|
SQL SERVER數(shù)據(jù)庫操作的全部權(quán)限����。遺憾的是,一部分網(wǎng)管對數(shù)據(jù)庫并不熟悉�����,建立數(shù)據(jù)
庫的工作由編程人員完成����,而這部分人員往往只注重編寫SQL 語句本身,對SQL SERVER數(shù)據(jù)庫的管理不熟悉���,
這樣很有可能造成SA口令為空����。這對數(shù)據(jù)庫安全是一個嚴(yán)重威脅。目前具有這種隱患的站點不在少數(shù)���。
嚴(yán)格控制數(shù)據(jù)庫用戶的權(quán)限�����,輕易不要給讓用戶對表有直接的查詢��、更改����、插入���、刪除權(quán)限,可以通過給
用戶以訪問視圖的權(quán)限�,以及只具有執(zhí)行存儲過程的權(quán)限。
說明:用戶如果對表有直接的操作權(quán)限���,就會存在數(shù)據(jù)被破壞的危險����。
制訂完整的數(shù)據(jù)庫備份與恢復(fù)策略���。
24. PCANYWHERE的安全:
目前����,PCANYWHERE是最流行的基于NT與2000的遠(yuǎn)程控制工具,同樣也需要注意安全問題�。
建議采用單獨的用戶名與口令,最好采用加密手段�。千萬不要采用與NT管理員一樣的用戶名與口令,也不
要使用與NT集成的口令�����。同時在服務(wù)器端的設(shè)置時務(wù)必采用security options中的強(qiáng)加密方式��,拒絕低加密水
平的連接���,同時采用口令加密與傳輸過程中的用戶名與口令加密�����,以防止被嗅探到��,還要限制連接次數(shù)�����,另外
很重要的一點就是一定在protect item中設(shè)置高強(qiáng)度的口令�,同時一定限制不能夠讓別人看到你的host端的任何設(shè)置,即便是要察看主機(jī)端的相關(guān)設(shè)置也必須要輸入口令�!
說明:PCANYWHERE 口令是遠(yuǎn)程控制的第一個關(guān)口,如果與NT的一樣����, 就失去了安全屏障。被攻破后就毫
無安全可言����。而如果采用單獨的口令,即使攻破了PCANYWHERE�,NT還有一個口令屏障。
及時安裝較新的版本�����。
2.中級篇: IIS的安全與性能調(diào)整
實際上�����,安全和應(yīng)用在很多時候是矛盾的��,因此���,你需要在其中找到平衡點�����,畢竟服務(wù)器是給用戶用而不是做
OPEN HACK的���,如果安全原則妨礙了系統(tǒng)應(yīng)用,那么這個安全原則也不是一個好的原則�。 網(wǎng)絡(luò)安全是一項系統(tǒng)
工程,它不僅有空間的跨度�,還有時間的跨度。很多朋友(包括部分系統(tǒng)管理員)認(rèn)為進(jìn)行了安全配置的主機(jī)
就是安全的�,其實這其中有個誤區(qū):我們只能說一臺主機(jī)在一定的情況一定的時間上是安全的隨著網(wǎng)絡(luò)結(jié)構(gòu)的
變化、新的漏洞的發(fā)現(xiàn)��,管理員/用戶的操作����,主機(jī)的安全狀況是隨時隨地變化著的,只有讓安全意識和安全制
度貫穿整個過程才能做到真正的安全���。
提高IIS 5.0網(wǎng)站伺服器的執(zhí)行效率的八種方法
以下是提高IIS 5.0網(wǎng)站伺服器的執(zhí)行效率的八種方法:
1. 啟用HTTP的持續(xù)作用可以改善15~20%的執(zhí)行效率����。
2. 不啟用記錄可以改善5~8%的執(zhí)行效率。
3. 使用 [獨立] 的處理程序會損失20%的執(zhí)行效率����。
4. 增加快取記憶體的保存檔案數(shù)量,可提高Active Server Pages之效能�。
5. 勿使用CGI程式。
6. 增加IIS 5.0電腦CPU數(shù)量����。
7. 勿啟用ASP偵錯功能。
8. 靜態(tài)網(wǎng)頁采用HTTP 壓縮�,大約可以減少20%的傳輸量。
簡單介紹如下�。
1、啟用HTTP的持續(xù)作用
啟用HTTP的持續(xù)作用(Keep-Alive)時�,IIS與瀏覽器的連線不會斷線,可以改善執(zhí)行效率����,直到瀏覽器關(guān)閉時
