收藏本站 收藏本站
积木网首页 - 软件测试 - 常用手册 - 站长工具 - 技术社区
积木学院 > 服务器 > Win服务器 > 正文

Windows2003服务器安全维护

来源:本站原创 日期:2008-09-07 12:41

 

一.系统安装与安全设置
 
1. 安装系统
 
A.安装系统时尽量进行简洁安装,不需要的windows组件程序无需安装,例如:index索引服务,附件和工具等都可以不装。
 
B.系统分区,建议分3到4个区,C区安装系统,D区安装软件,E区放控制程序和服务器程序,F区放web目录。Windows最好安装英文版,减少资源耗用以及减少出现多字节漏洞问题。英文版安装后需要安装中文语言支持。安装完windows后,设置出现非法操作时小内存转储,不必完全内存存储
 
C.硬盘格式统一为NTFS文件格式
 
D. 安装系统时首先要设定好系统管理员密码,不能为空
 
E. 安装系统后首先要及时安装各类系统补丁,例如:SP1,HotFix等
 
F.系统安全补丁没有安装完成,不要连接网络
连接网络前先打上以下几个重要补丁
 
WindowsServer2003-KB835732-x86-ENU.EXE
http://www.microsoft.com/downloads/details.aspx?FamilyID=eab176d0-01cf-453e-ae7e-7495864e8d8c&displaylang=zh-cn[中文连接]
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=eab176d0-01cf-453e-ae7e-7495864e8d8c[英文连接]
 
WindowsServer2003-KB823980-x86-ENU.exe
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=f8e0ff3a-9f4c-4061-9009-3a212458e92e[中文连接]
 
http://www.microsoft.com/downloads/details.aspx?FamilyID=f8e0ff3a-9f4c-4061-9009-3a212458e92e&displaylang=en[英文连接]
 
WindowsServer2003-KB889101-SP1-x86-ENU.exe[32 bit]
 
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=22cfc239-337c-4d81-8354-72593b1c1f43 [中文连接]
 
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=22cfc239-337c-4d81-8354-72593b1c1f43 [英文连接]
 
2. 计算机账号管理
 
A. 按照需求更改系统管理员账户名称,不能使用默认的administrator
 
B.禁用guest用户,并更改账户名称,删除归属组,使其不归属任何组
 
C. 删除不使用的多余账户,例如:sqldebugger、TsInternetUser等
 
D.如果系统没有安装IIS,则需要关闭IWAM_机器名、IUSR_机器名的账号,
 
    如果系统中安装IIS,在这两个账号需被启用,
    其中“IWAM_机器名”是用来启动 IIS 进程的账户,
    “IUSR_机器名”为Internet 来宾账户,也就是用户匿名访问使用的账号
 
3.系统安全策略
 
A.账户策略    密码策略:
 
B.密码设定最小值不能少于10位
 
C.密码设定需要保证复杂性
 
D.登陆计数器需要开启
 
E.本地策略    审核策略:
 
F.审核策略更改:成功
 
G.审核登陆事件:成功、失败
 
H.审核目录服务访问:成功
 
I.审核特权使用:成功
 
J.审核系统事件:成功、失败
 
K.审核账户登陆事件:成功、失败
 
M.审核账户管理:成功
 
N.本地策略    本地策略:
 
O.不显示上次的登陆名:启用
 
P.只有本地用户才能访问cd-rom:启用
 
Q.只有本地用户才能访问软驱:启用
 
4.网络设置[这里针对网卡参数进行设置]
 
   PCI网络适配器。分别为 Public,Private
实际使用中会改为相关IP
 A.网卡顺序调整为外网卡优先,顺序为:
 
 a) 公用网络
 b) 专用网络
 c) 远程访问连接
 
 B.公网网卡设置:
 
    General
   1.配置:Link Speed/Duplex Mode:auto mode
 
   2.TCP/IP
    高级    WINS:禁用TCP/IP NetBios
 
     高级     选项    TCP/IP筛选:启用TCP/IP筛选,只开放所需TCP端口
 
     删除文件和打印机共享协议[File and Printer Sharing for Microsoft Networks]
 
   Advanced
 
    1.启用Internet Connection Firewall---settings---Remote Desktop
    2.Security Logging,ICMP协议的设置
 
