【凤凰】windows 安全方面问题 欢迎讨论

OS:SERVER       WINDOWS   2003   Enterprise   CLIENT   WINDOWS   XP/WINDOWS   2K   PRO  
   
  Condition:  
   
  1.域  
  2.CISCO   3550   （1个）划分20个VLAN    
      CISCO   2950-48   （8个）连接局域网  
      NETSCREEN     硬件防火墙  
      局域网通过2950连接，通过3550划分VLAN,通过NETSCREEN做NAT  
   
  3.局域网存在20台演示服务器，2台域控，150台客户机  
      演示服务器使用windows   2003   +   SQL   SERVER  
      演示服务器DB   使用Solaris   9   +   Oracle   8  
   
  4.讨论要点：  
      1.域的安全  
      具体：本身的安全机制，备份机制  
                  域客户端不允许安装QQ等等聊天工具  
                   
      2.演示服务器本身的安全机制（侧重与SQL   SERVER   2000的安全）  
   
  欢迎讨论 问题点数：200、回复次数：34Top

1 楼liyuxuan（红色石头）回复于 2004-09-04 19:08:05 得分 0

住一楼！~_~Top

2 楼icuc88（职业特种兵）回复于 2004-09-04 19:55:21 得分 0

:PTop

3 楼kwa（思念海）回复于 2004-09-04 19:56:31 得分 0

upTop

4 楼mydo（侯佩|hopy|ks）回复于 2004-09-04 20:03:14 得分 0

关注Top

5 楼xjp6688（大平/要做必须最好）回复于 2004-09-04 20:47:12 得分 0

学习Top

6 楼hdlzl（伊人）回复于 2004-09-04 20:54:00 得分 0

学习Top

7 楼prettyjerry（一个小白加一个小白是什么？）回复于 2004-09-04 21:35:02 得分 0

up中~~~~~Top

8 楼jb99334（↑飞刀客↑）回复于 2004-09-04 21:46:21 得分 0

学习  
  Top

9 楼wzjcntlqs（要做钱的主人）回复于 2004-09-04 22:55:46 得分 0

study  
  Top

10 楼zjcxc（邹建）回复于 2004-09-04 22:56:15 得分 30

sql方面的安全控制:  
   
  --作好SQL的安全管理  
  --作者:邹建  
   
  首先,做好用户安全:      
     
  --简单的,只允许sql的用户访问sql(防止利用administrator组用户访问)      
     
  1.企业管理器--右键SQL实例--属性--安全性--身份验证--选择"sql     server和windows"--确定      
     
  2.企业管理器--安全性--登陆--右键sa--设置密码--其他用户也设置密码      
     
  3.删除用户:      
                        BUILTIN\Administrators      
                        <机器名>\Administrator     --这个用户不一定有      
        这样可以防止用windows身份登陆SQL      
     
  4.设置进入企业管理器需要输入密码      
  在企业管理器中      
                        --右键你的服务器实例(就是那个有绿色图标的)      
                        --编辑SQL     Server注册属性      
                        --选择"使用     SQL     Server     身份验证"      
                        --并勾选"总是提示输入登录名和密码"      
                        --确定Top

11 楼zjcxc（邹建）回复于 2004-09-04 22:56:33 得分 30

 
  其次,改默认端口,隐藏服务器,减少被攻击的可能性      
     
  SQL     Server服务器      
                        --开始      
                        --程序      
                        --Microsoft     SQL     Server      
                        --服务器网络实用工具      
                        --启用的协议中"TCP/IP"      
                        --属性      
                        --默认端口,输入一个自已定义的端口,比如2433      
                        --勾选隐藏服务器      
  Top

12 楼zjcxc（邹建）回复于 2004-09-04 22:56:52 得分 30

--管好sql的用户,防止访问他不该访问的数据库(总控制,明细还可以控制他对于某个数据库的具体对象具有的权限)      
     
  --切换到你新增的用户要控制的数据库      
  use     你的库名      
  go      
     
  --新增用户      
  exec     sp_addlogin     'test'                         --添加登录      
  exec     sp_grantdbaccess     N'test'                         --使其成为当前数据库的合法用户      
  exec     sp_addrolemember     N'db_owner',     N'test'                         --授予对自己数据库的所有权限      
     
  --这样创建的用户就只能访问自己的数据库,及数据库中包含了guest用户的公共表      
  go      
     
  --删除测试用户      
  exec     sp_revokedbaccess     N'test'               --移除对数据库的访问权限      
  exec     sp_droplogin     N'test'                         --删除登录      
  Top

13 楼zjcxc（邹建）回复于 2004-09-04 22:57:02 得分 20

最后一步,为具体的用户设置具体的访问权限,这个可以参考下面的最简示例:      
  --添加      
  --添加用户:      
  exec     sp_addlogin     '用户名','密码','默认数据库名'      
     
