文章內(nèi)容

服務(wù)器安全（三） (2)

發(fā)布時間: 2012/9/9 15:56:50

其他目錄；
　　說明：黑客有可能通過WEB站點的漏洞得到操作系統(tǒng)對操作系統(tǒng)某些程序的執(zhí)行權(quán)限，從而造成更大的破壞
。同時如果采用IIS的話你應(yīng)該在其設(shè)置中刪除掉所有的無用的映射，同時不要安裝索引服務(wù)，遠(yuǎn)程站點管理與
服務(wù)器擴展最好也不要要，然后刪掉默認(rèn)路徑下的www，整個刪，不要手軟，然后再硬盤的另一個硬盤建立存放
你網(wǎng)站的文件夾，同時一定記得打開w3c日志紀(jì)錄，切記（不過本人建議采用apache 1.3.24）
系統(tǒng)安裝過程中一定本著最小服務(wù)原則，無用的服務(wù)一概不選擇，達(dá)到系統(tǒng)的最小安裝，多一個服務(wù)，多
一份風(fēng)險，呵呵，所以無用組件千萬不要安裝！
9.關(guān)于補丁：在NT下，如果安裝了補丁程序，以后如果要從NT光盤上安裝新的Windows程序,都要重新安裝
一次補丁程序， 2000下不需要這樣做。
　　說明：
　　
　　（1）最新的補丁程序，表示系統(tǒng)以前有重大漏洞，非補不可了，對于局域網(wǎng)內(nèi)服務(wù)器可以不是最新的，
但站點必須安裝最新補丁，否則黑客可能會利用低版本補丁的漏洞對系統(tǒng)造成威脅。這是一部分管理員較易忽
視的一點；
　　（2）安裝NT的SP5、SP6有一個潛在威脅，就是一旦系統(tǒng)崩潰重裝NT時，系統(tǒng)將不會認(rèn)NTFS分區(qū)，原因是
微軟在這兩個補丁中對NTFS做了改進。只能通過Windows 2000安裝過程中認(rèn)NTFS，這樣會造成很多麻煩，建議
同時做好數(shù)據(jù)備份工作。
　　（3）安裝Service Pack前應(yīng)先在測試機器上安裝一次，以防因為例外原因?qū)е聶C器死機，同時做好數(shù)據(jù)
備份。
　　
　　盡量不安裝與WEB站點服務(wù)無關(guān)的軟件；
　　說明：其他應(yīng)用軟件有可能存在黑客熟知的安全漏洞。
　　
　　
　　10.解除NetBios與TCP/IP協(xié)議的綁定
　　說明：NetBois在局域網(wǎng)內(nèi)是不可缺少的功能，在網(wǎng)站服務(wù)器上卻成了黑客掃描工具的首選目標(biāo)。方法：NT
：控制面版——網(wǎng)絡(luò)——綁定——NetBios接口——禁用 2000：控制面版——網(wǎng)絡(luò)和撥號連接——本地網(wǎng)絡(luò)—
—屬性——TCP/IP——屬性——高級——WINS——禁用TCP/IP上的NETBIOS
　　
　　11.刪除所有的網(wǎng)絡(luò)共享資源，在網(wǎng)絡(luò)連接的設(shè)置中刪除文件和打印共享，只留下TCP/IP協(xié)議
　　說明：NT與2000在默認(rèn)情況下有不少網(wǎng)絡(luò)共享資源，在局域網(wǎng)內(nèi)對網(wǎng)絡(luò)管理和網(wǎng)絡(luò)通訊有用，在網(wǎng)站服務(wù)
器上同樣是一個特大的安全隱患。（卸載“Microsoft 網(wǎng)絡(luò)的文件和打印機共享”。當(dāng)查看“網(wǎng)絡(luò)和撥號連接
”中的任何連接屬性時，將顯示該選項。單擊“卸載”按鈕刪除該組件；清除“Microsoft 網(wǎng)絡(luò)的文件和打印
機共享”復(fù)選框?qū)⒉黄鹱饔谩＃?
