文章內(nèi)容

服務(wù)器安全（三） (3)

發(fā)布時(shí)間: 2012/9/9 15:57:17

SQL SERVER數(shù)據(jù)庫操作的全部權(quán)限。遺憾的是，一部分網(wǎng)管對(duì)數(shù)據(jù)庫并不熟悉，建立數(shù)據(jù)
庫的工作由編程人員完成，而這部分人員往往只注重編寫SQL 語句本身，對(duì)SQL SERVER數(shù)據(jù)庫的管理不熟悉，
這樣很有可能造成SA口令為空。這對(duì)數(shù)據(jù)庫安全是一個(gè)嚴(yán)重威脅。目前具有這種隱患的站點(diǎn)不在少數(shù)。
　　
　　嚴(yán)格控制數(shù)據(jù)庫用戶的權(quán)限，輕易不要給讓用戶對(duì)表有直接的查詢、更改、插入、刪除權(quán)限，可以通過給
用戶以訪問視圖的權(quán)限，以及只具有執(zhí)行存儲(chǔ)過程的權(quán)限。
　　說明：用戶如果對(duì)表有直接的操作權(quán)限，就會(huì)存在數(shù)據(jù)被破壞的危險(xiǎn)。
　　
　　制訂完整的數(shù)據(jù)庫備份與恢復(fù)策略。
　 24. PCANYWHERE的安全：
　　
　　目前，PCANYWHERE是最流行的基于NT與2000的遠(yuǎn)程控制工具，同樣也需要注意安全問題。
　　
　　建議采用單獨(dú)的用戶名與口令，最好采用加密手段。千萬不要采用與NT管理員一樣的用戶名與口令，也不
要使用與NT集成的口令。同時(shí)在服務(wù)器端的設(shè)置時(shí)務(wù)必采用security options中的強(qiáng)加密方式，拒絕低加密水
平的連接，同時(shí)采用口令加密與傳輸過程中的用戶名與口令加密，以防止被嗅探到，還要限制連接次數(shù)，另外
很重要的一點(diǎn)就是一定在protect item中設(shè)置高強(qiáng)度的口令，同時(shí)一定限制不能夠讓別人看到你的host端的任何設(shè)置，即便是要察看主機(jī)端的相關(guān)設(shè)置也必須要輸入口令！
　　說明：PCANYWHERE 口令是遠(yuǎn)程控制的第一個(gè)關(guān)口，如果與NT的一樣，就失去了安全屏障。被攻破后就毫
無安全可言。而如果采用單獨(dú)的口令，即使攻破了PCANYWHERE，NT還有一個(gè)口令屏障。
　　及時(shí)安裝較新的版本。
2.中級(jí)篇: IIS的安全與性能調(diào)整
實(shí)際上，安全和應(yīng)用在很多時(shí)候是矛盾的，因此，你需要在其中找到平衡點(diǎn)，畢竟服務(wù)器是給用戶用而不是做
OPEN HACK的，如果安全原則妨礙了系統(tǒng)應(yīng)用，那么這個(gè)安全原則也不是一個(gè)好的原則。網(wǎng)絡(luò)安全是一項(xiàng)系統(tǒng)
工程，它不僅有空間的跨度，還有時(shí)間的跨度。很多朋友（包括部分系統(tǒng)管理員）認(rèn)為進(jìn)行了安全配置的主機(jī)
就是安全的，其實(shí)這其中有個(gè)誤區(qū)：我們只能說一臺(tái)主機(jī)在一定的情況一定的時(shí)間上是安全的隨著網(wǎng)絡(luò)結(jié)構(gòu)的
變化、新的漏洞的發(fā)現(xiàn)，管理員/用戶的操作，主機(jī)的安全狀況是隨時(shí)隨地變化著的，只有讓安全意識(shí)和安全制
度貫穿整個(gè)過程才能做到真正的安全。
提高IIS 5.0網(wǎng)站伺服器的執(zhí)行效率的八種方法　
以下是提高IIS 5.0網(wǎng)站伺服器的執(zhí)行效率的八種方法：
1. 啟用HTTP的持續(xù)作用可以改善15~20%的執(zhí)行效率。　
2. 不啟用記錄可以改善5~8%的執(zhí)行效率。　
3. 使用 [獨(dú)立] 的處理程序會(huì)損失20%的執(zhí)行效率。　
