数据库安全配置手册草案 _v1.0

数据库安全配置手册

MSN China R&D

目录

1概述 (3)

1.1文档目的 (3)

1.2预期读者 (3)

1.3术语和缩写 (3)

1.4参考资料 (3)

1.5申明 (3)

2安全策略 (3)

2.1MS SQL Server启动账号 (3)

2.2生产数据库的安全部署策略 (4)

2.3禁用linked server (6)

2.4禁用xp_cmdshell (6)

2.5扩展存储过程权限管理 (7)

2.6自动存储过程的管理 (12)

2.7数据库用户密码设定及管理策略 (13)

2.8Lock page in memory权限的设定 (13)

2.9开启AWE (14)

2.10采用Windows授权的认证模式 (15)

2.11限制system administrators (15)

2.12审计登录 (15)

2.13安装64位版本SQL (15)

2.14安装的SQL Server组件 (16)

2.15数据库用户的命名规则 (16)

2.16禁用sa账号 (16)

2.17关闭remote access (18)

2.18安装之后的配置选项和设置(SQL Server 2008) (19)

2.19关闭除TCP/IP之外的其他通信协议 (20)

2.20为命名实例指定静态通信端口 (20)

2.21应用程序account的管理 (21)

2.22Service Pack和安全修补程序 (22)

2.23禁止分布式查询 (22)

2.24处理代码异常 (22)

2.25及时安装补丁 (23)

2.26生产数据库的访问策略 (23)

2.27应用程序权限的授予 (23)

2.28备份的集中管理 (23)

2.29测试及开发数据库的备份 (23)

2.30SQL代码中的安全 (23)

2.31动态 SQL的使用 (24)

2.32防止SQL注入 (24)

2.33防止数据外泄 (24)

3附件A. DTS和JOB管理权限变更 (25)

1 概述

1.1文档目的

本文档描述了为加强MS SQL Server数据库安全而需要做的设置

1.2预期读者

MS SQL Server启动账号必须不是域管理员

2.2生产数据库的安全部署策略

不允许SQL与IIS同处同一台计算机

生产数据库，必须部署在局域网内部，不允许直接连接到Internet，也不允许能够直接从Internet访问得到

不允许将SQL安装在域控制器(Domain Controller)上

必须禁用windows guest账号

SQL Guest账号只能在master数据库和tempdb数据库中出现：

默认情况下,guest账号在master和tempdb中是启动的：

默认情况下,guest账号在msdb中是启动的,这个需要确

认，并禁用：

默认情况下,guest账号在model中是禁用的,但任然需要确认确实

禁用了

确认所有用户数据库中，guest账号是禁用的

使用下面脚本禁用guest账号：

Use [msdb]

Go

revokeconnectfrom guest；

所有的SQL 文件，包括SQL本身的文件以及数据库文件，必须被放在NTFS格式的分区上

Public角色不能是securityadmin服务器角色的成员：

确保在各个数据库的db_secutiryadmin角色中没有包括public角色：

2.3禁止使用linked server

2.4禁止使用xp_cmdshell

禁用扩展存储过程xp_cmdshell：

该存储过程安装后默认是禁止的，使用如下命令确认其当前状态：sp_configure'show advanced options', 1;

GO

RECONFIGURE;

GO

sp_configure'xp_cmdshell'

GO

RECONFIGURE;

GO

为了安全起见，请确保下图configure_value和run_value均为0：

2.5扩展存储过程权限管理

确保system administrator是对以下过程唯一具有执行权限的账号： xp_regread

xp_regwrite

xp_regaddmultistring

xp_regdeleteke

xp_regdeletevalue

xp_regremovemultistring

xp_regenumvalues

xp_regenumkeys

sp_sdidebug

xp_availablemedia

xp_deletemail

xp_dirtree

xp_dropwebtask

xp_dsninfo

xp_enumdsn

xp_enumerrorlogs

xp_enumgroups

xp_enumqueuedtasks

xp_eventlog

xp_findnextmsg

xp_fixeddrives

xp_getfiledetails

xp_getnetname

xp_grantlogin

xp_logevent

xp_loginconfig

xp_logininfo

xp_makewebtask

xp_msver

xp_perfend

xp_perfmonitor

xp_perfsample

xp_perfstart

xp_readerrorlog

xp_readmail

xp_revokelogin

xp_runwebtask

xp_schedulersignal

xp_sendmail

xp_servicecontrol

xp_snmp_getstate

xp_snmp_raisetrap

xp_sprintf

xp_sqlinventory

xp_sqlregister

xp_sqltrace

xp_sscanf

xp_startmail

xp_stopmail

xp_subdirs

xp_unc_to_drive

xp_dirtree

使用下面SQL脚本检查：

select https://www.360docs.net/doc/b0480596.html, username,https://www.360docs.net/doc/b0480596.html, objectname,case [action] when 224 then'EXECUTE'

end opmethod ,

case protecttype

when 204 then'GRANT_W_GRANT'

when 205 then'GRANT'

when 206 then'REVOKE'

end protecttype from sys.system_objects a,sys.sysprotects b,sys.sysusers c

where https://www.360docs.net/doc/b0480596.html, in(

'xp_regread',

'xp_regwrite',

'xp_regaddmultistring',

'xp_regdeleteke',

'xp_regdeletevalue',

'xp_regremovemultistring',

'xp_regenumvalues',

'xp_regenumkeys',

'sp_sdidebug',

'xp_availablemedia',

'xp_deletemail',

'xp_dirtree',

'xp_dropwebtask',

'xp_dsninfo',

'xp_enumdsn',

'xp_enumerrorlogs',

'xp_enumgroups',

'xp_enumqueuedtasks',

'xp_eventlog',

'xp_findnextmsg',

'xp_fixeddrives',

'xp_getfiledetails',

'xp_getnetname',

'xp_grantlogin',

'xp_logevent',

'xp_loginconfig',

'xp_logininfo',

'xp_makewebtask',

'xp_msver',

'xp_perfend',

'xp_perfmonitor',

'xp_perfsample',

'xp_perfstart',

'xp_readerrorlog',

'xp_readmail',

'xp_revokelogin',

'xp_runwebtask',

'xp_schedulersignal',

'xp_sendmail',

'xp_servicecontrol',

'xp_snmp_getstate',

'xp_snmp_raisetrap',

'xp_sprintf',

'xp_sqlinventory',

'xp_sqlregister',

'xp_sqltrace',

'xp_sscanf',

'xp_startmail',

'xp_stopmail',

'xp_subdirs',

'xp_unc_to_drive',

'xp_dirtree'

