目 录
1 前言 3
2 网络安全 3
3 系统安全 3
4 WEB服务安全 4
4.1 IIS安全配置 4
4.2备份 4
5 MSSQL数据库安全 4
5.1使用安全的密码策略 5
5.2使用安全的帐号策略。 5
5.3加强数据库日志的记录 5
5.4管理扩展存储过程 6
5.5使用协议加密 6
5.6不要让人随便探测到TCP/IP端口 6
5.7拒绝来自1434端口的探测 7
5.8对网络连接进行IP限制 7
5.9备份 7
6 ASP代码安全 7
7 Serv-U安全 7
8 小结 8

1 前言
　　在这混的久了收获很多，感觉不发点东西就对不起这里的兄弟姐妹，因此就把我对Windows系统配置的一点经验共享一下．希望对初学者有点帮助！^_^　

Windows 系统整合要根据不同平台进行不同的安全配置，甚至由于版本的不同安全配置也会有很大的差别。这里的整合的平台：Windows Server+IIS+ASP+MSSQL2K+ServU，可以说这个是目前Windows整合典型配置。

2 网络安全
网络安全主要考虑的是防火墙的配置，设定严格的访问的控制列表，以及根据服务器的需要对外网开放端口的控制。在不考虑防火墙对网络性能的影响下一般建议用端口NAT功能或地址映射功能对服务器地址进行转换。这样的好处是服务器的地址不暴露在外面，外网的攻击无法直接攻击在服务器上。但是缺点是对网络性能影响相对于透明模式影响比较大。如果是ＩＤＣ机房的话还是用透明模式比较好，对网络的影响比较小。
如果服务器不多又出于成本考虑的话，可以把路由器配置成防火墙，通过配置路由器可以实现70%防火墙的功能。或者在Win2K 里把的自带防火墙配起来。可能有人要问Win2K那里自带了防火墙又不是Windows 2003 Server,其实Win2K也带防火墙的只是系统本身没有提供好用的配置界面而已,甚至在某些抵御攻击方面超过了著名Linux自带防火墙iptables。

3 系统安全
WINDOWS的系统安全是出了名的难做，这是由于微软的操作系统在市场的占由率大,使用的人多导致他的安全问题暴露的比较快导致的。所以首先一定在装好的系统上把补丁打全，关闭所有的除了服务需要以外的端口。
处以上这些还要做下列操作才能增加服务器的安全性。
1). 对磁盘和文件权限进行重新设置。
2). 加密文件或文件夹：为了防别人偷看系统中的文件，这里可以利用Win2000系统提供的加密工具，来保护文件和文件夹。其具体操作步骤是，在“Win 资源管理器”中，用鼠标右键单击想要加密的文件或文件夹，然后单击“属性”。单击“常规”选项卡上的“高级”，然后选定“加密内容以保证数据安全”复选框。
3). 配置超强口令，隐藏上次登录用户名：给所有用户帐号一个复杂的口令，长度最少在8位以上， 且必须同时包含字母、数字、特殊字符。同时不要使用大家熟悉的单词（如Microsoft）、熟悉的键盘顺序（如qwert）、熟悉的数字（如2000）等。
4). 口令必须定期更改（建议两周改一次），系统操作完备一定要锁定服务器。
5). 配置WINDOWS的安全审核策略
6). 起用自动补丁更新服务，让系统自动更新安全补丁。
7). 配置WINDOWS的端口过滤服务,禁止不需要的端口。
8). 如非服务需要一定删除所有的网络共享资源：卸载“Microsoft 网络的文件和打印机共享”。
9). 安装杀毒软件，并经常更新病毒码库。

4 WEB服务安全
WEB服务安全这里指IIS+ASP服务器的安全配置。

4.1 IIS安全配置
由于IIS 安全问题比较多，因此要很严格配置的安全策略。
1). 关闭并删除默认站点：删除FTP 服务、删除默认的WEB站点、删除默认的WEB管理、如非必要建议删除SMTP 服务，防止外网利用服务器做邮件中继，并禁用或删除所有示例程序、删除IISADMPWD虚拟目录。
2). 建立自己的站点，与系统不在一个分区如D:wwwroot3． 建立 E:Logfiles 目录，以后建立站点时的日志文件均位于此目录，确保此目录上的访问控制权限是： Administrators（完全控制）System（完全控制）。
3). 删除不必要的IIS映射和扩展： IIS 被预先配置为支持常用的文件名扩展如 .asp 和 .shtm 文件。IIS 接收到这些类型的文件请求时，该调用由 DLL 处理。如果您不使用其中的某些扩展或功能，则应删除该映射，步骤如下:打开 Internet 服 务管理器选择计算机名，点鼠标右键，选择属性：然后选择编辑然后选择主目录， 点击配置选择扩展名 .htw,.htr,.idc,.ida,.idq和.printer，点击删除如果不使用server side include，则删除.shtm .stm 和 .shtml。
4). 为虚拟目录设置正确的访问控制列表。
5). 为IIS日志文件设置正确的访问控制列表。
6). 启用日志：客户、IP地址、用户名、方式、URI资源、HTTP状态、Win32状态、用户代理、 服务器IP地址 、服务器端口。

4.2 备份
如果有页面更新的话因应该及时备份，要求备份的介质应与服务器分开放，决对禁止直接备份在服务器上。

5 MSSQL数据库安全
微软的SQL Server是一种广泛使用的数据库，很多电子商务网站、企业内部信息化平台等都是基于SQL Server上的，但是数据库的安全性还没有被人们更系统的安全性等同起来，多数管理员认为只要把网络和操作系统的安全搞好了，那么所有的应用程序也就安全了。大多数系统管理员对数据库不熟悉而数据库管理员有对安全问题关心太少，而且一些安全公司也忽略数据库安全，这就使数据库的安全问题更加严峻了。数据库系统中存在的安全漏洞和不当的配置通常会造成严重的后果，而且都难以发现。数据库应用程序通常同操作系统的最高管理员密切相关。应用广泛的SQL Server数据库又是属于“端口”型的数据库，这就表示任何人都能够用分析工具试图连接到数据库上，从而绕过操作系统的安全机制，进而闯入系统、破坏和窃取数据资料，甚至破坏整个系统。
因此在SQL2000 SP3 补丁打过的前提进行下列SQL Server的安全配置。

5.1 使用安全的密码策略
必须把密码策略摆在所有安全配置的第一步，请注意，很多数据库帐号的密码过于简单，这跟系统密码过于简单是一个道理。对于sa更应该注意，同时不要让sa帐号的密码写于应用程序或者脚本中。健壮的密码是安全的第一步！
SQL Server2000安装的时候，如果是使用混合模式，那么就需要输入sa的密码，除非你确认必须使用空密码。这比以前的版本有所改进。
同时养成定期修改密码的好习惯。数据库管理员应该定期查看是否有不符合密码要求的帐号。比如使用下面的SQL语句：
Use master
Select name,Password from syslogins where password is null