IIS与SQL服务器安全加固

日期：2005年10月31日作者：查看:[大字体中字体小字体]

安装和配置防病毒保护。
推荐NAV 8.1以上版本病毒防火墙（配置为至少每周自动升级一次）。

安装和配置防火墙保护。
推荐最新版BlackICE Server Protection防火墙（配置简单，比较实用）

监视解决方案。
根据要求安装和配置 MOM代理或类似的监视解决方案。

加强数据备份。
Web数据定时做备份，保证在出现问题后可以恢复到最近的状态。

考虑实施 IPSec 筛选器。
用 IPSec 过滤器阻断端口

Internet 协议安全性 (IPSec) 过滤器可为增强服务器所需要的安全级别提供有效的方法。本指南推荐在指南中定义的高安全性环境中使用该选项，以便进一步减少服务器的受攻击面。

有关使用 IPSec 过滤器的详细信息，请参阅模块其他成员服务器强化过程。

下表列出在本指南定义的高级安全性环境下可在 IIS 服务器上创建的所有 IPSec 过滤器。

服务
协议
源端口
目标端口
源地址
目标地址
操作
镜像

Terminal Services
TCP
所有
3389
所有
ME
允许
是

HTTP Server
TCP
所有
80
所有
ME
允许
是

HTTPS Server
TCP
所有
443
所有
ME
允许
是

在实施上表所列举的规则时，应当对它们都进行镜像处理。这样可以确保任何进入服务器的网络通信也可以返回到源服务器。

SQL服务器安全加固

步骤
说明

MDAC 升级
安装最新的MDAC（http://www.microsoft.com/data/download.htm）

密码策略
由于SQL Server不能更改sa用户名称，也不能删除这个超级用户，所以，我们必须对这个帐号进行最强的保护，当然，包括使用一个非常强壮的密码，最好不要在数据库应用中使用sa帐号。新建立一个拥有与sa一样权限的超级用户来管理数据库。同时养成定期修改密码的好习惯。数据库管理员应该定期查看是否有不符合密码要求的帐号。比如使用下面的SQL语句：
Use master
Select name,Password from syslogins where password is null

数据库日志的记录
核数据库登录事件的“失败和成功”，在实例属性中选择“安全性”，将其中的审核级别选定为全部，这样在数据库系统和操作系统日志里面，就详细记录了所有帐号的登录事件。

管理扩展存储过程
xp_cmdshell是进入操作系统的最佳捷径，是数据库留给操作系统的一个大后门。请把它去掉。使用这个SQL语句：
use master
sp_dropextendedproc 'xp_cmdshell'
如果你需要这个存储过程，请用这个语句也可以恢复过来。
sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'

OLE自动存储过程（会造成管理器中的某些特征不能使用），这些过程包括如下（不需要可以全部去掉：
Sp_OACreate　　Sp_OADestroy　　Sp_OAGetErrorInfo　　Sp_OAGetProperty
Sp_OAMethod　　Sp_OASetProperty　　Sp_OAStop

去掉不需要的注册表访问的存储过程，注册表存储过程甚至能够读出操作系统管理员的密码来，如下：
Xp_regaddmultistring　　　Xp_regdeletekey　　　Xp_regdeletevalue　　 Xp_regenumvalues　　　Xp_regread　　　　 Xp_regremovemultistring　　　　 Xp_regwrite
上一页 [1] [2] [3] [4] [5] 下一页
IIS与SQL服务器安全加固相关文章：
·IIS与SQL服务器安全加固详解
·IIS与SQL服务器安全加固
·IIS与SQL服务器安全加固
IIS与SQL服务器安全加固相关软件

上一篇:浅谈Linux优化及安全配置的个人体会

下一篇:NetBSD安装手册

特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

IIS与SQL服务器安全加固

精品推荐

热点TOP10

特别推荐