)

and a.object_id=b.id and b.uid=c.uid 结果如下:

这里的每一行都是违规的，表示该object的execute被赋予了某用户，比如，这里的xp_regread的execute被授予了phil这个用户，是违规的，使用下面的SQL收回权限：

revokeexecuteon xp_regread from phil

revokeexecuteon xp_regread frompublic

revokeexecuteon xp_sprintf frompublic

revokeexecuteon xp_grantlogin frompublic

revokeexecuteon xp_revokelogin frompublic

revokeexecuteon xp_sscanf frompublic

revokeexecuteon xp_fixeddrives frompublic

revokeexecuteon xp_msver frompublic

revokeexecuteon xp_dirtree frompublic

revokeexecuteon xp_getnetname frompublic

再次运行：

select https://www.360docs.net/doc/b0480596.html, username,https://www.360docs.net/doc/b0480596.html, objectname,case [action] when 224 then'EXECUTE'

end opmethod ,

case protecttype

when 204 then'GRANT_W_GRANT'

when 205 then'GRANT'

when 206 then'REVOKE'

end protecttype from sys.system_objects a,sys.sysprotects b,sys.sysusers c

where https://www.360docs.net/doc/b0480596.html, in(

'xp_regread',

'xp_regwrite',

'xp_regaddmultistring',

'xp_regdeleteke',

'xp_regdeletevalue',

'xp_regremovemultistring', 'xp_regenumvalues',

'xp_regenumkeys',

'sp_sdidebug',

'xp_availablemedia',

'xp_deletemail',

'xp_dirtree',

'xp_dropwebtask',

'xp_dsninfo',

'xp_enumdsn',

'xp_enumerrorlogs',

'xp_enumgroups',

'xp_enumqueuedtasks',

'xp_eventlog',

'xp_findnextmsg',

'xp_fixeddrives',

'xp_getfiledetails',

'xp_getnetname',

'xp_grantlogin',

'xp_logevent',

'xp_loginconfig',

'xp_logininfo',

'xp_makewebtask',

'xp_msver',

'xp_perfend',

'xp_perfmonitor',

'xp_perfsample',

'xp_perfstart',

'xp_readerrorlog',

'xp_readmail',

'xp_revokelogin',

'xp_runwebtask',

'xp_schedulersignal',

'xp_sendmail',

'xp_servicecontrol',

'xp_snmp_getstate',

'xp_snmp_raisetrap',

'xp_sprintf',

'xp_sqlinventory',

'xp_sqlregister',

'xp_sqltrace',

'xp_sscanf',

'xp_startmail',

'xp_stopmail',

'xp_subdirs',

'xp_unc_to_drive',

'xp_dirtree'

)

and a.object_id=b.id and b.uid=c.uid

确保返回的结果集合为空

2.6自动存储过程的管理

丢弃以下自动存储过程：

sp_OACreate

sp_OADestroy

sp_OAGetErrorInfo

sp_OAGetProperty

sp_OAMethod

sp_OASetProperty

sp_OAStop

这些存储过程安装后默认是禁止的，使用如下命令确认其当前状态：

USEmaster;

GO

EXEC sp_configure'show advanced option','1';

go

exec sp_configure'Ole Automation Procedures'

go

为了安全起见，请确保下图configure_value和run_value均为0：

2.7数据库用户密码设定及管理策略

操作员（包括普通用户和数据库管理员）访问数据库的密码，实际就是域账号密码，由操作员自己保存，不得透露给任何人，密码要求每3个月修改一次。

应用程序用户密码由安全管理员设置和保管，不能告知任何人

密码长度要求大于等于13位，必须包含数字和字母，大小写，特殊字符。Web应用程序和普通应用程序登录数据库的密码必须加密后保存在配置文件中。

数据库系统管理员的密码（也就是SQL Server启动账号密码）长度要求大于等于13位，必须包含数字和字母，大小写，特殊字符。2.8Lock page in memory权限的设定

SQL启动账号须被授予Lock page in memory权限：

Start->Run…->gpedit.msc

2.9开启AWE

为SQL开启AWE

2.10采用Windows授权的认证模式

数据库服务器的访问，采用Windows授权的认证模式：

2.11限制system administrators

限制system administrators (NT or SQL)，所有加入Chn/dbadmin组的成员，都具有windows和SQL的管理员权限，因此需要严格控制其成员

2.12审计登录

审计登录失败的日志：

2.13安装64位版本SQL

非特殊情况，所有MS SQL Server均应安装64位版本；

内存在4GB及以下，且可预见不会添加内存的服务器建议安装32位Windows与SQL

2.14安装的SQL Server组件

SQL Server2005/2008及后续版本数据库服务器只需要基本安装（包括数据库引擎和客户端管理工具，其中全文索引服务，开发工具和工具包不需要装），SSIS，SSRS,SSAS根据应用需要进行选择安装

2.15数据库用户的命名规则

数据库访问采用Windows授权的认证模式方式访问。

为了方便管理，我们采用域账号访问数据库。

Web Server上须要用network service，在数据库端配置用ssip，只允许用域的 Web的机器帐号访问。

2.16禁用sa账号

针对已经安装且使用Mixed认证模式的SQL实例，禁用sa：

注：为避免不必要的麻烦，请先将SQL Server启动账号加入到SQL Server的sysadmin组，然后再禁用sa

在安装时，如果选在Windows授权认证，则自动会禁用sa账号，下图显示了安装过程中选则windows认证模式且将windows启动账号加入到了SQL Server administrators（sysadmin）组中的UI:

设置JOB的Owner为SQL启动账号：

所有JOB的Owner都设置成SQL启动账号，可以使用下面代码

查询各个作业的Owner:

select https://www.360docs.net/doc/b0480596.html, NameOfJob,https://www.360docs.net/doc/b0480596.html, NameOfJobOwner from msdb.dbo.sysjobs

a ,sys.syslogins

b where a.owner_sid=b.sid

对于Owner不是SQL启动账号的，请在相应JOB的Properties里去修改：

2.17关闭remote access

USEmaster;