　　方法：
　　(1)NT:管理工具——服務(wù)器管理器——共享目錄——停止共享;
　　2000:控制面版——管理工具——計算及管理——共享文件夾———停止共享
　　但上述兩種方法太麻煩，服務(wù)器每重啟一次，管理員就必須停止一次
　　（2）修改注冊表：
　　運行Regedit，然后修改注冊表在
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters下增加一個鍵
　　Name: AutoShareServer
　　Type: REG_DWORD
　　value: 0
　　然后重新啟動您的服務(wù)器，磁盤分區(qū)共享去掉，但IPC共享仍存在，需每次重啟后手工刪除。
　　
　　12.改NTFS的安全權(quán)限；
　　說明：NTFS下所有文件默認(rèn)情況下對所有人（EveryOne）為完全控制權(quán)限，這使黑客有可能使用一般用戶
身份對文件做增加、刪除、執(zhí)行等操作，建議對一般用戶只給予讀取權(quán)限，而只給管理員和System以完全控制
權(quán)限，但這樣做有可能使某些正常的腳本程序不能執(zhí)行，或者某些需要寫的操作不能完成，這時需要對這些文
件所在的文件夾權(quán)限進行更改，建議在做更改前先在測試機器上作測試，然后慎重更改。
　　
　　13.加強數(shù)據(jù)備份；
　　說明：這一點非常重要，站點的核心是數(shù)據(jù)，數(shù)據(jù)一旦遭到破壞后果不堪設(shè)想，而這往往是黑客們真正關(guān)
心的東西；遺憾的是，不少網(wǎng)管在這一點上作的并不好，不是備份不完全，就是備份不及時。數(shù)據(jù)備份需要仔
細(xì)計劃，制定出一個策略并作了測試以后才實施，而且隨著網(wǎng)站的更新，備份計劃也需要不斷地調(diào)整。
　　
　　
　　14.只保留TCP/IP協(xié)議，刪除NETBEUI、IPX/SPX協(xié)議；
　　說明：網(wǎng)站需要的通訊協(xié)議只有TCP/IP，而NETBEUI是一個只能用于局域網(wǎng)的協(xié)議，IPX/SPX是面臨淘汰的
協(xié)議，放在網(wǎng)站上沒有任何用處，反而會被某些黑客工具利用。　　
　　
　　15.不要起用IP轉(zhuǎn)發(fā)功能，控制面板->網(wǎng)絡(luò)->協(xié)議->TCP/IP協(xié)議->屬性，使這個選框為空。（NT）
　　說明：缺省情況下，NT的IP轉(zhuǎn)發(fā)功能是禁止的，但注意不要啟用，否則它會具有路由作用，被黑客利用來
對其他服務(wù)器進行攻擊。
　　
　　16.安裝最新的MDAC（http://www.microsoft.com/data/download.htm）
　　說明：MDAC為數(shù)據(jù)訪問部件，通常程序?qū)?shù)據(jù)庫的訪問都通過它，但它也是黑客攻擊的目標(biāo)，為防止以前
版本的漏洞可能會被帶入升級后的版本，建議卸載后安裝最新的版本。注意：在安裝最新版本前最好先做一下
測試，因為有的數(shù)據(jù)訪問方式或許在新版本中不再被支持，這種情況下可以通過修改注冊表來檔漏洞，祥見漏
洞測試文檔。
　　
　　17.設(shè)置IP拒絕訪問列表
　　說明：對于WWW服務(wù)，可以拒絕一些對站點有攻擊嫌疑的地址；尤其對于FTP服務(wù)，如果只是自己公司上傳
文件，就可以只允許本公司的IP訪問改FTP服務(wù)，這樣，安全性大為提高。
　　
　　18.禁止對FTP服務(wù)的匿名訪問
　　說明：如果允許對FTP服務(wù)做匿名訪問，該匿名帳戶就有可能被利用來獲取更多的信息，以致對系統(tǒng)造成危
害。
　　
　　19.建議使用W3C擴充日志文件格式，每天記錄客戶IP地址，用戶名，服務(wù)器端口，方法，URI字根，HTTP狀
