軟件等級：

更新時間：2016-11-11

版本號：v5.7.10

MySQL Server x64官方正式版免費下載

立即下載

MSSQL_MSSQL數據庫服務器的安全設置經驗分享過程

對于MSSQL首先需要為sa設置一個強壯的密碼，使用混合身份驗證，加強數據庫日志的記錄，審核數據庫登陸事件的“成功和失敗”。另外注意設置好各個數據庫用戶的權限，對于這些用戶只給予所在數據庫的一些權限。

對于專用的MSSQL數據庫服務器，按照上文所講的設置TCP/IP篩選和IP策略，對外只開放1433和5631端口。刪除一些不需要的和危險的OLE自動存儲過程（會造成企業管理器中部分功能不能使用），這些過程包括如下：
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty

Sp_OAMethod Sp_OASetProperty Sp_OAStop

去掉不需要的注冊表訪問過程，包括有：

Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue

Xp_regenumvalues Xp_regread Xp_regremovemultistring

Xp_regwrite

去掉其他系統存儲過程，如果認為還有威脅，當然要小心Drop這些過程，可以在測試機器上測試，保證正常的系統能完成工作，這些過程包括：

xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember

xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin

sp_addextendedproc

在實例屬性中選擇TCP/IP協議的屬性。選擇隱藏 SQL Server 實例可防止對1434端口的探測，可修改默認使用的1433端口。除去數據庫的guest賬戶把未經認可的使用者據之在外。 例外情況是master和 tempdb 數據庫，因為對他們guest帳戶是必需的。在程序中不要用sa用戶去連接任何數據庫。網絡上有建議大家使用協議加密的，千萬不要這么做，否則你只能重裝MSSQL了。

入侵檢測和數據備份

一、入侵檢測工作

作為服務器的日常管理，入侵檢測是一項非常重要的工作，在平常的檢測過程中，主要包含日常的服務器安全例行檢查和遭到入侵時的入侵檢查，也就是分為在入侵進行時的安全檢查和在入侵前后的安全檢查。系統的安全性遵循木桶原理，木桶原理指的是：一個木桶由許多塊木板組成，如果組成木桶的這些木板長短不一，那么這個木桶的最大容量不取決于長的木板，而取決于最短的那塊木板。應用到安全方面也就是說系統的安全性取決于系統中最脆弱的地方，這些地方是日常的安全檢測的重點所在。

日常的安全檢測

日常安全檢測主要針對系統的安全性，工作主要按照以下步驟進行：

1.查看服務器狀態：

打開進程管理器，查看服務器性能，觀察CPU和內存使用狀況。查看是否有CPU和內存占用過高等異常情況。

2.檢查當前進程情況

切換“任務管理器”到進程，查找有無可疑的應用程序或后臺進程在運行。用進程管理器查看進程時里面會有一項taskmgr，這個是進程管理器自身的進程。如果正在運行windows更新會有一項wuauclt.exe進程。對于拿不準的進程或者說不知道是服務器上哪個應用程序開啟的進程，通常的后門如果有進程的話，一般會取一個與系統進程類似的名稱，如svch0st.exe，此時要仔細辨別[通常迷惑手段是變字母o為數字0，變字母l為數字1]

3.檢查系統帳號

打開計算機管理，展開本地用戶和組選項，查看組選項，查看administrators組是否添加有新帳號，檢查是否有克隆帳號。

4.查看當前端口開放情況

使用activeport，查看當前的端口連接情況，尤其是注意與外部連接著的端口情況，看是否有未經允許的端口與外界在通信。如有，立即關閉該端口并記錄下該端口對應的程序并記錄，將該程序轉移到其他目錄下存放以便后來分析。打開計算機管理==》軟件環境==》正在運行任務[在此處可以查看進程管理器中看不到的隱藏進程]，查看當前運行的程序，如果有不明程序，記錄下該程序的位置，打開任務管理器結束該進程，對于采用了守護進程的后門等程序可嘗試結束進程樹，如仍然無法結束，在注冊表中搜索該程序名，刪除掉相關鍵值，切換到安全模式下刪除掉相關的程序文件。

5.檢查系統服務

運行services.msc，檢查處于已啟動狀態的服務，查看是否有新加的未知服務并確定服務的用途。對于不清楚的服務打開該服務的屬性，查看該服務所對應的可執行文件是什么，如果確定該文件是系統內的正常使用的文件，可粗略放過。查看是否有其他正常開放服務依存在該服務上，如果有，可以粗略的放過。如果無法確定該執行文件是否是系統內正常文件并且沒有其他正常開放服務依存在該服務上，可暫時停止掉該服務，然后測試下各種應用是否正常。對于一些后門由于采用了hook系統API技術，添加的服務項目在服務管理器中是無法看到的，這時需要打開注冊表中的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices項進行查找，通過查看各服務的名稱、對應的執行文件來確定是否是后門、木馬程序等。