GO

EXEC sp_configure'show advanced option','1';

go

exec sp_configure'remote access'

go

请确保红色框中的config_vaule和run_value的值都是0：

如果不是0，则执行如下代码：

USEmaster;

GO

EXEC sp_configure'remote access','0';

RECONFIGUREWITHOVERRIDE;

然后重启SQL实例，并再次确认：

USEmaster;

GO

EXEC sp_configure'show advanced option','1';

go

exec sp_configure'remote access'

go

2.18安装之后的配置选项和设置(SQL Server 2008)

禁用SQL Server VSS Writer服务

从生产服务器中删除示例数据库。

修正Public用户对DTS和JOB管理权限。（参见附件D的运行指令） JOB的最大记录数调整为50000，单个JOB的最大日志数为2000。

对sysadmin操作、固定角色成员身份更改、所有与登录相关的活动以及密码更改启用安全审核（只适用关键服务器，订单，用户，财

务，开发）。

禁用SQL邮件功能

ORACLE数据库安全规范

数据库安全规范

1概述 1.1适用范围 本规范明确了Oracle数据库安全配置方面的基本要求。 1.2符号和缩略语 2 ORACLE安全配置要求 本规范所指的设备为ORACLE数据库。本规范提出的安全配置要求，在未特别说明的情况下，均适用于ORACLE数据库。 本规范从ORACLE数据库的认证授权功能和其它自身安全配置功能提出安全要求。 2.1账号 ORACLE应提供账号管理及认证授权功能，并应满足以下各项要求。 2.1.1按用户分配帐号

2.1.2删除或锁定无关帐号 2.1.3用户权限最小化 要求内容 在数据库权限配置能力内，根据用户的业务需要，配置其所需的最小权

限。

grant 权限 to user name; revoke 权限 from user name; 2、补充操作说明 用第一条命令给用户赋相应的最小权限 用第二条命令收回用户多余的权限 业务测试正常 4、检测操作 业务测试正常 5、补充说明 2.1.4使用ROLE 管理对象的权限 1. 使用Create Role 命令创建角色。 2.使用用Grant 命令将相应的系统、对象或 Role 的权限赋予应用用户。 2、补充操作说明 对应用用户不要赋予 DBA Role 或不必要的权限。 4、检测操作 1.以DBA 用户登陆到 sqlplus 中。 2.通过查询 dba_role_privs 、dba_sys_privs 和 dba_tab_privs 等视图来检查 是否使用ROLE 来管理对象权限。 5、补充说明 操作指南 1、参考配置操作 检测方法 3、判定条件 要求内容 使用数据库角色（ROLE ）来管理对象的权限。 操作指南 1、参考配置操作 检测方法 3、判定条件

juniper防火墙配置手册

JUNIPER 防火墙快速安装手册 目录 1、前言 (4) 1.1、J UNIPER 防火墙配置概述 (4) 1.2、J UNIPER 防火墙管理配置的基本信息 (4) 1.3、J UNIPER 防火墙的常用功能 (6) 2、JUNIPER 防火墙三种部署模式及基本配置 (6) 2.1、NAT 模式 (6) 2.2、R OUTE 模式 (7) 2.3、透明模式 (8) 2.4、基于向导方式的NAT/R OUTE 模式下的基本配置 (9) 2.5、基于非向导方式的NAT/R OUTE 模式下的基本配置 (18) 2.5.1、NS-5GT NAT/Route 模式下的基本配置 (19) 2.5.2、非NS-5GT NAT/Route 模式下的基本配置 (20) 2.6、基于非向导方式的透明模式下的基本配置 (21) 3、JUNIPER 防火墙几种常用功能的配置 (22) 3.1、MIP 的配置 (22) 3.1.1、使用Web 浏览器方式配置MIP (23) 3.1.2、使用命令行方式配置MIP (25) 3.2、VIP 的配置 (25) 3.2.1、使用Web 浏览器方式配置VIP (26) 3.2.2、使用命令行方式配置VIP (27) 3.3、DIP 的配置 (28) 3.3.1、使用Web 浏览器方式配置DIP (28) 3.3.2、使用命令行方式配置DIP (30) 4、JUNIPER 防火墙IPSEC VPN 的配置 (30) 4.1、站点间IPS EC VPN 配置：STAIC IP-TO-STAIC IP (30) 4.1.1、使用Web 浏览器方式配置 (31) 4.1.2、使用命令行方式配置.......................................................................... .. (35) 4.2、站点间IPS EC VPN 配置：STAIC IP-TO-DYNAMIC IP (37) 4.2.1、使用Web 浏览器方式配置 (38) 4.2.1、使用命令行方式配置................................................................................ .. (41) 5、JUNIPER 中低端防火墙的UTM 功能配置 (43) 5.1、防病毒功能的设置..................................................................................... . (44) 5.1.1、Scan Manager 的设置 (44) 5.1.2、Profile 的设置...................................................................................... . (45) 5.1.3、防病毒profile 在安全策略中的引用 (47) 5.2、防垃圾邮件功能的设置................................................................................ .. (49) 5.2.1、Action 设置 (50) 5.2.2、White List 与Black List 的设置 (50)

Windows Server 2008 R2 WEB 服务器安全设置指南(四)之禁用不必要的服务和关闭端口

Windows Server 2008 R2 WEB 服务器安全设置指南(四)之禁用不必要的服务和关闭端口 安全是重中之重，以最少的服务换取最大的安全。通过只启用需要用到的服务、关闭暂时用不到的服务或不用的服务，这样最大程度来提高安全性。 作为web服务器，并不是所有默认服务都需要的，所以像打印、共享服务都可以禁用。当然了，你的系统补丁也需要更新到最新，一些端口的漏洞已经随着补丁的更新而被修复了。网上的一些文章都是相互复制且是基于win2003系统较多，而win2008相比win2003本身就要安全很多。 那我们为什么还要谈关闭端口呢，因为我们要防患于未然，万一服务器被黑就不好玩了。 禁用不必要的服务 控制面板―――管理工具―――服务：把下面的服务全部停止并禁用。 TCP/IP NetBIOS Helper Server 这个服务器需要小心。天翼云主机需要用到这个服务，所以在天翼云主机上不能禁用。 Distributed Link Tracking Client Microsoft Search 如果有，则禁用

