四六级具体考试时间:windows安全设置 --注册表 - 熊窝 - 51CTO技术博客

一、系统文件权限的分类

当要给文件设置权限的时候，要首先保证该分区格式为NTFS（Windows NT的文件系统），当然你也可以使用文件分配表（FAT）格式，但是FAT文件系统没有对文件的访问权限加以任何限制，FAT只在那些相对来讲对安全要求较低的情况下使用。在NTFS文件系统中，可以使用权限对单个文件进行保护，并且可以把该权限应用到本地访问和网络访问中。在NTFS文件系统上，可以对文件设置文件权限，对目录设置目录权限，用于指定可以访问的组和用户以及允许的访问等级时。

如果实施了NTFS的文件系统格式，可通过系统的资源管理器直接来管理文件的安全，设置目录或文件的权限。

以regedit.exe文件为例，右键选择"属性"，

在"安全"标签里面选择不同组的名称，就可以更改配置他们对该文件的操作权限。

基于文件级的权限可以分配下面几种：读取（用户可以读取该文件的内容），写入（用户可以写入数据到该文件中），读取及执行（用户可以执行该程序），修改（用户可以修改该文件内容，包括删除），完全控制（以上所有权限都有）。因此，适当地为不同权限的帐号分配相应的访问权限（在"允许"，"拒绝"栏分别打勾）对于文件系统的安全是致关重要的。

二、如何保护注册表的安全

Windows NT/2000中的注册表（Registry）是一系列的数据库文件，主要存储在系统安装目录\ System32\Config下，有些注册表文件建立和存储在内存中，这些文件的备份也存储在 系统安装目录\Repair下。由于所有配置和控制系统数据最终都存在于注册表中，而且Registry的缺省权限设置是对"所有人""完全控制"（FullControl）和"创建"（create），这种设置可能会被恶意用户删除或者替换掉注册表（Registry）文件。所以，如果注册表权限没有设置好的话，整个 Windows NT/2000的系统就不安全，因此我们必须控制注册表的访问权。

对于注册表（Registry），建议应严格限制只能在本地进行注册，不能被远程访问，限制对注册表（Registry）编辑工具的访问。具体可以利用文件管理器设置只允许网络管理员使用注册表编辑工具regedit.exe或regedt32.exe，其他任何用户不得使用；还可使用第三方工具软件，比如Enterprise Administrator （Mission Critical Software）来锁住注册表（Registry）。或者把对注册表缺省的所有用户都能"完全控制"的权利改成只能"读取".

在"开始""运行"里面输入regedt32：

假设我们将HKEY_CURRENT_USER支更改成一般用户只能读，在菜单中选择"安全""权限" ：

选择组用户users（在win2000系统中默认uers是一般用户，如果在上面列表中没有定义users组权限，可以选择"添加"按纽，将该组进行权限设置）

同时，

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg

这个键应该只允许Administrators组成员访问。

为了能识别用户，防止匿名登陆，应该在HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\LSA 下新建一个DWORD（双字节）类型的RestrictAnonymous项，并设置其值为1。

实际上，如果把用户操作注册表的这种权利设置成"只读"，将会给一些应用软件带来许多潜在的功能性问题，比如Dlexpert（下载专家，一个下载软件），在下载的时候会将当前下载地址等信息写入到注册表里面，如果在设置了注册表权限的机器上运行该程序，会出现下载地址无法保存的现象，解决办法就是使用regedt32软件将用户权限更改回去，在这里，我们建议在重要服务器上不要安装和运行其他非系统的软件。

三、消除默认安装目录风险

Windows NT/2000默认安装路径是在 系统主分区的\WINNT目录下，在安装时可以修改它的安装路径，如C:\WINNT可以改为C:\WINDOW或D:\WINNT等；改变默认安装目录对合法用户不会造成任何影响，但对于那些企图通过类似WEB服务器的漏洞或者缺陷来远程访问文件的攻击者来说就大大地增加了难度。

四、取消默认系统帐号风险

对于在Windows NT/2000默认系统帐号，如administrator，guest等都必须改名，对于其它一些帐号，比如IUSR_机器名是在安装IIS后产生的，对其也必须改名。因为改变Administrator帐户的名字，可以防止黑客对缺省命名的帐户进行攻击，这个措施可以解决一系列的安全漏洞，一旦帐号被他人窃取或攻破，整个网络系统便无任何安全性可言了。

所以应为系统管理员和备份操作员创建特殊帐户，系统管理员在进行特殊任务时必须用这个特殊帐户注册，然后注销。所有具有Administrator和备份特权的帐户绝对不能浏览Web。所有的帐户只能具有User或者PowerUser组的权限，对于Guest帐户，默认是无口令的，所以最好能停止使用Guest帐户。

