保護你的商業數據(NT Server的安全性、數據庫SQL Server的安全性和IIS的安全性)

我們來討論Web 服務器的安全性設置。這包括NT Server的安全性、數據庫SQL Server的安全性和IIS的安全性。

注意安裝的順序

請你最好按下面的次序安裝所有的軟件：

1、 安裝NT Server4.0，最好安裝成“獨立服務器”。

2、 安裝NT service Pack 3.0

3、 安裝Option Pack 4.0

4、 安裝NT Service Pack 4.0或者更高補包

5、 安裝SQL Server 7.0



NT Server的安全性
NT被認為是因特網上最脆弱的操作系統。由於微軟的NT幾乎每一周就會發現一個新的Bug，所以，NT的安全性是可想而知了。解決NT的安全性配置問題，有時候甚至比設計一個電子商店更加具有挑戰性。

我在此也只能介紹我自己的一些心得和體會。如果你要得到更好的安全配置，你可以訪問一些關於安全的討論組，並經常關注微軟的補丁程序。

將NT Server安裝成獨立域服務器
在安裝NT 時安裝程序提示你選擇三種安裝類型：

1. 主域控制器

2. 備份域控制器

3. 獨立服務器

請選擇3。在因特網上沒有必要安裝成域名服務器。

將缺省的賬號重新命名或者鎖定
系統賬號包括Administrator和Guest是在安裝時自動設置的。許多黑客就是通過截獲這些賬號或者猜測這些賬號的密碼，從而進入你的系統。所以建議你把這些賬號重新命名或者干脆停用。

這些操作可以在“管理工具”>>“域用戶管理器”中完成。

賬號規則非常重要
在域管理器中由一個菜單項“賬號規則”，選擇之就可以配置賬號規則。在設置這些規則時，要保證：

1、不允許空的密碼，並設置密碼的最小長度

2、當出現登錄失敗若干次後，應該鎖定該賬號。這便於防止一些黑客利用某些軟件來猜測密碼。

系統策略編輯器
NT Server的系統策略編輯器非常有用。按“管理工具”>>“系統策略編輯器”就可以進入，然後選擇“文件”>>“打開注冊表”，並選擇“本地計算機”圖標，就可以認真配置了。主要要設置下面幾項：

1、取消：網絡>>系統規則更新>>“遠程更新”

2、取消：Windows NT 網絡>>共享>>創建隱藏的驅動器共享

3、設置：Windows NT遠程訪問下面的各項。

4、設置：Widows NT系統>>登錄中各個項目。包括設置登錄標記；不允許從“身份驗證對話框”關機；不顯示上次登錄的用戶名。

5、設置：Widows NT系統>>文件系統中的“不為長文件名創建8.3文件名”。



禁止啟動時列表顯示
在“我的電腦”圖標上點右鍵，選擇“屬性”，就進入“系統特性”設置。選擇“啟動/關閉”項目，然後設置列表顯示的時間為0秒。

在此頁面，你還可以設置系統“故障/恢復”的有關選項。

刪除“網絡”中的“NetBiOS接口”
為了使你的服務器比較安全，安裝最少的服務是降低安全風險的好辦法。所以我一般要去掉“網絡”中“NetBiOS接口”服務，這樣，我就只安裝了四個服務：

1、RPC配置

2、服務器

3、工作站

4、計算機浏覽器

請記住：服務越少越安全！

小心配置TCP/IP協議
同樣的道理，我們要安裝盡可能少的協議。千萬別安裝點對點通道通訊協議。此外，你還必須小心地配置TCP/IP協議。在TCP/IP的屬性頁中選擇“IP地址”項目，然後選擇“高級”按鈕，在彈出的對話框中選擇“啟用安全機制”，並選擇“配置”，這時又有一個界面出現。在這裡你就可以設置TCP/UDP的端口了。為了安全，你可以禁止使用UDP，然後開啟IP端口6和TCP的端口80。當然，開啟哪些端口完全由你決定。只有你覺得安全性對你確實不太重要時，你才能開啟全部的端口。（每一個端口都有上千個黑客在等候喲！）

不要使用遠程管理軟件
由於NT不太支持遠程管理，所以你可能正打算安裝Reachout或者PC Anywhere這樣的遠程管理軟件。可惜的是，如果你安裝了這些軟件，你將不得不開啟TCP/IP的所有端口，這樣你才能使用這些軟件。所以我的建議是，不要安裝這些軟件。

隨時記住：鎖定你的計算機
在你離開服務器以後，記住按下“Ctrl+Alt+Del”，並選擇“鎖定工作站”。如果你使用遠程管理，在結束之前，特別要注意“鎖定工作站”。