態(tài)，用戶代理，而且每天均要審查日志。（最好不要使用缺省的目錄，建議更換一個記日志的路徑，同時設(shè)置
日志的訪問權(quán)限，只允許管理員和system為Full Control）
　　說明：作為一個重要措施，既可以發(fā)現(xiàn)攻擊的跡象，采取預(yù)防措施，也可以作為受攻擊的一個證據(jù)。
　　
　　20.慎重設(shè)置WEB站點目錄的訪問權(quán)限，一般情況下，不要給予目錄以寫入和允許目錄瀏覽權(quán)限。只給予
.ASP文件目錄以腳本的權(quán)限，而不要給與執(zhí)行權(quán)限。
　　說明：目錄訪問權(quán)限必須慎重設(shè)置，否則會被黑客利用。
　　21.ASP編程安全：
　　
　　安全不僅是網(wǎng)管的事，編程人員也必須在某些安全細(xì)節(jié)上注意，養(yǎng)成良好的安全習(xí)慣，否則，會給黑客造
成可乘之機。目前，大多數(shù)網(wǎng)站上的ASP程序有這樣那樣的安全漏洞，但如果寫程序的時候注意的話，還是可以
避免的。
　　
　　涉及用戶名與口令的程序最好封裝在服務(wù)器端，盡量少的在ASP文件里出現(xiàn)，涉及到與數(shù)據(jù)庫連接地用戶名
與口令應(yīng)給予最小的權(quán)限。
　　說明：用戶名與口令，往往是黑客們最感興趣的東西，如果被通過某種方式看到源代碼，后果是嚴(yán)重的。
因此要盡量減少它們在ASP文件中的出現(xiàn)次數(shù)。出現(xiàn)次數(shù)多得用戶名與口令可以寫在一個位置比較隱蔽的包含文
件中。如果涉及到與數(shù)據(jù)庫連接，理想狀態(tài)下只給它以執(zhí)行存儲過程的權(quán)限，千萬不要直接給予該用戶以修改
、插入、刪除記錄的權(quán)限。
　　
　　需要經(jīng)過驗證的ASP頁面，可跟蹤上一個頁面的文件名，只有從上一頁面轉(zhuǎn)進來的會話才能讀取這個頁面。
　　說明：現(xiàn)在的需要經(jīng)過驗證的ASP程序多是在頁面頭部加一個判斷語句，但這還不夠，有可能被黑客繞過驗
證直接進入，因此有必要跟蹤上一個頁面。具體漏洞見所附漏洞文檔。
　　
　　防止ASP主頁.inc文件泄露問題
　　當(dāng)存在asp 的主頁正在制作并沒有進行最后調(diào)試完成以前，可以被某些搜索引擎機動追加為搜索對象，如
果這時候有人利用搜索引擎對這些網(wǎng)頁進行查找，會得到有關(guān)文件的定位，并能在瀏覽器中察看到數(shù)據(jù)庫地點
和結(jié)構(gòu)的細(xì)節(jié)揭示完整的源代碼。
　　解決方案：程序員應(yīng)該在網(wǎng)頁發(fā)布前對其進行徹底的調(diào)試；安全專家需要固定asp 包含文件以便外部的用
戶不能看他們。首先對 .inc 文件內(nèi)容進行加密，其次也可以使用 .asp 文件代替 .inc 文件使用戶無法從瀏
覽器直接觀看文件的源代碼。.inc 文件的文件名不用使用系統(tǒng)默認(rèn)的或者有特殊含義容易被用戶猜測到的，盡
量使用無規(guī)則的英文字母。
　　
　　
　　注意某些ASP編輯器會自動備份asp文件，會被下載的漏洞
　　在有些編輯asp程序的工具，當(dāng)創(chuàng)建或者修改一個asp文件時，編輯器自動創(chuàng)建一個備份文件，比如：
UltraEdit就會備份一個..bak文件，如你創(chuàng)建或者修改了some.asp，編輯器自動生成一個叫some.asp.bak文件
，如果你沒有刪除這個 bak文件，攻擊有可以直接下載some.asp.bak文件，這樣some.asp的源程序就會給下載
。
　　
　　在處理類似留言板、BBS等輸入框的ASP程序中，最好屏蔽掉HTML、javascript、VBScript語句，如無特殊
