對于如何保障Winnt +asp +sql web網站的安全經驗(2)

19。密碼的安全策略。多少位的密碼是安全的。這個很怪。按照ms的加密算法。只有14位以上的密碼是可能安全的。但實際上很少有人能記住那么多位的密碼。但14位一下。7位密碼比較安全。（很怪吧。）微軟工程師說有時7位比10位還要保險。呵呵，具體原因說起來比較復雜。我是給我老弟講課的。省略吧。
20。建議密碼有字母。數字。大小寫組成。最好加上一些如！·#￥%（）等的字符。也很難被猜到。
21。用戶名改掉缺省的admini.....后，可以建一個14位長的管理員名。可以全部用字母。這樣就加大了一級保護。
22。加大策略。防止用枚舉法猜出賬號名。
23。加入防止5次登錄失敗后，自動鎖定賬號20分中。防止暴力法突破。
24。建立分類的密碼策略。不要用一些內置賬號。如“sa”。
25。將sa的密碼加大。最好不要常用他。建一個另外的管理員賬號。然后對每一個自建的數據庫都建一個分類賬號。asp中最好用他來連接。這樣就可以保障其他數據庫的安全。
26。去掉一些權限。不允許普通用戶用比較危險的存儲過程。
27。不允許除管理員外的賬號遠程連接。或是加上命名管道。
27。asp如果能用dsn，就不要用連接字符串。并采取包含文件的模式包含進來。