 
 
5.本地安全性配置
 
本地安全设置.本地策略.安全选项
           
           1.网络访问.不允许SAM帐户的匿名枚举 启用
           2.网络访问.可匿名的共享 将后面的值删除
           3.网络访问.可匿名的命名管道 将后面的值删除
           4.网络访问.可远程访问的注册表路径 将后面的值删除
           5.网络访问.可远程访问的注册表的子路径 将后面的值删除
           6.网络访问.限制匿名访问命名管道和共享
           7.帐户.重命名来宾帐户guest
           8.帐户.重命名系统管理员帐户
 
 
6.Terminal Service Configration
 
   A.RDP设置中删除系统管理员组(administrators group)的用户登陆权限,只允许系统管理员单一账户登陆[Permissions]
   B.权限-高级中配置安全审核,记录登录、注销等所有事件
 
7.IPSEC配置
 
微软官方网站
A.http://www.microsoft.com/windowsserver2003/technologies/networking/ipsec/default.mspx
B.IPSec的使用
http://www.microsoft.com/china/technet/security/ipsecloc.asp
C.keyword"IPSEC"
http://search.microsoft.com/search/results.aspx?st=b&na=88&View=en-us&qu=ipsec
D.HOW TO:如何在 Windows Server 2003 中配置 IPSec 隧道
http://support.microsoft.com/default.aspx?scid=kb;zh-cn;816514
 
 
 
8.注册表相关设置
 
   A. 通过更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止139空连接
 
   B. 修改数据包的生存时间(TTL)值
     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P arameters
     DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)
   备注:
 
     TTL 字段值可以帮助我们识别操作系统类型。
 
     UNIX 及类 UNIX 操作系统 ICMP 回显应答的 TTL 字段值为 255
     Compaq Tru64 5.0 ICMP 回显应答的 TTL 字段值为 64
     微软 Windows NT/2K操作系统 ICMP 回显应答的 TTL 字段值为 128
     微软 Windows 95 操作系统 ICMP 回显应答的 TTL 字段值为 32
     LINUX Kernel 2.2.x & 2.4.x ICMP 回显应答的 TTL 字段值为 64
 
     这样,我们就可以通过这种方法来辨别
 
     但为什么我们在PING目标机器的时候得到的不一定是上述几个呢,应该ICMP回应的数据包发到本机的时候会经过路由,每过一个 路由设备 TTL-1,所以到了本机后得到的TTL值肯定比目标的默认值小。
 
     考一下大家,当我PING某个IP得到的TTL是128那代表什么,我们可以得到些什么推论?
 
     主要是让大家更了解TTL的定义。
     补一:TTL最大值为255,因为IPV4的IP包中TTL值设定只有8位长度。
 
     补二:TTL的修改
     WIN NT/2K/XP系统只要在注册表里加上子项就可修改TTL,重起生效。
 
     DefaultTTL=0x30 (dword类型,0X30是你要设置TTL值的大小)
     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
 
 
 C. 防止SYN洪水攻击
     HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P arameters
     SynAttackProtect REG_DWORD 0x2(默认值为0x0)
     "SynAttackProtect"=dword:0x1
     "EnablePMTUDiscovery"=dword:0x1
     "KeepAliveTime"=dword:300,000
     "NoNameReleaseOnDemand"=dword:0x0
 D. 禁止响应ICMP路由通告报文
       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P arameters
       \Interfaces\interface
       PerformRouterDiscovery REG_DWORD 0x0(默认值为0x2)
 
 E. 防止ICMP重定向报文的攻击
       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P arameters
       EnableICMPRedirects REG_DWORD 0x0(默认值为0x1)
 
 F. 不支持IGMP协议
       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\P arameters
       IGMPLevel REG_DWORD 0x0(默认值为0x2)
 
 E. 设置arp缓存老化时间设置
       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\ Parameters
       ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为120秒)
       ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为600)
 
 G. 禁止死网关监测技术
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\ Parameters
      EnableDeadGWDetect REG_DWORD 0x0(默认值为ox1)
 
 H. 不支持路由功能
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\ Parameters
      IPEnableRouter REG_DWORD 0x0(默认值为0x0)
 
     [慎用以下改动]
      >>>1. 禁止C$、D$一类的缺省共享
           HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmans erver\parameters
           AutoShareServer、REG_DWORD、0x0
 
