服務器安全（三） (2)

其他目錄；
　　說明：黑客有可能通過WEB站點的漏洞得到操作系統對操作系統某些程序的執行權限，從而造成更大的破壞
。同時如果采用IIS的話你應該在其設置中刪除掉所有的無用的映射，同時不要安裝索引服務，遠程站點管理與
服務器擴展最好也不要要，然后刪掉默認路徑下的www，整個刪，不要手軟，然后再硬盤的另一個硬盤建立存放
你網站的文件夾，同時一定記得打開w3c日志紀錄，切記（不過本人建議采用apache 1.3.24）
系統安裝過程中一定本著最小服務原則，無用的服務一概不選擇，達到系統的最小安裝，多一個服務，多
一份風險，呵呵，所以無用組件千萬不要安裝！
9.關于補�。涸贜T下，如果安裝了補丁程序，以后如果要從NT光盤上安裝新的Windows程序,都要重新安裝
一次補丁程序， 2000下不需要這樣做。
　　說明：
　　
　�。�1） 最新的補丁程序，表示系統以前有重大漏洞，非補不可了，對于局域網內服務器可以不是最新的，
但站點必須安裝最新補丁，否則黑客可能會利用低版本補丁的漏洞對系統造成威脅。這是一部分管理員較易忽
視的一點；
　　（2） 安裝NT的SP5、SP6有一個潛在威脅，就是一旦系統崩潰重裝NT時，系統將不會認NTFS分區，原因是
微軟在這兩個補丁中對NTFS做了改進。只能通過Windows 2000安裝過程中認NTFS，這樣會造成很多麻煩，建議
同時做好數據備份工作。
　　（3） 安裝Service Pack前應先在測試機器上安裝一次，以防因為例外原因導致機器死機，同時做好數據
備份。
　　
　　盡量不安裝與WEB站點服務無關的軟件；
　　說明：其他應用軟件有可能存在黑客熟知的安全漏洞。
　　
　　
　　10.解除NetBios與TCP/IP協議的綁定
　　說明：NetBois在局域網內是不可缺少的功能，在網站服務器上卻成了黑客掃描工具的首選目標。方法：NT
：控制面版——網絡——綁定——NetBios接口——禁用 2000：控制面版——網絡和撥號連接——本地網絡—
—屬性——TCP/IP——屬性——高級——WINS——禁用TCP/IP上的NETBIOS
　　
　　11.刪除所有的網絡共享資源，在網絡連接的設置中刪除文件和打印共享，只留下TCP/IP協議
　　說明：NT與2000在默認情況下有不少網絡共享資源，在局域網內對網絡管理和網絡通訊有用，在網站服務
器上同樣是一個特大的安全隱患。（卸載“Microsoft 網絡的文件和打印機共享”。當查看“網絡和撥號連接
”中的任何連接屬性時，將顯示該選項。單擊“卸載”按鈕刪除該組件；清除“Microsoft 網絡的文件和打印
機共享”復選框將不起作用。）
　　方法：
　　(1)NT:管理工具——服務器管理器——共享目錄——停止共享;
　　2000:控制面版——管理工具——計算及管理——共享文件夾———停止共享
　　但上述兩種方法太麻煩，服務器每重啟一次，管理員就必須停止一次
　　（2）修改注冊表：
　　運行Regedit，然后修改注冊表在
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters下增加一個鍵
　　Name: AutoShareServer
　　Type: REG_DWORD
　　value: 0
　　然后重新啟動您的服務器，磁盤分區共享去掉，但IPC共享仍存在，需每次重啟后手工刪除。
　　
　　12.改NTFS的安全權限；
　　說明：NTFS下所有文件默認情況下對所有人（EveryOne）為完全控制權限，這使黑客有可能使用一般用戶
身份對文件做增加、刪除、執行等操作，建議對一般用戶只給予讀取權限，而只給管理員和System以完全控制
權限，但這樣做有可能使某些正常的腳本程序不能執行，或者某些需要寫的操作不能完成，這時需要對這些文
件所在的文件夾權限進行更改，建議在做更改前先在測試機器上作測試，然后慎重更改。
　　
　　13.加強數據備份；
　　說明：這一點非常重要，站點的核心是數據，數據一旦遭到破壞后果不堪設想，而這往往是黑客們真正關
心的東西；遺憾的是，不少網管在這一點上作的并不好，不是備份不完全，就是備份不及時。數據備份需要仔
