WEB开发网
开发学院数据库MSSQL Server 保护你的商业数据(NT Server的安全性、数据库SQL ... 阅读

保护你的商业数据(NT Server的安全性、数据库SQL Server的安全性和IIS的安全性)

 2007-11-11 10:47:20 来源:WEB开发网   
核心提示:我们来讨论Web 服务器的安全性设置,这包括NT Server的安全性、数据库sql server(WINDOWS平台上强大的数据库平台)的安全性和IIS的安全性,保护你的商业数据(NT Server的安全性、数据库SQL Server的安全性和IIS的安全性), 注意安装的顺序请你最好按下面的次序安装所有的软件:1、

  我们来讨论Web 服务器的安全性设置。这包括NT Server的安全性、数据库sql server(WINDOWS平台上强大的数据库平台)的安全性和IIS的安全性。

注意安装的顺序

请你最好按下面的次序安装所有的软件:

1、  安装NT Server4.0,最好安装成“独立服务器”。

2、  安装NT service Pack 3.0

3、  安装Option Pack 4.0

4、  安装NT Service Pack 4.0或者更高补包

5、  安装sql server(WINDOWS平台上强大的数据库平台) 7.0



NT Server的安全性
NT被认为是因特网上最脆弱的操作系统。由于微软的NT几乎每一周就会发现一个新的Bug,所以,NT的安全性是可想而知了。解决NT的安全性配置问题,有时候甚至比设计一个电子商店更加具有挑战性。

我在此也只能介绍我自己的一些心得和体会。如果你要得到更好的安全配置,你可以访问一些关于安全的讨论组,并经常关注微软的补丁程序。

将NT Server安装成独立域服务器
在安装NT 时安装程序提示你选择三种安装类型:

1.     主域控制器

2.     备份域控制器

3.     独立服务器

请选择3。在因特网上没有必要安装成域名服务器。

将缺省的账号重新命名或者锁定
系统账号包括Administrator和Guest是在安装时自动设置的。许多黑客就是通过截获这些账号或者猜测这些账号的密码,从而进入你的系统。所以建议你把这些账号重新命名或者干脆停用。

这些操作可以在“管理工具”>>“域用户管理器”中完成。

账号规则非常重要
在域管理器中由一个菜单项“账号规则”,选择之就可以配置账号规则。在设置这些规则时,要保证:

1、不允许空的密码,并设置密码的最小长度

2、当出现登录失败若干次后,应该锁定该账号。这便于防止一些黑客利用某些软件来猜测密码。

系统策略编辑器
NT Server的系统策略编辑器非常有用。按“管理工具”>>“系统策略编辑器”就可以进入,然后选择“文件”>>“打开注册表”,并选择“本地计算机”图标,就可以认真配置了。主要要设置下面几项:

1、取消:网络>>系统规则更新>>“远程更新”

2、取消:Windows NT 网络>>共享>>创建隐藏的驱动器共享

3、设置:Windows NT远程访问下面的各项。

4、设置:Widows NT系统>>登录中各个项目。包括设置登录标记;不允许从“身份验证对话框”关机;不显示上次登录的用户名。

5、设置:Widows NT系统>>文件系统中的“不为长文件名创建8.3文件名”。



禁止启动时列表显示
在“我的电脑”图标上点右键,选择“属性”,就进入“系统特性”设置。选择“启动/关闭”项目,然后设置列表显示的时间为0秒。

在此页面,你还可以设置系统“故障/恢复”的有关选项。

删除“网络”中的“NetBios接口”
为了使你的服务器比较安全,安装最少的服务是降低安全风险的好办法。所以我一般要去掉“网络”中“NetBios接口”服务,这样,我就只安装了四个服务:

1、RPC配置

2、服务器

3、工作站

4、计算机浏览器

请记住:服务越少越安全!

小心配置TCP/IP协议
同样的道理,我们要安装尽可能少的协议。千万别安装点对点通道通讯协议。此外,你还必须小心地配置TCP/IP协议。在TCP/IP的属性页中选择“IP地址”项目,然后选择“高级”按钮,在弹出的对话框中选择“启用安全机制”,并选择“配置”,这时又有一个界面出现。在这里你就可以设置TCP/UDP的端口了。为了安全,你可以禁止使用UDP,然后开启IP端口6和TCP的端口80。当然,开启哪些端口完全由你决定。只有你觉得安全性对你确实不太重要时,你才能开启全部的端口。(每一个端口都有上千个黑客在等候哟!)