      >>>2. 禁止ADMIN$缺省共享
          HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmans erver\parameters
          AutoShareWks、REG_DWORD、0x0
 
      >>>3. 限制IPC$缺省共享
          HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
          restrictanonymous REG_DWORD 0x0 缺省
          0x1 匿名用户无法列举本机用户列表
          0x2 匿名用户无法连接本机IPC$共享
          说明:不建议使用2,否则可能会造成你的一些服务无法启动,如SQL Server
 
备:上面的注册表文件已和win2003的破解补丁做在一起,可以直接运行
 
 
9.系统命令转移
 
将WIN2003系统盘下的C:\WINDOWS\system32下的DOS命令转移:
 
CMD/CMDKEY.exe、FTP/TFTP.exe、NET/NET1.exe、FORMAT.COM、AT.exe、ARP.exe、ATTRIB.exe、CACLS.exe、SYSKEY.exe、SHUTDOWN/RESTART/LOGOFF.exe等至备份文件夹内
 
必须使用时[such as runas .bat files]可以重新copy到原目录下,使用完毕后需删除
 
 
简单介绍cacls.exe
---------------------
 
DEMO 1:限制system32的写入和修改权限
 
    cacls C:\windows\system32 /G administrator:R   禁止修改、写入C:\windows\system32目录
    cacls C:\windows\system32 /G administrator:F   恢复修改、写入C:\windows\system32目录
 
---------------------
DEMO 2:限制C:\的写入和修改权限
 
    cacls C: /G administrator:R   禁止修改、写入C盘
    cacls C: /G administrator:F   恢复修改、写入C盘
 
    这个方法防止病毒,
    如果您觉得一些病毒防火墙消耗内存太大的话
    此方法稍可解决一点希望大家喜欢这个方法^_^
 
---------------------
DEOMO 3:
 
   以下命令推荐给高级管理员使用[因为win版本不同,请自行修改参数]
 
cacls %SystemRoot%system32cmd.exe /E /D IUSR_ComSpec 禁止网络用户、本地用户在命令行和gui下使用cmd
cacls %SystemRoot%system32cmd.exe /E /D IUSR_Lsa 恢复网络用户、本地用户在命令行和gui下使用cmd
cacls %SystemRoot%system32tftp.exe /E /D IUSR_Lsa 禁止网络用户、本地用户在命令行和gui下使用tftp.exe
cacls %SystemRoot%system32tftp.exe /E /D IUSR_Lsa 恢复网络用户、本地用户在命令行和gui下使用tftp.exe
cacls %SystemRoot%system32tftp32.exe /E /D IUSR_Lsa 禁止网络用户、本地用户在命令行和gui下使用tftp32.exe
cacls %SystemRoot%system32tftp32.exe /E /D IUSR_Lsa 恢复网络用户、本地用户在命令行和gui下使用tftp32.exe
 
 
----------------------------------------
 
 
附:微软官方有关win2003的资料
1.Windows Server 2003技术文章索引
http://www.microsoft.com/china/windowsserver2003/techinfo/overview/articleindex.mspx
2.Microsoft TechNet 技术资源库
http://www.microsoft.com/china/technet/library.mspx
3.Windows Server 2003 Technical Articles
http://www.microsoft.com/serviceproviders/resources/techresarticleswinserver2003.mspx
4.Technical Articles
http://www.microsoft.com/serviceproviders/resources/techresarticles.mspx
5.Windows Server 2003 Security Guide
http://www.microsoft.com/downloads/details.aspx?FamilyId=8A2643C1-0685-4D89-B655-521EA6C7B4DB&displaylang=en  
 
 
 
