服務器安全（三） (3)

SQL SERVER數據庫操作的全部權限。遺憾的是，一部分網管對數據庫并不熟悉，建立數據
庫的工作由編程人員完成，而這部分人員往往只注重編寫SQL 語句本身，對SQL SERVER數據庫的管理不熟悉，
這樣很有可能造成SA口令為空。這對數據庫安全是一個嚴重威脅。目前具有這種隱患的站點不在少數。
　　
　　嚴格控制數據庫用戶的權限，輕易不要給讓用戶對表有直接的查詢、更改、插入、刪除權限，可以通過給
用戶以訪問視圖的權限，以及只具有執行存儲過程的權限。
　　說明：用戶如果對表有直接的操作權限，就會存在數據被破壞的危險。
　　
　　制訂完整的數據庫備份與恢復策略。
　 24. PCANYWHERE的安全：
　　
　　目前，PCANYWHERE是最流行的基于NT與2000的遠程控制工具，同樣也需要注意安全問題。
　　
　　建議采用單獨的用戶名與口令，最好采用加密手段。千萬不要采用與NT管理員一樣的用戶名與口令，也不
要使用與NT集成的口令。同時在服務器端的設置時務必采用security options中的強加密方式，拒絕低加密水
平的連接，同時采用口令加密與傳輸過程中的用戶名與口令加密，以防止被嗅探到，還要限制連接次數，另外
很重要的一點就是一定在protect item中設置高強度的口令，同時一定限制不能夠讓別人看到你的host端的任何設置，即便是要察看主機端的相關設置也必須要輸入口令！
　　說明：PCANYWHERE 口令是遠程控制的第一個關口，如果與NT的一樣， 就失去了安全屏障。被攻破后就毫
無安全可言。而如果采用單獨的口令，即使攻破了PCANYWHERE，NT還有一個口令屏障。
　　及時安裝較新的版本。
2.中級篇: IIS的安全與性能調整
實際上，安全和應用在很多時候是矛盾的，因此，你需要在其中找到平衡點，畢竟服務器是給用戶用而不是做
OPEN HACK的，如果安全原則妨礙了系統應用，那么這個安全原則也不是一個好的原則。 網絡安全是一項系統
工程，它不僅有空間的跨度，還有時間的跨度。很多朋友（包括部分系統管理員）認為進行了安全配置的主機
就是安全的，其實這其中有個誤區：我們只能說一臺主機在一定的情況一定的時間上是安全的隨著網絡結構的
變化、新的漏洞的發現，管理員/用戶的操作，主機的安全狀況是隨時隨地變化著的，只有讓安全意識和安全制
度貫穿整個過程才能做到真正的安全。
提高IIS 5.0網站伺服器的執行效率的八種方法 　
以下是提高IIS 5.0網站伺服器的執行效率的八種方法：
1. 啟用HTTP的持續作用可以改善15~20%的執行效率。 　
2. 不啟用記錄可以改善5~8%的執行效率。 　
3. 使用 [獨立] 的處理程序會損失20%的執行效率。 　
4. 增加快取記憶體的保存檔案數量，可提高Active Server Pages之效能。 　
5. 勿使用CGI程式。 　
6. 增加IIS 5.0電腦CPU數量。 　
7. 勿啟用ASP偵錯功能。 　
8. 靜態網頁采用HTTP 壓縮，大約可以減少20%的傳輸量。 　
簡單介紹如下。 　
1、啟用HTTP的持續作用 　
啟用HTTP的持續作用（Keep-Alive）時，IIS與瀏覽器的連線不會斷線，可以改善執行效率，直到瀏覽器關閉時
連線才會斷線。因為維持「Keep-Alive」狀態時，於每次用戶端請求時都不須重新建立一個新的連接，所以將
改善伺服器的效率。此功能為HTTP1.1預設的功能，HTTP 1.0加上Keep-Alive header也可以提供HTTP的持續作
用功能。
　
2、啟用HTTP的持續作用可以改善15~20%的執行效率。 　
如何啟用HTTP的持續作用呢？步驟如下：在 [Internet服務管理員] 中，選取整個IIS電腦、或Web站臺，於 [
內容] 之 [主目錄] 頁，勾選 [HTTP的持續作用] 選項。
　
3、不啟用記錄 　
不啟用記錄可以改善5~8%的執行效率。如何設定不啟用記錄呢？步驟如下： 　
在 [Internet服務管理員] 中，選取整個IIS電腦、或Web站臺，於 [內容] 之 [主目錄] 頁，不勾選 [啟用記
錄] 選項。設定非獨立的處理程序使用 [獨立] 的處理程序會損失20%的執行效率，此處所謂 獨立」系指將 [
主目錄]、[虛擬目錄] 頁之應用程式保護選項設定為 [高（獨立的）] 時。因此 [應用程式保護] 設定為 [低
