服務(wù)器安全（三） (2)

發(fā)布時(shí)間: 2012/9/9 15:56:50

其他目錄；
　　說(shuō)明：黑客有可能通過(guò)WEB站點(diǎn)的漏洞得到操作系統(tǒng)對(duì)操作系統(tǒng)某些程序的執(zhí)行權(quán)限，從而造成更大的破壞
。同時(shí)如果采用IIS的話你應(yīng)該在其設(shè)置中刪除掉所有的無(wú)用的映射，同時(shí)不要安裝索引服務(wù)，遠(yuǎn)程站點(diǎn)管理與
服務(wù)器擴(kuò)展最好也不要要，然后刪掉默認(rèn)路徑下的www，整個(gè)刪，不要手軟，然后再硬盤(pán)的另一個(gè)硬盤(pán)建立存放
你網(wǎng)站的文件夾，同時(shí)一定記得打開(kāi)w3c日志紀(jì)錄，切記（不過(guò)本人建議采用apache 1.3.24）
系統(tǒng)安裝過(guò)程中一定本著最小服務(wù)原則，無(wú)用的服務(wù)一概不選擇，達(dá)到系統(tǒng)的最小安裝，多一個(gè)服務(wù)，多
一份風(fēng)險(xiǎn)，呵呵，所以無(wú)用組件千萬(wàn)不要安裝！
9.關(guān)于補(bǔ)�。涸贜T下，如果安裝了補(bǔ)丁程序，以后如果要從NT光盤(pán)上安裝新的Windows程序,都要重新安裝
一次補(bǔ)丁程序， 2000下不需要這樣做。
　　說(shuō)明：
　　
　�。�1）最新的補(bǔ)丁程序，表示系統(tǒng)以前有重大漏洞，非補(bǔ)不可了，對(duì)于局域網(wǎng)內(nèi)服務(wù)器可以不是最新的，
但站點(diǎn)必須安裝最新補(bǔ)丁，否則黑客可能會(huì)利用低版本補(bǔ)丁的漏洞對(duì)系統(tǒng)造成威脅。這是一部分管理員較易忽
視的一點(diǎn)；
　�。�2）安裝NT的SP5、SP6有一個(gè)潛在威脅，就是一旦系統(tǒng)崩潰重裝NT時(shí)，系統(tǒng)將不會(huì)認(rèn)NTFS分區(qū)，原因是
微軟在這兩個(gè)補(bǔ)丁中對(duì)NTFS做了改進(jìn)。只能通過(guò)Windows 2000安裝過(guò)程中認(rèn)NTFS，這樣會(huì)造成很多麻煩，建議
同時(shí)做好數(shù)據(jù)備份工作。
　�。�3）安裝Service Pack前應(yīng)先在測(cè)試機(jī)器上安裝一次，以防因?yàn)槔庠驅(qū)е聶C(jī)器死機(jī)，同時(shí)做好數(shù)據(jù)
備份。
　　
　　盡量不安裝與WEB站點(diǎn)服務(wù)無(wú)關(guān)的軟件；
　　說(shuō)明：其他應(yīng)用軟件有可能存在黑客熟知的安全漏洞。
　　
　　
　　10.解除NetBios與TCP/IP協(xié)議的綁定
　　說(shuō)明：NetBois在局域網(wǎng)內(nèi)是不可缺少的功能，在網(wǎng)站服務(wù)器上卻成了黑客掃描工具的首選目標(biāo)。方法：NT
：控制面版——網(wǎng)絡(luò)——綁定——NetBios接口——禁用 2000：控制面版——網(wǎng)絡(luò)和撥號(hào)連接——本地網(wǎng)絡(luò)—
—屬性——TCP/IP——屬性——高級(jí)——WINS——禁用TCP/IP上的NETBIOS
　　
　　11.刪除所有的網(wǎng)絡(luò)共享資源，在網(wǎng)絡(luò)連接的設(shè)置中刪除文件和打印共享，只留下TCP/IP協(xié)議
　　說(shuō)明：NT與2000在默認(rèn)情況下有不少網(wǎng)絡(luò)共享資源，在局域網(wǎng)內(nèi)對(duì)網(wǎng)絡(luò)管理和網(wǎng)絡(luò)通訊有用，在網(wǎng)站服務(wù)
器上同樣是一個(gè)特大的安全隱患。（卸載“Microsoft 網(wǎng)絡(luò)的文件和打印機(jī)共享”。當(dāng)查看“網(wǎng)絡(luò)和撥號(hào)連接
”中的任何連接屬性時(shí)，將顯示該選項(xiàng)。單擊“卸載”按鈕刪除該組件；清除“Microsoft 網(wǎng)絡(luò)的文件和打印
機(jī)共享”復(fù)選框?qū)⒉黄鹱饔�。�?