要求，可以限定只允許輸入字母與數(shù)字，屏蔽掉特殊字符。同時對輸入字符的長度進行限制。而且不但在客戶
端進行輸入合法性檢查，同時要在服務(wù)器端程序中進行類似檢查。
　　說明：輸入框是黑客利用的一個目標(biāo)，他們可以通過輸入腳本語言等對用戶客戶端造成損壞；如果該輸入
框涉及到數(shù)據(jù)查詢，他們會利用特殊查詢輸入得到更多的數(shù)據(jù)庫數(shù)據(jù)，甚至是表的全部。因此必須對輸入框進
行過濾。但如果為了提高效率僅在客戶端進行輸入合法性檢查，仍有可能被繞過，因此必須在服務(wù)器端再做一
次檢查。
　　
　　
　　防止ACCESS mdb 數(shù)據(jù)庫有可能被下載的漏洞
　　在用ACCESS做后臺數(shù)據(jù)庫時，如果有人通過各種方法知道或者猜到了服務(wù)器的ACCESS數(shù)據(jù)庫的路徑和數(shù)據(jù)
庫名稱，那么他能夠下載這個ACCESS數(shù)據(jù)庫文件，這是非常危險的。
　　解決方法：
　　(1) 為你的數(shù)據(jù)庫文件名稱起個復(fù)雜的非常規(guī)的名字，并把他放在幾目錄下。所謂 "非常規(guī)"，打個比方
：比如有個數(shù)據(jù)庫要保存的是有關(guān)書籍的信息，可不要把他起個"book.mdb"的名字，起個怪怪的名稱，比如
d34ksfslf.mdb，再把他放在如./kdslf/i44/studi/ 的幾層目錄下，這樣黑客要想通過猜的方式得到你的
ACCESS數(shù)據(jù)庫文件就難上加難了。
　　(2)不要把數(shù)據(jù)庫名寫在程序中。有些人喜歡把DSN寫在程序中，比如：
　　DBPath = Server.MapPath("cmddb.mdb"
　　conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
　　假如萬一給人拿到了源程序，你的ACCESS數(shù)據(jù)庫的名字就一覽無余。因此建議你在ODBC里設(shè)置數(shù)據(jù)源，再
在程序中這樣寫：
　　conn.open "shujiyuan"
　　(3)使用ACCESS來為數(shù)據(jù)庫文件編碼及加密。首先在選取 "工具->安全->加密/解密數(shù)據(jù)庫，選取數(shù)據(jù)庫（
如：employer.mdb），然后接確定，接著會出現(xiàn) "數(shù)據(jù)庫加密后另存為"的窗口，存為：employer1.mdb。接著
employer.mdb就會被編碼，然后存為employer1.mdb..
　　要注意的是，以上的動作并不是對數(shù)據(jù)庫設(shè)置密碼，而只是對數(shù)據(jù)庫文件加以編碼，目的是為了防止他人
使用別的工具來查看數(shù)據(jù)庫文件的內(nèi)容。
　　接下來我們?yōu)閿?shù)據(jù)庫加密，首先以打開經(jīng)過編碼了的 employer1.mdb，在打開時，選擇"獨占"方式。然后
選取功能表的"工具->安全->設(shè)置數(shù)據(jù)庫密碼"，接著輸入密碼即可。這樣即使他人得到了employer1.mdb文件
，沒有密碼他是無法看到 employer1.mdb的。
　　23.SQL SERVER的安全
　　
　　SQL SERVER是NT平臺上用的最多的數(shù)據(jù)庫系統(tǒng)，但是它的安全問題也必須引起重視。數(shù)據(jù)庫中往往存在著
最有價值的信息，一旦數(shù)據(jù)被竊后果不堪設(shè)想。
　　
　　及時更新補丁程序。
　　說明：與NT一樣，SQL SERVER的許多漏洞會由補丁程序來彌補。建議在安裝補丁程序之前先在測試機器上
做測試，同時提前做好目標(biāo)服務(wù)器的數(shù)據(jù)備份。
　　
　　給SA一個復(fù)雜的口令。
　　說明：SA具有