(IIS處理程序)] 時執行效率較高如何設定非「獨立」的處理程序呢？步驟如下： 在 [Internet服務管理員]
中，選取整個IIS電腦、Web站臺、或應用程式的起始目錄。於 [內容] 之 [主目錄]、[虛擬目錄] 頁，設定應
用程式保護選項為 [低 (IIS處理程序)] 。 　
4、調整快取（Cache）記憶體 　
IIS 5.0將靜態的網頁資料暫存於快取（Cache）記憶體當中；IIS 4.0則將靜態的網頁資料暫存於檔案當中。調
整快取（Cache）記憶體的保存檔案數量可以改善執行效率。ASP指令檔案執行過後，會在暫存於快取（Cache）
記憶體中以提高執行效能。增加快取記憶體的保存檔案數量，可提高Active Server Pages之效能。可以設定所
有在整個IIS電腦、「獨立」Web站臺、或「獨立」應用程式上執行之應用程式的快取記憶體檔案數量。如何設
定快取（Cache）功能呢？步驟如下：在 [Internet服務管理員] 中選取整個IIS電腦、「獨立」Web站臺、或「
獨立」應用程式的起始目錄。於 [內容] 之 [主目錄]、[虛擬目錄] 頁，按下 [設定] 按鈕時，即可由 [處理
程序選項] 頁設定[指令檔快取記憶體] 。如何設定快取（Cache）記憶體檔案數量呢？步驟如下：在[Internet
服務管理員] 中，選取整個IIS電腦、或Web站臺的起始目錄。於 [內容] 之[伺服器擴充程式] 頁，按下 [設定
] 按鈕。即可設定快取（Cache）記憶體檔案數量。
5、勿使用CGI程式 　
使用CGI程式時，因為處理程序（Process）須不斷地產生與摧毀，造成執行效率不佳。一般而言，執行效率比
較如下： 靜態網頁（Static）：100 ISAPI：50 ASP：10 CGI：1 　換句話說，ASP比CGI可能快10倍，因此勿
使用CGI程式可以改善IIS的執行效率。以彈性（Flexibility）而言：ASP > CGI > ISAPI > 靜態網頁（Static
）。以安全（Security）而言：ASP（獨立） = ISAPI（獨立）= CGI > ASP（非獨立） = ISAPI（非獨立）=
靜態網頁（Static）
6、增加IIS 5.0電腦CPU數量 　
根據微軟的測試報告，增加IIS 4.0電腦CPU數量，執行效率并不會改善多少；但是增加IIS 5.0電腦CPU數量，
執行效率會幾乎成正比地提供，換句話說，兩顆CPU的IIS5.0電腦執行效率幾乎是一顆CPU電腦的兩倍，四顆CPU
的IIS 5.0電腦執行效率幾乎是一顆CPU電腦的四倍IIS 5.0將靜態的網頁資料暫存於快取（Cache）記憶體當中
；IIS 4.0 則將靜態的網頁資料暫存於檔案當中。調整快取（Cache）記憶體的保存檔案數量可以改善執行效率
。 　
7、啟用ASP偵錯功能 　
勿啟用ASP偵錯功能可以改善執行效率。如何勿啟用ASP偵錯功能呢？步驟如下：於[Internet服務管理員] 中，
選取Web站臺、或應用程式的起始目錄，按右鍵選擇[內容]，按 [主目錄]、[虛擬目錄] 或 [目錄] 頁，按下 [
設定] 按鈕，選擇 [應用程式偵錯] 頁，不勾選 [啟用ASP伺服器端指令偵錯]、[啟用ASP用戶端指令偵錯] 選
項。
8、靜態網頁采用HTTP 壓縮 　
靜態網頁采用HTTP 壓縮，大約可以減少20%的傳輸量。HTTP壓縮功能啟用或關閉，系針對整臺IIS伺服器來設定
。用戶端使用IE 5.0瀏覽器連線到已經啟用HTTP壓縮IIS5.0之Web伺服器，才有HTTP壓縮功能。如何啟用HTTP壓
縮功能呢？步驟如下：若要啟用HTTP 壓縮功能，方法為在 [Internet服務管理員] 中，選取電腦之 [內容]，
於 [主要內容] 之下選取 [WWW服務]。然後按一下 [編輯] 按鈕，於 [服務] 頁上，選取 [壓縮靜態檔案] 可
以壓縮靜態檔案，不選取 [壓縮應用程式檔案] 。 　動態產生的內容檔案（壓縮應用程式檔案）也可以壓縮，
但是須耗費額外CPU處理時間，若%Processor Time已經百分之八十或更多時，建議不要壓縮
以上是對采用IIS作為WEB服務器的一些安全相關的設置與其性能調整的參數設置，可以最大化的優化你的IIS