　　方法：
　　(1)NT:管理工具——服務(wù)器管理器——共享目錄——停止共享;
　　2000:控制面版——管理工具——計(jì)算及管理——共享文件夾———停止共享
　　但上述兩種方法太麻煩，服務(wù)器每重啟一次，管理員就必須停止一次
　　（2）修改注冊(cè)表：
　　運(yùn)行Regedit，然后修改注冊(cè)表在
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters下增加一個(gè)鍵
　　Name: AutoShareServer
　　Type: REG_DWORD
　　value: 0
　　然后重新啟動(dòng)您的服務(wù)器，磁盤(pán)分區(qū)共享去掉，但I(xiàn)PC共享仍存在，需每次重啟后手工刪除。
　　
　　12.改NTFS的安全權(quán)限；
　　說(shuō)明：NTFS下所有文件默認(rèn)情況下對(duì)所有人（EveryOne）為完全控制權(quán)限，這使黑客有可能使用一般用戶(hù)
身份對(duì)文件做增加、刪除、執(zhí)行等操作，建議對(duì)一般用戶(hù)只給予讀取權(quán)限，而只給管理員和System以完全控制
權(quán)限，但這樣做有可能使某些正常的腳本程序不能執(zhí)行，或者某些需要寫(xiě)的操作不能完成，這時(shí)需要對(duì)這些文
件所在的文件夾權(quán)限進(jìn)行更改，建議在做更改前先在測(cè)試機(jī)器上作測(cè)試，然后慎重更改。
　　
　　13.加強(qiáng)數(shù)據(jù)備份；
　　說(shuō)明：這一點(diǎn)非常重要，站點(diǎn)的核心是數(shù)據(jù)，數(shù)據(jù)一旦遭到破壞后果不堪設(shè)想，而這往往是黑客們真正關(guān)
心的東西；遺憾的是，不少網(wǎng)管在這一點(diǎn)上作的并不好，不是備份不完全，就是備份不及時(shí)。數(shù)據(jù)備份需要仔
細(xì)計(jì)劃，制定出一個(gè)策略并作了測(cè)試以后才實(shí)施，而且隨著網(wǎng)站的更新，備份計(jì)劃也需要不斷地調(diào)整。
　　
　　
　　14.只保留TCP/IP協(xié)議，刪除NETBEUI、IPX/SPX協(xié)議；
　　說(shuō)明：網(wǎng)站需要的通訊協(xié)議只有TCP/IP，而NETBEUI是一個(gè)只能用于局域網(wǎng)的協(xié)議，IPX/SPX是面臨淘汰的
協(xié)議，放在網(wǎng)站上沒(méi)有任何用處，反而會(huì)被某些黑客工具利用�！　�
　　
　　15.不要起用IP轉(zhuǎn)發(fā)功能，控制面板->網(wǎng)絡(luò)->協(xié)議->TCP/IP協(xié)議->屬性，使這個(gè)選框?yàn)榭�。（NT）
　　說(shuō)明：缺省情況下，NT的IP轉(zhuǎn)發(fā)功能是禁止的，但注意不要啟用，否則它會(huì)具有路由作用，被黑客利用來(lái)
對(duì)其他服務(wù)器進(jìn)行攻擊。
　　
　　16.安裝最新的MDAC（http://www.microsoft.com/data/download.htm）
　　說(shuō)明：MDAC為數(shù)據(jù)訪問(wèn)部件，通常程序?qū)?shù)據(jù)庫(kù)的訪問(wèn)都通過(guò)它，但它也是黑客攻擊的目標(biāo)，為防止以前
版本的漏洞可能會(huì)被帶入升級(jí)后的版本，建議卸載后安裝最新的版本。注意：在安裝最新版本前最好先做一下