附一:Win2003系统建议禁用服务列表
 

名 称
服务名
建议设置
Automatic Updates
wuauserv
公网推荐自动,内网推荐手动
Computer Browser                                                                                                        
Browser
禁用
DHCP Client                                                                                                                    
Dhcp
禁用
NTLM Security Support Provider                                                                                 
NtLmSsp
禁用
Network Location Awareness                                                                                      
NLA
禁用
Performance Logs and Alerts                                                                                    
SysmonLog
禁用
Remote Administration Service                                                                                  
SrvcSurg
禁用
Remote Registry Service                                                                                             
RemoteRegistry
禁用
TCP/IP NetBIOS Helper Service                                                                                
LmHosts
禁用
Indexing Service                                                                                                           
Cisvc.exe
禁用
NTLM Security Support Provider                                                                               
NtLmSsp
禁用
Windows Installer                                                                                                      
MSIServer
禁用
Windows Management Instrumentation Driver Extensions                              
Wmi
禁用
WMI Performance Adapter                                                                                      
WMIApSrv
禁用
Error Reporting                                                                                                          
ErrRep
禁用
Print Spooler                                                                                                             
Spoolsv.exe
禁用

 
 
附二:修改3389
  更改方法:
  一、服务器端:
  1、第一处
  运行regedit,找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp],右边的PortNumber在十进制状态下改成你想要的端口号吧,比如7126之类的,只要不与其它冲突即可。
  2、第二处HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp,方法同上,记得改的端口号和上面改的一样就行了。
  
    二、客户端:
  A.win2000
    打开客户端管理连接器,单击已经建好的某个连接,单击“文件(file)”→“导出(Export)”……
  用记录本或其它文本编辑软件找开刚导出的这个.cns文件,找到“Server Port =3389”这一行
  把这个默认的3389改成与服务器一样的端口号。
 
    B. Windows XP/2003 下的修改办法
  使用XP或2003的客户端,它可以显示多彩,还可以有声音,功能更强大。但终端客户端连接端口的修改方法与WIN2000有一定区别:
 
  按照原来更改2000的客户端的思路,把XP、2003的默认配置另存(在连接界面上单击“另存为”),和2000不一样的是:XP、2003的配置文件后缀是.rdp,WIN2000的是.cns
  用记事本打开这个地default.rdp文件,在里面没有发现什么3389的东东(2000的配置文件是有的),没有这句端口的配置我们就给它加上,假定现在的端口为8933,如下:
       server port:8933
 
  保存,退出即可。
 
二.   SQLServer2000的安全配置
 
        在进行SQL Server 2000数据库的安全配置之前,首先你必须对操作系统进行安全配置,
    保证你的操作系统处于安全状态。然后对你要使用的操作数据库软件(程序)进行必要的安全审核,
    比如对ASP、CGI等脚本,这是很多基于数据库的WEB应用常出现的安全隐患,
    对于脚本主要是一个过滤问题,需要过滤一些类似 , ‘ @ / 等字符,防止破坏者构造恶意的SQL语句。
    接着,安装SQL Server2000后请打上补丁sp4补丁。
 
下载地址是:http://www.microsoft.com/china/sql/downloads/sp3.asp
http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=8e2dfc8d-c20e-4446-99a9-b7f0213f8bc5 [中文连接]
http://www.microsoft.com/downloads/details.aspx?FamilyID=8e2dfc8d-c20e-4446-99a9-b7f0213f8bc5&DisplayLang=en [英文连接]
 
    在做完基础之后,我们再来讨论SQL Server的安全配置。
 
1、使用安全的密码策略
 
 我们把密码策略摆在所有安全配置的第一步,请注意,很多数据库帐号的密码过于简单,
 这跟系统密码过于简单是一个道理。对于sa更应该注意,同时不要让sa帐号的密码写于应用程序或者脚本中。
 健壮的密码是安全的第一步!
 SQL Server2000安装的时候,如果是使用混合模式,那么就需要输入sa的密码,
 除非你确认必须使用空密码。这比以前的版本有所改进。
 同时养成定期修改密码的好习惯。数据库管理员应该定期查看是否有不符合密码要求的帐号。
 比如使用下面的SQL语句:
Use master
Select [name],[Password] from syslogins where [password] is null
 