Print Spooler Remote Registry 因为我们使用的是云主机，跟单机又不一样，所以有些服务并不能一概而论，如上面的Server服务。例如天翼云的主机，上海1和内蒙池的主机就不一样，内蒙池的主机需要依赖Server服务，而上海1的不需要依赖此服务，所以上海1的可以禁用，内蒙池就不能禁用了。 所以在禁用某一项服务时必须要小心再小心。 删除文件打印和共享 本地连接右击属性，删除TCP/IPV6、Microsoft网络客户端、文件和打印共享。

Oracle数据库安全配置规范华为

目录 1概述 (2) 1.1适用范围 (2) 1.2内部适用性说明 .......................................................................................................... 错误！未定义书签。 1.3外部引用说明 .............................................................................................................. 错误！未定义书签。 1.4术语和定义 .................................................................................................................. 错误！未定义书签。 1.5符号和缩略语 (2) 2ORACLE安全配置要求 (2) 2.1账号 (2) 2.2口令 (7) 2.3日志 (11) 2.4其他 (13)

1概述 1.1适用范围 本规范明确了Oracle数据库安全配置方面的基本要求。 1.2符号和缩略语 2ORACLE安全配置要求 本规范所指的设备为ORACLE数据库。本规范提出的安全配置要求，在未特别说明的情况下，均适用于ORACLE数据库。 本规范从ORACLE数据库的认证授权功能、安全日志功能，和其他自身安全配置功能提出安全要求。 2.1账号 ORACLE应提供账号管理及认证授权功能，并应满足以下各项要求。 2.1.1按用户分配帐号

DPtech FW1000系列防火墙系统用户配置手册解析

DPtech FW1000系列防火墙用户配置 手册

杭州迪普科技有限公司为客户提供全方位的技术支持。 通过杭州迪普科技有限公司代理商购买产品的用户，请直接与销售代理商联系；直接向杭州迪普科技有限公司购买产品的用户，可直接与公司联系。 杭州迪普科技有限公司 地址：杭州市滨江区火炬大道581号三维大厦B座901室 邮编：310053

声明 Copyright 2010 杭州迪普科技有限公司 版权所有，保留一切权利。 非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式传播。 由于产品版本升级或其他原因，本手册内容有可能变更。杭州迪普科技有限公司保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。本手册仅作为使用指导，杭州迪普科技有限公司尽全力在本手册中提供准确的信息，但是杭州迪普科技有限公司并不确保手册内容完全没有错误，本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。

目录 第1章产品概述1-1 1.1产品简介1-1 1.2WEB管理1-1 1. 2.1登录WEB管理界面1-1 1.2.2WEB界面布局介绍1-2 第2章系统管理2-1 2.1简介2-1 2.2设备管理2-1 2.2.1设备信息2-1 2.2.2设备状态2-3 2.2.3设备设置2-4 2.3SNMP配置2-7 2. 3.1简介2-7 2.3.2配置信息2-7 2.3.3IP地址列表2-8 2.4管理员2-8 2. 4.1简介2-8 2.4.2当前管理员2-9 2.4.3管理员设置2-9 2.4.4登录参数设置2-11 2.5配置文件2-12 2.6特征库2-13 2.6.1APP特征库2-13 2.6.2URL分类过滤特征库2-16 2.6.3L ICENSE文件管理2-17 2.7软件版本2-18 2.8NTP配置2-19 第3章网络管理3-1 3.1简介3-1 3.2接口管理3-2 3.2.1简介3-2 3.2.2组网配置3-2 3.3网络对象3-9

服务器基本安全配置

服务器基本安全配置 1.用户安全 (1)运行lusrmgr.msc,重命名原Administrator用户为自定义一定长度的名字，并新建同名 Administrator普通用户，设置超长密码去除所有隶属用户组。 (2)运行gpedit.msc——计算机配置—安全设置—账户策略—密码策略 启动密码复杂性要求，设置密码最小长度、密码最长使用期限，定期修改密码保证服务器账户的密码安全。 (3)运行gpedit.msc——计算机配置—安全设置—账户策略—账户锁定策略 启动账户锁定，设置单用户多次登录错误锁定策略，具体设置参照要求设置。

(4)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 交互式登录:不显示上次的用户名；——启动 交互式登录：回话锁定时显示用户信息；——不显示用户信息 (5)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 网络访问：可匿名访问的共享；——清空 网络访问：可匿名访问的命名管道；——清空 网络访问：可远程访问的注册表路径；——清空 网络访问：可远程访问的注册表路径和子路径；——清空 (6)运行gpedit.msc——计算机配置—安全设置—本地策略 通过终端服务拒绝登陆——加入一下用户（****代表计算机名）ASPNET Guest IUSR_***** IWAM_***** NETWORK SERVICE SQLDebugger 注：用户添加查找如下图：

(7)运行gpedit.msc——计算机配置—安全设置—本地策略—策略审核 即系统日志记录的审核消息，方便我们检查服务器的账户安全，推荐设置如下： (8)

AWS服务器配置部署手册

A W S服务器配置部署手 册 Company Document number：WTUT-WT88Y-W8BBGB-BWYTT-19998

aws服务器配置部署手册 一、实例的启动（创建） 1.什么是实例 在所有工作之前，我们来看一看什么是AmazonEC2.根据其官方文档的解释如下： 在知道什么是AmazonEC2,之后我们就可以开始我们的工作了。 AmazonEC2提供不同的实例类型，以便可以选择需要的CPU、内存、存储和网络容量来运行应用程序。登录帐号，进入EC2的控制面板，启动实例。 2.实例的相关配置 根据我们的需求选择MicrosoftWindowsServer2012R2Base，。 其他过程直接选择默认配置，点击配置安全组。 默认的安全组只有一个规则，这条规则对应的是远程桌面连接的端口。但是只有这条规则是不够的，为了方便我们之后服务器的配置以及网站的部署，我们得添加其他的规则，下图是我配置帕累托后台所用的安全组。（有关安全组端口作用在附件中有部分说明，详见附件1） 完成相关工作之后，点击审核和启动，会跳出如下页面，这一步很重要！因为在这创建的密钥对，以后都会用到。 在保存好密钥对之后就可以启动实例了。 3.绑定弹性IP 在导航栏中找到弹性IP，点击分配新地址。创建好之后右击，选择关联地址，将其关联到我们的实例上。

