廣州市電子政務(wù)外網(wǎng)系統(tǒng)安全加固

廣州市電子政務(wù)外網(wǎng)

系統(tǒng)平安

加固指南

〔1.0版〕廣州市機(jī)關(guān)信息網(wǎng)絡(luò)中心編制2021年8月 廣州市電子政務(wù)外網(wǎng)系統(tǒng)平安加固指南〔版〕 1Windows系統(tǒng)平安加固 41．補(bǔ)丁更新 41.1到微軟網(wǎng)站下載最新的補(bǔ)丁程序 42．平安加固 4停掉Guest帳號(hào) 4限制不必要的用戶數(shù)量 4創(chuàng)立2個(gè)管理員用帳號(hào) 4把系統(tǒng)administrator帳號(hào)改名 5創(chuàng)立一個(gè)陷阱帳號(hào) 52.7把共享文件的權(quán)限從〞everyone〞組改成“授權(quán)用戶〞 52.8使用平安密碼 52.9設(shè)置屏幕保護(hù)密碼 52.10使用NTFS格式分區(qū) 62.11利用win的平安配置工具來(lái)配置策略 62.12關(guān)閉不必要的效勞 62.13關(guān)閉不必要的端口 72.14翻開審核策略 72.15開啟帳戶策略 82.16不讓系統(tǒng)顯示上次登陸的用戶名 82.17禁止建立空連接 82.18關(guān)閉DirectDraw 82.19關(guān)閉默認(rèn)共享 82.20禁止dumpfile的產(chǎn)生 92.21使用文件加密系統(tǒng)EFS 92鎖住注冊(cè)表 92.23建議安裝urlscan〔或直接安裝IISLockdown〕 102.24關(guān)閉RPCDCOM組件 10TOMCAT系統(tǒng)平安加固 111. Tomcat平安配置 111.1. 根本平安配置 111.2. 多重效勞器的平安防護(hù) 111.3. 配置效勞器默認(rèn)端口 121.4. 關(guān)閉效勞器端口 121.5. 默認(rèn)錯(cuò)誤網(wǎng)頁(yè)設(shè)置 131.6. 配置支持SSL 13配置支持SSL的方法(分別以TEST,TestAdmin兩實(shí)際訪問(wèn)對(duì)象舉例) 13MSSQL系統(tǒng)平安加固 161. 安裝最新平安補(bǔ)丁 161.1. 安裝操作系統(tǒng)提供商發(fā)布的最新的平安補(bǔ)丁 162. 網(wǎng)絡(luò)和系統(tǒng)效勞 172.1. 檢查系統(tǒng)文件是裝置在NTFS分區(qū) 172.2. 默認(rèn)用戶狀態(tài)及口令更改情況 172.3. 停用不必要的存儲(chǔ)過(guò)程 172.4. 錯(cuò)誤日志管理 192.5. 拒絕來(lái)自1434端口的探測(cè) 192.6. 對(duì)網(wǎng)絡(luò)連接進(jìn)行IP限制 19Windows系統(tǒng)平安加固1．補(bǔ)丁更新1.1到微軟網(wǎng)站下載最新的補(bǔ)丁程序2．平安加固2.2停掉Guest帳號(hào)在計(jì)算機(jī)管理的用戶里面把guest帳號(hào)停用掉，任何時(shí)候都不允許guest帳號(hào)登陸系統(tǒng)。為了保險(xiǎn)起見(jiàn)，最好給guest加一個(gè)復(fù)雜的密碼，你可以翻開記事本，在里面輸入一串包含特殊字符,數(shù)字，字母的長(zhǎng)字符串，然后把它作為guest帳號(hào)的密碼拷進(jìn)去?！瞱indows03的guest帳號(hào)一般情況不可刪除，會(huì)影響應(yīng)用〕2.3限制不必要的用戶數(shù)量去掉所有的duplicateuser帳戶,測(cè)試用帳戶,共享帳號(hào)，普通部門帳號(hào)等等。用戶組策略設(shè)置相應(yīng)權(quán)限，并且經(jīng)常檢查系統(tǒng)的帳戶，刪除已經(jīng)不在使用的帳戶。這些帳戶很多時(shí)候都是黑客們?nèi)肭窒到y(tǒng)的突破口，系統(tǒng)的帳戶越多，黑客們得到合法用戶的權(quán)限可能性一般也就越大。