2、使用安全的帐号策略。
 
 由于SQL Server不能更改sa用户名称,也不能删除这个超级用户,
 所以,我们必须对这个帐号进行最强的保护,当然,包括使用一个非常强壮的密码,
 最好不要在数据库应用中使用sa帐号,只有当没有其它方法登录到 SQL Server 实例
 (例如,当其它系统管理员不可用或忘记了密码)时才使用 sa。
 建议数据库管理员新建立一个拥有与sa一样权限的超级用户来管理数据库。
 安全的帐号策略还包括不要让管理员权限的帐号泛滥。
 SQL Server的认证模式有Windows身份认证和混合身份认证两种。
 如果数据库管理员不希望操作系统管理员来通过操作系统登陆来接触数据库的话,
 可以在帐号管理中把系统帐号“BUILTIN\Administrators”删除。
 不过这样做的结果是一旦sa帐号忘记密码的话,就没有办法来恢复了。
 很多主机使用数据库应用只是用来做查询、修改等简单功能的,
 请根据实际需要分配帐号,并赋予仅仅能够满足应用要求和需要的权限。
 比如,只要查询功能的,那么就使用一个简单的public帐号能够select就可以了。
 
3、加强数据库日志的记录。
 
 审核数据库登录事件的“失败和成功”,在实例属性中选择“安全性”,
 将其中的审核级别选定为全部,这样在数据库系统和操作系统日志里面,
 就详细记录了所有帐号的登录事件。
 
 请定期查看SQL Server日志检查是否有可疑的登录事件发生,或者使用DOS命令。
 findstr /C:"登录" d:\Microsoft SQL Server\MSSQL\LOG\*.*
 
4、管理扩展存储过程
 
 对存储过程进行大手术,并且对帐号调用扩展存储过程的权限要慎重。
 其实在多数应用中根本用不到多少系统的存储过程,
 而SQL Server的这么多系统存储过程只是用来适应广大用户需求的,
 所以请删除不必要的存储过程,
 因为有些系统的存储过程能很容易地被人利用起来提升权限或进行破坏。
 如果你不需要扩展存储过程xp_cmdshell请把它去掉。使用这个SQL语句:
 use master
 sp_dropextendedproc 'xp_cmdshell'
 
 xp_cmdshell是进入操作系统的最佳捷径,是数据库留给操作系统的一个大后门。
 如果你需要这个存储过程,请用这个语句也可以恢复过来。
  
 sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
 
 如果你不需要请丢弃OLE自动存储过程(会造成管理器中的某些特征不能使用),
 这些过程包括如下:
 Sp_OACreate Sp_OADestroy     Sp_OAGetErrorInfo Sp_OAGetProperty
 Sp_OAMethod     Sp_OASetProperty Sp_OAStop
 去掉不需要的注册表访问的存储过程,注册表存储过程甚至能够读出操作系统管理员的密码来,如下:
 Xp_regaddmultistring Xp_regdeletekey      Xp_regdeletevalue 
 Xp_regenumvalues      Xp_regread   Xp_regremovemultistring 
 Xp_regwrite
 还有一些其他的扩展存储过程,你也最好检查检查。
 在处理存储过程的时候,请确认一下,避免造成对数据库或应用程序的伤害。
附: Extended Stored Proc Removal and Restore Scripts
1.remove mssql2000 extended stored procedures.sql

use master
exec sp_dropextendedproc 'xp_cmdshell'
go
exec sp_dropextendedproc 'xp_dirtree'
go
exec sp_dropextendedproc 'xp_enumgroups'
go
exec sp_dropextendedproc 'xp_fixeddrives'
go
exec sp_dropextendedproc 'xp_loginconfig'
go
exec sp_dropextendedproc 'xp_regaddmultistring'
go
exec sp_dropextendedproc 'xp_regdeletekey'
go
exec sp_dropextendedproc 'xp_regdeletevalue'
go
exec sp_dropextendedproc 'xp_regread'
go
exec sp_dropextendedproc 'xp_regremovemultistring'
go
exec sp_dropextendedproc 'xp_regwrite'
go
exec sp_dropextendedproc 'xp_enumerrorlogs'
go
exec sp_dropextendedproc 'xp_getfiledetails'
go
exec sp_dropextendedproc 'xp_regenumvalues'
go