注：停用Guest帐户，可能会给win9x用户通过网上邻居访问服务器带来"无权限访问"的错误。解决方法是在服务器中添加win9x机器上的用户名或者启用guest帐号。

五、删除默认共享风险

Windows NT/2000出于管理的目的自动地建立了一些默认共享，包括C$，D$磁盘共享以及ADMIN$目录共享等。尽管它们仅仅是针对管理而配置的，但仍成为一个没必要的风险，成为攻击者的目标。

我们打开注册表。 在主键

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters目录下，创建一个叫AutoShareServer的键值，类型为DWORD（双字节）并且值为0，来禁止这些共享；再创建一个键值名为AutoShareWks的双字节值，修改键值为0。

最后，请重新启动计算机生效。

同样可以通过控制面板里面的管理工具来暂时取消共享。选择"计算机管理"程序，选择"共享文件夹"，在相应的共享文件夹上按右键，选择"停止"共享即可。不过在系统重新启动后，IPC$ 和printer$会再次共享。

六、如何加强系统打印驱动的安全

Windows NT/2000的打印机驱动是以完全控制权限运行在操作系统级别。缺省情况下，任何人都可以在Windows NT/2000中安装打印机驱动，这种默认权限使系统很易遭受木马攻击。攻击者可以建立假的打印机驱动而实际上进行了其它的活动，例如，开启后门等。

因此，要严格限制用户拥有安装的权限，只允许管理员组和打印机操作员可以安装打印驱动，具体可以打开注册表，在主键

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Providers\LanMan Print Services中增加类型为DWORD（双字节）的AddPrintDrivers项，并设置其值为1。

最后，请重新启动计算机生效。

七、如何加强共享系统对象的安全

我们应该严格限制打印机、串口等共享对象，使其只能被管理员使用，由于这种限制可以影响许多程序，比如在一局域网中的服务器上的共享打印机，设置了权限控制后，一般用户就无法进行网络打印了。所以在应用这种限制时要考虑是否该服务器对外提供了这些服务。如果没有提供可以使用下面的方法来进行权限设置：请首先打开注册表。然后在主键

HKEY_LOCAL_MACHINE\System\currentControlSet\Control\Session Manager中增加（或者修改）一个类型为DWORD（双字节）的名称为ProtectionMode的项，并将其值设成1。

最后，请重新启动计算机生效。

八、如何手动查找并清除木马程序

第一种方法是查看系统注册表。先打开注册表。进入注册表后，可以通过查看以下主键：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run或RunServers

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run或RunServers

下面是否有类似Netspy.exe，空格.exe等可疑文件名，并手动删除键值和相应的程序。

第二种方法使用一些第三方软件，比如The Cleaner，它可以在 HYPERLINK "http://antivirus.pchome.net/cleaner/7066.html" [url]http://antivirus.pchome.net/cleaner/7066.html[/url]下载到。

九、加强对域和帐号数据库的管理

所谓"域"是指网络服务器和其他计算机的逻辑分组，凡是在共享域范围内的用户都使用公共的安全机制和用户帐号信息。每个用户有一个帐号，每次登录的是整个域，而不是某一个服务器。即使在物理上相隔较远，但在逻辑上可以在一个域上，这样便于管理。在网络环境下，使用域的管理就显得更为有效；在使用"域"的划分时，我们应该注意到"域"是建立在一个子网范围内，其根本基础是相互之间的信任度很高。

这里我们应该注意到在Windows NT/2000中，关于域的所用安全机制信息或用户帐号信息都存放在帐号数据库中（称为安全帐号管理器(SAM)数据库）。安全帐号管理器（SAM）数据库在磁盘上的具体位置就保存在系统安装目录下的system32\config\中的SAM文件，在这个目录下还包括一个SECURITY文件，也是安全数据库的内容。安全帐号管理器（SAM）数据库中包含所有组、帐户的信息，包括密码HASH结果、帐户的SID等。所以在对Windows NT/2000进行维护时应该特别小心安全帐号管理器（SAM）数据库的完整性，严格限制Administrator组和备份组帐户的成员资格。加强对这些帐户的跟踪，尤其是Administrator帐户的登录（Logon）失败和注销（Logoff）失败。对SAM进行的任何权限改变和对其本身的修改都要进行审计，切记要改变缺省权限设置来预防这个漏洞，一般来讲只有管理员才允许具有对以上两个文件的编辑权限。