，不過個人認為如果不存在障礙，還是采用apache比較好一些，漏洞少，建議采用apache 1.3.24版本，因為最
近經測試，apache 1.3.23之前的版本都存在溢出漏洞，不要怕，這種漏洞很少的，呵呵。另外，個人建議不要
采用ASP安全性總不叫人放心，個人認為還是采用JSP好一些，安全性好，功能強大，絕對超值，呵呵，因為PHP
也存在不少的洞洞
附：IIS安全工具及其使用說明
一、IIS Lock Tool，快速設置IIS安全屬性
　　IIS Lock Tool的推出，還要感謝紅色代碼，因為正是紅色代碼的大面積傳播，致使微軟設計發布這款幫助
管理員們設置IIS安全性的工具。
（一）、IIS Lock Tool具有以下功能和特點
　　１、最基本功能，幫助管理員設置IIS安全性；
　　２、此工具可以在IIS4和IIS5上使用；
　　３、即使系統沒有及時安裝所有補丁，也能有效防止IIS4和IIS5的已知漏洞；
　　４、幫助管理員去掉對本網站不必要的一些服務，使IIS在滿足本網站需求的情況下運行最少的服務；
　　５、具有兩種使用模式：快捷模式和高級模式。快捷模式直接幫助管理員設置好IIS安全性，這種模式只適
合于只有HTML和HTM靜態網頁的網站使用，因為設置完成以后，ASP不能運行；高級模式允許管理員自己設置各
種屬性，設置得當，對IIS系統任何功能均沒有影響。
（二）、IIS Lock Tool的使用
　　１、軟件下載和安裝
　　IIS Lock Tool在微軟網站下載，下載地址：
www.microsoft.com/Downloads/Release.asp?ReleaseID=32362
　　安裝很簡單，需要注意的是，安裝以后，程序不會在系統的【程序】菜單出現，也不會在【管理工具】出現，需要安裝者在安裝目錄尋找運行該程序。
　　
二、URLScan Tool――過濾非法URL訪問
　　仔細觀察IIS的漏洞，我們幾乎可以得出這樣一個結論，所有利用這些漏洞實現對網站攻擊的手段均是構造
特殊的URL來訪問網站，一般有以下幾種類型的URL可以利用漏洞：
　　１、特別長的URL，比如紅色代碼攻擊網站的URL就是這樣：
GET/default.idaXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u
9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u
00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 200；
　 ２、特殊字符或者字符串的URL，比如在URL后面加::$DATA可以看到網頁（ASP）源代碼；
　　３、URL中含有可執行文件名，最常見的就是有cmd.exe；
　　既然這些攻擊利用特殊的URL來實現，所以，微軟提供了這款專門過濾非法URL的安全工具，可以達到御敵
于國門之外的效果，這款工具有以下特點和功能：
　　１、基本功能：過濾非法URL請求；
　　２、設定規則，辨別那些URL請求是合法的；這樣，就可以針對本網站來制定專門的URL請求規則；同時，
當有新的漏洞出現時，可以更改這個規則，達到防御新漏洞的效果；
　　３、程序提供一套URL請求規則，這個規則包含已經發現的漏洞利用特征，幫助管理員設置規則；
（一）、軟件的下載與安裝
　　URLScan可以在微軟的網站上下載，地址如下：
download.microsoft.com/download/iis50/Utility/1.0/NT45XP/EN-US/UrlScan.exe
　　和一般軟件一樣安裝，但是，此軟件不能選擇安裝路徑，安裝完成以后，我們可以在
System32/InetSvr/URLScan目錄下找到以下文件：
　　urlscan.dll：動態連接庫文件；
　　urlscan.inf：安裝信息文件；
　　urlscan.txt：軟件說明文件；
　　urlscan.ini：軟件配置文件，這個文件很只要，因為對URLScan的所有配置，均有這個文件來完成。
（二）、軟件的配置
　　軟件的配置由urlscan.ini文件來完成，在配置此文件以前，我們需要了解一些基本知識。
　１、urlscan配

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]