2.4創(chuàng)立2個(gè)管理員用帳號(hào)創(chuàng)立一個(gè)一般權(quán)限帳號(hào)用來(lái)收信以及處理一些日常事物，另一個(gè)擁有Administrators權(quán)限的帳戶只在需要的時(shí)候使用?？梢宰尮芾韱T使用“RunAS〞命令來(lái)執(zhí)行一些需要特權(quán)才能作的一些工作，以方便管理。2.5把系統(tǒng)administrator帳號(hào)改名windows的administrator帳號(hào)是不能被停用的，這意味著別人可以一遍又一邊的嘗試這個(gè)帳戶的密碼。把Administrator帳戶改名可以有效的防止這一點(diǎn)。當(dāng)然，請(qǐng)不要使用Admin之類的名字，改了等于沒(méi)改，盡量把它偽裝成普通用戶，比方改成：guestone。2.6創(chuàng)立一個(gè)陷阱帳號(hào)創(chuàng)立一個(gè)名為〞Administrator〞的本地帳戶，把它的權(quán)限設(shè)置成最低，什么事也干不了的那種，并且加上一個(gè)超過(guò)10位的超級(jí)復(fù)雜密碼。這樣可以讓那些Scripts忙上一段時(shí)間了，并且可以借此發(fā)現(xiàn)它們的入侵企圖。2.7把共享文件的權(quán)限從〞everyone〞組改成“授權(quán)用戶〞“everyone〞在win中意味著任何有權(quán)進(jìn)入你的網(wǎng)絡(luò)的用戶都能夠獲得這些共享資料。任何時(shí)候都不要把共享文件的用戶設(shè)置成〞everyone〞組。包括打印共享，默認(rèn)的屬性就是〞everyone〞組的。2.8使用平安密碼一個(gè)好的密碼對(duì)于一個(gè)網(wǎng)絡(luò)是非常重要的，但是它是最容易被忽略的。一些公司的管理員創(chuàng)立帳號(hào)的時(shí)候往往用公司名，計(jì)算機(jī)名，或者一些別的一猜就到的東西做用戶名，然后又把這些帳戶的密碼設(shè)置得很簡(jiǎn)單，比方“welcome〞，“iloveyou〞或者和用戶名相同等等。這樣的帳戶應(yīng)該要求用戶首此登陸的時(shí)候更改成復(fù)雜的密碼，還要注意經(jīng)常更改密碼。2.9設(shè)置屏幕保護(hù)密碼很簡(jiǎn)單也很有必要，設(shè)置屏幕保護(hù)密碼也是防止內(nèi)部人員破壞效勞器的一個(gè)屏障。2.10使用NTFS格式分區(qū)把效勞器的所有分區(qū)都改成NTFS格式。NTFS文件系統(tǒng)要比FAT,FAT32的文件系統(tǒng)平安得多。1利用win的平安配置工具來(lái)配置策略微軟提供了一套的基于MMC(管理控制臺(tái))平安配置和分析工具，利用他們你可以很方便的配置你的效勞器以滿足你的要求。具體內(nèi)容請(qǐng)參考微軟主頁(yè)：chinfo/howitworks/security/sctoolset.asp2關(guān)閉不必要的效勞windows的TerminalServices〔終端效勞〕，IIS,和RAS都可能給你的系統(tǒng)帶來(lái)平安漏洞。為了能夠在遠(yuǎn)程方便的管理效勞器，很多機(jī)器的終端效勞都是開著的，如果你的也開了，要確認(rèn)你已經(jīng)正確的配置了終端效勞。有些惡意的程序也能以效勞方式悄悄的運(yùn)行。要留意效勞器上面開啟的所有效勞，中期性(每天)的檢查他們。建議將以下效勞設(shè)為自啟動(dòng)：Eventlog(required)NTLMSecurityProvider(required)RemoteProcedureCall(RPC)(required)Workstation(leaveserviceon:willbedisabledlaterinthedocument)ProtectedStorage(required)PlugandPlay(required)SecurityAccountsManager(required)需要注意的是，效勞設(shè)置不當(dāng)可能導(dǎo)致系統(tǒng)不能進(jìn)行正常操作。設(shè)置每臺(tái)主機(jī)效勞的時(shí)候，要針對(duì)具體的應(yīng)用情況和網(wǎng)絡(luò)情況進(jìn)行有針對(duì)性的設(shè)置，不能直接按照推薦完全照做。