最好安全实践：锁定IIS和SQL服务器

核心提示：微软的IIS和SQL服务器通常是基于Windows的散布式利用环境的主要部份。这就意味着它们也是最常常遭到攻击的目标。在本文中，我们将提供进步这些产品安全性的1些具体建议。

微软的IIS和SQL服务器通常是基于Windows的散布式利用环境的主要部份。这就意味着它们也是最常常遭到攻击的目标。在本文中，我们将提供进步这些产品安全性的1些具体建议。

进步IIS安全性的建议

IIS中有1个称作ISAPI的编程接口，这个编程接口与那些以DLL为扩大名的文件有关。这些文件也称作ISAPI扩大。

小知识

ISAPI是（Internet Server API）的缩写，是微软IIS web服务器的1个利用程序编程接口（API），由于ISAPI与Web服务器结合的更紧密，这使程序员可以通过使用ISAPI开发出比传统CGI技术履行效率更高的基于web的利用程序。除微软的IIS之外，还有其它1些厂商的Web服务器产品也支持ISAPI接口。

ISAPI扩大负责处理如活动服务器页（ASP）、.NET网络服务和基于网络的打印共享等功能。但是，很多这些扩大功能都是没必要要的，特别是在你使用IIS 5.0之前版本的时候。这个题目是很多这类扩大(过滤器)都存在可以利用的安全漏洞。臭名昭著的“红色代码”就是利用这些扩大功能的1种恶意程序的例子。你可以仅仅启用网络服务器和利用程序需要的那些ISAPI扩大，严格限制能够与各种扩大功能1起使用的HTTP选项。

在IIS中设置ISAPI选项

大多数IIS安装都包括1些简单的利用程序和旨在展现这个网络服务器功能的脚本。它们在设计上其实不是很好的考虑了安全，特别是在5.0版本之前。这样，人们利用这些程序的安全漏洞便可以够覆盖服务器上的文件或远程阅览，乃至远程访问敏感的服务器信息，如系统设置和指向可履行程序的路径。在设置任何IIS服务器投进正式使用之前，你最少应当删除“/InetPub/iissamples”目录，删除、移动“/InetPub/AdminScripts”治理员脚本目录或限制对它的访问。微软的IIS安全工具IIS Lockdown Tool对加强IIS安全是非常有用的。

任何没有坚持不断地升级补钉和保持最新状态的Web服务器都是恶意活动的主要目标。有规律地及时地修补答应公然访问的web服务器是非常重要的。

ColdFusion和PHP等网络插件也能够在网络服务器中造成安全漏洞。对这些插件要认真进行设置，并且要查看资源网站和最新的安全公告，了解这些插件需要的最新的补钉和新的漏洞。

IIS安全检查清单

1、利用最新的操纵系统服务包和IIS的安全升级和在同1台主机上安装的任何利用程序的最新升级包。考虑使用自动升级工具来自动安装补钉。

2、安装基于主机的杀毒和进侵检测软件。保持这些软件使用最新的补钉并且常常查看记录文件。

3、封闭没必要要的脚本解释器并且删除它们的2进制文件。例如 perl、perlscript、vbscript、jscript、javascript和php。
　　
4、使用日志并且常常检查日志记录，最好通过回纳事件的自动化程序来查看记录并且报告异常和可疑的事件。

5、删除或限制攻击者突破计算机常常使用的系统工具。例如，tftp(.exe)、ftp(.exe)、cmd.exe、bash、net.exe、remote.exe,和telnet(.exe)等。

6、在web服务器上仅运行HTTP服务和支持这类服务所需的服务。

7、熟习和最大限度地减少通过公共网络服务器进进内部网络的任何连接。在面向互联网的系统上封闭文件和打印机共享和NETBIOS名称解析。

8、在隔离区使用1个单独的DNS服务器为面向互联网的Web服务器服务。把在隔离区外面的不能够解析的任何查询都引导到其它公共DNS服务器中或你的服务提供商的服务器中，千万不要引导到你内部的DND服务器。