4. 增加快取記憶體的保存檔案數(shù)量，可提高Active Server Pages之效能。　
5. 勿使用CGI程式。　
6. 增加IIS 5.0電腦CPU數(shù)量。　
7. 勿啟用ASP偵錯(cuò)功能。　
8. 靜態(tài)網(wǎng)頁采用HTTP 壓縮，大約可以減少20%的傳輸量。　
簡單介紹如下。　
1、啟用HTTP的持續(xù)作用　
啟用HTTP的持續(xù)作用（Keep-Alive）時(shí)，IIS與瀏覽器的連線不會(huì)斷線，可以改善執(zhí)行效率，直到瀏覽器關(guān)閉時(shí)
連線才會(huì)斷線。因?yàn)榫S持「Keep-Alive」?fàn)顟B(tài)時(shí)，於每次用戶端請(qǐng)求時(shí)都不須重新建立一個(gè)新的連接，所以將
改善伺服器的效率。此功能為HTTP1.1預(yù)設(shè)的功能，HTTP 1.0加上Keep-Alive header也可以提供HTTP的持續(xù)作
用功能。
　
2、啟用HTTP的持續(xù)作用可以改善15~20%的執(zhí)行效率。　
如何啟用HTTP的持續(xù)作用呢？步驟如下：在 [Internet服務(wù)管理員] 中，選取整個(gè)IIS電腦、或Web站臺(tái)，於 [
內(nèi)容] 之 [主目錄] 頁，勾選 [HTTP的持續(xù)作用] 選項(xiàng)。
　
3、不啟用記錄　
不啟用記錄可以改善5~8%的執(zhí)行效率。如何設(shè)定不啟用記錄呢？步驟如下：　
在 [Internet服務(wù)管理員] 中，選取整個(gè)IIS電腦、或Web站臺(tái)，於 [內(nèi)容] 之 [主目錄] 頁，不勾選 [啟用記
錄] 選項(xiàng)。設(shè)定非獨(dú)立的處理程序使用 [獨(dú)立] 的處理程序會(huì)損失20%的執(zhí)行效率，此處所謂獨(dú)立」系指將 [
主目錄]、[虛擬目錄] 頁之應(yīng)用程式保護(hù)選項(xiàng)設(shè)定為 [高（獨(dú)立的）] 時(shí)。因此 [應(yīng)用程式保護(hù)] 設(shè)定為 [低
(IIS處理程序)] 時(shí)執(zhí)行效率較高如何設(shè)定非「獨(dú)立」的處理程序呢？步驟如下：在 [Internet服務(wù)管理員]
中，選取整個(gè)IIS電腦、Web站臺(tái)、或應(yīng)用程式的起始目錄。於 [內(nèi)容] 之 [主目錄]、[虛擬目錄] 頁，設(shè)定應(yīng)
用程式保護(hù)選項(xiàng)為 [低 (IIS處理程序)] 。　
4、調(diào)整快�。–ache）記憶體　
IIS 5.0將靜態(tài)的網(wǎng)頁資料暫存於快取（Cache）記憶體當(dāng)中；IIS 4.0則將靜態(tài)的網(wǎng)頁資料暫存於檔案當(dāng)中。調(diào)
整快�。–ache）記憶體的保存檔案數(shù)量可以改善執(zhí)行效率。ASP指令檔案執(zhí)行過後，會(huì)在暫存於快�。–ache）
記憶體中以提高執(zhí)行效能。增加快取記憶體的保存檔案數(shù)量，可提高Active Server Pages之效能�？梢栽O(shè)定所
有在整個(gè)IIS電腦、「獨(dú)立」Web站臺(tái)、或「獨(dú)立」應(yīng)用程式上執(zhí)行之應(yīng)用程式的快取記憶體檔案數(shù)量。如何設(shè)
定快取（Cache）功能呢？步驟如下：在 [Internet服務(wù)管理員] 中選取整個(gè)IIS電腦、「獨(dú)立」Web站臺(tái)、或「
獨(dú)立」應(yīng)用程式的起始目錄。於 [內(nèi)容] 之 [主目錄]、[虛擬目錄] 頁，按下 [設(shè)定] 按鈕時(shí)，即可由 [處理
程序選項(xiàng)] 頁設(shè)定[指令檔快取記憶體] 。如何設(shè)定快�。–ache）記憶體檔案數(shù)量呢？步驟如下：在[Internet