上面建議只作為參考，并不能作為每一臺(tái)主機(jī)的配置標(biāo)準(zhǔn)。3關(guān)閉不必要的端口關(guān)閉端口意味著減少功能，在平安和功能上面需要你作一點(diǎn)決策。如果效勞器安裝在防火墻的后面，冒的險(xiǎn)就會(huì)少些，但是，永遠(yuǎn)不要認(rèn)為你可以高枕無(wú)憂了。用端口掃描器掃描系統(tǒng)所開放的端口，確定開放了哪些效勞是黑客入侵你的系統(tǒng)的第一步。\system32\drivers\etc\services文件中有知名端口和效勞的對(duì)照表可供參考。具體方法為：網(wǎng)上鄰居>屬性>本地連接>屬性>internet協(xié)議(tcp/ip)>屬性>高級(jí)>選項(xiàng)>tcp/ip篩選>屬性翻開tcp/ip篩選，添加需要的tcp,udp,協(xié)議即可。4翻開審核策略開啟平安審核是win最根本的入侵檢測(cè)方法。當(dāng)有人嘗試對(duì)你的系統(tǒng)進(jìn)行某些方式〔如嘗試用戶密碼,改變帳戶策略，未經(jīng)許可的文件訪問(wèn)等等〕入侵的時(shí)候，都會(huì)被平安審核記錄下來(lái)。很多的管理員在系統(tǒng)被入侵了幾個(gè)月都不知道，直到系統(tǒng)遭到破壞。下面的這些審核是必須開啟的，其他的可以根據(jù)需要增加：策略設(shè)置審核系統(tǒng)登陸事件成功，失敗審核帳戶管理成功，失敗審核登陸事件成功，失敗審核對(duì)象訪問(wèn)成功審核策略更改成功，失敗審核特權(quán)使用成功，失敗審核系統(tǒng)事件成功，失敗開啟密碼策略策略設(shè)置密碼復(fù)雜性要求啟用密碼長(zhǎng)度最小值6位強(qiáng)制密碼歷史5次強(qiáng)制密碼歷史42天5開啟帳戶策略策略設(shè)置復(fù)位帳戶鎖定計(jì)數(shù)器20分鐘帳戶鎖定時(shí)間20分鐘帳戶鎖定閾值3次6不讓系統(tǒng)顯示上次登陸的用戶名默認(rèn)情況下，終端效勞接入效勞器時(shí)，登陸對(duì)話框中會(huì)顯示上次登陸的帳戶明，本地的登陸對(duì)話框也是一樣。這使得別人可以很容易的得到系統(tǒng)的一些用戶名，進(jìn)而作密碼猜想。修改注冊(cè)表可以不讓對(duì)話框里顯示上次登陸的用戶名，具體是：HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName把REG_SZ的鍵值改成1.2.17禁止建立空連接默認(rèn)情況下，任何用戶通過(guò)通過(guò)空連接連上效勞器，進(jìn)而枚舉出帳號(hào)，猜想密碼。通過(guò)修改注冊(cè)表來(lái)禁止建立空連接：Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous的值改成〞1”即可。2.18關(guān)閉DirectDraw這是C2級(jí)平安標(biāo)準(zhǔn)對(duì)視頻卡和內(nèi)存的要求。修改注冊(cè)表HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI的Timeout(REG_DWORD)為0即可。2.19關(guān)閉默認(rèn)共享Win系統(tǒng)安裝好以后，系統(tǒng)會(huì)創(chuàng)立一些隱藏的共享，要禁止這些共享，翻開管理工具>計(jì)算機(jī)管理>共享文件夾>共享在相應(yīng)的共享文件夾上按右鍵，點(diǎn)停止共享即可，不過(guò)機(jī)器重新啟動(dòng)后，這些共享又會(huì)重新開啟的。默認(rèn)共享目錄路徑和功能C$D$E$每個(gè)分區(qū)的根目錄。Win2000Pro版中，只有Administrator和BackupOperators組成員才可連接，Win2000Server版本ServerOperatros組也可以連接到這些共享目錄ADMIN$%SYSTEMROOT%遠(yuǎn)程管理用的共享目錄。它的路徑永遠(yuǎn)都指向Win2000的安裝路徑，比方c:\winntFAX$在Win2000Server中，F(xiàn)AX$在fax客戶端發(fā)的時(shí)候會(huì)到。