測(cè)試，因?yàn)橛械臄?shù)據(jù)訪問(wèn)方式或許在新版本中不再被支持，這種情況下可以通過(guò)修改注冊(cè)表來(lái)檔漏洞，祥見(jiàn)漏
洞測(cè)試文檔。
　　
　　17.設(shè)置IP拒絕訪問(wèn)列表
　　說(shuō)明：對(duì)于WWW服務(wù)，可以拒絕一些對(duì)站點(diǎn)有攻擊嫌疑的地址；尤其對(duì)于FTP服務(wù)，如果只是自己公司上傳
文件，就可以只允許本公司的IP訪問(wèn)改FTP服務(wù)，這樣，安全性大為提高。
　　
　　18.禁止對(duì)FTP服務(wù)的匿名訪問(wèn)
　　說(shuō)明：如果允許對(duì)FTP服務(wù)做匿名訪問(wèn)，該匿名帳戶(hù)就有可能被利用來(lái)獲取更多的信息，以致對(duì)系統(tǒng)造成危
害。
　　
　　19.建議使用W3C擴(kuò)充日志文件格式，每天記錄客戶(hù)IP地址，用戶(hù)名，服務(wù)器端口，方法，URI字根，HTTP狀
態(tài)，用戶(hù)代理，而且每天均要審查日志。（最好不要使用缺省的目錄，建議更換一個(gè)記日志的路徑，同時(shí)設(shè)置
日志的訪問(wèn)權(quán)限，只允許管理員和system為Full Control）
　　說(shuō)明：作為一個(gè)重要措施，既可以發(fā)現(xiàn)攻擊的跡象，采取預(yù)防措施，也可以作為受攻擊的一個(gè)證據(jù)。
　　
　　20.慎重設(shè)置WEB站點(diǎn)目錄的訪問(wèn)權(quán)限，一般情況下，不要給予目錄以寫(xiě)入和允許目錄瀏覽權(quán)限。只給予
.ASP文件目錄以腳本的權(quán)限，而不要給與執(zhí)行權(quán)限。
　　說(shuō)明：目錄訪問(wèn)權(quán)限必須慎重設(shè)置，否則會(huì)被黑客利用。
　　21.ASP編程安全：
　　
　　安全不僅是網(wǎng)管的事，編程人員也必須在某些安全細(xì)節(jié)上注意，養(yǎng)成良好的安全習(xí)慣，否則，會(huì)給黑客造
成可乘之機(jī)。目前，大多數(shù)網(wǎng)站上的ASP程序有這樣那樣的安全漏洞，但如果寫(xiě)程序的時(shí)候注意的話，還是可以
避免的。
　　
　　涉及用戶(hù)名與口令的程序最好封裝在服務(wù)器端，盡量少的在ASP文件里出現(xiàn)，涉及到與數(shù)據(jù)庫(kù)連接地用戶(hù)名
與口令應(yīng)給予最小的權(quán)限。
　　說(shuō)明：用戶(hù)名與口令，往往是黑客們最感興趣的東西，如果被通過(guò)某種方式看到源代碼，后果是嚴(yán)重的。
因此要盡量減少它們?cè)贏SP文件中的出現(xiàn)次數(shù)。出現(xiàn)次數(shù)多得用戶(hù)名與口令可以寫(xiě)在一個(gè)位置比較隱蔽的包含文
件中。如果涉及到與數(shù)據(jù)庫(kù)連接，理想狀態(tài)下只給它以執(zhí)行存儲(chǔ)過(guò)程的權(quán)限，千萬(wàn)不要直接給予該用戶(hù)以修改
、插入、刪除記錄的權(quán)限。
　　
　　需要經(jīng)過(guò)驗(yàn)證的ASP頁(yè)面，可跟蹤上一個(gè)頁(yè)面的文件名，只有從上一頁(yè)面轉(zhuǎn)進(jìn)來(lái)的會(huì)話才能讀取這個(gè)頁(yè)面。
　　說(shuō)明：現(xiàn)在的需要經(jīng)過(guò)驗(yàn)證的ASP程序多是在頁(yè)面頭部加一個(gè)判斷語(yǔ)句，但這還不夠，有可能被黑客繞過(guò)驗(yàn)