  --添加到数据库      
  exec     sp_grantdbaccess     '用户名','数据库名'      
     
  --分本权限      
  grant     insert,select,update,delete     on     table1     to     public          
     
     
  -------------------------------------------------------------------      
  至于具体的安全设置和理论知道,参考SQL联机帮助  
     
  Top

14 楼zjcxc（邹建）回复于 2004-09-04 22:57:29 得分 0

作　　者：     凤凰   (灌水无敌)      
   
  这段时间时兴中文用户名Top

15 楼凤凰（最喜欢的游戏--HERO III）回复于 2004-09-05 00:57:19 得分 0

嘻嘻Top

16 楼Aceryt（双子星·上海公干）回复于 2004-09-05 20:32:11 得分 0

MarkTop

17 楼sy1573（顾此失彼）回复于 2004-09-05 21:38:03 得分 0

支持和关注中Top

18 楼i33333（HONESTYWHITELIE）回复于 2004-09-05 22:27:24 得分 0

markTop

19 楼mulang1024（穆朗＠格式化大脑）回复于 2004-09-06 00:20:00 得分 30

对于第一个问题你直接的在服务器，主机上禁止聊天工具的相应的端口应该可以吧？  
  Top

20 楼Aceryt（双子星·上海公干）回复于 2004-09-06 00:22:26 得分 0

凤凰的帖子就是牛，主题还要打标签。Top

21 楼programfanny（）回复于 2004-09-06 02:22:28 得分 0

支持和关注Top

22 楼wojiaren（ni）回复于 2004-09-06 07:45:38 得分 0

xuexiing~~~Top

23 楼alx0614（小勇）回复于 2004-09-06 07:52:25 得分 0

也想学习学习。Top

24 楼凤凰（最喜欢的游戏--HERO III）回复于 2004-09-06 09:23:01 得分 0

回复人：   mulang1024(穆朗)   (   )   信誉：100     2004-09-06   00:20:00     得分:   0      
  对于第一个问题你直接的在服务器，主机上禁止聊天工具的相应的端口应该可以吧？  
  -----------------------------------------------------------  
  嗯,是打算这么做  
   
  不过用了代理怎么办?  
       
     
  Top

25 楼凤凰（最喜欢的游戏--HERO III）回复于 2004-09-06 09:23:24 得分 0

为什么USER权限也可以设置代理,郁闷....Top

26 楼i33333（HONESTYWHITELIE）回复于 2004-09-06 09:38:29 得分 30

域客户端不允许安装QQ等等聊天工具  
  .......................................  
  禁止端口，并不保险。那个qq_restrict可以再改进，从进程中包含的.dll下手，使之不能建立线程，然后再写个qq_liberate，手动毕竟麻烦些。  
   
  另，参考   http://www.microsoft.com/china/MSDN/library/archives/library/dnnetsec/html/openhack.asp  
   
  ps:   中文ID短消息系统不识别！！Top

27 楼i33333（HONESTYWHITELIE）回复于 2004-09-06 09:39:36 得分 0

对于USER设置代理，应单独设置吧Top

28 楼beerqiqi（啤酒）回复于 2004-09-06 11:30:17 得分 0

upTop

29 楼zoezm（）回复于 2004-09-06 11:35:43 得分 0

学习～Top

30 楼sjdyr（做一条真正的专线！）回复于 2004-09-06 13:54:37 得分 0

mark!!Top

31 楼qiang312（小强）回复于 2004-09-06 19:50:07 得分 30

可以在路由器和防火墙上建立较强的access   control   list来控制,甚至可以通过用户名/密码的验证来限制访问internet  
  使用大容量的磁带机来备份网络上的重要数据,系统状态和安全日志Top

32 楼凤凰（最喜欢的游戏--HERO III）回复于 2004-09-06 20:22:23 得分 0

使用大容量的磁带机来备份网络上的重要数据,系统状态和安全日志  
  -------------------------------------------------------------  
  采用   对DB的磁盘阵列使用磁带机备份  
   
   
   
  在路由器和防火墙上建立较强的access   control   list来控制  
  -------------------------------------------------------------  
  采用    
   
  谢谢qiang312回复   :)Top

33 楼leo_s_man（如果你不能为她穿上嫁衣，请停下你解衣扣的手！）回复于 2004-09-07 11:22:39 得分 0

我来接分吧！Top

34 楼gua99（瓜瓜）回复于 2004-09-14 11:58:36 得分 0

studyTop

相关问题

• 服务器
• 用户
• 安全
• 数据库
• 端口
• 密码
• 防火墙
• 局域网
• 属性
• 控制

• 帖主：凤凰
• zjcxc
• zjcxc
• zjcxc
• zjcxc
• mulang1024
• i33333
• qiang312

• CSDN Blog
• 技术文档
• 代码下载
• 第二书店
• 读书频道