下面的过程演示了怎么样启用SAM访问审核。

首先启动一个cmd命令窗口，在"开始""运行"输入：

会出来一个黑底的命令窗口。

以下命令均是在该窗口中进行操作

1. 确认启动schedule，如未启动，使用以下命令启动该服务

net start schedule

2.使用At 命令添加任务：

at <时间> /interactive "regedt32.exe"

比如当前时间16:49，那么我们可以设置程序在16:51分启动:

at 14:51 /interactive "regedt32.exe"

3. 那么到14:51分，Regedt32.exe会以系统帐号启动。

4. 选择 HKEY_LOCAL_MACHINE 窗口；

5. 选择 SAM 并从"安全"菜单选择"权限"；

再选择"高级"出来窗口：

6. 单击"添加"，然后"显示用户"；

7. 添加如下帐号：

2. SYSTEM

3. Domain Admins

4. Administrator

5. Backup Operators

随着操作系统版本不一样，可能用户组名、帐号服务器上并不存在。

其他拥有以下权限的帐号：

6. Take ownership of files or other objects（取得文件或其他对象的所有权）

7. Back up files and directories（备份文件和目录）

8. Manage auditing and security log（管理审核和安全日志）

9. Restore files and directories（还原文件和目录）

10. Add workstations to domain（域中添加工作站）

11. Replace a process level token（替换进程级记号）

单击"确定"；

12. 为下面设置"成功"和"失败"的审核：

13. Query Value（查询数值）

14. Set Value（设置数值）

15. Write DAC（写入DAC）

16. Read Control（读取控制）

17. 单击"确定"。单击"是"。

18. 停止schedule服务，在"开始" "运行"里输入：

net stop schedule

十、修改共享目录默认控制权限

对于Windows NT/2000系统来说，默认情况下当新增一个共享目录时，操作系统会自动将EveryOne这个用户组添加到权限模块当中，由于这个组的默认权限是完全控制，结果使得任何人都可以对共享目录进行读写。因此，在新建共享目录之后，要立刻删除EveryOne组或者将该组的权限调整为读取：

十一、禁止不必要的服务

Windows NT/2000系统中有许多用不着的服务自动处于激活状态，它们中可能存在的安全漏洞使攻击者甚至不需要账户就能控制机器.为了系统的安全，应把该关的功能服务及时关闭，从而大大减少安全风险。

具体操作可以在"控制面板"的"管理工具"里面"服务"菜单中，选取不必要的服务进行禁止：

相关需要禁止的服务如下：

Alerter：通知所选用户和计算机有关系统管理级警报。

Application Management：提供软件安装服务，诸如分派，发行以及删除。

ClipBook：支持"剪贴簿查看器"，以便可以从远程剪贴簿查阅剪贴页面。

COM+ Event System：提供事件的自动发布到订阅 COM 组件。

Computer Browser：维护网络上计算机的最新列表以及提供这个列表给请求的程序。

Distributed Link Tracking Client：当文件在网络域的 NTFS 卷中移动时发送通知。

Distributed Transaction Coordinator：并列事务，是分布于两个以上的数据库，消息队列，文件系统，或其它事务保护资源管理器。

Fax Service：帮助您发送和接收传真。

FTP publishing service： 通过 Internet 信息服务的管理单元提供 FTP 连接和管理。

Indexing Service：本地和远程计算机上文件的索引内容和属性；通过灵活查询语言提供文件快速访问。

Messenger：发送和接收系统管理员或者"警报器"服务传递的消息。

Net Logon：支持网络上计算机 pass-through 帐户登录身份验证事件。"

Network DDE ： 提供动态数据交换 （DDE） 的网络传输和安全特性。

Network DDE DSDM ： 管理网络 DDE 的共享动态数据交换

Network Monitor ： 网络监视器

NetMeeting Remote Desktop Sharing：允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。