證直接進(jìn)入，因此有必要跟蹤上一個(gè)頁(yè)面。具體漏洞見(jiàn)所附漏洞文檔。
　　
　　防止ASP主頁(yè).inc文件泄露問(wèn)題
　　當(dāng)存在asp 的主頁(yè)正在制作并沒(méi)有進(jìn)行最后調(diào)試完成以前，可以被某些搜索引擎機(jī)動(dòng)追加為搜索對(duì)象，如
果這時(shí)候有人利用搜索引擎對(duì)這些網(wǎng)頁(yè)進(jìn)行查找，會(huì)得到有關(guān)文件的定位，并能在瀏覽器中察看到數(shù)據(jù)庫(kù)地點(diǎn)
和結(jié)構(gòu)的細(xì)節(jié)揭示完整的源代碼。
　　解決方案：程序員應(yīng)該在網(wǎng)頁(yè)發(fā)布前對(duì)其進(jìn)行徹底的調(diào)試；安全專(zhuān)家需要固定asp 包含文件以便外部的用
戶(hù)不能看他們。首先對(duì) .inc 文件內(nèi)容進(jìn)行加密，其次也可以使用 .asp 文件代替 .inc 文件使用戶(hù)無(wú)法從瀏
覽器直接觀看文件的源代碼。.inc 文件的文件名不用使用系統(tǒng)默認(rèn)的或者有特殊含義容易被用戶(hù)猜測(cè)到的，盡
量使用無(wú)規(guī)則的英文字母。
　　
　　
　　注意某些ASP編輯器會(huì)自動(dòng)備份asp文件，會(huì)被下載的漏洞
　　在有些編輯asp程序的工具，當(dāng)創(chuàng)建或者修改一個(gè)asp文件時(shí)，編輯器自動(dòng)創(chuàng)建一個(gè)備份文件，比如：
UltraEdit就會(huì)備份一個(gè)..bak文件，如你創(chuàng)建或者修改了some.asp，編輯器自動(dòng)生成一個(gè)叫some.asp.bak文件
，如果你沒(méi)有刪除這個(gè) bak文件，攻擊有可以直接下載some.asp.bak文件，這樣some.asp的源程序就會(huì)給下載
。
　　
　　在處理類(lèi)似留言板、BBS等輸入框的ASP程序中，最好屏蔽掉HTML、javascript、VBScript語(yǔ)句，如無(wú)特殊
要求，可以限定只允許輸入字母與數(shù)字，屏蔽掉特殊字符。同時(shí)對(duì)輸入字符的長(zhǎng)度進(jìn)行限制。而且不但在客戶(hù)
端進(jìn)行輸入合法性檢查，同時(shí)要在服務(wù)器端程序中進(jìn)行類(lèi)似檢查。
　　說(shuō)明：輸入框是黑客利用的一個(gè)目標(biāo)，他們可以通過(guò)輸入腳本語(yǔ)言等對(duì)用戶(hù)客戶(hù)端造成損壞；如果該輸入
框涉及到數(shù)據(jù)查詢(xún)，他們會(huì)利用特殊查詢(xún)輸入得到更多的數(shù)據(jù)庫(kù)數(shù)據(jù)，甚至是表的全部。因此必須對(duì)輸入框進(jìn)
行過(guò)濾。但如果為了提高效率僅在客戶(hù)端進(jìn)行輸入合法性檢查，仍有可能被繞過(guò)，因此必須在服務(wù)器端再做一
次檢查。
　　
　　
　　防止ACCESS mdb 數(shù)據(jù)庫(kù)有可能被下載的漏洞
　　在用ACCESS做后臺(tái)數(shù)據(jù)庫(kù)時(shí)，如果有人通過(guò)各種方法知道或者猜到了服務(wù)器的ACCESS數(shù)據(jù)庫(kù)的路徑和數(shù)據(jù)