連線才會斷線�����。因為維持「Keep-Alive」?fàn)顟B(tài)時���,於每次用戶端請求時都不須重新建立一個新的連接��,所以將
改善伺服器的效率��。此功能為HTTP1.1預(yù)設(shè)的功能����,HTTP 1.0加上Keep-Alive header也可以提供HTTP的持續(xù)作
用功能。
2���、啟用HTTP的持續(xù)作用可以改善15~20%的執(zhí)行效率�。
如何啟用HTTP的持續(xù)作用呢����?步驟如下:在 [Internet服務(wù)管理員] 中,選取整個IIS電腦�、或Web站臺,於 [
內(nèi)容] 之 [主目錄] 頁�,勾選 [HTTP的持續(xù)作用] 選項。
3����、不啟用記錄
不啟用記錄可以改善5~8%的執(zhí)行效率。如何設(shè)定不啟用記錄呢�����?步驟如下:
在 [Internet服務(wù)管理員] 中,選取整個IIS電腦��、或Web站臺����,於 [內(nèi)容] 之 [主目錄] 頁,不勾選 [啟用記
錄] 選項����。設(shè)定非獨立的處理程序使用 [獨立] 的處理程序會損失20%的執(zhí)行效率,此處所謂 獨立」系指將 [
主目錄]���、[虛擬目錄] 頁之應(yīng)用程式保護(hù)選項設(shè)定為 [高(獨立的)] 時��。因此 [應(yīng)用程式保護(hù)] 設(shè)定為 [低
(IIS處理程序)] 時執(zhí)行效率較高如何設(shè)定非「獨立」的處理程序呢�����?步驟如下: 在 [Internet服務(wù)管理員]
中���,選取整個IIS電腦���、Web站臺�����、或應(yīng)用程式的起始目錄���。於 [內(nèi)容] 之 [主目錄]�����、[虛擬目錄] 頁����,設(shè)定應(yīng)
用程式保護(hù)選項為 [低 (IIS處理程序)] �。
4、調(diào)整快��。–ache)記憶體
IIS 5.0將靜態(tài)的網(wǎng)頁資料暫存於快��。–ache)記憶體當(dāng)中���;IIS 4.0則將靜態(tài)的網(wǎng)頁資料暫存於檔案當(dāng)中�����。調(diào)
整快�����。–ache)記憶體的保存檔案數(shù)量可以改善執(zhí)行效率�����。ASP指令檔案執(zhí)行過後�����,會在暫存於快�。–ache)
記憶體中以提高執(zhí)行效能。增加快取記憶體的保存檔案數(shù)量����,可提高Active Server Pages之效能�����?梢栽O(shè)定所
有在整個IIS電腦�、「獨立」Web站臺、或「獨立」應(yīng)用程式上執(zhí)行之應(yīng)用程式的快取記憶體檔案數(shù)量。如何設(shè)
定快���。–ache)功能呢?步驟如下:在 [Internet服務(wù)管理員] 中選取整個IIS電腦�、「獨立」Web站臺、或「
獨立」應(yīng)用程式的起始目錄����。於 [內(nèi)容] 之 [主目錄]、[虛擬目錄] 頁����,按下 [設(shè)定] 按鈕時,即可由 [處理
程序選項] 頁設(shè)定[指令檔快取記憶體] ����。如何設(shè)定快取(Cache)記憶體檔案數(shù)量呢�?步驟如下:在[Internet
服務(wù)管理員] 中,選取整個IIS電腦��、或Web站臺的起始目錄�����。於 [內(nèi)容] 之[伺服器擴(kuò)充程式] 頁,按下 [設(shè)定
] 按鈕�。即可設(shè)定快取(Cache)記憶體檔案數(shù)量��。
5���、勿使用CGI程式
使用CGI程式時����,因為處理程序(Process)須不斷地產(chǎn)生與摧毀��,造成執(zhí)行效率不佳��。一般而言�,執(zhí)行效率比
較如下: 靜態(tài)網(wǎng)頁(Static):100 ISAPI:50 ASP:10 CGI:1 換句話說,ASP比CGI可能快10倍��,因此勿
使用CGI程式可以改善IIS的執(zhí)行效率����。以彈性(Flexibility)而言:ASP > CGI > ISAPI > 靜態(tài)網(wǎng)頁(Static
)。以安全(Security)而言:ASP(獨立) = ISAPI(獨立)= CGI > ASP(非獨立) = ISAPI(非獨立)=
靜態(tài)網(wǎng)頁(Static)