二、服务器的配置 1.远程桌面连接 实例在创建完成之后，就要配置服务器了。在配置服务器时，需要通过远程桌面连接进入实例进行配置。 首先查看我们实例的安全组有没有配置远程连接的端口，如果没有进行添加配置（导航栏中找到安全组，点击进入）。 若实例需要添加安全组，在安全组创建之后可以右击实例更改安全组进行安全组的绑定。 在完成端口的开放之后，就可以进行远程桌面连接了。右击我们的实例，点击连接，跳出如下画面。 首先通过之前保存的密钥对获取密码，然后通过下载的远程桌面文件和解密得到的密码进行连接。 2.服务器配置之添加角色和功能 进入后点击开始按钮，选择服务器管理器（实例中默认的服务器只有一个，我们的工作只需要一个，所以暂不做添加修改。） 点击第二项添加角色和功能，一路下一步，直到服务器和角色页面，勾选Web 服务器（IIS）选项（根据个人需求进行相关筛选）， 在功能页面同样勾选需要的功能，最后确认并安装。 3.服务器配置之防火墙配置 在服务器配置中还有一个非常重要的步骤——防火墙的配置。之前因为没有对防火墙进行相关配置，导致本人焦头烂额，始终无法从外部网络连接至服务器。

Oracle数据库安全配置规范

Oracle数据库安全配置规范 1概述 1.1目的 本规范明确了oraclｅ数据库安全配置方面的基本要求。为了提高oｒacｌe数据库的安全性而提出的。 1.2范围 本规范适用于XＸXXＸ适用的oraｃle数据库版本。 2配置标准 2.1账号管理及认证授权 2.1.1按照用户分配账号 [目的]应按照用户分配账号，避免不同用户共享账号。 [具体配置] create user abc1 identifiｅd ｂｙｐasswoｒd1； crｅatｅｕser abc2 iｄentｉｆｉｅｄｂy password2; 建立role，并给role授权，把roｌe赋给不同的用户删除无关账号。 [检测操作]

2.1.2删除无用账号 [目的］应删除或锁定与数据库运行、维护等工作无关的账号。 [具体配置] aｌter user usernamｅｌock; dｒop user uｓername cａscａde; ［检测操作] 2.1.3限制DBＡ远程登入 ［目的]限制具备数据库超级管理员（SYSＤＢA）权限的用户远程登录。 [具体配置] 1.在spｆile中设置RＥMOTE_LOＧIN_PＡSSＷORDFIＬE=ＮＯNE来禁止 SYSDBA用户从远程登陆。 2.在sqlnet.orａ中设置SQLNET.AUTHＥＮＴICATIＯＮ_ＳＥRＶICES=NONE来 禁用SYSＤBA角色的自动登入。 [检测操作] 1.以Oraｃle用户登入到系统中。 2.以sｑlpｌｕｓ‘/asｓyｓdbａ’登入到sqlpｌｕs环境中。 3.使用shoｗｐarameter 命令来检查参数REMOTE＿ＬOGIN_PASSWORDFＩ ＬE是否设置为NＯNE。Show pａrametｅr REMOTE＿LOＧIN_ＰASSWORDF ＩLＥ

天融信防火墙NGFW4000配置手册

天融信防火墙NGFW4000快速配置手册

目录 一、防火墙的几种管理方式 (3) 1．串口管理 (3) 2．TELNET管理 (4) 3．SSH管理 (5) 4．WEB管理 (6) 5．GUI管理 (6) 二、命令行常用配置 (12) 1．系统管理命令(SYSTEM) (12) 命令 (12) 功能 (12) WEBUI界面操作位置 (12) 二级命令名 (12) V ERSION (12) 系统版本信息 (12) 系统>基本信息 (12) INFORMATION (12) 当前设备状态信息 (12) 系统>运行状态 (12) TIME (12) 系统时钟管理 (12) 系统>系统时间 (12) CONFIG (12) 系统配置管理 (12) 管理器工具栏“保存设定”按钮 (12) REBOOT (12) 重新启动 (12) 系统>系统重启 (12) SSHD (12) SSH服务管理命令 (12) 系统>系统服务 (12) TELNETD (12) TELNET服务管理 (12) 系统>系统服务命令 (12) HTTPD (12) HTTP服务管理命 (12) 系统>系统服务令 (12) MONITORD (12) MONITOR (12) 服务管理命令无 (12) 2．网络配置命令(NETWORK) (13)

4．定义对象命令(DEFINE) (13) 5．包过滤命令(PF) (13) 6．显示运行配置命令(SHOW_RUNNING) (13) 7．保存配置命令(SAVE) (13) 三、WEB界面常用配置 (14) 1．系统管理配置 (14) A)系统> 基本信息 (14) B)系统> 运行状态 (14) C)系统> 配置维护 (15) D)系统> 系统服务 (15) E)系统> 开放服务 (16) F)系统> 系统重启 (16) 2．网络接口、路由配置 (16) A)设置防火墙接口属性 (16) B)设置路由 (18) 3．对象配置 (20) A)设置主机对象 (20) B)设置范围对象 (21) C)设置子网对象 (21) D)设置地址组 (21) E)自定义服务 (22) F)设置区域对象 (22) G)设置时间对象 (23) 4．访问策略配置 (23) 5．高可用性配置 (26) 四、透明模式配置示例 (28) 拓补结构： (28) 1．用串口管理方式进入命令行 (28) 2．配置接口属性 (28) 3．配置VLAN (28) 4．配置区域属性 (28) 5．定义对象 (28) 6．添加系统权限 (29) 7．配置访问策略 (29) 8．配置双机热备 (29) 五、路由模式配置示例 (30) 拓补结构： (30) 1．用串口管理方式进入命令行 (30) 2．配置接口属性 (30) 3．配置路由 (30) 4．配置区域属性 (30) 5．配置主机对象 (30) 6．配置访问策略 (30)

数据库服务器安全配置检查表

数据库服务器安全配置检查表 更新日期：2004年04月12日 本页内容 如何使用本检查表 产品服务器的安装注意事项 修补程序和更新程序 服务 协议 帐户 文件和目录 共享 端口 注册表 审核与日志记录 SQL Server 安全性 SQL Server 登录、用户和角色 SQL Server 数据库对象 其他注意事项 保持安全 如何使用本检查表 本检查表随模块18 保证数据库服务器的安全一起提供。本检查表可帮助您保护数据库服务器，并可用作相应模块的快照。返回页首 产品服务器的安装注意事项