Plug and Play （在配置好所有硬件后应该禁止掉）： 管理设备安装以及配置，并且通知程序关于设备更改的情况。

Remote Procedure Call （RPC）： 提供终结点映射程序（endpoint mapper） 以及其它 RPC 服务。

Remote Registry Service：允许远程注册表操作。

Removable Storage：管理可移动媒体、驱动程序和库。

Routing and Remote Access：在局域网以及广域网环境中为企业提供路由服务。

RunAs Service：在不同凭据下启用启动过程。

Server： 提供 RPC 支持、文件、打印以及命名管道共享。

Smart Card：对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。

Smart Card Helper：提供对连接到计算机上旧式智能卡的支持。

Task Schedule： 允许程序在指定时间运行。

TCP/IP Netbios Helper：允许对"TCP/IP 上 NetBIOS （NetBT）"服务以及 NetBIOS 名称解析的支持

Telephone Service：供 TAPI 的支持，以便程序控制本地计算机，服务器以及 LAN 上的电话设备和基于 IP 的语音连接。

Windows Management Instrumentation：提供系统管理信息。

必要时需禁止的服务如下：

SNMP service：简单网络管理协议

SNMP trap：简单网络协议陷阱跟踪

UPS：USP电源管理。

十二、如何防范NetBIOS漏洞攻击

NetBIOS（Network Basic Input Output System，网络基本输入输出系统），是一种应用程序接口（API），系统可以利用WINS（管理计算机netbios名和IP影射关系）服务、广播及Lmhost文件等多种模式将NetBIOS名解析为相应IP地址，从而实现信息通讯。在局域网内部使用NetBIOS协议可以非常方便地实现消息通信，但是如果在互联网上，NetBIOS就相当于一个后门程序，很多攻击者都是通过NetBIOS漏洞发起攻击。

对于Windows NT系统，可以取消NetBIOS与TCP/IP协议的绑定，具体方法是：首先打开"控制面板"，然后双击"网络"图标，并在"NetBIOS接口"中选择"WINS客户（TCP/IP）"为"禁用"，最后重新启动计算机即可。

对于Windows2000系统而言，它没有限制TCP/IP绑定在NetBIOS上，我们可以通过以下方式来设置：

首先选择"开始"→"设置"→"控制面板"→"网络和拨号连接"→"本地连接"菜单中，双击"Internet协议（TCP/IP）"：

接着在打开的对话框中单击"高级"按钮，并选择"选项"菜单：

随后点击"属性"按钮，将弹出"TCP/IP筛选"对话框，选择"启用TCP/IP筛选"：

最后在以上"TCP端口"对话框中添加除了139之外要用到的服务端口即可。

十三、如何解决SNMP缓冲区溢出漏洞

SNMP（Simple Network Management Protocol，简单网络管理协议）是所有基于TCP/IP网络上管理不同网络设备的基本协议，比如防火墙、计算机和路由器。所有的Windows系统（除了Windows ME）都提供了SNMP功能，但是在所有版本的系统中都不是默认安装和执行的。

现在已经发现，如果攻击者发送怀有恶意信息给SNMP的信息接收处理模块，就会引起服务停止（拒绝服务）或缓冲器溢出；或者说通过向运行SNMP服务的系统发送一个畸形的管理请求，此时就存在一个缓冲区溢出漏洞，或者造成拒绝服务影响。一旦缓冲区溢出，可以在本地运行任意的代码，可以让攻击者进行任意的操作。因为SNMP的程序一般需要系统权限来运行，因此缓冲器溢出攻击可能会造成系统权限被夺取，而形成严重的安全漏洞。具体解决方法如下：

由于许多基于Windows安全设备和程序都是使用SNMP服务进行管理的，所以我们建议如果不需要使用SNMP服务就应该停止它。如果要防止从外界进行的攻击破坏，请在防火墙或者路由器上设置禁止从外界进行SNMP（UDP161和UDP162端口）操作。

另外，微软已经为此发布了一个安全公告（MS02-006）以及相应补丁程序：

[url]http://www.microsoft.com/technet/security/bulletin/MS02-006.asp[/url] ，请用户及时下载安装补丁程序。

十四、如何加固IIS服务器的安全

Windows系统近几年的攻击都偏重在IIS上，曾在2001到2002年大肆流行的Nimda，CodeRed病毒等都是通过利用IIS的一些漏洞入侵并且开始传播的。由于NT/2000系统上使用IIS作为WWW服务程序居多，再加上IIS的脆弱性以及与操作系统相关性，整个NT/2000系统的安全性也受到了很大的影响。通过IIS的漏洞入侵来获得整个操作系统的管理员权限对于一台未经安全配置的机器来说是轻而易举的事情，所以，配置和管理好你的IIS在整个系统配置里面显得举足轻重了。

IIS的配置可以分为以下几方面：（以下操作均是使用Internet服务管理器操作，你可以在控制面板的管理工具里面找到该快捷方式，运行界面如下：）

a) 删除目录映射。

默认安装的IIS默认的根目录是C:\inetpub，我们建议你更改到其他分区的目录里面，比如：D:\inetpub目录。

默认在IIS里面有Scripts，IISAdmin，IISSamples，MSADC，IISHelp，Printers这些目录映射，建议你完全删除掉安装IIS默认映射的目录，包括在服务器上真实的路径（%systemroot%是一个环境变量，在具体每台服务器上可能不一样，默认值由安装时候选择目录决定）：

