉。
啟用日志
在IIS的Internet服務器中,可以設置各個站點的屬性。在屬性對話框中選擇“Web 站點”,並選擇“啟用日志”,選擇日志“屬性”按鈕,在隨後彈出的“擴展日志記錄屬性”對話框中,設置“擴展的屬性”,最好能有以下幾個屬性:日期、時間、客戶IP、服務器名、服務器IP、傳送接受字節數、所花時間等等。
設置應用程序映射
在站點的屬性對話框中,選擇“主目錄”>>“配置”,然後在彈出的對話框中,選擇“應用程序映射”,小心地設置擴展名和可執行路徑。我一般就刪除其他擴展名,只留下ASA和ASP兩項。
在“應用程序選項”中,關閉“啟用上層路徑”。
在“應用程序調試”中,關閉客戶端和服務器端的腳本調試,並選擇“傳送文本錯誤信息給客戶”。
安裝最新的補丁
最後的也是最有效的方法,就是關注微軟的Bug和他發布的補丁。如果可能,你最好安裝最高版本的NT Service Pack。起碼要高於補包四。微軟還發布一系列的hotfixes,你可以在微軟的站點找到。