程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 數據庫知識 >> SqlServer數據庫 >> 關於SqlServer >> 保護你的商業數據(NT Server的安全性、數據庫SQL Server的安全性和IIS的安全性)

保護你的商業數據(NT Server的安全性、數據庫SQL Server的安全性和IIS的安全性)

編輯:關於SqlServer
我們來討論Web 服務器的安全性設置。這包括NT Server的安全性、數據庫SQL Server的安全性和IIS的安全性。

注意安裝的順序

請你最好按下面的次序安裝所有的軟件:

1、 安裝NT Server4.0,最好安裝成“獨立服務器”。

2、 安裝NT service Pack 3.0

3、 安裝Option Pack 4.0

4、 安裝NT Service Pack 4.0或者更高補包

5、 安裝SQL Server 7.0



NT Server的安全性
NT被認為是因特網上最脆弱的操作系統。由於微軟的NT幾乎每一周就會發現一個新的Bug,所以,NT的安全性是可想而知了。解決NT的安全性配置問題,有時候甚至比設計一個電子商店更加具有挑戰性。

我在此也只能介紹我自己的一些心得和體會。如果你要得到更好的安全配置,你可以訪問一些關於安全的討論組,並經常關注微軟的補丁程序。

將NT Server安裝成獨立域服務器
在安裝NT 時安裝程序提示你選擇三種安裝類型:

1. 主域控制器

2. 備份域控制器

3. 獨立服務器

請選擇3。在因特網上沒有必要安裝成域名服務器。

將缺省的賬號重新命名或者鎖定
系統賬號包括Administrator和Guest是在安裝時自動設置的。許多黑客就是通過截獲這些賬號或者猜測這些賬號的密碼,從而進入你的系統。所以建議你把這些賬號重新命名或者干脆停用。

這些操作可以在“管理工具”>>“域用戶管理器”中完成。

賬號規則非常重要
在域管理器中由一個菜單項“賬號規則”,選擇之就可以配置賬號規則。在設置這些規則時,要保證:

1、不允許空的密碼,並設置密碼的最小長度

2、當出現登錄失敗若干次後,應該鎖定該賬號。這便於防止一些黑客利用某些軟件來猜測密碼。

系統策略編輯器
NT Server的系統策略編輯器非常有用。按“管理工具”>>“系統策略編輯器”就可以進入,然後選擇“文件”>>“打開注冊表”,並選擇“本地計算機”圖標,就可以認真配置了。主要要設置下面幾項:

1、取消:網絡>>系統規則更新>>“遠程更新”

2、取消:Windows NT 網絡>>共享>>創建隱藏的驅動器共享

3、設置:Windows NT遠程訪問下面的各項。

4、設置:Widows NT系統>>登錄中各個項目。包括設置登錄標記;不允許從“身份驗證對話框”關機;不顯示上次登錄的用戶名。

5、設置:Widows NT系統>>文件系統中的“不為長文件名創建8.3文件名”。



禁止啟動時列表顯示
在“我的電腦”圖標上點右鍵,選擇“屬性”,就進入“系統特性”設置。選擇“啟動/關閉”項目,然後設置列表顯示的時間為0秒。



在此頁面,你還可以設置系統“故障/恢復”的有關選項。

刪除“網絡”中的“NetBiOS接口”
為了使你的服務器比較安全,安裝最少的服務是降低安全風險的好辦法。所以我一般要去掉“網絡”中“NetBiOS接口”服務,這樣,我就只安裝了四個服務:

1、RPC配置

2、服務器

3、工作站

4、計算機浏覽器

請記住:服務越少越安全!

小心配置TCP/IP協議
同樣的道理,我們要安裝盡可能少的協議。千萬別安裝點對點通道通訊協議。此外,你還必須小心地配置TCP/IP協議。在TCP/IP的屬性頁中選擇“IP地址”項目,然後選擇“高級”按鈕,在彈出的對話框中選擇“啟用安全機制”,並選擇“配置”,這時又有一個界面出現。在這裡你就可以設置TCP/UDP的端口了。為了安全,你可以禁止使用UDP,然後開啟IP端口6和TCP的端口80。當然,開啟哪些端口完全由你決定。只有你覺得安全性對你確實不太重要時,你才能開啟全部的端口。(每一個端口都有上千個黑客在等候喲!)

