一、屏蔽1433端口(以win2000为例):
设置安全策略:
“控制面板”—〉“管理工具”—〉“本地安全策略”
选择IP安全策略—〉创建IP安全策略—〉建立名称—〉“激活默认响应规则”下一步—〉初始身份验证方法选择“win2000默认(V5)”—〉弹出的警告界面直接确认—〉完成建立安全策略。
选择你新建的策略—〉属性—〉添加—〉选择“此规则不指定隧道” —〉网络类型选择“所有网络连接”—〉身份验证方法“win2000默认(V5)” —〉弹出的警告界面直接确认—〉“所有IP通讯”—〉筛选器选择“要求安全设置”—〉继续下一步完成选中“所有 IP 通讯”—〉点“编辑”按钮,打开“IP筛选器列表”—〉继续点“编辑”按钮,打开“筛选器 属性” —〉在“寻址”中,源地址选择“任何IP地址”,目的地址选择“我的IP地址”,同时选中“镜像”—〉在“协议”中,协议选择“TCP”,设置协议端口为“从任意端口”到“到此端口:1433” —〉确定,为了安全起见,最好再新建一个IP筛选器屏蔽1434端口。
完成上面配置后,在刚配置的策略点击右键,选择指派,完成后重新启动机器。
如何验证数据库的1433已经不能连接?
1) 局域网内找一个机器(非本机)安装企业管理,添加注册刚刚配制过安全策略的服务器,应该是那个等待注册的画面,状态中显示:“正在验证注册信息”或拒绝连接或服务未开启的提示。
2)局域网内找一个机器(非本机),在dos控制台下,输入telnet EP服务器IP 1433 如果安全策略应用成功的话,应该不能够连接,会出现如下的话:正在连接到xxxxxxx...无法打开到主机的连接 在端口 1433 : 连接失败。如果应用安全策略失败,则能够连接成功。
二、关闭不安全的服务
第一步只是屏蔽了其它机器连接数据库的端口,但是操作系统本身还存在一些漏洞,这些漏洞同样会导致数据库不安全。可以运行services.msc进入本地服务管理,禁用WMI和Server服务(屏蔽WMI和IPC共享漏洞),但是有些网吧需要用到Server服务的部分功能,所以对于Server服务,可以使用以下两种较为灵活的方法来屏蔽:
1)批处理自启动法:
打开记事本,输入以下内容(记得每行最后要回车):
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete
net share e$ /delete
……(你有几个硬盘分区就写几行这样的命令)
保存为NotShare.bat(注意后缀!),然后把这个批处理文件拖到“程序”→“启动”项,这样每次开机就会运行它,也就是通过net命令关闭共享。
如果哪一天你需要开启某个或某些共享,只要重新编辑这个批处理文件即可(把相应的那个命令行删掉)。
2)注册表改键值法
“开始”→“运行”输入“regedit”确定后,打开注册表编辑器,找到
以下是引用片段:“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters”
项,双击右侧窗口中的“AutoShareServer”项将键值由1改为0,这样就能关闭硬盘各分区的共享。如果没有AutoShareServer项,可自己新建一个再改键值。然后还是在这一窗口下再找到“AutoShareWks”项,也把键值由1改为0,关闭admin$共享。最后到
“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa”项处找到“restrictanonymous”,将键值设为1,关闭IPC$共享。 |