返回页首 修补程序和更新程序 返回页首 服务

协议 在 在数据库服务器上强化 返回页首 帐户 使用具有最少权限的本地帐户运行 从 禁用 重命名 强制执行强密码策略。 限制远程登录。 限制使用空会话（匿名登录）。 帐户委派必须经过审批。 不使用共享帐户。 限制使用本地

文件和目录 返回页首 共享 从服务器中删除所有不必要的共享。 限制对必需的共享的访问（ 如果不需要管理性共享（ Operations Manager (MOM) 返回页首 端口

和 配置在同一端口侦听命名实例。 如果端口 将防火墙配置为支持 在服务器网络实用工具中，选中 返回页首 注册表 返回页首 审核与日志记录 记录所有失败的 记录文件系统中的所有失败的操作。 启用 将日志文件从默认位置移走，并使用访问控制列表加以保护。 将日志文件配置为适当大小，具体取决于应用程序的安全需要。

返回页首 SQL Server 安全性 返回页首 SQL Server 登录、用户和角色 返回页首

2003服务器安全配置教程

WEB+FTP+Email服务器安全配置手册 作者：阿里西西 2006-8-11

目录第一章：硬件环境 第二章：软件环境 第三章：系统端口安全配置 第四章：系统帐户及安全策略配置 第五章：IIS和WEB站点文件夹权限配置第六章：FTP服务器安全权限配置 第七章：Email服务器安全权限配置 第八章：远程管理软件配置 第九章：其它安全配置建议 第十章：篇后语

一、硬件环境 服务器采用1U规格的机架式托管主机，大概配置为Nocona2.8G/1G DDR2/160G*2SATA 硬盘/双网卡/光驱软驱/3*USB2.0。 二、软件环境 操作系统：Windows Server 2003 Enterprise Edition sp1 WEB系统：Win操作系统自带IIS6，支持.NET 邮件系统：MDaemon 8.02英文版 FTP服务器系统：Serv-U 6.0.2汉化版 防火墙: BlackICE Server Protection，中文名：黑冰 杀毒软件：NOD32 2.5 远程管理控件：Symantec pcAnywhere11.5+Win系统自带的MSTSC 数据库：MSSQL2000企业版 相关支持组件：JMail 4.4专业版，带POP3接口；ASPJPEG图片组件 相关软件：X-SCAN安全检测扫描软件；ACCESS；EditPlus [相关说明] *考虑服务器数据安全，把160G*2硬盘做成了阵列，实际可用容易也就只有一百多G了。 *硬盘分区均为NTFS分区；NTFS比FAT分区多了安全控制功能，可以对不同的文件夹设置不同的访问权限，安全性增强。操作系统安装完后，第一时间安装NOD32杀毒软件，装完后在线更新病毒库，接着在线Update操作系统安全补丁。 *安装完系统更新后，运行X-SCAN进行安全扫描，扫描完后查看安全报告，根据安全报告做出相应的安全策略调整即可。 *出于安全考虑把MSTSC远程桌面的默认端口进行更改。

数据库运行管理规范

数据库运行管理规范 1总则 1.1为规范XX公司信息通信分公司（以下简称“公司”）信息系统的数据库管理和配置方法，保障信息系统稳定安全地运行，特制订本办法。 2适用范围 本规范中所定义的数据管理内容，特指存放在信息系统数据库中的数据，对于存放在其他介质的数据管理，参照相关管理办法执行。 3数据库管理员主要职责 3.1负责对数据库系统进行合理配置、测试、调整，最大限度地发挥设备资源优势。负责数据库的安全运行。 3.2负责定期对所管辖的数据库系统的配置进行可用性，可靠性，性能以及安全检查。 3.3负责定期对所管辖的数据库系统的可用性，可靠性，性能以及安全的配置方法进行修订和完善。 3.4负责对所管辖的数据库系统运行过程中出现的问题及时处理解决。 3.5负责对所管辖数据库系统的数据一致性和完整性，并协助应用开发人员、使用操作等相关人员做好相关的配置、检查等工作。 3.6负责做好数据库系统及数据的备份和恢复工作。 4数据库的日常管理工作 4.1每日的管理工作 4.1.1数据库管理员每天登录到服务器操作系统，进行如下检查工 作： (1)检查所有的数据库实例状态以及所有与数据库相关的后台进程。

(2)检查数据库网络的连通与否，比如查看监听器（listener）的状态、网络能否ping通其它的计算机、应用系统的客户端能否连通服务器等等。 (3)检查磁盘空间的使用情况。如果剩余的空间不足 20% ，需要删除不用的文件以释放空间。 (4)查看告警文件有无异常。 (5)根据数据库系统的特点，检查其它的日志文件中的内容，发现异常要及时加以处理。 (6)检查cpu、内存及IO等的状态。 4.2数据库管理的每月工作 (1)收集数据库的性能统计数据，检查高速缓存区命中率、资源争用等统计信息，若不理想，设法加以分析改善。 (2)检查数据对象存储空间碎片情况，必要时加以调整。 (3)比较分析数据库系统和操作系统的CPU，内存，网络，及硬盘的利用率，以此确定出近期将可能出现的资源争夺趋势，必要时加以调整，以避免系统资源的争夺，如果调整还达不到要求，须考虑增加新资源。 (4)检查每日数据库管理工作的执行情况，用户、数据对象存储空间增加删改的记录是否齐全，备份记录、维护记录是否齐全，不足的及时补上。 4.3数据库管理的每年工作 (1)逐项检查每日、每月数据库管理工作的执行情况。用户、数据对象存储空间增加删改的记录是否齐全，备份记录、维护记录是否齐全，不足的及时补上。 (2)对数据库系统运行的情况作出统计。 (3)分析运行状况资源消耗的趋势，作好新一年的计划。 5数据库的安全管理 5.1数据库环境安 5.1.1物理环境安全

