构建安全Web应用程序的最佳实践

 

• 安装实时的安全补丁
• 最新的补丁、软件更新、紧急修补程序
• 鼓励使用强密码
• 强密码包含七个以上字符，包含字母、数字和标点符号
• 强制执行密码策略
• 不允许保存密码
• 要求最低特权
• 分配应用程序能够运行的最低的权限

      如果使用IIS 5或以下：

• 关闭 IIS 不必要的组件
• 默认配置启用了不需要的服务
• 使用 IIS Lockdown 工具
• http://www.microsoft.com/Downloads/Release.asp?ReleaseID=43955
• 关闭不需要的特性，减少被攻击的机会

 

• 保持用户或 Web 应用程序的活动记录
• Windows 日志
• IIS 日志
• lSQL Server 日志
• 自定义日志