9、在面向公众的系统中使用与内部系统不同的帐号和密码制定规则，面向互联网的IIS服务器应当位于防火墙后面的隔离区，隔离区和内部网络之间还有第2层防火墙。面向互联网的IIS服务器不应当是内部活动目录域的1部份，或使用属于内部活动目录域的账户。

10、假设有必要的话，封闭所有通向隔离区的端口，80端口或443端口除外。

11、在1个硬盘上安装操纵系统并且在不同的硬盘上安装网站，以避免目录遍历攻击。

12、假设你必须使用远程数据协议(或终端服务协议和远程桌面协议)来治理服务器，把默许的3389端口改成黑客不轻易发现的其它端口。

保证IIS安全的工具

对单个服务器使用Windows升级或自动升级程序。

在可治理的环境中或治理员负责多个不同的系统的地方使用系统治理服务器 (SMS) 或 Windows服务器升级服务(WSUS) 。

微软基准安全分析器(MBSA) 帮助系统治理员在本地系统和远程系统实行扫描，查找最新的补钉。这个工具在Windows NT 4、Windows 2000、 Windows XP和Windows 2003平台上运行。

使用IIS Lockdown Tool 或安全设置向导(SCW)增强你的IIS和服务器。使用URLScan过滤HTTP要求。URLScan是IIS Lockdown Tool 的1部份，经过设置以后能够拒尽“蓝色代码”和“红色代码”等恶意的HTTP要求，乃至在服务器处理这些恶意要求之前便可以够拒尽这些要求。

把这些工具下载到另1台机器上并在你的IIS服务器连接到互联网之前把这些工具复制到你的IIS服务器中。避免在完全进行分析和使用补钉之前把你的IIS服务器连接到互联网。

SQL服务器安全措施推荐

修改默许的SQL服务器端口

最普遍的SQL的攻击乃至在安全公告也没有包括。这就是使用1个空缺的口令企图简单地登录SA账户。微软的SQL服务器安装了默许采取1个口令空缺的SA账户，这是你需要修改的第1件事情。

另1个产生空缺口令的常见缘由是产品。例如，某些版本的Visio安装微软的SQL服务器2000桌面引擎(MSDE)历来不修改SA口令。用户乃至都不知道他们在运行MSDE。你可以从eEye数字安全公司下载1个程序扫描你的网络查找具有空缺SA账户的SQL服务器。

SQL服务器安全检查清单

1、设置1个SA账户口令，并且限制这个账户的使用。你还要定期修改口令以避免口令分散，并且被开发职员或太多的治理员所使用。假设任何知道SA口令的人离开公司，你都需要修改SA口令。使用eEye的工具扫描你的网络查找没有SA口令的SQL服务器。

2、将你的SQL服务器设置在防火墙后面，与你的IIS服务器或网络服务器分开。仅答应这些指定的网络服务器连接SQL服务器。你的SQL服务器永久不要向互联网开放或答应公然访问。

3、从sysadmin角色中删除BUILTIN/Administrators ，然后将SQL治理权限赋予需要SQL治理功能的域账户。

4、假设可能的话，使用Windows身份辨认或仅使用Windows模式。采取这类方式，潜伏的黑客必须首先向这个域验证身份，而不是仅向SQL服务器验证身份。

5、不要在域控制器上运行SQL服务器。

6、把SQL服务器启动账户改成非本地帐户。

7、启用失败登录选项(服务器属性/安全标签)，这样你便可以够查看失败的登录，看看是否是有未经过答应的个人想法访问这个服务器。假设可能的话，监视SQL记录并且使用NETSEND或电子邮件在SQL中设置报警。

8、为操纵系统和SQL保持最新的补钉更新和服务包。某些选项可以参考确保IIS安全的工具。

9、保护任何扩大的存储进程。控制存储进程对数据的访问，批准访问这些数据，而不是对数据本身提供全面的db_datareader和db_datawriter许可。

10、使用设置工具修改标准的SQL服务器端口，封闭默许端口1433。让你的网络治理员打开新的端口。

11、确保everyone组无SQL服务器注册表键的写权。 

http://www.fw8.net/

TAG:微软,服务器,口令,系统,端口

评论加载中... 内容： 评论者： 验证码：