細計劃，制定出一個策略并作了測試以后才實施，而且隨著網站的更新，備份計劃也需要不斷地調整。
　　
　　
　　14.只保留TCP/IP協議，刪除NETBEUI、IPX/SPX協議；
　　說明：網站需要的通訊協議只有TCP/IP，而NETBEUI是一個只能用于局域網的協議，IPX/SPX是面臨淘汰的
協議，放在網站上沒有任何用處，反而會被某些黑客工具利用�！　�
　　
　　15.不要起用IP轉發功能，控制面板->網絡->協議->TCP/IP協議->屬性，使這個選框為空。（NT）
　　說明：缺省情況下，NT的IP轉發功能是禁止的，但注意不要啟用，否則它會具有路由作用，被黑客利用來
對其他服務器進行攻擊。
　　
　　16.安裝最新的MDAC（http://www.microsoft.com/data/download.htm）
　　說明：MDAC為數據訪問部件，通常程序對數據庫的訪問都通過它，但它也是黑客攻擊的目標，為防止以前
版本的漏洞可能會被帶入升級后的版本，建議卸載后安裝最新的版本。注意：在安裝最新版本前最好先做一下
測試，因為有的數據訪問方式或許在新版本中不再被支持，這種情況下可以通過修改注冊表來檔漏洞，祥見漏
洞測試文檔。
　　
　　17.設置IP拒絕訪問列表
　　說明：對于WWW服務，可以拒絕一些對站點有攻擊嫌疑的地址；尤其對于FTP服務，如果只是自己公司上傳
文件，就可以只允許本公司的IP訪問改FTP服務，這樣，安全性大為提高。
　　
　　18.禁止對FTP服務的匿名訪問
　　說明：如果允許對FTP服務做匿名訪問，該匿名帳戶就有可能被利用來獲取更多的信息，以致對系統造成危
害。
　　
　　19.建議使用W3C擴充日志文件格式，每天記錄客戶IP地址，用戶名，服務器端口，方法，URI字根，HTTP狀
態，用戶代理，而且每天均要審查日志。（最好不要使用缺省的目錄，建議更換一個記日志的路徑，同時設置
日志的訪問權限，只允許管理員和system為Full Control）
　　說明：作為一個重要措施，既可以發現攻擊的跡象，采取預防措施，也可以作為受攻擊的一個證據。
　　
　　20.慎重設置WEB站點目錄的訪問權限，一般情況下，不要給予目錄以寫入和允許目錄瀏覽權限。只給予
.ASP文件目錄以腳本的權限，而不要給與執行權限。
　　說明：目錄訪問權限必須慎重設置，否則會被黑客利用。
　　21.ASP編程安全：
　　
　　安全不僅是網管的事，編程人員也必須在某些安全細節上注意，養成良好的安全習慣，否則，會給黑客造
成可乘之機。目前，大多數網站上的ASP程序有這樣那樣的安全漏洞，但如果寫程序的時候注意的話，還是可以
避免的。
　　
　　涉及用戶名與口令的程序最好封裝在服務器端，盡量少的在ASP文件里出現，涉及到與數據庫連接地用戶名
與口令應給予最小的權限。
　　說明：用戶名與口令，往往是黑客們最感興趣的東西，如果被通過某種方式看到源代碼，后果是嚴重的。
因此要盡量減少它們在ASP文件中的出現次數。出現次數多得用戶名與口令可以寫在一個位置比較隱蔽的包含文
件中。如果涉及到與數據庫連接，理想狀態下只給它以執行存儲過程的權限，千萬不要直接給予該用戶以修改
、插入、刪除記錄的權限。
　　
　　需要經過驗證的ASP頁面，可跟蹤上一個頁面的文件名，只有從上一頁面轉進來的會話才能讀取這個頁面。
　　說明：現在的需要經過驗證的ASP程序多是在頁面頭部加一個判斷語句，但這還不夠，有可能被黑客繞過驗
證直接進入，因此有必要跟蹤上一個頁面。具體漏洞見所附漏洞文檔。
　　
　　防止ASP主頁.inc文件泄露問題
　　當存在asp 的主頁正在制作并沒有進行最后調試完成以前，可以被某些搜索引擎機動追加為搜索對象，如
果這時候有人利用搜索引擎對這些網頁進行查找，會得到有關文件的定位，并能在瀏覽器中察看到數據庫地點
和結構的細節揭示完整的源代碼。
　　解決方案：程序員應該在網頁發布前對其進行徹底的調試；安全專家需要固定asp 包含文件以便外部的用
戶不能看他們。 首先對 .inc 文件內容進行加密，其次也可以使用 .asp 文件代替 .inc 文件使用戶無法從瀏