不要使用远程管理软件
由于NT不太支持远程管理,所以你可能正打算安装Reachout或者PC Anywhere这样的远程管理软件。可惜的是,如果你安装了这些软件,你将不得不开启TCP/IP的所有端口,这样你才能使用这些软件。所以我的建议是,不要安装这些软件。

随时记住:锁定你的计算机
在你离开服务器以后,记住按下“Ctrl+Alt+Del”,并选择“锁定工作站”。如果你使用远程管理,在结束之前,特别要注意“锁定工作站”。

把所有的硬盘分区设置为NTFS
建议你从光盘安装系统。这样你可以对硬盘进行NTFS分区并做一个全新的安装。有许多朋友是这样安装系统的:

首先开机即如DOS,运行FDISK,格式化C:盘,然后运行如下命令:

WinNT /B

这是非常不安全的安装方法。请一定从光盘开始安装,并在格式化硬盘时选择NTFS。因为只有NTFS才能更好地进行安全性配置。



sql server(WINDOWS平台上强大的数据库平台)的安全性
sql server(WINDOWS平台上强大的数据库平台)中保留了商店的所有交易数据,这些数据如果落入了竞争者的手里,那就不会得到我们想要的结果;而如果有人进入了sql server(WINDOWS平台上强大的数据库平台),他会不会删除你的数据?会不会修改你的数据?。。。后果是可怕的。

小心地配置NT,小心地配置sql server(WINDOWS平台上强大的数据库平台)!

安装远程数据库管理有风险
sql server(WINDOWS平台上强大的数据库平台)支持从远程进行数据库的维护。在安装时你可以选择不安装,安装完成以后,你还可以通过“sql server(WINDOWS平台上强大的数据库平台) Network Utility”来删除远程管理。如果你要使用远程管理,请使用TCP/IP,并将缺省的端口1433改变为其他的数值。

使用远程管理对你可能比较方便,但同样也方便了黑客。一个Hacker只要知道你的sql server(WINDOWS平台上强大的数据库平台)密码,就可以轻易地进入你的数据库,并窥探你的商业数据。

改变sa的密码
缺省安装时,sql server(WINDOWS平台上强大的数据库平台)的sa账号没有密码。你必须改变这一状况。通过sql server(WINDOWS平台上强大的数据库平台)的Enterprise Server,可以改变sa的密码。(分支:sql server(WINDOWS平台上强大的数据库平台) Group>>你的机器名>>Security)

进入sql server(WINDOWS平台上强大的数据库平台)提示输入用户名和密码
在Enterprise Server中,在机器名分支上点右键,然后就可以编辑sql server(WINDOWS平台上强大的数据库平台)的属性。请在弹出的对话框中选择:

Always prompt for logins and password

数据库的登录账号不要写入ASP页面
有许多人会看到你的ASP页面,其中包括黑客。我们不赞成将核心的商业代码写入ASP程序,同样,我们也不赞成将数据库的账号等重要信息写入ASP。实际上,这是非常危险的。国内的许多站点,包括一个吹的很厉害的电子商务站点,它的数据库密码可以很轻易地得到。在本书付印时,这个情况还没有改变。

这太可怕了!

IIS 的安全性
微软的IIS(Internet Information Server)的bug真是太多了。我不知道中文Sp5出来了会不会好一点。如果你不小心地安装IIS,即使你再怎么小心地配置NT server和sql server(WINDOWS平台上强大的数据库平台)都没有用。

IIS的安全性是必须从安装开始的。

安装必须的选项
我一般选择这些项目进行安装:

Internet Information Server

       Internet服务管理器

       WWW服务器

Microsoft Data Access Component 1.5

Microsoft管理控制台

千万别安装IIS的文档和例子站点。许多攻击都是针对这些文档和例子站点的。建议你也不要安装Internet服务管理器的HTML版本。这个部件也使问题多多,黑客喜欢也!

好好规划你的硬盘
黑客突破系统具有一定的规律。建议你将系统安装到C:,Web 数据在D:,而数据库的数据在E:。这样,及时损失,也可以防止系统所有东西被黑掉。

启用日志
在IIS的Internet服务器中,可以设置各个站点的属性。在属性对话框中选择“Web 站点”,并选择“启用日志”,选择日志“属性”按钮,在随后弹出的“扩展日志记录属性”对话框中,设置“扩展的属性”,最好能有以下几个属性:日期、时间、客户IP、服务器名、服务器IP、传送接受字节数、所花时间等等。

设置应用程序映射
在站点的属性对话框中,选择“主目录”>>“配置”,然后在弹出的对话框中,选择“应用程序映射”,小心地设置扩展名和可执行路径。我一般就删除其他扩展名,只留下ASA和ASP两项。

在“应用程序选项”中,关闭“启用上层路径”。

在“应用程序调试”中,关闭客户端和服务器端的脚本调试,并选择“传送文本错误信息给客户”。

安装最新的补丁
最后的也是最有效的方法,就是关注微软的Bug和他发布的补丁。如果可能,你最好安装最高版本的NT Service Pack。起码要高于补包四。微软还发布一系列的hotfixes,你可以在微软的站点找到。

[1]

Tags:保护 商业 数据

编辑录入:coldstar [复制链接] [打 印]
赞助商链接