服務(wù)管理員] 中，選取整個(gè)IIS電腦、或Web站臺(tái)的起始目錄。於 [內(nèi)容] 之[伺服器擴(kuò)充程式] 頁，按下 [設(shè)定
] 按鈕。即可設(shè)定快�。–ache）記憶體檔案數(shù)量。
5、勿使用CGI程式　
使用CGI程式時(shí)，因?yàn)樘幚沓绦颍≒rocess）須不斷地產(chǎn)生與摧毀，造成執(zhí)行效率不佳。一般而言，執(zhí)行效率比
較如下：靜態(tài)網(wǎng)頁（Static）：100 ISAPI：50 ASP：10 CGI：1 　換句話說，ASP比CGI可能快10倍，因此勿
使用CGI程式可以改善IIS的執(zhí)行效率。以彈性（Flexibility）而言：ASP > CGI > ISAPI > 靜態(tài)網(wǎng)頁（Static
）。以安全（Security）而言：ASP（獨(dú)立） = ISAPI（獨(dú)立）= CGI > ASP（非獨(dú)立） = ISAPI（非獨(dú)立）=
靜態(tài)網(wǎng)頁（Static）
6、增加IIS 5.0電腦CPU數(shù)量　
根據(jù)微軟的測試報(bào)告，增加IIS 4.0電腦CPU數(shù)量，執(zhí)行效率并不會(huì)改善多少；但是增加IIS 5.0電腦CPU數(shù)量，
執(zhí)行效率會(huì)幾乎成正比地提供，換句話說，兩顆CPU的IIS5.0電腦執(zhí)行效率幾乎是一顆CPU電腦的兩倍，四顆CPU
的IIS 5.0電腦執(zhí)行效率幾乎是一顆CPU電腦的四倍IIS 5.0將靜態(tài)的網(wǎng)頁資料暫存於快取（Cache）記憶體當(dāng)中
；IIS 4.0 則將靜態(tài)的網(wǎng)頁資料暫存於檔案當(dāng)中。調(diào)整快�。–ache）記憶體的保存檔案數(shù)量可以改善執(zhí)行效率
。　
7、啟用ASP偵錯(cuò)功能　
勿啟用ASP偵錯(cuò)功能可以改善執(zhí)行效率。如何勿啟用ASP偵錯(cuò)功能呢？步驟如下：於[Internet服務(wù)管理員] 中，
選取Web站臺(tái)、或應(yīng)用程式的起始目錄，按右鍵選擇[內(nèi)容]，按 [主目錄]、[虛擬目錄] 或 [目錄] 頁，按下 [
設(shè)定] 按鈕，選擇 [應(yīng)用程式偵錯(cuò)] 頁，不勾選 [啟用ASP伺服器端指令偵錯(cuò)]、[啟用ASP用戶端指令偵錯(cuò)] 選
項(xiàng)。
8、靜態(tài)網(wǎng)頁采用HTTP 壓縮　
靜態(tài)網(wǎng)頁采用HTTP 壓縮，大約可以減少20%的傳輸量。HTTP壓縮功能啟用或關(guān)閉，系針對(duì)整臺(tái)IIS伺服器來設(shè)定
。用戶端使用IE 5.0瀏覽器連線到已經(jīng)啟用HTTP壓縮IIS5.0之Web伺服器，才有HTTP壓縮功能。如何啟用HTTP壓
縮功能呢？步驟如下：若要啟用HTTP 壓縮功能，方法為在 [Internet服務(wù)管理員] 中，選取電腦之 [內(nèi)容]，
於 [主要內(nèi)容] 之下選取 [WWW服務(wù)]。然後按一下 [編輯] 按鈕，於 [服務(wù)] 頁上，選取 [壓縮靜態(tài)檔案] 可
以壓縮靜態(tài)檔案，不選取 [壓縮應(yīng)用程式檔案] 。　動(dòng)態(tài)產(chǎn)生的內(nèi)容檔案（壓縮應(yīng)用程式檔案）也可以壓縮，
但是須耗費(fèi)額外CPU處理時(shí)間，若%Processor Time已經(jīng)百分之八十或更多時(shí)，建議不要壓縮
以上是對(duì)采用IIS作為WEB服務(wù)器的一些安全相關(guān)的設(shè)置與其性能調(diào)整的參數(shù)設(shè)置，可以最大化的優(yōu)化你的IIS
，不過個(gè)人認(rèn)為如果不存在障礙，還是采用apache比較好一些，漏洞少，建議采用apache 1.3.24版本，因?yàn)樽?