IPC$空連接。IPC$共享提供了登錄到系統(tǒng)的能力。NetLogon這個(gè)共享在Windows2000效勞器的NetLogin效勞在處理登陸域請(qǐng)求時(shí)用到PRINT$%SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS用戶遠(yuǎn)程管理打印機(jī)0禁止dumpfile的產(chǎn)生dump文件在系統(tǒng)崩潰和藍(lán)屏的時(shí)候是一份很有用的查找問(wèn)題的資料，然而，它也能夠給黑客提供一些敏感信息比方一些應(yīng)用程序的密碼等。要禁止它，翻開控制面板>系統(tǒng)屬性>高級(jí)>啟動(dòng)和故障恢復(fù)把寫入調(diào)試信息改成無(wú)。要用的時(shí)候，可以再重新翻開它。1使用文件加密系統(tǒng)EFSWindows強(qiáng)大的加密系統(tǒng)能夠給磁盤，文件夾，文件加上一層平安保護(hù)。這樣可以防止別人把你的硬盤掛到別的機(jī)器上以讀出里面的數(shù)據(jù)。記住要給文件夾也使用EFS,而不僅僅是單個(gè)的文件。有關(guān)EFS的具體信息可以查看2鎖住注冊(cè)表在windows，只有administrators和BackupOperators才有從網(wǎng)絡(luò)上訪問(wèn)注冊(cè)表的權(quán)限。如果覺(jué)得還不夠的話，可以進(jìn)一步設(shè)定注冊(cè)表訪問(wèn)權(quán)限，詳細(xì)信息請(qǐng)參考：2.23建議安裝urlscan〔或直接安裝IISLockdown〕Urlscan屬于IISLockdownTool的一局部是個(gè)很強(qiáng)的平安工具，讓站點(diǎn)管理員有能力關(guān)掉不需要的功能及禁止這些訪問(wèn).把一些特定的訪問(wèn)禁止,Urlscan平安工具可以防止可能會(huì)造成傷害的訪問(wèn),不讓這些有害訪問(wèn)到達(dá)效勞器端.IISLockdown可執(zhí)行許多步驟來(lái)幫助加強(qiáng)Web效勞器的平安。這些步驟包括：鎖定文件禁用效勞和組件安裝Urlscan刪除不需要的Internet效勞器應(yīng)用程序編程接口(ISAPI)DLL腳本映射刪除不需要的目錄更改ACL您可以使用IISLockdown來(lái)加強(qiáng)許多類型的IIS效勞器角色的平安。對(duì)于各效勞器，您應(yīng)挑選可滿足您Web效勞器需要的限制性最高的角色。2.24關(guān)閉RPCDCOM組件RemoteProcedureCall(RPC)是Windows操作系統(tǒng)使用的一種遠(yuǎn)程過(guò)程調(diào)用協(xié)議，RPC提供進(jìn)程間交互通信機(jī)制，允許在某臺(tái)計(jì)算機(jī)上運(yùn)行程序無(wú)縫的在遠(yuǎn)程系統(tǒng)上執(zhí)行代碼。協(xié)議本身源自O(shè)SFRPC協(xié)議，但增加了Microsoft特定的擴(kuò)展。DCOM〔theDistributedComponentObjectModel〕擴(kuò)展COM，以支持不同計(jì)算機(jī)之間的對(duì)象間通信，這些計(jì)算機(jī)可以是位于局域網(wǎng)，廣域網(wǎng)，甚至是互連網(wǎng)。DCOM規(guī)定了網(wǎng)絡(luò)上組件之間的通信協(xié)定，因此DCOM可以說(shuō)是組件之間的TCP/IP協(xié)議。DCOM組件可以遠(yuǎn)程執(zhí)行系統(tǒng)命令，并且存在多個(gè)的和未知的緩沖區(qū)溢出漏洞。關(guān)閉方法：依次翻開管理工具、組件效勞，展開組件效勞中的計(jì)算機(jī)，右鍵點(diǎn)擊其中的我的電腦中的屬性，取消默認(rèn)屬性中的“在此計(jì)算機(jī)上啟用分布式com〞。TOMCAT系統(tǒng)平安加固Tomcat平安配置根本平安配置首先，新建一個(gè)帳戶1.用"ITOMCAT_計(jì)算機(jī)名"建立一個(gè)普通用戶