覽器直接觀看文件的源代碼。.inc 文件的文件名不用使用系統默認的或者有特殊含義容易被用戶猜測到的，盡
量使用無規則的英文字母。
　　
　　
　　注意某些ASP編輯器會自動備份asp文件，會被下載的漏洞
　　在有些編輯asp程序的工具，當創建或者修改一個asp文件時，編輯器自動創建一個備份文件，比如：
UltraEdit就會備份一個..bak文件，如你創建或者修改了some.asp，編輯器自動生成一個叫some.asp.bak文件
，如果你沒有刪除這個 bak文件，攻擊有可以直接下載some.asp.bak文件，這樣some.asp的源程序就會給下載
。
　　
　　在處理類似留言板、BBS等輸入框的ASP程序中，最好屏蔽掉HTML、javascript、VBScript語句，如無特殊
要求，可以限定只允許輸入字母與數字，屏蔽掉特殊字符。同時對輸入字符的長度進行限制。而且不但在客戶
端進行輸入合法性檢查，同時要在服務器端程序中進行類似檢查。
　　說明：輸入框是黑客利用的一個目標，他們可以通過輸入腳本語言等對用戶客戶端造成損壞； 如果該輸入
框涉及到數據查詢，他們會利用特殊查詢輸入得到更多的數據庫數據，甚至是表的全部。因此必須對輸入框進
行過濾。但如果為了提高效率僅在客戶端進行輸入合法性檢查，仍有可能被繞過，因此必須在服務器端再做一
次檢查。
　　
　　
　　防止ACCESS mdb 數據庫有可能被下載的漏洞
　　在用ACCESS做后臺數據庫時，如果有人通過各種方法知道或者猜到了服務器的ACCESS數據庫的路徑和數據
庫名稱，那么他能夠下載這個ACCESS數據庫文件，這是非常危險的。
　　解決方法：
　　(1) 為你的數據庫文件名稱起個復雜的非常規的名字，并把他放在幾目錄下。所謂 "非常規"， 打個比方
： 比如有個數據庫要保存的是有關書籍的信息， 可不要把他起個"book.mdb"的名字，起個怪怪的名稱，比如
d34ksfslf.mdb， 再把他放在如./kdslf/i44/studi/ 的幾層目錄下，這樣黑客要想通過猜的方式得到你的
ACCESS數據庫文件就難上加難了。
　　(2)不要把數據庫名寫在程序中。有些人喜歡把DSN寫在程序中，比如：
　　DBPath = Server.MapPath("cmddb.mdb"
　　conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
　　假如萬一給人拿到了源程序，你的ACCESS數據庫的名字就一覽無余。因此建議你在ODBC里設置數據源，再
在程序中這樣寫：
　　conn.open "shujiyuan"
　　(3)使用ACCESS來為數據庫文件編碼及加密。首先在選取 "工具->安全->加密/解密數據庫，選取數據庫（
如：employer.mdb），然后接確定，接著會出現 "數據庫加密后另存為"的窗口，存為：employer1.mdb。 接著
employer.mdb就會被編碼，然后存為employer1.mdb..
　　要注意的是，以上的動作并不是對數據庫設置密碼，而只是對數據庫文件加以編碼，目的是為了防止他人
使用別的工具來查看數據庫文件的內容。
　　接下來我們為數據庫加密，首先以打開經過編碼了的 employer1.mdb， 在打開時，選擇"獨占"方式。然后
選取功能表的"工具->安全->設置數據庫密碼"， 接著 輸入密碼即可。這樣即使他人得到了employer1.mdb文件
，沒有密碼他是無法看到 employer1.mdb的。
　　23.SQL SERVER的安全
　　
　　SQL SERVER是NT平臺上用的最多的數據庫系統，但是它的安全問題也必須引起重視。數據庫中往往存在著
最有價值的信息，一旦數據被竊后果不堪設想。
　　
　　及時更新補丁程序。
　　說明：與NT一樣，SQL SERVER的許多漏洞會由補丁程序來彌補。建議在安裝補丁程序之前先在測試機器上
做測試，同時提前做好目標服務器的數據備份。
　　
　　給SA一個復雜的口令。
　　說明：SA具有

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]