Scripts对应c:\inetpub\scripts目录

IISAdmin对应%systemroot%\System32\inetsrv\iisadmin目录

IISSamples对应c:\inetpub\iissamples目录。

MSADC对应c:\program files\common files\system\msadc目录。

FTP日志默认位置：系统安装目录\system32\logfiles\msftpsvc1\日志文件

IISHelp对应%systemroot%\help\iishelp目录。

Printers对应%systemroot%web\printers目录。

还有一些IIS管理员页面目录：

IISADMPWD 对应%systemroot%\system32\inetsrv\iisadmpwd目录

IISADMIN 对应 %systemroot%\system32\inetsrv\iisadmin目录

b) 删除可执行文件扩展名（应用程序）映射。

在应用程序配置里面 （上图"配置按钮"），默认有以下程序映射：

如果不使用SSI（server side include， 服务器端嵌入脚本），建议删除".shtm" ".stm" 和 ".shtml"这些映射.像：".cer" ".cdx" "htr" "idc" "printer"等，如无特别需要，建议只保留".asp"和".asa"的映射。

c) Frontpage扩展服务

从控制面板里面打开"添加或删除程序"选择"添加/删除windows组件"，

选择"Internet信息服务（IIS）"，点"详细信息"，请确认FrontPage 2000服务器扩展没有被勾上。如果有，则取消掉，点确定就可以了。

提示： 微软公司提供了一个叫iislockd的程序，它可以用来帮助你更安全的配置IIS。除了上面的Frontpage扩展没有提供外，其他两点均能很好的支持。

下载地址：[url]http://download.microsoft.com/download/iis50/Utility/2.1/[/url]

NT45XP/EN-US/iislockd.exe

十五、如何安全配置MSSQL数据库

微软的SQL Server是一种广泛使用的数据库，很多单位、企业内部信息化平台等都是基于SQL Server上的，但是数据库的安全性还没有被人们意识到。多数管理员认为只要把网络和操作系统的安全搞好了，那么所有的应用程序也就安全了。数据库系统中存在的安全漏洞和不当的配置通常会造成严重的后果，而且都难以发现。数据库应用程序通常同操作系统的最高管理员密切相关。

这里，我们主要谈论有关SQL Server2000数据库的安全配置以及一些相关的安全和使用上的问题。 在进行SQL Server 2000数据库的安全配置之前，首先你必须对操作系统进行安全配置，保证你的操作系统处于安全状态。然后对你要使用的操作数据库软件（程序）进行必要的安全审核，比如对ASP、PHP等脚本，这是很多基于数据库的WEB应用常出现的安全隐患，对于脚本主要是一个过滤问题，需要过滤一些类似 ， ' ; @ / 等字符，防止破坏者构造恶意的SQL语句。接着，安装SQL Server2000后请打上补丁sp1以及最新的sp2。下载地址是：

[url]http://www.microsoft.com/sql/downloads/2000/sp1.asp[/url]

[url]http://www.microsoft.com/sql/downloads/2000/sp2.asp[/url]

在做完上面三步基础之后，我们再来讨论SQL Server的安全配置。

在此之前我想对如何使用SQL语句操作作一个简单的图示。

执行SQL语句有两种方式，一种是基于文本工具isql，类似dos操作界面的方法，另外一种就是使用SQL查询器来查询，它是一个可视化的界面。

SQL查询器可以在"开始""程序""Microsoft SQL Server" 找到它的快捷方式，程序具体位置是

C:\Program Files\Microsoft SQL Server\80\Tools\Binn\isqlw.exe

这里简单介绍一下使用isql查询方式（基于命令行的）

找到isql程序，它在C:\Program Files\Microsoft SQL Server\80\Tools\Binn目录下面（版本的不同或者安装路径不同可能在其他目录中）。

开启一个cmd命令窗口，

输入：cd "Program Files\Microsoft SQL Server\80\Tools\Binn"

接着输入：isql ？CS 服务器IP -U sa ？CP sa用户的密码

系统会出来一个前面是标示命令行数的数值，后面跟一个>符号表示需要用户在后面输入SQL 语句命令，如上图 1> use master 表示第一行，use master是用户的输入。最后一行go表示开始处理SQL语句命令，如无特别说明，以下命令均是在该终端下执行的。详细SQL命令请参考其他有关手册。

