感觉身为程序员不能只顾程序安危,还要顾虑服务器安危,而且所代过的公司是没有运维之类的,都是我们程序员自己做,所以要提升自己全面安全知识啊~
先放我自己总结的
--------------------------------------------------------------------------------------
sql2008下为了安全删除提权的文件xplog70.dll,xp_cmdshell和创建只能读写权限的用户
一剪切走数据库下xplog70.dll文件(X:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn)不要彻底删除以防出现问题只是考走就行,删除xp_cmdshell存储过程
二创建用户只允许读写表,不允许创建新表 (节点下Security-logins可创建和管理用户)
1常规 选择强制实施密码策略
2服务器角色 只选public
3用户映射中 点击能使用的表勾选 db_datareader db_datawriter 读写数据库 db_ddladmin执行存储过程的权限 public (db_owner 权限危险能创建删除表)
4在此用户能使用的数据库右键属性(Properties)选择权限 在右侧选择用户 勾选最下边【执行】
三删除xp_cmdshell
USE master
GO
sp_dropextendedproc 'xp_cmdshell '
GO 恢复。
USE master
go
SP_ADDEXTENDEDPROC 'xp_cmdshell', 'XPLOG70.DLL '
四更名系统下net.exe命令 这是提升权限必要命令
五gpedit.msc进入组策略禁止命令提示符和注册表
1 选择用户配置-管理模板-系统 右侧看【防止访问命令提示符】【防止访问注册表编辑工具】 选已启用 在下拉框中也选【是】
2英文版 User Confingguration-Administrative Templates-System 右侧看[Prevent access to the command prompt]-选Enabled,下拉框中选yes(这是禁命令框) 在选择[Prevent access to registry editiing tools]-选Enabled,下拉框中选yes(这是禁注册表)
六数据库禁止windows身份验证登陆
注:单个数据库下选择Security节点Users节点中也可查看管理用户
先放我自己总结的
--------------------------------------------------------------------------------------
sql2008下为了安全删除提权的文件xplog70.dll,xp_cmdshell和创建只能读写权限的用户
一剪切走数据库下xplog70.dll文件(X:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn)不要彻底删除以防出现问题只是考走就行,删除xp_cmdshell存储过程
二创建用户只允许读写表,不允许创建新表 (节点下Security-logins可创建和管理用户)
1常规 选择强制实施密码策略
2服务器角色 只选public
3用户映射中 点击能使用的表勾选 db_datareader db_datawriter 读写数据库 db_ddladmin执行存储过程的权限 public (db_owner 权限危险能创建删除表)
4在此用户能使用的数据库右键属性(Properties)选择权限 在右侧选择用户 勾选最下边【执行】
三删除xp_cmdshell
USE master
GO
sp_dropextendedproc 'xp_cmdshell '
GO 恢复。
USE master
go
SP_ADDEXTENDEDPROC 'xp_cmdshell', 'XPLOG70.DLL '
四更名系统下net.exe命令 这是提升权限必要命令
五gpedit.msc进入组策略禁止命令提示符和注册表
1 选择用户配置-管理模板-系统 右侧看【防止访问命令提示符】【防止访问注册表编辑工具】 选已启用 在下拉框中也选【是】
2英文版 User Confingguration-Administrative Templates-System 右侧看[Prevent access to the command prompt]-选Enabled,下拉框中选yes(这是禁命令框) 在选择[Prevent access to registry editiing tools]-选Enabled,下拉框中选yes(这是禁注册表)
六数据库禁止windows身份验证登陆
注:单个数据库下选择Security节点Users节点中也可查看管理用户
解决方案 »
- MVC问题
- 新手问题,关于Button提交
- 使用vb.net如何实现图文混排???
- 怎样为 DataGrid 里面的 Select 框赋值呢?
- 加密,解密(.net中怎么,更加Key,IV创建DES,RC2....实例去解密)
- 还是treeview的问题,在线等!在贴20分!
- 高分求教:如何在页面中做到象WinForm 中的DatetimePicker样式的控件,用Calendar控件间接做太费劲。
- 请问大家,这个问题用vb.net该怎么实现
- WordApp.Documents.Add( ); 不能返回对象,
- hbuilder 打开ASHX 页面变成了HTML样式的
- 网站发布的问题
- 利用正则表达式获取指定的值
在不乱动的情况下,都一般不会遭受入侵,至少我现在管理的服务器都是这样。最重要的还是自身程序的安全要做好,防止被注入!
注入的话有Js注入和sql注入貌似现在js注入的少了~~
服务器最好配置上404错误页啊,能减少爆的危害