6�、增加IIS 5.0電腦CPU數(shù)量
根據(jù)微軟的測試報告,增加IIS 4.0電腦CPU數(shù)量�,執(zhí)行效率并不會改善多少�;但是增加IIS 5.0電腦CPU數(shù)量�����,
執(zhí)行效率會幾乎成正比地提供�,換句話說,兩顆CPU的IIS5.0電腦執(zhí)行效率幾乎是一顆CPU電腦的兩倍����,四顆CPU
的IIS 5.0電腦執(zhí)行效率幾乎是一顆CPU電腦的四倍IIS 5.0將靜態(tài)的網(wǎng)頁資料暫存於快���。–ache)記憶體當(dāng)中
�;IIS 4.0 則將靜態(tài)的網(wǎng)頁資料暫存於檔案當(dāng)中���。調(diào)整快����。–ache)記憶體的保存檔案數(shù)量可以改善執(zhí)行效率
����。
7、啟用ASP偵錯功能
勿啟用ASP偵錯功能可以改善執(zhí)行效率��。如何勿啟用ASP偵錯功能呢?步驟如下:於[Internet服務(wù)管理員] 中�����,
選取Web站臺���、或應(yīng)用程式的起始目錄��,按右鍵選擇[內(nèi)容]��,按 [主目錄]��、[虛擬目錄] 或 [目錄] 頁�,按下 [
設(shè)定] 按鈕�,選擇 [應(yīng)用程式偵錯] 頁,不勾選 [啟用ASP伺服器端指令偵錯]���、[啟用ASP用戶端指令偵錯] 選
項��。
8��、靜態(tài)網(wǎng)頁采用HTTP 壓縮
靜態(tài)網(wǎng)頁采用HTTP 壓縮����,大約可以減少20%的傳輸量。HTTP壓縮功能啟用或關(guān)閉���,系針對整臺IIS伺服器來設(shè)定
����。用戶端使用IE 5.0瀏覽器連線到已經(jīng)啟用HTTP壓縮IIS5.0之Web伺服器�����,才有HTTP壓縮功能��。如何啟用HTTP壓
縮功能呢�����?步驟如下:若要啟用HTTP 壓縮功能���,方法為在 [Internet服務(wù)管理員] 中,選取電腦之 [內(nèi)容]��,
於 [主要內(nèi)容] 之下選取 [WWW服務(wù)]�。然後按一下 [編輯] 按鈕,於 [服務(wù)] 頁上���,選取 [壓縮靜態(tài)檔案] 可
以壓縮靜態(tài)檔案���,不選取 [壓縮應(yīng)用程式檔案] �����。 動態(tài)產(chǎn)生的內(nèi)容檔案(壓縮應(yīng)用程式檔案)也可以壓縮���,
但是須耗費額外CPU處理時間,若%Processor Time已經(jīng)百分之八十或更多時�,建議不要壓縮
以上是對采用IIS作為WEB服務(wù)器的一些安全相關(guān)的設(shè)置與其性能調(diào)整的參數(shù)設(shè)置,可以最大化的優(yōu)化你的IIS
�,不過個人認(rèn)為如果不存在障礙,還是采用apache比較好一些����,漏洞少,建議采用apache 1.3.24版本�����,因為最
近經(jīng)測試�,apache 1.3.23之前的版本都存在溢出漏洞,不要怕�,這種漏洞很少的��,呵呵����。另外��,個人建議不要
采用ASP安全性總不叫人放心����,個人認(rèn)為還是采用JSP好一些,安全性好�,功能強(qiáng)大,絕對超值���,呵呵�,因為PHP
也存在不少的洞洞
附:IIS安全工具及其使用說明
一����、IIS Lock Tool���,快速設(shè)置IIS安全屬性
IIS Lock Tool的推出��,還要感謝紅色代碼���,因為正是紅色代碼的大面積傳播�,致使微軟設(shè)計發(fā)布這款幫助
管理員們設(shè)置IIS安全性的工具�。
(一)、IIS Lock Tool具有以下功能和特點
����。薄⒆罨竟δ�����,幫助管理員設(shè)置IIS安全性���;
�。�����、此工具可以在IIS4和IIS5上使用�����;
���。��、即使系統(tǒng)沒有及時安裝所有補(bǔ)丁���,也能有效防止IIS4和IIS5的已知漏洞���;
4�����、幫助管理員去掉對本網(wǎng)站不必要的一些服務(wù)�����,使IIS在滿足本網(wǎng)站需求的情況下運行最少的服務(wù)��;
�����。���、具有兩種使用模式:快捷模式和高級模式���������?旖菽J街苯訋椭芾韱T設(shè)置好IIS安全性�����,這種模式只適