2.為其設(shè)置一個(gè)密碼

3.保證"密碼永不過(guò)期"(PasswordNeverExpires)被選中

修改Tomcat安裝文件夾的訪問(wèn)權(quán)限

1.選定環(huán)境參數(shù)CATALINA_HOME或TOMCAT_HOME指向的Tomcat安裝文件夾。2.為"ITOMCAT_計(jì)算機(jī)名"用戶賦予讀、寫、執(zhí)行的訪問(wèn)權(quán)限。3.為"ITOMCAT_計(jì)算機(jī)名"用戶賦予對(duì)WebApps文件夾的只讀訪問(wèn)權(quán)限。4.如果某些Web應(yīng)用程序需要寫訪問(wèn)權(quán)限，單獨(dú)為其授予對(duì)那個(gè)文件夾的寫訪問(wèn)權(quán)限。當(dāng)你需要Tomcat作為系統(tǒng)效勞運(yùn)行時(shí)，采取以下步驟：1.到"控制面板"，選擇"管理工具"，然后選擇"效勞"。2.找到Tomcat：比方ApacheTomcat.exe等等，翻開其"屬性"。3.選擇其"登錄"(Log)標(biāo)簽。4.選擇"以...登錄"(LogONUsing)選項(xiàng)。5.鍵入新建的"ITOMCAT_計(jì)算機(jī)名"用戶作為用戶名。6.輸入密碼。7.重啟機(jī)器。多重效勞器的平安防護(hù)如需要apached保護(hù)web-inf或meta-inf文件，可以請(qǐng)?jiān)赿.conf中參加以下的內(nèi)容：<LocationMatch"/WEB-INF/">AllowOverrideNonedenyfromall</LocationMatch><LocationMatch"/META-INF/">AllowOverrideNonedenyfromall</LocationMatch>你也可以把Tomcat配置為將所有對(duì).htaccess的請(qǐng)求都送至錯(cuò)誤網(wǎng)頁(yè)，在Tomcat的一般安裝中，請(qǐng)將以下的servlet-mapping加到在$CATALINA_HOME/conf/Web.xml文件的servlet-mapping工程后面：<servlet-mapping><servlet-name>invoker</servlet-name><url-pattern>*.htaccess</url-pattern></servlet-mapping>這會(huì)將所有Web應(yīng)用程序中對(duì).htaccess的請(qǐng)求映射到invokerservlet，由于無(wú)法加載名為invoker的servlet類，因此會(huì)產(chǎn)生“404:NotFound〞的錯(cuò)誤網(wǎng)頁(yè)。從技術(shù)層面講，這種形式并不好，因?yàn)槿绻鸗omcat可以找到并加載所請(qǐng)求名稱的類〔.htaccess〕，它便可能執(zhí)行該類而非輸出消息錯(cuò)誤消息配置效勞器默認(rèn)端口tomcat安裝目標(biāo)下的/conf目錄下修改port8080為你需要端口號(hào)，如80.關(guān)閉效勞器端口tomcat安裝目標(biāo)下的/conf目錄下修改<Serverport="8006"shutdown="venus">，這樣就只有在telnet到8006，并且輸入"venus"才能夠關(guān)閉Tomcat默認(rèn)錯(cuò)誤網(wǎng)頁(yè)設(shè)置1、將附件的index.htm文件拷貝至\webapps\ROOT目錄內(nèi)，刪除或改名原來(lái)的index.jsp文件。2、用記事本翻開\conf\web.xml文件，在文件的倒數(shù)第二行〔</web-app>一行之前〕參加以下內(nèi)容：<error><error-code>404</error-code><location>/error_404.htm</location></error>配置支持SSL配置支持SSL的方法(分別以TEST,TestAdmin兩實(shí)際訪問(wèn)對(duì)象舉例)配置tomcat支持SSL方法生成SSL需要用到的keypair。一般在%java_home%/bin下有一個(gè)keytool，在命令行窗口，轉(zhuǎn)移到該目錄下，運(yùn)行：keytool-genkey-keyalgRSA在keytool運(yùn)行時(shí)，會(huì)詢問(wèn)兩次密碼，密碼是自己設(shè)的〔例：123456〕，要記住，隨后會(huì)用到。最后的那個(gè)密碼輸回車(代表與第一次輸?shù)拿艽a相同),中間會(huì)問(wèn)一些國(guó)家啊什么的，隨便亂填好了。生成的文件叫“.keystore〞，可以在-genkey時(shí)指定存放該文件路徑、或名稱等(見(jiàn)該命令幫助)。為了使用方便，本文將其放在C盤根目錄下。修改tomcat的conf目錄下的文件去掉有關(guān)ssl的那個(gè)connector的注釋符號(hào)<!---->。注意，它里面默認(rèn)沒(méi)有指定keystorefile等，為了防止路徑錯(cuò)誤，建議在中顯式地指定keystorePass與keystoreFile，設(shè)好后如下：<Connectorport="8443"maxThreads="150"minSpareThreads="25"maxSpareThreads="75"enableLookups="false"disableUploadTimeout="true"acceptCount="100"debug="0"scheme="s"secure="true"clientAuth="false"sslProtocol="TLS"keystoreFile="C:\.keystore"keystorePass="123456"/>注意：即使是在WINDOWS系統(tǒng)上，中的大小寫也是敏感的。紅色斜體局部請(qǐng)根據(jù)實(shí)際情況填寫。重啟tomcat配置JAVA環(huán)境支持SSL拷貝文件將ProgramFiles\Java\jdk_09\jre\lib下的jsse.jar拷貝到j(luò)dk1.5.0_09\jre\lib\ext下。生成證書文件訪問(wèn)站點(diǎn)IE，如果用戶管理模塊要配置為s登錄，即訪問(wèn)用戶管理網(wǎng)頁(yè)的地址〔比方s://192.168.114.73:8443/TestAdmin〕，獲取證書，單擊"查看證書"，在彈出的對(duì)話框中選擇"詳細(xì)信息"，然后再單擊"拷貝文件"，根據(jù)提供的向?qū)纱L問(wèn)網(wǎng)頁(yè)的證書文件:

將生成的文件直接保存在java\jdk_09\jre\lib\security目錄下，文件名可任意，以容易識(shí)別為準(zhǔn)：用keytool工具把剛剛導(dǎo)出的證書倒入本地keystore：命令行到j(luò)dk_09\jre\lib\security下，執(zhí)行以下命令：keytool-import-noprompt-keystorecacerts-storepasschangeit-aliasTestAdmins-fileTestAdmin其中TestAdmins為當(dāng)前證書在keystore中的唯一標(biāo)識(shí)符，又稱別名，可隨意取名，只要不與已經(jīng)存在的重復(fù)，以容易識(shí)別為準(zhǔn)。TestAdmin為剛剛保存的證書文件名。如果剛剛的證書需要重新導(dǎo)入，可通過(guò)以下命令先刪除導(dǎo)入的證書：keytool-delete-keystorecacerts-storepasschangeit-alias別名-file證書文件〔***.cer〕重啟tomcat注意：1．一共需要導(dǎo)入兩個(gè)證書，分別對(duì)應(yīng)TestAdmin和TEST，步驟完全相同，只是在做操作〔2〕時(shí)訪問(wèn)的頁(yè)面不同：TestAdmin訪問(wèn)用戶管理網(wǎng)頁(yè)的地址〔例如：s://192.168.114.73:8443/TestAdmin〕TEST訪問(wèn)TEST網(wǎng)頁(yè)的地址〔例如：s://192.168.114.73:8443/TEST〕2．配置前請(qǐng)先確保環(huán)境變量設(shè)置正確了，需要在環(huán)境變量中設(shè)置JAVA_HOME，并參加PATH。MSSQL系統(tǒng)平安加固安裝最新平安補(bǔ)丁安裝操作系統(tǒng)提供商發(fā)布的最新的平安補(bǔ)丁最新補(bǔ)丁下載地址是：安裝補(bǔ)丁詳細(xì)操作請(qǐng)參照其中的readme文件。網(wǎng)絡(luò)和系統(tǒng)效勞檢查系統(tǒng)文件是裝置在NTFS分區(qū)看SQLSERVER安裝盤符的屬性默認(rèn)用戶狀態(tài)及口令更改情況查看用戶狀態(tài)運(yùn)行SQL查詢分析器，執(zhí)行〔sysxlogins〕select*fromsysusersSelectname,Passwordfromsysloginswherepasswordisnullorderbyname#查看口令為空的用戶。按F5更改帳戶口令運(yùn)行SQL查詢分析器，執(zhí)行Usemasterexecsp_password‘old_password’,’new_password’,accounname按F5停用不必要的存儲(chǔ)過(guò)程停用不必要的存儲(chǔ)過(guò)程，可能會(huì)造成企業(yè)管理器一些功能特性的喪失。Xp_cmdshellSp_OACreate

Sp_OADestroy

Sp_OAGetErrorInfo

Sp_OAGetProper