1、使用安全的密码策略

我们把密码策略摆在所有安全配置的第一步，对于sa用户应该注意此帐号的密码设置，尽量避免不要让sa帐号的密码写于应用程序或者脚本中。默认安装sa用户密码为空，应在安装后尽快修改它，并且养成定期修改密码的好习惯。数据库管理员应该定期查看是否有不符合密码要求的帐号

比如使用下面的SQL语句：

Use master

select name from syslogins where password is null

给用户密码修改命令的语句是：

sp_password '原密码'，'新密码'，'用户帐号名'。

比如：

该命令就是把用户名为"netconf"的密码由原来的"netconf"改成"netconf1"。

2、使用安全的帐号策略。

由于SQL Server不能更改sa用户名称，也不能删除这个超级用户，所以，我们必须对这个帐号进行最强的保护，首先要选择一个非常强壮的密码。其次，最好不要在数据库应用中使用sa帐号，只有当没有其它方法登录到 SQL Server时才使用 sa。建议数据库管理员新建立一个拥有与sa一样权限的超级用户来管理数据库。安全的帐号策略还包括不要让管理员权限的帐号泛滥。

SQL Server的认证模式有Windows身份认证和混合身份认证两种。如果数据库管理员不希望操作系统管理员来通过操作系统登陆来接触数据库的话，可以在帐号管理中把系统帐号"BUILTIN\Administrators"删除。不过这样做的结果是一旦sa帐号忘记密码的话，就没有办法来恢复了。

很多主机使用数据库应用只是用来做查询、修改等简单功能的，请根据实际需要分配帐号，并赋予仅仅能够满足应用要求和需要的权限。比如，只要查询功能的，那么就使用一个简单的public帐号能够select就可以了。

3、管理扩展存储过程。

对存储过程进行大手术，并且对帐号调用扩展存储过程的权限要慎重。其实在多数应用中根本用不到多少系统的存储过程，而SQL Server的这么多系统存储过程只是用来适应广大用户需求的，所以请删除不必要的存储过程，因为有些系统的存储过程能很容易地被人利用起来提升权限或进行破坏。

如果你不需要扩展存储过程xp_cmdshell请把它去掉。使用这个SQL语句：

use master

EXEC sp_dropextendedproc ''''''''''''''''xp_cmdshell''''''''''''''''

xp_cmdshell是进入操作系统的最佳捷径，是数据库留给操作系统的一个大后门。如果你需要这个存储过程，请用这个语句也可以恢复过来。

EXEC sp_addextendedproc ''''''''''''''''xp_cmdshell''''''''''''''''， ''''''''''''''''xpsql70.dll''''''''''''''''

如果你不需要请丢弃OLE（对象链接与嵌套，Object Linking and Embedding）自动存储过程（会造成管理器中的某些特征不能使用），这些过程包括如下：

EXEC Sp_OAcreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty

Sp_OAMethod Sp_OASetProperty Sp_OAStop

去掉不需要的注册表访问的存储过程，注册表存储过程甚至能够读出操作系统管理员的密码来，如下：

Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues

Xp_regread Xp_regremovemultistring Xp_regwrite

还有一些其他的扩展存储过程，你也最好检查检查。

在处理存储过程的时候，请确认一下，避免造成对数据库或应用程序的伤害。

7、对网络连接进行IP限制

SQL Server 2000数据库系统本身没有提供网络连接的安全解决办法，但是Windows 2000提供了这样的安全机制。使用操作系统自己的IPSec可以实现IP数据包的安全性。请对IP连接进行限制，只保证自己的IP能够访问，也拒绝其他IP进行的端口连接，把来自网络上的安全威胁进行有效的控制。

十六、如何使用IPSec来控制端口访问

在windows 2000中提供了一种叫IPsec的安全工具，它能通过自定义规则来允许或者拒绝其他用户通过TCP/IP协议来访问服务器某个端口。

在网络属性里面，选择网卡的"本地连接""tcp/ip属性"选择"高级"，

选择属性，勾选"启用TCP/IP筛选(所有示配器)"

这样，其他用户通过这块网卡就只能访问到服务器的21，80，1433端口了。

十七、系统日志放在何处

Windows NT/2000的日志文件通常有应用程序日志，安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等等。当非法用户探测系统信息的时候，就会在安全日志里迅速地记下机器被探测时所用的用户名、时间等等，用FTP探测后，也会立刻在FTP日志中记下IP、时间、探测所用的用户名和密码等等，由此可见日志审计的重要性。以下即是对各种服务日志文件的默认位置和文件内容描述：

l 关于日志文件默认位置：

应用程序日志、安全日志、系统日志、DNS等服务日志的默认位置在系统安装目录下的system32\config下。

l 关于日志文件保存目录详细描述：

安全日志文件：系统安装目录\system32\config\SecEvent.EVT

系统日志文件：系统安装目录\system32\config\SysEvent.EVT

应用程序日志文件：系统安装目录\system32\config\AppEvent.EVT

FTP日志默认位置：系统安装目录\system32\logfiles\msftpsvc1\日志文件

WWW日志默认位置：系统安装目录\system32\logfiles\w3svc1\日志文件

定时（Scheduler）服务日志默认位置：系统安装目录\schedlgu.txt

安全日志文件，系统日志文件，应用程序日志文件，这三个日志记录都是有系统的一个称为： Event Log服务生成的，Event Log 的作用是记录程序和 Windows 发送的事件消息。事件日志包含对诊断问题有所帮助的信息。停止和启动该服务就可以停止或者开始记录上述三个日志文件。

FTP日志和WWW日志均是在Internet信息服务里面配置和控制。

在控制面板，管理工具里面打开Internet信息服务：

其中"dumplogin"是机器名，分别右键"默认FTP站点""默认Web站点"，选择"属性"，以FTP的为例：

勾选"启用日志记录"就可以记录FTP站点的信息了，日志文件格式建议选择"W3C扩充日志文件格式"。

选择"属性"，

"新日志时间间隔"意思是每隔多长时间系统日志单独写成新的一个文件，比如：选择"每天"，那么每天在日志文件目录下就会多一个新的文件，该文件内容主要是记录当天的访问记录。

还可以选择按大小来拆分，选择："当文件大小达到"一定大小的时候，才会生成一个新的文件，系统默认是每天单独记录在一个文件里。

在"扩充的属性"里面，允许用户选择记录哪些内容以及格式等。

比如需要记录事件发生的日期，时间，以及客户IP地址，用户名等等，那么就勾选相应的栏目。最后点"应用"就可以记录了 。

对于WWW服务来说，操作和FTP站点完全一样。

十八、如何保护日志文件

既然系统日志文件能够记录所有的访问信息，为了防止他人修改系统的日志文件，隐藏自己的行踪，我们必须限制对日志文件的访问，禁止一般权限的用户去查看日志文件。具体方法是：

我们可以利用文件系统对目录和文件级的权限保护（如前所述），来设置只有管理员才可以对以上提到的系统日志文件有操作权限。另外，我们还要小心保护好具有超级权限的密码和用户，因为黑客一旦知道了这些具有超级权限的帐号后，他们就可以修改日志文件来隐藏其踪迹了。

我们建议管理员应该养成定时、定期备份日志的习惯。

对于FTP，WWW日志，只要拷贝文件到其他目录就行了。（注：当天的日志必须要停止掉相应的服务才能备份）。

对于事件日志，需要打开事件查看器，然后再选择想要备份的日志：

选择"另存日志文件"，在对话框中选择路径和文件名，然后"保存"即可。

注：由于事件日志不是按日期来分开，所以当文件大小达到设置大小的时候可能会重写文件，所以应该经常注意文件是否到达定额。文件最大设置大小和到达设置大小会如何处理在后面会有详细介绍。

十九、如何进行系统日志审核

审核是WindowsNT/2000中本地安全策略的一部分，它是一个维护系统安全性的工具，允许你跟踪用户的活动和WindowsNT/2000系统的活动，这些活动称为事件。

根据监控审核结果，管理员就可以将计算机资源的非法使用消除或减到最小；通过审核，我们可以记录下列信息：哪些用户企图登录到系统中，或从系统中注销、登录或注销的日期和时间是否成功等；哪些用户对指定的文件、文件夹或打印机进行哪种类型的访问；系统的安全选项进行了哪些更改；用户帐户进行了哪些更改，是否增加或删除了用户等等。通过查看这些信息，我们就能够及时发现系统存在的安全隐患，通过了解指定资源的使用情况来指定资源使用计划。具体配置过程如下（以Windows 2000为例）：

l 审核策略的设置

为运行Windows 2000的计算机设置审核策略，需要运行管理工具中的本地安全策略工具进行设置。具体设置步骤如下：

首先进入"控制面板"，打开"管理工具"程序组，选择"本地安全策略"；在"本地安全策略"窗口的控制台目录树中，单击"本地策略"；然后选择"审核策略"，选中要审核的事件，在操作菜单中选择"安全性"（也可以右键），或是双击所选择的审核事件；在策略设置窗口中，选择 "成功"复选框或"失败"复选框，或是将二者全部选中：