把所有的硬盤分區設置為NTFS
建議你從光盤安裝系統。這樣你可以對硬盤進行NTFS分區並做一個全新的安裝。有許多朋友是這樣安裝系統的：

首先開機即如DOS，運行FDISK，格式化C：盤，然後運行如下命令：

WinNT /B

這是非常不安全的安裝方法。請一定從光盤開始安裝，並在格式化硬盤時選擇NTFS。因為只有NTFS才能更好地進行安全性配置。



SQL Server的安全性
SQL Server中保留了商店的所有交易數據，這些數據如果落入了競爭者的手裡，那就不會得到我們想要的結果；而如果有人進入了SQL Server，他會不會刪除你的數據？會不會修改你的數據？。。。後果是可怕的。

小心地配置NT，小心地配置SQL Server!

安裝遠程數據庫管理有風險
SQL Server支持從遠程進行數據庫的維護。在安裝時你可以選擇不安裝，安裝完成以後，你還可以通過“SQL Server Network Utility”來刪除遠程管理。如果你要使用遠程管理，請使用TCP/IP，並將缺省的端口1433改變為其他的數值。

使用遠程管理對你可能比較方便，但同樣也方便了黑客。一個Hacker只要知道你的SQ

您正在看的SQLserver教程是:保護你的商業數據(NT Server的安全性、數據庫SQL Server的安全性和IIS的安全性)。L Server密碼，就可以輕易地進入你的數據庫，並窺探你的商業數據。

改變sa的密碼
缺省安裝時，SQL server的sa賬號沒有密碼。你必須改變這一狀況。通過SQL Server的Enterprise Server，可以改變sa的密碼。(分支：SQL Server Group>>你的機器名>>Security)

進入SQL Server提示輸入用戶名和密碼
在Enterprise Server中，在機器名分支上點右鍵，

然後就可以編輯SQL Server的屬性。請在彈出的對話框中選擇：

Always prompt for logins and passWord

數據庫的登錄賬號不要寫入ASP頁面
有許多人會看到你的ASP頁面，其中包括黑客。我們不贊成將核心的商業代碼寫入ASP程序，同樣，我們也不贊成將數據庫的賬號等重要信息寫入ASP。實際上，這是非常危險的。國內的許多站點，包括一個吹的很厲害的電子商務站點，它的數據庫密碼可以很輕易地得到。在本書付印時，這個情況還沒有改變。

這太可怕了！

IIS 的安全性
微軟的IIS(Internet Information Server)的bug真是太多了。我不知道中文Sp5出來了會不會好一點。如果你不小心地安裝IIS，即使你再怎麼小心地配置NT server和SQL Server都沒有用。

IIS的安全性是必須從安裝開始的。

安裝必須的選項
我一般選擇這些項目進行安裝：

Internet Information Server

Internet服務管理器

WWW服務器

Microsoft Data Access Component 1.5

Microsoft管理控制台

千萬別安裝IIS的文檔和例子站點。許多攻擊都是針對這些文檔和例子站點的。建議你也不要安裝Internet服務管理器的Html版本。這個部件也使問題多多，黑客喜歡也！

好好規劃你的硬盤
黑客突破系統具有一定的規律。建議你將系統安裝到C:，Web 數據在D:，而數據庫的數據在E:。這樣，及時損失，也可以防止系統所有東西被黑掉。

啟用日志
在IIS的Internet服務器中，可以設置各個站點的屬性。在屬性對話框中選擇“Web 站點”，並選擇“啟用日志”，選擇日志“屬性”按鈕，在隨後彈出的“擴展日志記錄屬性”對話框中，設置“擴展的屬性”，最好能有以下幾個屬性：日期、時間、客戶IP、服務器名、服務器IP、傳送接受字節數、所花時間等等。

設置應用程序映射
在站點的屬性對話框中，選擇“主目錄”>>“配置”，然後在彈出的對話框中，選擇“應用程序映射”，小心地設置擴展名和可執行路徑。我一般就刪除其他擴展名，只留下ASA和ASP兩項。

在“應用程序選項”中，關閉“啟用上層路徑”。

在“應用程序調試”中，關閉客戶端和服務器端的腳本調試，並選擇“傳送文本錯誤信息給客戶”。

安裝最新的補丁
最後的也是最有效的方法，就是關注微軟的Bug和他發布的補丁。如果可能，你最好安裝最高版本的NT Service Pack。起碼要高於補包四。微軟還發布一系列的hotfixes，你可以在微軟的站點找到。