2.restore mssql2000 extended stored procedures.sql

use master
exec sp_addextendedproc 'xp_cmdshell', 'xplog70.dll'
go
exec sp_addextendedproc 'xp_dirtree', 'xpstar.dll'
go
exec sp_addextendedproc 'xp_enumgroups', 'xplog70.dll'
go
exec sp_addextendedproc 'xp_fixeddrives', 'xpstar.dll'
go
exec sp_addextendedproc 'xp_loginconfig', 'xplog70.dll'
go
exec sp_addextendedproc 'xp_regaddmultistring', 'xpstar.dll'
go
exec sp_addextendedproc 'xp_regdeletekey', 'xpstar.dll'
go
exec sp_addextendedproc 'xp_regdeletevalue', 'xpstar.dll'
go
exec sp_addextendedproc 'xp_regread', 'xpstar.dll'
go
exec sp_addextendedproc 'xp_regremovemultistring', 'xpstar.dll'
go
exec sp_addextendedproc 'xp_regwrite', 'xpstar.dll'
go
exec sp_addextendedproc 'xp_enumerrorlogs', 'xpstar.dll'
go
exec sp_addextendedproc 'xp_getfiledetails', 'xpstar.dll'
go
exec sp_addextendedproc 'xp_regenumvalues', 'xpstar.dll'
go
 
5、使用协议加密
 
 SQL Server 2000使用的Tabular Data Stream协议来进行网络数据交换,
 如果不加密的话,所有的网络传输都是明文的,包括密码、数据库内容等等,
 这是一个很大的安全威胁。能被人在网络中截获到他们需要的东西,包括数据库帐号和密码。
 所以,在条件容许情况下,最好使用SSL来加密协议,当然,你需要一个证书来支持。
 
6、不要让人随便探测到你的TCP/IP端口
 
 默认情况下,SQL Server使用1433端口监听,很多人都说SQL Server配置的时候要把这个端口改变,
 这样别人就不能很容易地知道使用的什么端口了。
 可惜,通过微软未公开的1434端口的UDP探测可以很容易知道SQL Server使用的什么TCP/IP端口了。
 不过微软还是考虑到了这个问题,毕竟公开而且开放的端口会引起不必要的麻烦。
 在实例属性中选择TCP/IP协议的属性。选择隐藏 SQL Server 实例。
 如果隐藏了 SQL Server 实例,则将禁止对试图枚举网络上现有的 SQL Server 实例的客户端
 所发出的广播作出响应。这样,别人就不能用1434来探测你的TCP/IP端口了(除非用Port Scan)。
 
7、修改TCP/IP使用的端口
 
 请在上一步配置的基础上,更改原默认的1433端口。
 在实例属性中选择网络配置中的TCP/IP协议的属性,将TCP/IP使用的默认端口变为其他端口.
 
 
 
9、拒绝来自1434端口的探测
 
 由于1434端口探测没有限制,能够被别人探测到一些数据库信息,而且还可能遭到DOS攻击让数据库服务器的CPU负荷增大,所以对Windows 2000操作系统来说,在IPSec过滤拒绝掉1434端口的UDP通讯,
 可以尽可能地隐藏你的SQL Server。
 
10、对网络连接进行IP限制
 
 SQL Server 2000数据库系统本身没有提供网络连接的安全解决办法,
 但是Windows 2000提供了这样的安全机制。使用操作系统自己的IPSec可以实现IP数据包的安全性。
 请对IP连接进行限制,只保证自己的IP能够访问,也拒绝其他IP进行的端口连接,
 把来自网络上的安全威胁进行有效的控制。
 关于IPSec的使用请参看:http://www.microsoft.com/china/technet/security/ipsecloc.asp  
 
 上面主要介绍的一些SQL Server的安全配置,经过以上的配置,可以让SQL Server本身具备足够的安全防范能力。当然,更主要的还是要加强内部的安全控制和管理员的安全培训,
 而且安全性问题是一个长期的解决过程,还需要以后进行更多的安全维护。
 
11.Best Practices Analyzer Tool for Microsoft SQL Server 2000
http://www.microsoft.com/downloads/details.aspx?displayla%20ng=en&familyid=B352EB1F-D3CA-44EE-893E-9E07339C1F22&displaylang=en
使用Best Practices Analyzer Tool for Microsoft SQL Server 2000 检查mssql2000的安全性

推荐阅读

 

热点信息

 
强悍的草根IT技术社区,这里应该有您想要的! 友情链接:b2b电子商务
Copyright © 2010 Gimoo.Net. All Rights Rreserved  京ICP备05050695号