Windows 服務器安全加固方案

Windows 2003服務器安全加固方案

　　sql服務器安全加固

　　安裝最新的mdac(http://www.microsoft.com/data/download.htm)

　　5.1 密碼策略

　　由于sql server不能更改sa用戶名稱，也不能刪除這個超級用戶，所以，我們必須對這個帳號進行最強的保護，當然，包括使用一個非常強壯的密碼，最好不要在數據庫應用中使用sa帳號。新建立一個擁有與sa一樣權限的超級用戶來管理數據庫。同時養成定期修改密碼的好習慣。數據庫管理員應該定期查看是否有不符合密碼要求的帳號。比如使用下面的sql語句：

　　use master

　　select name,password from syslogins where password is null

　　5.2 數據庫日志的記錄

　　核數據庫登錄事件的"失敗和成功"，在實例屬性中選擇"安全性"，將其中的審核級別選定為全部，這樣在數據庫系統和操作系統日志里面，就詳細記錄了所有帳號的登錄事件。

　　5.3 管理擴展存儲過程

　　xp_cmdshell是進入操作系統的最佳捷徑，是數據庫留給操作系統的一個大后門。請把它去掉。使用這個sql語句：

　　use master

　　sp_dropextendedproc ’xp_cmdshell’

　　注：如果你需要這個存儲過程，請用這個語句也可以恢復過來。

　　sp_addextendedproc ’xp_cmdshell’, ’xpsql70.dll’

　　ole自動存儲過程(會造成管理器中的某些特征不能使用)，這些過程包括如下(不需要可以全部去掉：

　　sp_oacreate sp_oadestroy sp_oageterrorinfo sp_oagetproperty

　　sp_oamethod sp_oasetproperty sp_oastop

　　去掉不需要的注冊表訪問的存儲過程，注冊表存儲過程甚至能夠讀出操作系統管理員的密碼來，如下：

　　xp_regaddmultistring xp_regkey xp_regvalue xp_regenumvalues

　　xp_regread xp_regremovemultistring xp_regwrite

　　5.4 防tcp/ip端口探測

　　在實例屬性中選擇tcp/ip協議的屬性。選擇隱藏 sql server 實例。

　　請在上一步配置的基礎上，更改原默認的1433端口。

　　在ipsec過濾拒絕掉1434端口的udp通訊，可以盡可能地隱藏你的sql server。

　　對網絡連接進行ip限制

　　使用操作系統自己的ipsec可以實現ip數據包的安全性。請對ip連接進行限制，保證只有自己的ip能夠訪問，拒絕其他ip進行的端口連接。

　　通過以上的配置，禁止了服務器開放不必要的端口，防止服務被植入后門程序，通過配置目錄權限可以防止入侵者拿到welshell后提權，加強了服務器的安全性，避免了對服務器的攻擊和加強了TCP協議棧。通過iis的配置提高了iis的安全性和穩定性。修改了sql server的默認端口，可以防止惡意用戶對服務器進行掃描嘗試暴力破解sa賬戶提供數據庫的安全性。對服務器實現了整體的安全加固。

【Windows 服務器安全加固方案】相關文章：

路網管理的信息安全加固方案研究論文10-09

服務器安全維護合同12-07

談談堤防工程加固施工10-26

房屋加固維修合同06-13

網站服務器下的計算機安全論文10-10

建筑物加固改造分析論文10-09

談建筑結構常用的加固方式的論文10-09

橋梁檢測與維護加固的重要性分析10-26

建筑結構加固技術的類型及特點論文10-10

計算機網絡安全服務器的網絡架構10-26