近經(jīng)測試，apache 1.3.23之前的版本都存在溢出漏洞，不要怕，這種漏洞很少的，呵呵。另外，個(gè)人建議不要
采用ASP安全性總不叫人放心，個(gè)人認(rèn)為還是采用JSP好一些，安全性好，功能強(qiáng)大，絕對(duì)超值，呵呵，因?yàn)镻HP
也存在不少的洞洞
附：IIS安全工具及其使用說明
一、IIS Lock Tool，快速設(shè)置IIS安全屬性
　　IIS Lock Tool的推出，還要感謝紅色代碼，因?yàn)檎羌t色代碼的大面積傳播，致使微軟設(shè)計(jì)發(fā)布這款幫助
管理員們?cè)O(shè)置IIS安全性的工具。
（一）、IIS Lock Tool具有以下功能和特點(diǎn)
　�。薄⒆罨竟δ�，幫助管理員設(shè)置IIS安全性；
　�。�、此工具可以在IIS4和IIS5上使用；
　�。�、即使系統(tǒng)沒有及時(shí)安裝所有補(bǔ)丁，也能有效防止IIS4和IIS5的已知漏洞；
　�。�、幫助管理員去掉對(duì)本網(wǎng)站不必要的一些服務(wù)，使IIS在滿足本網(wǎng)站需求的情況下運(yùn)行最少的服務(wù)；
　�。怠⒕哂袃煞N使用模式：快捷模式和高級(jí)模式�？旖菽Ｊ街苯訋椭芾韱T設(shè)置好IIS安全性，這種模式只適
合于只有HTML和HTM靜態(tài)網(wǎng)頁的網(wǎng)站使用，因?yàn)樵O(shè)置完成以后，ASP不能運(yùn)行；高級(jí)模式允許管理員自己設(shè)置各
種屬性，設(shè)置得當(dāng)，對(duì)IIS系統(tǒng)任何功能均沒有影響。
（二）、IIS Lock Tool的使用
　�。�、軟件下載和安裝
　　IIS Lock Tool在微軟網(wǎng)站下載，下載地址：
www.microsoft.com/Downloads/Release.asp?ReleaseID=32362
　　安裝很簡單，需要注意的是，安裝以后，程序不會(huì)在系統(tǒng)的【程序】菜單出現(xiàn)，也不會(huì)在【管理工具】出現(xiàn)，需要安裝者在安裝目錄尋找運(yùn)行該程序。
　　
二、URLScan Tool――過濾非法URL訪問
　　仔細(xì)觀察IIS的漏洞，我們幾乎可以得出這樣一個(gè)結(jié)論，所有利用這些漏洞實(shí)現(xiàn)對(duì)網(wǎng)站攻擊的手段均是構(gòu)造
特殊的URL來訪問網(wǎng)站，一般有以下幾種類型的URL可以利用漏洞：
　�。薄⑻貏e長的URL，比如紅色代碼攻擊網(wǎng)站的URL就是這樣：
GET/default.idaXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u
9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u
00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 200；
　２、特殊字符或者字符串的URL，比如在URL后面加::$DATA可以看到網(wǎng)頁（ASP）源代碼；
　�。�、URL中含有可執(zhí)行文件名，最常見的就是有cmd.exe；
　　既然這些攻擊利用特殊的URL來實(shí)現(xiàn)，所以，微軟提供了這款專門過濾非法URL的安全工具，可以達(dá)到御敵
于國門之外的效果，這款工具有以下特點(diǎn)和功能：
　　１、基本功能：過濾非法URL請(qǐng)求；
　�。�、設(shè)定規(guī)則，辨別那些URL請(qǐng)求是合法的；這樣，就可以針對(duì)本網(wǎng)站來制定專門的URL請(qǐng)求規(guī)則；同時(shí)，
當(dāng)有新的漏洞出現(xiàn)時(shí)，可以更改這個(gè)規(guī)則，達(dá)到防御新漏洞的效果；
　�。场⒊绦蛱峁┮惶譛RL請(qǐng)求規(guī)則，這個(gè)規(guī)則包含已經(jīng)發(fā)現(xiàn)的漏洞利用特征，幫助管理員設(shè)置規(guī)則；
（一）、軟件的下載與安裝
　　URLScan可以在微軟的網(wǎng)站上下載，地址如下：
download.microsoft.com/download/iis50/Utility/1.0/NT45XP/EN-US/UrlScan.exe
　　和一般軟件一樣安裝，但是，此軟件不能選擇安裝路徑，安裝完成以后，我們可以在
System32/InetSvr/URLScan目錄下找到以下文件：
　　urlscan.dll：動(dòng)態(tài)連接庫文件；
　　urlscan.inf：安裝信息文件；
　　urlscan.txt：軟件說明文件；
　　urlscan.ini：軟件配置文件，這個(gè)文件很只要，因?yàn)閷?duì)URLScan的所有配置，均有這個(gè)文件來完成。
（二）、軟件的配置
　　軟件的配置由urlscan.ini文件來完成，在配置此文件以前，我們需要了解一些基本知識(shí)。
　１、urlscan配