Oracle数据库安全配置手册

Oracle数据库安全配置手册 Version 1.0

版本控制

目录 第一章目的与范围 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3数据库类型 (1) 第二章数据库安全规范 (1) 2.1操作系统安全 (1) 2.2帐户安全 (2) 2.3密码安全 (2) 2.4访问权限安全 (2) 2.5日志记录 (3) 2.6加密 (3) 2.7管理员客户端安全 (3) 2.8安全补丁 (3) 2.9审计 (3) 第三章数据库安全配置手册 (4) 3.1O RACLE数据库安全配置方法 (4) 3.1.1 基本漏洞加固方法 (4) 3.1.2 特定漏洞加固方法 (12)

第一章目的与范围 1.1 目的 为了加强宝付的数据安全管理，全面提高宝付各业务系统的数据安全水平，保证业务系统的正常运营，提高业务服务质量，特制定本方法。 本文档旨在于规范宝付对各业务系统的Oracle数据库进行安全加固处理。 1.2适用范围 本手册适用于对宝付公司的各业务系统的数据库系统加固进行指导。 1.3数据库类型 数据库类型为Oracle 11g。 第二章数据库安全规范 2.1 操作系统安全 要使数据库安全，首先要使其所在的平台和网络安全。然后就要考虑操作系统的安全性。Oracle使用大量用户不需要直接访问的文件。例如，数据文件和联机重做日志文件只能通过Oracle的后台进程进行读写。因此，只有要创建和删除这些文件的数据库管理员才需要在操作系统级直接访问它们。导出转储文件和其他备份文件也必须受到保护。可以把数据复制到其他数据库上，或者是作为复制模式的一部分，或者是提供一个开发数据库。若要保护数据的安全，就要对数

juniper防火墙详细配置手册

Juniper防火墙简明实用手册 （版本号：）

目录 1juniper中文参考手册重点章节导读.................................... 错误!未定义书签。 第二卷：基本原理 ...................................................... 错误!未定义书签。 第一章：ScreenOS 体系结构 .......................... 错误!未定义书签。 第二章：路由表和静态路由............................ 错误!未定义书签。 第三章：区段.................................................... 错误!未定义书签。 第四章：接口.................................................... 错误!未定义书签。 第五章：接口模式............................................ 错误!未定义书签。 第六章：为策略构建块.................................... 错误!未定义书签。 第七章：策略.................................................... 错误!未定义书签。 第八章：地址转换............................................ 错误!未定义书签。 第十一章：系统参数........................................ 错误!未定义书签。 第三卷：管理 .............................................................. 错误!未定义书签。 第一章：管理.................................................... 错误!未定义书签。 监控NetScreen 设备........................................ 错误!未定义书签。 第八卷：高可用性 ...................................................... 错误!未定义书签。 NSRP ................................................................... 错误!未定义书签。 故障切换............................................................ 错误!未定义书签。2Juniper防火墙初始化配置和操纵........................................ 错误!未定义书签。3查看系统概要信息................................................................. 错误!未定义书签。4主菜单常用配置选项导航..................................................... 错误!未定义书签。5Configration配置菜单 ........................................................... 错误!未定义书签。 Date/Time:日期和时间 ............................................... 错误!未定义书签。 Update更新系统镜像和配置文件 ............................. 错误!未定义书签。 更新ScreenOS系统镜像 .................................. 错误!未定义书签。 更新config file配置文件.................................. 错误!未定义书签。 Admin管理 .................................................................. 错误!未定义书签。 Administrators管理员账户管理....................... 错误!未定义书签。 Permitted IPs：允许哪些主机可以对防火墙进行管理错误!未定

web服务器的安全配置(以windows为例)

6、先关闭不需要的端口开启防火墙导入IPSEC策略 在” 网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要控制带宽流量服务，额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS（S）"。在高级选项里，使用"Internet连接防火墙"，这是windows 2003 自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec 的功能。 然后点击确定—>下一步安装。（具体见本文附件1） ３、系统补丁的更新 点击开始菜单—>所有程序—>Windows Update 按照提示进行补丁的安装。 ４、备份系统 用GHOST备份系统。 ５、安装常用的软件 例如：杀毒软件、解压缩软件等；安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份

修改3389远程连接端口 修改注册表. 开始--运行--regedit 依次展开HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP 右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 ) HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/ 右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 )

SQL Server 2000的安全配置

SQL Server 2000安全配置完全攻略 这里，我们主要谈论有关SQL Server2000数据库的安全配置以及一些相关的安全和使用上的问题。 在进行SQL Server 2000数据库的安全配置之前，首先你必须对操作系统进行安全配置，保证你的操作系统处于安全状态。然后对你要使用的操作数据库软件(程序)进行必要的安全审核，比如对ASP、PHP 等脚本，这是很多基于数据库的WEB应用常出现的安全隐患，对于脚本主要是一个过滤问题，需要过滤一些类似, ‘ ;@ / 等字符，防止破坏者构造恶意的SQL语句。 在做完上面三步基础之后，我们再来讨论SQL Server的安全配置。 1、使用安全的密码策略: 我们把密码策略摆在所有安全配置的第一步，请注意，很多数据库帐号的密码过于简单，这跟系统密码过于简单是一个道理。对于sa更应该注意，同时不要让sa帐号的密码写于应用程序或者脚本中。健壮的密码是安全的第一步! SQL Server2000安装的时候，如果是使用混合模式，那么就需要输入sa的密码，除非你确认必须使用空密码。这比以前的版本有所改进。 同时养成定期修改密码的好习惯。数据库管理员应该定期查看是否有不符合密码要求的帐号。比如使用下面的SQL语句： Use master Select name,Password from syslogins where password is null 2、使用安全的帐号策略: 由于SQL Server不能更改sa用户名称，也不能删除这个超级用户，所以，我们必须对这个帐号进行最强的保护，当然，包括使用一个非常强壮的密码，最好不要在数据库应用中使用sa帐号，只有当没有其它方法登录到SQL Server 实例(例如，当其它系统管理员不可用或忘记了密码)时才使用sa。建议数据库管理员新建立一个拥有与sa一样权限的超级用户来管理数据库。安全的帐号策略还包括不要让管理员权限的帐号泛滥。 SQL Server的认证模式有Windows身份认证和混合身份认证两种。如果数据库管理员不希望操作系统管理员来通过操作系统登陆来接触数据库的话，可以在帐号管理中把系统帐号“BUILTIN\Administrators”删除。不过这样做的结果是一旦sa帐号忘记密码的话，就没有办法来恢复了。 很多主机使用数据库应用只是用来做查询、修改等简单功能的，请根据实际需要分配帐号，并赋予仅仅能够满足应用要求和需要的权限。比如，只要查询功能的，那么就使用一个简单的public帐号能够select 就可以了。