合于只有HTML和HTM靜態(tài)網(wǎng)頁的網(wǎng)站使用���,因為設(shè)置完成以后��,ASP不能運行���;高級模式允許管理員自己設(shè)置各
種屬性,設(shè)置得當(dāng)���,對IIS系統(tǒng)任何功能均沒有影響���。
(二)、IIS Lock Tool的使用
1��、軟件下載和安裝
IIS Lock Tool在微軟網(wǎng)站下載��,下載地址:
www.microsoft.com/Downloads/Release.asp?ReleaseID=32362
安裝很簡單���,需要注意的是��,安裝以后���,程序不會在系統(tǒng)的【程序】菜單出現(xiàn),也不會在【管理工具】出現(xiàn)���,需要安裝者在安裝目錄尋找運行該程序����。
二���、URLScan Tool――過濾非法URL訪問
仔細(xì)觀察IIS的漏洞�����,我們幾乎可以得出這樣一個結(jié)論�,所有利用這些漏洞實現(xiàn)對網(wǎng)站攻擊的手段均是構(gòu)造
特殊的URL來訪問網(wǎng)站�����,一般有以下幾種類型的URL可以利用漏洞:
�。薄⑻貏e長的URL�����,比如紅色代碼攻擊網(wǎng)站的URL就是這樣:
GET/default.idaXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u
9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u
00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 200�����;
2����、特殊字符或者字符串的URL,比如在URL后面加::$DATA可以看到網(wǎng)頁(ASP)源代碼�����;
�。场RL中含有可執(zhí)行文件名��,最常見的就是有cmd.exe;
既然這些攻擊利用特殊的URL來實現(xiàn)����,所以,微軟提供了這款專門過濾非法URL的安全工具�����,可以達(dá)到御敵
于國門之外的效果��,這款工具有以下特點和功能:
���。�、基本功能:過濾非法URL請求����;
2��、設(shè)定規(guī)則���,辨別那些URL請求是合法的���;這樣��,就可以針對本網(wǎng)站來制定專門的URL請求規(guī)則���;同時����,
當(dāng)有新的漏洞出現(xiàn)時,可以更改這個規(guī)則�����,達(dá)到防御新漏洞的效果�;
3���、程序提供一套URL請求規(guī)則����,這個規(guī)則包含已經(jīng)發(fā)現(xiàn)的漏洞利用特征��,幫助管理員設(shè)置規(guī)則����;
(一)����、軟件的下載與安裝
URLScan可以在微軟的網(wǎng)站上下載�,地址如下:
download.microsoft.com/download/iis50/Utility/1.0/NT45XP/EN-US/UrlScan.exe
和一般軟件一樣安裝,但是�����,此軟件不能選擇安裝路徑��,安裝完成以后���,我們可以在
System32/InetSvr/URLScan目錄下找到以下文件:
urlscan.dll:動態(tài)連接庫文件��;
urlscan.inf:安裝信息文件����;
urlscan.txt:軟件說明文件����;
urlscan.ini:軟件配置文件,這個文件很只要��,因為對URLScan的所有配置,均有這個文件來完成���。
(二)�����、軟件的配置
軟件的配置由urlscan.ini文件來完成����,在配置此文件以前��,我們需要了解一些基本知識����。
����。薄rlscan配
億恩科技地址(ADD):鄭州市黃河路129號天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【www.allwellnessguide.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)��!虛擬主機(jī)域名注冊頂級提供商����!15年品質(zhì)保障����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