不要使用遠程管理軟件
由於NT不太支持遠程管理,所以你可能正打算安裝Reachout或者PC Anywhere這樣的遠程管理軟件。可惜的是,如果你安裝了這些軟件,你將不得不開啟TCP/IP的所有端口,這樣你才能使用這些軟件。所以我的建議是,不要安裝這些軟件。

隨時記住:鎖定你的計算機
在你離開服務器以後,記住按下“Ctrl+Alt+Del”,並選擇“鎖定工作站”。如果你使用遠程管理,在結束之前,特別要注意“鎖定工作站”。

把所有的硬盤分區設置為NTFS
建議你從光盤安裝系統。這樣你可以對硬盤進行NTFS分區並做一個全新的安裝。有許多朋友是這樣安裝系統的:

首先開機即如DOS,運行FDISK,格式化C:盤,然後運行如下命令:

WinNT /B

這是非常不安全的安裝方法。請一定從光盤開始安裝,並在格式化硬盤時選擇NTFS。因為只有NTFS才能更好地進行安全性配置。



SQL Server的安全性
SQL Server中保留了商店的所有交易數據,這些數據如果落入了競爭者的手裡,那就不會得到我們想要的結果;而如果有人進入了SQL Server,他會不會刪除你的數據?會不會修改你的數據?。。。後果是可怕的。

小心地配置NT,小心地配置SQL Server!

安裝遠程數據庫管理有風險
SQL Server支持從遠程進行數據庫的維護。在安裝時你可以選擇不安裝,安裝完成以後,你還可以通過“SQL Server Network Utility”來刪除遠程管理。如果你要使用遠程管理,請使用TCP/IP,並將缺省的端口1433改變為其他的數值。

使用遠程管理對你可能比較方便,但同樣也方便了黑客。一個Hacker只要知道你的SQ


您正在看的SQLserver教程是:保護你的商業數據(NT Server的安全性、數據庫SQL Server的安全性和IIS的安全性)。L Server密碼,就可以輕易地進入你的數據庫,並窺探你的商業數據。

改變sa的密碼
缺省安裝時,SQL server的sa賬號沒有密碼。你必須改變這一狀況。通過SQL Server的Enterprise Server,可以改變sa的密碼。(分支:SQL Server Group>>你的機器名>>Security)

進入SQL Server提示輸入用戶名和密碼
在Enterprise Server中,在機器名分支上點右鍵,

然後就可以編輯SQL Server的屬性。請在彈出的對話框中選擇:

Always prompt for logins and passWord

數據庫的登錄賬號不要寫入ASP頁面
有許多人會看到你的ASP頁面,其中包括黑客。我們不贊成將核心的商業代碼寫入ASP程序,同樣,我們也不贊成將數據庫的賬號等重要信息寫入ASP。實際上,這是非常危險的。國內的許多站點,包括一個吹的很厲害的電子商務站點,它的數據庫密碼可以很輕易地得到。在本書付印時,這個情況還沒有改變。

這太可怕了!

IIS 的安全性
微軟的IIS(Internet Information Server)的bug真是太多了。我不知道中文Sp5出來了會不會好一點。如果你不小心地安裝IIS,即使你再怎麼小心地配置NT server和SQL Server都沒有用。

IIS的安全性是必須從安裝開始的。

安裝必須的選項
我一般選擇這些項目進行安裝:

Internet Information Server

Internet服務管理器

WWW服務器

Microsoft Data Access Component 1.5

Microsoft管理控制台

千萬別安裝IIS的文檔和例子站點。許多攻擊都是針對這些文檔和例子站點的。建議你也不要安裝Internet服務管理器的Html版本。這個部件也使問題多多,黑客喜歡也!

好好規劃你的硬盤
黑客突破系統具有一定的規律。建議你將系統安裝到C:,Web 數據在D:,而數據庫的數據在E:。這樣,及時損失,也可以防止系統所有東西被黑掉。

啟用日志
在IIS的Internet服務器中,可以設置各個站點的屬性。在屬性對話框中選擇“Web 站點”,並選擇“啟用日志”,選擇日志“屬性”按鈕,在隨後彈出的“擴展日志記錄屬性”對話框中,設置“擴展的屬性”,最好能有以下幾個屬性:日期、時間、客戶IP、服務器名、服務器IP、傳送接受字節數、所花時間等等。

設置應用程序映射
在站點的屬性對話框中,選擇“主目錄”>>“配置”,然後在彈出的對話框中,選擇“應用程序映射”,小心地設置擴展名和可執行路徑。我一般就刪除其他擴展名,只留下ASA和ASP兩項。

在“應用程序選項”中,關閉“啟用上層路徑”。

在“應用程序調試”中,關閉客戶端和服務器端的腳本調試,並選擇“傳送文本錯誤信息給客戶”。

安裝最新的補丁
最後的也是最有效的方法,就是關注微軟的Bug和他發布的補丁。如果可能,你最好安裝最高版本的NT Service Pack。起碼要高於補包四。微軟還發布一系列的hotfixes,你可以在微軟的站點找到。

  1. 上一頁:
  2. 下一頁:
Copyright © 程式師世界 All Rights Reserved