Sybase数据库安全配置规范

Sybase数据库安全配置规范

1.概述 1.1. 目的 本规范明确了Sybase数据库安全配置方面的基本要求。为了提高Sybase数据库的安全性而提出的。 1.2. 范围 本规范适用于XXXX使用的Sybase数据库版本。

2.配置标准 2.1. 通用安全设置 2.1.1.操作系统检查 【目的】检查Sybase安装目录的访问权限，保证只有系统管理员才能访问。 【具体配置】 改变Sybase注册表 KLM\Software\Sybase中的权限键值。 2.1.2.服务器信息 【目的】列举网路上的远程服务器。 【具体配置】 exec sp_helpserver 检查输出内容： 网络密码加密： "net password encryption" = true "net password encryption" = false 安全机制： "rpc security model A" 不提供安全机制 “rpc security model B” 提供不同的安全服务，如互相认证、消息加密、完整 性校验等。 列举特定服务器的信息： exec sp_helpdb 2.1. 3.登录信息 【目的】检查认证模式是否开启和默认登陆。 【具体配置】 检查认证模式是否开启： exec sp_loginconfig "login mode" 0 – 标准模式 1 – 集成模式 2 – 混合模式 标准认证模式： 默认的认证模式。Sybase使用自己的数据库（master数据库中的syslogins 表）来认证用户。Windows NT/2000的管理员如果没有正确的帐户也不能

天融信防火墙NGFW4000快速配置手册

天融信防火墙NGFW4000快速配置手册 一、防火墙的几种管理方式 1．串口管理 第一次使用网络卫士防火墙，管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。 通过 CONSOLE 口登录到网络卫士防火墙，可以对防火墙进行一些基本的设置。用户在初次使用防火墙时，通常都会登录到防火墙更改出厂配置（接口、IP 地址等），使在不改变现有网络结构的情况下将防火墙接入网络中。这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙： 1）使用一条串口线（包含在出厂配件中），分别连接计算机的串口（这里假设使用 com1）和防火墙的CONSOLE 口。 2）选择开始 > 程序 > 附件 > 通讯 > 超级终端，系统提示输入新建连接的名称。 3）输入名称，这里假设名称为“TOPSEC”，点击“确定”后，提示选择使用的接口（假设使用 com1）。 4）设置 com1 口的属性，按照以下参数进行设置。

5）成功连接到防火墙后，超级终端界面会出现输入用户名/密码的提示，如下图。 6）输入系统默认的用户名：superman 和密码：talent，即可登录到网络卫士防火 墙。登录后，用户就可使用命令行方式对网络卫士防火墙进行配置管理。 2．TELNET管理 TELNET管理也是命令行管理方式，要进行TELNET管理，必须进行以下设置： 1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限 2)在串口下用“system telnetd start”命令启动TELNET管理服务 3)知道管理IP地址，或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令 添加管理IP地址 4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理：TELNET 192.168.1.250 5)最后输入用户名和密码进行管理命令行如图： 3．SSH管理

服务器硬件配置和服务器安全配置信息(全能)

WEB 服务器硬件配置方案 一、入门级常规服务器硬配置方案： 备注：作为WEB服务器，首先要保证不间断电源，机房要控制好相对温度和湿度。这里有额外配置的UPS不间断电源和稳压器，此服务器配置能胜基本的WEB请求服务，如大量的数据交换，文件读写，可能会存在带宽瓶颈。 二、顶级服务器配置方案

备注： 1，系统支持Windows Server 2003 R2 Enterprise Edition、Windows Server 2003 R2 Web Edition、Windows Server 2003 R2 x64 Enterprise Edition、Windows Server 2003 R2 x64 Standard Edition、Windows Storage Server 2003 R2 Workgroup Edition 2，工作环境：相对工作温度10℃-35℃，相对工作湿度20%-80% 无冷凝，相对存储温度-40℃-65℃，相对湿度5%-95% 无冷凝 3，以上配置为统一硬件配置，为DELL系列服务器标准配置，参考价位￥13000 WEB 服务器软件配置和安全配置方案 一、系统的安装 １、按照Windows2003安装光盘的提示安装，默认情况下2003没有把IIS6.0安装在系统里面。 ２、IIS6.0的安装 开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件 应用程序———https://www.360docs.net/doc/b0480596.html,（可选） |——启用网络COM+ 访问（必选）

|——Internet 信息服务(IIS)———Internet 信息服务管理器（必选） |——公用文件（必选） |——万维网服务———Active Server pages（必选） |——Internet 数据连接器（可选） |——WebDAV 发布（可选） |——万维网服务（必选） |——在服务器端的包含文件（可选） 然后点击确定—>下一步安装。 ３、系统补丁的更新 点击开始菜单—>所有程序—>Windows Update 按照提示进行补丁的安装。 ４、备份系统 用GHOST备份系统。 ５、安装常用的软件 例如：杀毒软件、解压缩软件等；安装之后用GHOST再次备份系统。 二、系统权限的设置 １、磁盘权限 系统盘及所有磁盘只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Documents and Settings 目录只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Documents and Settings\All Users 目录只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Inetpub 目录及下面所有目录、文件只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 文件只给Administrators 组和SYSTEM 的完全控制权限 ２、本地安全策略设置 开始菜单—>管理工具—>本地安全策略 A、本地策略——>审核策略 审核策略更改成功失败 审核登录事件成功失败 审核对象访问失败 审核过程跟踪无审核 审核目录服务访问失败 审核特权使用失败 审核系统事件成功失败 审核账户登录事件成功失败 审核账户管理成功失败 B、本地策略——>用户权限分配 关闭系统：只有Administrators组、其它全部删除。 通过终端服务拒绝登陆：加入Guests、User组 通过终端服务允许登陆：只加入Administrators组，其他全部删除 C、本地策略——>安全选项 交互式登陆：不显示上次的用户名启用 网络访问：不允许SAM帐户和共享的匿名枚举启用 网络访问：不允许为网络身份验证储存凭证启用 网络访问：可匿名访问的共享全部删除