PubwinEP如何防止遠程修改數(shù)據(jù)庫 |
發(fā)布時間: 2012/5/21 17:50:59 |
一、屏蔽1433端口(以win2000為例): 設(shè)置安全策略: “控制面板”—〉“管理工具”—〉“本地安全策略” 選擇IP安全策略—〉創(chuàng)建IP安全策略—〉建立名稱—〉“激活默認響應(yīng)規(guī)則”下一步—〉初始身份驗證方法選擇“win2000默認(V5)”—〉彈出的警告界面直接確認—〉完成建立安全策略。 選擇你新建的策略—〉屬性—〉添加—〉選擇“此規(guī)則不指定隧道” —〉網(wǎng)絡(luò)類型選擇“所有網(wǎng)絡(luò)連接”—〉身份驗證方法“win2000默認(V5)” —〉彈出的警告界面直接確認—〉“所有IP通訊”—〉篩選器選擇“要求安全設(shè)置”—〉繼續(xù)下一步完成選中“所有 IP 通訊”—〉點“編輯”按鈕,打開“IP篩選器列表”—〉繼續(xù)點“編輯”按鈕,打開“篩選器 屬性” —〉在“尋址”中,源地址選擇“任何IP地址”,目的地址選擇“我的IP地址”,同時選中“鏡像”—〉在“協(xié)議”中,協(xié)議選擇“TCP”,設(shè)置協(xié)議端口為“從任意端口”到“到此端口:1433” —〉確定,為了安全起見,最好再新建一個IP篩選器屏蔽1434端口。 完成上面配置后,在剛配置的策略點擊右鍵,選擇指派,完成后重新啟動機器。 如何驗證數(shù)據(jù)庫的1433已經(jīng)不能連接? 1) 局域網(wǎng)內(nèi)找一個機器(非本機)安裝企業(yè)管理,添加注冊剛剛配制過安全策略的億恩科技服務(wù)器,應(yīng)該是那個等待注冊的畫面,狀態(tài)中顯示:“正在驗證注冊信息”或拒絕連接或服務(wù)未開啟的提示。 2)局域網(wǎng)內(nèi)找一個機器(非本機),在dos控制臺下,輸入telnet EP億恩科技服務(wù)器IP 1433 如果安全策略應(yīng)用成功的話,應(yīng)該不能夠連接,會出現(xiàn)如下的話:正在連接到xxxxxxx...無法打開到億恩科技主機的連接 在端口 1433 : 連接失敗。如果應(yīng)用安全策略失敗,則能夠連接成功。 二、關(guān)閉不安全的服務(wù) 第一步只是屏蔽了其它機器連接數(shù)據(jù)庫的端口,但是操作系統(tǒng)本身還存在一些漏洞,這些漏洞同樣會導(dǎo)致數(shù)據(jù)庫不安全?梢赃\行services.msc進入本地服務(wù)管理,禁用WMI和Server服務(wù)(屏蔽WMI和IPC共享漏洞),但是有些網(wǎng)吧需要用到Server服務(wù)的部分功能,所以對于Server服務(wù),可以使用以下兩種較為靈活的方法來屏蔽: 1)批處理自啟動法: 打開記事本,輸入以下內(nèi)容(記得每行最后要回車): net share ipc$ /delete net share admin$ /delete net share c$ /delete net share d$ /delete net share e$ /delete ……(你有幾個硬盤分區(qū)就寫幾行這樣的命令) 保存為NotShare.bat(注意后綴!),然后把這個批處理文件拖到“程序”→“啟動”項,這樣每次開機就會運行它,也就是通過net命令關(guān)閉共享。 如果哪一天你需要開啟某個或某些共享,只要重新編輯這個批處理文件即可(把相應(yīng)的那個命令行刪掉)。 2)注冊表改鍵值法 “開始”→“運行”輸入“regedit”確定后,打開注冊表編輯器,找到 以下是引用片段:“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters” 項,雙擊右側(cè)窗口中的“AutoShareServer”項將鍵值由1改為0,這樣就能關(guān)閉硬盤各分區(qū)的共享。如果沒有AutoShareServer項,可自己新建一個再改鍵值。然后還是在這一窗口下再找到“AutoShareWks”項,也把鍵值由1改為0,關(guān)閉admin$共享。最后到 “HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa”項處找到“restrictanonymous”,將鍵值設(shè)為1,關(guān)閉IPC$共享。 本文出自:億恩科技【mszdt.com】 服務(wù)器租用/服務(wù)器托管中國五強!虛擬主機域名注冊頂級提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |