1、VPN设置VPN设置一 服务器设置1安装操作系统Windows20032VPN服务器设置(1)开始菜单-设置面板-管理工具-路由和远程访问(2)右键点击“服务器状态”,在弹出菜单中选中“添加服务器”,选中“这台计算机”,确定(3)生成服务器“机器名(本地)”,右键点击在弹出菜单中选中“配置并启用路由和远程访问”在出现的向导中选择“自定义配置”下一步-选中“VPN访问”下一步-完成-开始服务(4)生成服务器“机器名(本地)”,右键点击在弹出菜单中选中“属性”“IP”插页选中“启用IP路由”“允许基于IP的远程访问和请求拨号连接”“静态地址池”,点击“添加”,如果你有十个用户,设置起始IP地址“1
2、92.168.0.0”,结束IP地址“192.168.0.10”服务器自动占用第一个地址,剩下的静态分配给用户3用户设置(1)开始菜单-设置面板-管理工具-计算机管理-本地用户和组-用户(2)右键菜单选中“新用户”,录入用户名、密码(3)右键点击在弹出菜单中选中“属性”“拨入”插页选中“允许访问”“分配静态IP地址”,从“192.168.0.1”开始分配二客户端设置(1)打开 “网络连接”点击 “创建一个新的连接” (2)点击 “下一步” (3)选择 “连接到我的工作场所的网络” 点击“下一步” (4)选择 “虚拟专用网络连接” 点击 “下一步” (5)填写 “连接地点名字”点击 “下一步”
3、(6)选择 “不拨初始连接” (7)输入 “vpn服务器的名称或者服务器的ip地址” (8)选择 “不使用我的智能卡” (9)勾选 “创建桌面快捷方式”点击 “完成” (10)双击桌面上刚建的快捷方式,在软件界面属性里选择连接属性,再选择安全选项把要求加密那个勾去掉就可以了 (11)再回到软件主界面填写“用户名 密码”点击 “连接”三 注意事项拨入页错误-未能加载此用户的拨入属性,原因:工作站服务没有启动2007-08-06 13:29开始菜单-控制面板-服务-找到Workstation 启动他就ok了有备而来 让系统VPN连接顺风顺水详细出处参考:SQL Server安全优化攻略作者:微软的
4、 是一种广泛使用的数据库,很多电子商务网站、企业内部信息化平台等都是基于 上的,多数管理员认为只要把网络和操作系统的安全搞好了,那么所有的应用程序也就安全了。相信大家还记得去年年初发作的 病毒吧,当时这个病毒利用 的一个漏洞使全球所有网络瘫痪小时,如果当时大家都做好了安全优化,相信这一幕不会出现。 我非常希望把在 方面的一些安全优化经验写出来和大家分享,希望大家都能使自己管理的 更加安全。接下来我以大家普遍使用的 为例给大家说明怎么样才能把 系统优化得更加安全。 SQL Server安全补丁 第一个要注意的地方就是常打补丁,因为只有把漏洞都给补上了,SQL Server系统才能更安全。SQL
5、Server 2000目前最新的补丁是Microsoft SQL Server 2000 Service Pack 3a, 下载地址: SQL Server 7.0 Service Pack 4 下载地址: 升级时要注意的一些问题: 1. 升级补丁之前最后先备份SQL Server里面的数据,如果升级失败造成数据丢失,可以非常方便地恢复数据库里面的数据,当然这种情况一般都非常少见。 2. 升级之前断开所有账户的数据库连接,最好是重启动服务器,断掉网络,不要有账户连接在数据库上面,但SQL Server 2000的服务不能停止,不然不能升级。 3. 升级的时候最好以超级用户登录,安装的时候有一个
6、验证权限的地方,可以使用操作系统账户的方式进行验证或者使用SQL Server 2000的SA账户验证,只有通过验证权限后才能正常安装。 Windows安全策略 分析 默认情况下,SQL Server 2000使用1433端口监听,很多朋友都说SQL Server配置的时候要把这个端口改掉,这样黑客就不能很容易地知道使用什么端口了。不过通过微软未公开的1434端口的UDP探测可以很容易知道SQL Server使用的TCP/IP端口,而且这些端口对外开放很容易受到DoS攻击,而且如果SQL Server 2000有新的远程溢出的漏洞后,产生的后果更加严重。 解决 不过Windows的安全策略可以
7、帮我们这个忙,利用Windows安全策略可以定制这两个端口的访问权限。思路是这样的,UDP的1434端口完全可以不让其他电脑来访问,所以我们要把外部向这个端口的通讯全部禁掉。TCP的1433一般情况都要打开的,因为一般情况都是应用程序和后台数据库分开存放在两台服务器上面的,所以数据库服务器上面没有跑应用程序,一般都是通过网络进行通讯的,但是需要和数据库服务器进行通讯的应用程序服务器都有自己固定的IP,所以我们可以设定只有指定的IP能够和数据库服务器的TCP 1433端口进行通讯。 操作 第一步,首先在数据库服务器上面,打开“管理工具”中的“本地安全策略”,在“IP安全策略”选项上点击鼠标右键(
8、如图1)。 选择“创建IP安全策略”,会弹出向导窗口,单击“下一步”,在弹出的窗口中,输入此策略的名称,比如这里我们键入“Security”再单击下一步,以后全部默认下一步,其中有一个警告,单击“是”即可这样就完成新策略“Security”的添加。 第二步,在“IP安全策略”选项上点击鼠标右键,回到图1界面,选择“管理IP筛选器表和筛选器操作”,弹出“管理IP筛选器表和筛选器操作”窗口(如图2)。 接下来先要做的操作是建立一个筛选器规则“udp 1434”: (1)单击“添加”,弹出窗口,在筛选器名称里填入“udp 1434”; (2)再单击右边的“添加”,会弹出向导窗口,单击“下一步”,会出
9、现源地址选项,在这里我们选择“任何IP地址”; (3)单击下一步,在目的地址中选择“我的IP地址”,再单击“下一步”,选择IP协议,这里我们选择UDP; (4)单击“下一步”,会出现端口选择窗口,在“到此端口”项下面输入1434,点下一步最后点完成(如图3)。最后点“关闭”按钮完成这条规则的设置,此时这条规则就会出现在“图2”中。 第三步,添加其他规则,使用第二步中的添加“udp 1434”规则的方法添加一条名为“tcp 1433 all”的规则。这一条规则的内容是“所有IP联接到本机的TCP 1433端口”,大部分设置和第二步一样,只是规则名称那儿设置成“tcp 1433 all”,选择IP
10、协议那儿选择“TCP”协议,“到此端口”项要设置的不是1434而是1433(如图4)。 接下来再次使用添加“tcp 1433 all”规则的方法添加另一条规则“tcp 1433 ok01”,这一条规则的内容是“应用程序服务器IP222.222.222.222连接到本机的TCP 1433端口”(假设应用程序服务器的IP地址为222.222.222.222),设置的方法和“tcp 1433 all”不同的地方是“源地址选项”那儿设置的是应用程序服务器的IP地址(如图5)。 通过如上操作完成三条规则的设置,这些规则名称会出现在“IP筛选器列表”中(如图6)。 第四步,添加规则操作方法,在“管理IP筛
11、选器表和筛选器操作”窗口(如图6),单击“管理筛选器操作”标签栏(如图7)。 (1)建立第一种操作方法,阻止通讯:单击“添加”,会弹出筛选器操作向导,单击“下一步”,取名为“kill”,单击“下一步”,在选择操作页面中选择“阻止”,单击“下一步”,此操作方法建立完成。 (2)建立第二种操作方法,许可通讯,在管理筛选器操作窗口(如图7),单击“添加”,会弹出筛选器操作向导,单击“下一步”,取名为“run”,单击下一步,在选择操作页面中选择“许可”,单击“下一步”,此操作方法建立完成(如图8)。 第五步,配置每条规则的操作方法。在“本地安全策略”窗口中,双击我们刚刚建立的“Security”策略,
12、弹出Security策略属性窗口(如图9)。 然后单击“添加”按钮弹出向导,单击“下一步”,一直单击“下一步”,其中会弹出一个警告选择“是”,直到这里(如图10)。 选“tcp 1433 all”点“下一步”,到了筛选器操作窗口,选kill,点“下一步”,最后点“完成”,这条规则的意思是阻止所有外部和本机的TCP 1433端口进行通讯。 接下来设置第二条规则操作方法,在策略属性窗口重复以上操作到“IP筛选器列表”窗口(如图10),这次选“tcp 1433 ok01”,点“下一步”,到了筛选器操作窗口,选run,点“下一步”,最后点完成,这条规则的意思是准许应用程序服务器IP:222.222.2
13、22.222可以和本机的TCP 1433端口进行通讯。 接下来设置第三条规则操作方法,在策略属性窗口重复以上操作到“IP筛选器列表”窗口(如图10),这次选“udp 1433”,点“下一步”,到了筛选器操作窗口,选kill,点“下一步”,最后点“完成”,这条规则的意思是阻止所有外部和本机的UDP 1434端口进行通讯。 全部设置完成后Security策略窗口中出现了刚才建立的三条安全规则(如图11)。 第六步,在“本地安全策略”窗口中的“Security”策略上面点鼠标右键,点击“指派”项完成整个安全策略配置,通过如上操作达到了我们要的效果(如图12)。 SQL Server账号策略 分析 S
14、QL Server 2000在互联网上一般都是和ASP程序相配合,写ASP程序的时候如果不小心就会存在SQL注入的危险,如果存在SQL注入的问题,产生的危害可想而知,黑客可以通过你的ASP程序注入自己想要的任何SQL代码,结果是可以清空你的数据库,有些情况下面可以在你的服务器上面运行指定的命令等。 解决 要解决SQL注入的问题不是那么容易的,但是我们可以通过设置SQL Server账号的权限来把危害降到最低。思路是这样的,如新闻系统,客户端在IE里面只是游览新闻,而不需要对新闻进行修改等操作,所以我们可以把前台浏览和后台更新的程序使用的SQL Server账号分开。前台浏览程序使用一个只有读取
15、权限的SQL Server账号来游览新闻,后台更新程序使用一个完全权限的SQL Server账号来对数据库进行操作。这样做后客户端浏览的时候使用的SQL Server账号没有写入等权限,所以就算出现SQL注入的问题,他也拿您的数据库没有办法,后台更新程序就算有这个问题也没有太多关系,因为后台都是内部使用,有很多限制,如限制进入IP或者根本没有在外网提供服务等,相对安全级别提高很多。 操作 建立SQL Server账号非常简单我就不做详细介绍了,只把权限设置讲一下,前台游览程序SQL Server账号和后台更新程序的SQL Server账号惟一不同的地方是前台SQL Server账号只给指定数据
16、库的public权限,后台SQL Server账号要给public和db_owner两种权限(如图13)。 SQL Server配置优化 分析 SQL Server 2000中有很多扩展存储过程,扩展存储过程的权限要慎重。因为有些系统的存储过程能很容易地被人利用起来提升权限或进行破坏,特别在产生SQL注入后危害更大,最严重的是黑客可以利用扩展存储过程得到整个服务器的控制权限。 解决 其实在多数应用中根本用不到多少系统的存储过程,而SQL Server 2000的这么多系统存储过程只是用来适应广大用户的需求,所以我们可以删除用不到的一些存储过程来加固SQL Server 2000的安全。 操作
17、第一步:把最容易出问题的存储过程“xp_cmdshell”去掉,这个存储过程的作用是使用SQL Server运行外部命令,一般情况下面都用不到这个存储过程。启动“SQL 查询分析器”,在里面输入如命令: sp_dropextendedproc xp_cmdshell 点击工具栏中的运行按钮直接这个命令,或者使用快捷键“F5”,这样操作后存储过程“xp_cmdshell”便不能使用了。 第二步:去掉不需要的注册表访问的存储过程,注册表存储过程甚至能够读出操作系统管理员的密码来,操作方法和第一步一样,只是在“SQL 查询分析器”中运行的命令行不同: exec sp_dropextendedproc
18、 Xp_regaddmultistring exec sp_dropextendedproc Xp_regdeletekey exec sp_dropextendedproc Xp_regdeletevalue exec sp_dropextendedproc Xp_regenumvalues exec sp_dropextendedproc Xp_regread exec sp_dropextendedproc Xp_regremovemultistring exec sp_dropextendedproc Xp_regwrite 注意:去掉注册表访问存储过程后,恢复数据库的最后会提示找到了这些存储过程,但是不影响数据库恢复。 总 结 通过如上安全优化后,就算再次出现类似SQL Slammer这样的病毒也对SQL Server数据库的安全没有一点威胁。因为除了应用程序服务器外其它主机根本不能连接到数据库服务器的SQL Server服务端口上面来,所以远程溢出是没有可能了,同时其它我能想到的存在的安全方面的问题也得到了相应的加固,最后希望更加安全可靠的SQL Server 2005能够早日发布。
