■齐建军

保障web站点的安全经验

■齐建军

以下是笔者的一些经验，希望对你有用，但你要知道，绝对的安全是没有的。这才是一个网管存在的理由。所以，未雨绸缪是件好事，但亡羊补牢也不是下策。

1.多看看ms的安全公告，这是首选。订阅安全技术杂志。（MS免费的！）如果是正版的nt，则会有最新的安全E-mail。保证及时更新。

2.多大补丁，一定要注意顺序，如果安装了系统软件，则还要重补。（如后面加上了smtp服务，则还要重补sp1等等，否则可能导致旧文件不会被覆盖）。

3.提高安全策略，也可以用微软的安全模板。有一些很好的自动模板。可以根据需要自动加上。

4.加大审核力度，审核权限比较大的操作。

5.密码按时更改。必须符合策略。

6.常上一些安全论坛。如：绿盟科技，妖狐站点。

7.账号的级别一定要多分一些，如果可一实现功能，就不要给更大权限。

8.去掉多余的服务。如ftp，smtp,nntp,telnet）多余的脚本，例子。如IIS中好多的脚本库，都可以不要。

9.去掉一些危险的命令。不要共享c盘。

10.常看看日志，事件。

11.不要安装html的远端管理。

12.最好安装一些黑客工具，模拟攻击。看看是否出了问题。

13.安装端口扫描工具。看看是否有些不用的开放端口。

14.安装一些防止木马的工具，去除一些隐藏在端口的sniffer，防止密码数据被截获。

15.远程管理时最好调试端管理。密码加密策略高一些。防止被截获。

16.用注册表修改掉某些选项。如自动显示最后一个登录着的姓名。

17.改掉administrator的缺省姓名。这样可以多一级保护！

18.密码策略。

19.密码的安全策略。多少位的密码是安全的。这个很怪。按照ms的加密算法。只有14位以上的密码是可能安全的。但实际上很少有人能记住那么多位的密码。但14位一下。7位密码比较安全。（很怪吧。）微软工程师说有时7位比10位还要保险。呵呵，具体原因说起来比较复杂。我是给我老弟讲课的。省略吧。

20.建议密码有字母、数字、大小写组成。最好加上一些如！·#￥%（）等的字符，也很难被猜到。

21.用户名改掉缺省的admini.....后，可以建一个14位长的管理员名。可以全部用字母。这样就加大了一级保护。

22.asp如果能用dsn，就不要用连接字符串。并采取包含文件的模式包含进来。