對(duì)于如何保障Winnt +asp +sql web網(wǎng)站的安全經(jīng)驗(yàn)(2)

19。密碼的安全策略。多少位的密碼是安全的。這個(gè)很怪。按照ms的加密算法。只有14位以上的密碼是可能安全的。但實(shí)際上很少有人能記住那么多位的密碼。但14位一下。7位密碼比較安全。（很怪吧。）微軟工程師說(shuō)有時(shí)7位比10位還要保險(xiǎn)。呵呵，具體原因說(shuō)起來(lái)比較復(fù)雜。我是給我老弟講課的。省略吧。
20。建議密碼有字母。數(shù)字。大小寫(xiě)組成。最好加上一些如！·#￥%（）等的字符。也很難被猜到。
21。用戶名改掉缺省的admini.....后，可以建一個(gè)14位長(zhǎng)的管理員名。可以全部用字母。這樣就加大了一級(jí)保護(hù)。
22。加大策略。防止用枚舉法猜出賬號(hào)名。
23。加入防止5次登錄失敗后，自動(dòng)鎖定賬號(hào)20分中。防止暴力法突破。
24。建立分類的密碼策略。不要用一些內(nèi)置賬號(hào)。如“sa”。
25。將sa的密碼加大。最好不要常用他。建一個(gè)另外的管理員賬號(hào)。然后對(duì)每一個(gè)自建的數(shù)據(jù)庫(kù)都建一個(gè)分類賬號(hào)。asp中最好用他來(lái)連接。這樣就可以保障其他數(shù)據(jù)庫(kù)的安全。
26。去掉一些權(quán)限。不允許普通用戶用比較危險(xiǎn)的存儲(chǔ)過(guò)程。
27。不允許除管理員外的賬號(hào)遠(yuǎn)程連接。或是加上命名管道。
27。asp如果能用dsn，就不要用連接字符串。并采取包含文件的模式包含進(jìn)來(lái)。