审核策略设置完成后，需要重新启动计算机才能生效。

l 对文件和文件夹访问的审核

对文件和文件夹访问的审核，首先要求审核的对象必须位于NTFS分区之上，其次必须为对象访问事件设置审核策略。符合以上条件，就可以对特定的文件或文件夹进行审核，并且对哪些用户或组指定哪些类型的访问进行审核。设置的步骤如下：

在"审核"页面上，点击"添加"按钮，选择想对文件或文件夹访问进行审核的用户，单击"确定"；

在"审核项目"对话框中，为想要审核的事件选择"成功"或是"失败"复选框，选择完成后确定：

以C:\WINNT目录为例，右键该目录，选择属性，选择"安全"标签，

再选择高级，

添加所要设置的用户名或者用户组，

确定后，就会出来如下所示：

默认情况下，对父文件夹所做的审核更改将应用于其所包含子文件夹和文件。如果不想将父文件夹所进行的审核更改应用到当前所选择的文件或文件夹，请清空 "允许将来自父系的可继承审核项目传播给该对象" 复选框即可，相关界面见下图所示：

l 对打印机访问的审核

对打印机访问进行审核，要求必须为对象访问事件设置审核策略。满足这个条件就能够对特定的打印机进行审核，并能够审核指定的访问类型以及审核拥有访问权限的用户。审核步骤如下：首先选取打印机的属性窗口，选择"安全"页面，点击"高级"按钮；然后在"审核"页面，点击"添加"按钮，选择想对打印机访问进行审核的用户或组；

最后还要在"项目审核"窗口中，在"应用到"下拉列表中选择审核应用的目标，在"访问"列表中为审核的事件选择"成功"或"失败"检查框。设置完成后，请点击"确定"：

二十、系统日志审核的查看和维护

在WindowsNT/2000中设置了审核策略和审核事件后，审核所产生的结果都被记录到安全日志中，安全日志记录了审核策略监控的事件成功或失败执行的信息。使用事件查看器可以查看安全日志的内容或是在日志中查找指定事件的详细信息。操作过程如下（以Windows2000为例）：

安全日志文件、系统日志文件、应用程序日志文件均可以通过"事件察看器"来查看。打开"控制面板"里"管理工具""事件查看器"：

左边分别是"应用程序日志"，"安全日志"，"系统日志"三部分，分别选择想要查询的日志，在右边就会有事件列表出来，栏目字段解释:

"类型"： 有三个级别，一般信息（ ），警告信息（ ），错误信息（ ）

日期和时间： 记录时间发生的日期和时间

来源： 这类事件是由什么程序，系统什么软件运行产生的

分类： 区分事件类型

事件： 一般来说是有系统进程号来唯一标示的。

用户： 是由什么用户运行产生的，其中N/A表示是由程序本身产生的。

计算机： 表示日志发生在那台计算机上，一般是计算机名。

双击某一个事件，会得到该事件的详细信息。

其中，描述栏里面就是对应事件的详细描述，如果该事件和数据有关，比如内存段访问错误，那么在数据段里就会有相关的数据

FTP和WWW服务的日志是文本文件，直接通过记事本就可以进行查看。比如某FTP服务器日志：

每一行的意思：

04:11:03：事件发生的时间，日期由文件名（如果是设置每天记录）决定。

192.168.7.201： 访问方IP

[1]： 为FTP标示每个连接的ID号。

USER anonymous： 表示访问用户是anonymous

331： 状态码

注：日志记录的各个字段的意义并不是固定的，取决与配置FTP日志文件格式选择的字段。

以某个WWW服务器日志记录为例：

2002-11-20 06:54:41：事件发生日期

192.168.7.167： 访问者的IP

92.168.7.110： 服务器的IP

80： 访问的端口号

GET / ：用户请求的内容

403：服务器返回给用户的状态码（403表示权限不够）

Mozilla/4.0+（compatible;+MSIE+6.0;+Windows+NT+5.1）：表示用户使用的客户端软件标志。

二十一、日志审核文件属性的编辑

对于WindowsNT/2000系统而言，随着审核事件的不断增加，安全日志文件的大小也不断增加。日志文件的大小可以从64KB到4GB，默认情况下是512KB。如果要对审核事件的默认属性进行编辑，可以实行如下操作（以Windows2000为例）：

首先在事件查看器的控制树选中"安全日志"项，接着点击"操作"菜单的"属性"项，

进入安全日志的属性窗口，然后在"常规"标签页面上，可以对日志文件的大小进行设置；对于日志文件达到最大尺寸时，用户根据需要可以有以下三种选择：改写事件、改写设定天数的事件和不改写事件