基于网吧数据库的安全要求,pubwin 2007的服务器和收费机必须分开,200台以上的网吧CPU不低于C2.4或ADM3200+ 内存不低于1G。
关闭不安全的服务
第一步只是屏蔽了其它机器连接数据库的端口,但是操作系统本身还存在一些漏洞,这些漏洞同样会导致数据库不安全。可以运行services.msc进入本地服务管理,禁用WMI(Windows Management Instrumentation)和Server服务(屏蔽WMI和IPC共享漏洞),但是有些网吧需要用到Server服务的部分功能,所以对于Server服务,可以使用以下两种较为灵活的方法来屏蔽:
1)批处理自启动法:
打开记事本,输入以下内容(记得每行最后要回车):
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete
net share e$ /delete
……(你有几个硬盘分区就写几行这样的命令)
保存为NotShare.bat(注意后缀!),然后把这个批处理文件拖到“程序”→“启动”项,这样每次开机就会运行它,也就是通过net命令关闭共享。
如果哪一天你需要开启某个或某些共享,只要重新编辑这个批处理文件即可(把相应的那个命令行删掉)。
2)注册表改键值法
“开始”→“运行”输入“regedit”确定后,打开注册表编辑器,找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters”项,双击右侧窗口中的“AutoShareServer”项将键值由1改为0,这样就能关闭硬盘各分区的共享。如果没有AutoShareServer项,可自己新建一个再改键值。然后还是在这一窗口下再找到“AutoShareWks”项,也把键值由1改为0,关闭admin$共享。最后到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa”项处找到“restrictanonymous”,将键值设为1,关闭IPC$共享。
使用pubwin 自带安全工具,屏蔽1433远程联接端口。
1、服务器系统补丁打全,目前有人通过 WINDOWS 自身所存在的漏洞来达到完全控制服务器造成服务
数据库被人修改。所以一定要让操作系统自动更新到最新。
2、运行PUBWIN 2007自带的“服务器安全设置工具”
注意:在运行前确保服务中“IPSEC Services”服务是正常运行的。如果此服务不运行或者被禁用那
么安全工具是无法发挥作用的。
注意:
修改数据库密码后需要立即重新启动服务器
如果网吧修改密码后又重新安装过服务器则密码又恢复为初始密码,所以需要重新修改密码以保证安全.
4、检查是否屏蔽成功,到客户机上使用telnet 命令来检查是否可以连接到服务器1433 端口。命令:“telnet
服务器IP 1433”返回结果为:Connect failed表示无法连接上,这样就无法通过1433来连接数据库了。
本文来源:bbs.txwb.com 作者:佚名