庫(kù)名稱(chēng)，那么他能夠下載這個(gè)ACCESS數(shù)據(jù)庫(kù)文件，這是非常危險(xiǎn)的。
　　解決方法：
　　(1) 為你的數(shù)據(jù)庫(kù)文件名稱(chēng)起個(gè)復(fù)雜的非常規(guī)的名字，并把他放在幾目錄下。所謂 "非常規(guī)"，打個(gè)比方
：比如有個(gè)數(shù)據(jù)庫(kù)要保存的是有關(guān)書(shū)籍的信息，可不要把他起個(gè)"book.mdb"的名字，起個(gè)怪怪的名稱(chēng)，比如
d34ksfslf.mdb，再把他放在如./kdslf/i44/studi/ 的幾層目錄下，這樣黑客要想通過(guò)猜的方式得到你的
ACCESS數(shù)據(jù)庫(kù)文件就難上加難了。
　　(2)不要把數(shù)據(jù)庫(kù)名寫(xiě)在程序中。有些人喜歡把DSN寫(xiě)在程序中，比如：
　　DBPath = Server.MapPath("cmddb.mdb"
　　conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
　　假如萬(wàn)一給人拿到了源程序，你的ACCESS數(shù)據(jù)庫(kù)的名字就一覽無(wú)余。因此建議你在ODBC里設(shè)置數(shù)據(jù)源，再
在程序中這樣寫(xiě)：
　　conn.open "shujiyuan"
　　(3)使用ACCESS來(lái)為數(shù)據(jù)庫(kù)文件編碼及加密。首先在選取 "工具->安全->加密/解密數(shù)據(jù)庫(kù)，選取數(shù)據(jù)庫(kù)（
如：employer.mdb），然后接確定，接著會(huì)出現(xiàn) "數(shù)據(jù)庫(kù)加密后另存為"的窗口，存為：employer1.mdb。接著
employer.mdb就會(huì)被編碼，然后存為employer1.mdb..
　　要注意的是，以上的動(dòng)作并不是對(duì)數(shù)據(jù)庫(kù)設(shè)置密碼，而只是對(duì)數(shù)據(jù)庫(kù)文件加以編碼，目的是為了防止他人
使用別的工具來(lái)查看數(shù)據(jù)庫(kù)文件的內(nèi)容。
　　接下來(lái)我們?yōu)閿?shù)據(jù)庫(kù)加密，首先以打開(kāi)經(jīng)過(guò)編碼了的 employer1.mdb，在打開(kāi)時(shí)，選擇"獨(dú)占"方式。然后
選取功能表的"工具->安全->設(shè)置數(shù)據(jù)庫(kù)密碼"，接著輸入密碼即可。這樣即使他人得到了employer1.mdb文件
，沒(méi)有密碼他是無(wú)法看到 employer1.mdb的。
　　23.SQL SERVER的安全
　　
　　SQL SERVER是NT平臺(tái)上用的最多的數(shù)據(jù)庫(kù)系統(tǒng)，但是它的安全問(wèn)題也必須引起重視。數(shù)據(jù)庫(kù)中往往存在著
最有價(jià)值的信息，一旦數(shù)據(jù)被竊后果不堪設(shè)想。
　　
　　及時(shí)更新補(bǔ)丁程序。
　　說(shuō)明：與NT一樣，SQL SERVER的許多漏洞會(huì)由補(bǔ)丁程序來(lái)彌補(bǔ)。建議在安裝補(bǔ)丁程序之前先在測(cè)試機(jī)器上
做測(cè)試，同時(shí)提前做好目標(biāo)服務(wù)器的數(shù)據(jù)備份。
　　
　　給SA一個(gè)復(fù)雜的口令。
　　說(shuō)明：SA具有