安全策略

IIS网站的Web目录位于“D:\wwwroot”下，在该Web目录下的“DATA”文件夹中存放着“1rtj0ma27xi.mdb”，现在笔者将该数据库文件转移到Web目录以外的“D:\CPCW”文件夹下。然后修改数据库连接文件，将“DBPath=Server.MapPath("./data/1rtj0ma27xi.mdb")”修改为“DBPath=Server.MapPath("../cpcw/1rtj0ma27xi.mdb")”，这样Access数据库文件就安全多了。虽然数据库文件没有存放在Web目录中，但并不影响ASP程序访问数据库。

假如你在检查日志文件时，发现了一个用户从你未知的主机登录，而且你确定此用户在这台主机上没有账号，此时你可能正被攻击。首先你要马上锁住此账号 (在口令文件或shadow文件中，此用户的口令前加一个Ib或其他的字符)。若攻击者已经连接到系统，你应马上断开主机与网络的物理连接。如有可能，你 还要进一步查看此用户的历史记录，查看其他用户是否也被假冒，攻击音是否拥有根权限。杀掉此用户的所有进程并把此主机的ip地址掩码加到文件 hosts.deny中。

受限分区中是你不能信任的站点。很多人认为如果一个站点在受限分区的话，IE将禁止用户登陆它。其实并不是这样。受限分区不会阻止用户登陆在分区中站点，它仅仅是把一些你认为的恶意站点作标记。

虽然有这样或那样的缺点，但Vista还是在不少领域占领了一些市场。对于安装了这种操作系统的用户来说，想方设法保障其安全也就成为其义不容辞的责任。

　为了让电脑经常处于最佳状态，把所有的省电模式关掉，在控制面板-电源使用方案中选择“演示”方案，从不关闭监视器、硬盘或进行系统待机。

与Windows和其他应用程序捆绑在一起的有许多服务。在数据库服务器上运行额外的不需要的服务会带来数据库中的额外的漏洞。服务器应该只用于SQL Server。这就可以只运行Windows需要的最少的服务，还有SQL Server需要的服务。当安全警告发布之后，可以读取的范围就应该被限制，所以你就不会感到被迫阅读所有的内容，或者，更糟糕的是，忽略所有内容。

随后在新规则属性对话框中，选新IP筛选器列表，激活后点筛选器操作选项，将使用添加向导左边钩去掉，添加阻止操作，在新筛选器操作属性的安全措施选项里选阻止，确定即可回到新IP安全策略属性”对话框，在新的IP筛选器列表左边打钩，确定。在本地安全策略窗口中右击鼠标指派刚才建立的IP安全策略即可。

因为防火墙具有数据过滤功能，可以有效的过滤掉恶意代码，和阻止DDOS攻击等等。总之如今的防火墙功能强大，连漏洞扫描都有，所以你只要安装防火墙就可以杜绝大多数网络攻击，但是就算是装防火墙也不要以为就万事无忧。因为安全只是相对的，如果哪个邪派高手看上你的机器，防火墙也无济于事。我们只能尽量提高我们的安全系数，尽量把损失减少到最小。

WIN2000 SERVER是比较流行的服务器操作系统之一，但是要想安全的配置微软的这个操作系统，却不是一件容易的事。本文搜集整理了58条针对WIN2000 SERVER进行安全配置的注意事项或技巧。

当谈到配置一台新的Cisco路由器，多数配置依赖于路由器的类型以及它将服务的用途。然而，有一些东西是你在每台新的Cisco路由器上都应该配置的。

你的用户可能下载并安装IM, P2P和其它你支持或威胁的应用软件，所以首先准备好通过帐户阻止软件，发出尽量少的特权(想一想Windows Vista 的新特点)，同时定期扫描系统寻找这些软件。或者将一小部分你可以管理的应用程序标准化。无论如何用户总是要安装应用软件，所以后者似乎更简单。

许多IT经理都开始着手将他们的虚拟服务器进行分离，并设置在企业级防火墙的保护下。Transplace公司IT架构总监Scott Engle认为，有价值的东西都在防火墙保护下，那些在DMZ中运行的虚拟机应用包括DNS等服务。

配置syslog server,将日志信息发送到syslog server上Syslog Server纪录Router的平时运行产生的一些事件，如广域口的up, down, OSPF Neighbour的建立或断开等，它对统计Router的运行状态、流量的一些状态，电信链路的稳定有非常重要的意义，用以指导对网络的改进。

端口限制通常是网络管理的基本手段之一，具体端口的开放与关闭，需要根据实际情况来考虑。关闭端口操作：本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上，然后添加你需要的端口

审核数据库登录事件的“失败和成功”，在实例属性中选择“安全性”，将其中的审核级别选定为全部，这样在数据库系统和操作系统日志里面，就详细记录了所有帐号的登录事件。

启用服务器信息块(Server Message Block， SMB)安全签名，如果有必要就要求安全签名。启用这一选项，对所有文件和打印任务进行数字签名是防止中间人攻击(Man-in-the-middle-attacks，简称:MITM攻击)的有用方法。你可以启用签名，Windows Server 2003会在通信中使用，但是如果Windows Server 2003在与老用户(Windows 2000之前的操作系统)进行通信那么默认情况下是无签名通信。

其中的主机名在一般情况下由安装程序自动从环境中提取，通常不需要改动。但是，如果用户配置的是远程服务器的话，此处应该修改为相应的服务器地址。第二项的端口号用户可以自由选择，通常选择在1024以上。同样，如果是配置远程服务器，端口号应该修改为正确的端口地址。这2个参数会记录在/opt/sybase/interfaces文件中，也就是说在配置完成后，用户也可以手工修改该文件来重新改变连机端口的参数。

你可以使用scwcmd查看命令显示原始的XML结果文件。这个文件是向导使用XML转换文件生成的，很容易阅读。目录是: %windir%\security\msscw\transformfiles contains .xsl transform files。这个目录适用于.xml规则文件的显示过程。要查看这个规则文件，使用如下句法:scwcmd view /x:policyfile.xml /s:policyview.xsl

VPN的安全威胁就来自这条线路之外，即Internet。那如何来加固VPN，使它免受来自外部的攻击呢?为VPN服务器配置PPTP数据包筛选器，是个比较有效的办法。其原则是，赋予接入VPN的客户端最少特权，并且丢弃除明确允许的数据包以外的其它所有数据包。

随着国际互连网的发展，一些企业建立了自己的INTRANET，并通过专线与INTERNET连通。为了保证企业内部网的安全，防止非法入侵，需要使用专用的防火墙计算机。路由器防火墙只能作为过滤器，并不能把内部网络结构从入侵者眼前隐藏起来。只要允许外部网络上的计算机直接访问内部网络上的计算机，就存在着攻击者可以损害内部局域网上机器的安全性，并从那里攻击其他计算机的可能性。