扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
来源:论坛整理 2008年12月11日
关键字: 安全技术 Windows 2003 系统安全
允许
写
不允许
脚本源访问
不允许
目录浏览
建议关闭
日志访问
建议关闭
索引资源
建议关闭
执行
推荐选择 "仅限于脚本"
7. 建议使用W3C扩充日志文件格式,每天记录客户IP地址,用户名,服务器端口,方法,URI字根,HTTP状态,用户代理,而且每天均要审查日志。(最好不要使用缺省的目录,建议更换一个记日志的路径,同时设置日志的访问权限,只允许管理员和system为Full Control)。
8. 程序安全:
1) 涉及用户名与口令的程序最好封装在服务器端,尽量少的在ASP文件里出现,涉及到与数据库连接地用户名与口令应给予最小的权限;
2) 需要经过验证的ASP页面,可跟踪上一个页面的文件名,只有从上一页面转进来的会话才能读取这个页面。
3) 防止ASP主页.inc文件泄露问题;
4) 防止UE等编辑器生成some.asp.bak文件泄露问题。
安全更新
应用所需的所有 Service Pack 和 定期手动更新补丁。
安装和配置防病毒保护
推荐NAV 8.1以上版本病毒防火墙(配置为至少每周自动升级一次)。
安装和配置防火墙保护
推荐最新版BlackICE Server Protection防火墙(配置简单,比较实用)
监视解决方案
根据要求安装和配置 MOM代理或类似的监视解决方案。
加强数据备份
Web数据定时做备份,保证在出现问题后可以恢复到最近的状态。
考虑实施 IPSec 筛选器
用 IPSec 过滤器阻断端口
Internet 协议安全性 (IPSec) 过滤器可为增强服务器所需要的安全级别提供有效的方法。本指南推荐在指南中定义的高安全性环境中使用该选项,以便进一步减少服务器的受攻击面。
有关使用 IPSec 过滤器的详细信息,请参阅模块其他成员服务器强化过程。
下表列出在本指南定义的高级安全性环境下可在 IIS 服务器上创建的所有 IPSec 过滤器。
服务
协议
源端口
目标端口
源地址
目标地址
操作
镜像
Terminal Services
TCP
所有
3389
所有
ME
允许
是
HTTP Server
TCP
所有
80
所有
ME
允许
是
HTTPS Server
TCP
所有
443
所有
ME
允许
是
在实施上表所列举的规则时,应当对它们都进行镜像处理。这样可以确保任何进入服务器的网络通信也可以返回到源服务器。
SQL服务器安全加固
步骤
说明
MDAC 升级
安装最新的MDAC(http://www.microsoft.com/data/download.htm)
密码策略
由于SQL Server不能更改sa用户名称,也不能删除这个超级用户,所以,我们必须对这个帐号进行最强的保护,当然,包括使用一个非常强壮的密码,最好不要在数据库应用中使用sa帐号。新建立一个拥有与sa一样权限的超级用户来管理数据库。同时养成定期修改密码的好习惯。数据库管理员应该定期查看是否有不符合密码要求的帐号。比如使用下面的SQL语句:
Use master
select name,Password from syslogins where password is null
数据库日志的记录
核数据库登录事件的"失败和成功",在实例属性中选择"安全性",将其中的审核级别选定为全部,这样在数据库系统和操作系统日志里面,就详细记录了所有帐号的登录事件。
管理扩展存储过程
xp_cmdshell是进入操作系统的最佳捷径,是数据库留给操作系统的一个大后门。请把它去掉。使用这个SQL语句:
use master
sp_dropextendedproc ’xp_cmdshell’
如果你需要这个存储过程,请用这个语句也可以恢复过来。
sp_addextendedproc ’xp_cmdshell’, ’xpsql70.dll’
OLE自动存储过程(会造成管理器中的某些特征不能使用),这些过程包括如下(不需要可以全部去掉:
Sp_OAcreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
去掉不需要的注册表访问的存储过程,注册表存储过程甚至能够读出操作系统管理员的密码来,如下:
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues
Xp_regread Xp_regremovemultistring Xp_regwrite
防TCP/IP端口探测
在实例属性中选择TCP/IP协议的属性。选择隐藏 SQL Server 实例。
请在上一步配置的基础上,更改原默认的1433端口。
在IPSec过滤拒绝掉1434端口的UDP通讯,可以尽可能地隐藏你的SQL Server。
对网络连接进行IP限制
使用操作系统自己的IPSec可以实现IP数据包的安全性。请对IP连接进行限制,保证只有自己的IP能够访问,拒绝其他IP进行的端口连接。
附:Win2003系统建议禁用服务列表
名 称
服务名
建议设置
自动更新
wuauserv
禁用
Background Intelligent Transfer Service
BITS
禁用
Computer Browser
Browser
禁用
DHCP Client Dhcp
禁用
NTLM Security Support Provider NtLmSsp
禁用
Network Location Awareness
NLA
禁用
Performance Logs and Alerts SysmonLog
禁用
Remote Administration Service SrvcSurg
禁用
Remote Registry Service RemoteRegistry
禁用
Server lanmanserver
禁用
TCP/IP NetBIOS Helper Service LmHosts
禁用
DHCP Client Dhcp
禁用
NTLM Security Support Provider NtLmSsp
禁用
Terminal Services
TermService
禁用
Windows Installer MSIServer
禁用
Windows Management Instrumentation Driver Extensions Wmi
禁用
WMI Performance Adapter WMIApSrv
禁用
Error Reporting
ErrRep
禁用
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。