6.查看相關日志

運行eventvwr.msc，粗略檢查系統中的相關日志記錄。在查看時在對應的日志記錄上點右鍵選“屬性”，在“篩選器”中設置一個日志篩選器，只選擇錯誤、警告，查看日志的來源和具體描述信息。對于出現的錯誤如能在服務器常見故障排除中找到解決辦法則依照該辦法處理該問題，如果無解決辦法則記錄下該問題，詳細記錄下事件來源、ID號和具體描述信息，以便找到問題解決的辦法。

7.檢查系統文件

主要檢查系統盤的exe和dll文件，建議系統安裝完畢之后用dir *.exe /s >1.txt將C盤所有的exe文件列表保存下來，然后每次檢查的時候再用該命令生成一份當時的列表，用fc比較兩個文件，同樣如此針對dll文件做相關檢查。需要注意的是打補丁或者安裝軟件后重新生成一次原始列表。檢查相關系統文件是否被替換或系統中是否被安裝了木馬后門等惡意程序。必要時可運行一次殺毒程序對系統盤進行一次掃描處理。

8.檢查安全策略是否更改

打開本地連接的屬性，查看“常規”中是否只勾選了“TCP/IP協議”，打開“TCP/IP”協議設置，點“高級”==》“選項”，查看“IP安全機制”是否是設定的IP策略，查看“TCP/IP”篩選允許的端口有沒有被更改。打開“管理工具”=》“本地安全策略”，查看目前使用的IP安全策略是否發生更改。

9.檢查目錄權限

重點查看系統目錄和重要的應用程序權限是否被更改。需要查看的目錄有c：；c：winnt；

C：winntsystem32；c：winntsystem32inetsrv；c：winntsystem32inetsrvdata；c：documents and

Settings；然后再檢查serv-u安裝目錄，查看這些目錄的權限是否做過變動。檢查system32下的一些重要文件是否更改過權限，包括：cmd，net，ftp，tftp，cacls等文件。

10.檢查啟動項

主要檢查當前的開機自啟動程序。可以使用AReporter來檢查開機自啟動的程序。

二、發現入侵時的應對措施

對于即時發現的入侵事件，以下情況針對系統已遭受到破壞情況下的處理，系統未遭受到破壞或暫時無法察覺到破壞先按照上述的檢查步驟檢查一遍后再酌情考慮以下措施。系統遭受到破壞后應立即采取以下措施：

數據備份和數據恢復

數據備份工作大致如下：

1. 每月備份一次系統數據。

2. 備份系統后的兩周單獨備份一次應用程序數據，主要包括IIS、serv-u、數據庫等數據。

3. 確保備份數據的安全，并分類放置這些數據備份。因基本上采用的都是全備份方法，對于數據的保留周期可以只保留該次備份和上次備份數據兩份即可。

數據恢復工作：

1.系統崩潰或遇到其他不可恢復系統正常狀態情況時，先對上次系統備份后發生的一些更改事件如應用程序、安全策略等的設置做好備份，恢復完系統后再恢復這些更改。

2.應用程序等出錯采用最近一次的備份數據恢復相關內容。

服務器性能優化

1 服務器性能優化

系統性能優化

整理系統空間：

刪除系統備份文件，刪除驅動備份。

視情況嚴重決定處理的方式，是通過遠程處理還是通過實地處理。如情況嚴重建議采用實地處理。如采用實地處理，在發現入侵的第一時間通知機房關閉服務器，待處理人員趕到機房時斷開網線，再進入系統進行檢查。如采用遠程處理，如情況嚴重第一時間停止所有應用服務，更改IP策略為只允許遠程管理端口進行連接然后重新啟動服務器，重新啟動之后再遠程連接上去進行處理，重啟前先用AReporter檢查開機自啟動的程序。然后再進行安全檢查。

以下處理措施針對用戶站點被入侵但未危及系統的情況，如果用戶要求加強自己站點的安全性，可按如下方式加固用戶站點的安全：

站點根目錄――只給administrator讀取權限，權限繼承下去。

wwwroot ――給web用戶讀取、寫入權限。高級里面有刪除子文件夾和文件權限

logfiles――給system寫入權限。

database――給web用戶讀取、寫入權限。高級里面沒有刪除子文件夾和文件權限

如需要進一步修改，可針對用戶站點的特性對于普通文件存放目錄如html、js、圖片文件夾只給讀取權限，對asp等腳本文件給予上表中的權限。另外查看該用戶站點對應的安全日志，找出漏洞原因，協助用戶修補程序漏洞。