最佳安全實(shí)踐：鎖定IIS和SQL服務(wù)器

1、最佳安全實(shí)踐：鎖定iis和sql服務(wù)器(2006-03-10 17:03:06)轉(zhuǎn)載分類：網(wǎng)站開發(fā)微軟的iis和sql服務(wù)器通常是基于windows的分布式應(yīng)用環(huán)境的 主要部分。這就意味著它們也是最經(jīng)常受到攻擊的目標(biāo)。在本文中， 我們將提供提高這些產(chǎn)品安全性的一些具體建議。提高iis安全性的建議iis屮有一個(gè)稱作isapi的編程接口，這個(gè)編程接口與那些以dll為擴(kuò)展名的文件有關(guān)。這些文件也稱作isapi擴(kuò)展。isapi是(internet server api)的縮寫，是微軟iis web服務(wù)器的一 個(gè)應(yīng)用程序編程接口(api),因?yàn)閕sapi與web服務(wù)器結(jié)合的更緊密, 這使程序員可以通過使

2、用isapi開發(fā)出比傳統(tǒng)cgi技術(shù)執(zhí)行效率更 高的基于web的應(yīng)用程序。除了微軟的iis之外，還有其它一些廠商 的web服務(wù)器產(chǎn)品也支持isapi接口。isapi擴(kuò)展負(fù)責(zé)處理如活動服務(wù)器頁(asp)、.net網(wǎng)絡(luò)服務(wù)和基 丁網(wǎng)絡(luò)的打印共享等功能。然而，很多這些擴(kuò)展功能都是不必耍的, 特別是在你使用iis 5.0以前版本的時(shí)候。這個(gè)問題是許多這種擴(kuò)展 (過濾器)都存在可以利用的安全漏洞。臭名昭著的“紅色代碼"就是利 用這些擴(kuò)展功能的一種惡意程序的例子。你可以僅僅啟用網(wǎng)絡(luò)服務(wù)器 和應(yīng)用程序需要的那些isapi擴(kuò)展，嚴(yán)格限制能夠與各種擴(kuò)展功能一 起使用的http選項(xiàng)。在iis中設(shè)置isap

3、i選項(xiàng)人多數(shù)iis安裝都包括一些簡單的應(yīng)用程序和旨在展示這個(gè)網(wǎng)絡(luò) 服務(wù)器功能的腳木。它們在設(shè)計(jì)上并不是很好的考慮了安全，特別是 在5.0版本之前。這樣，人們利用這些程序的安全漏洞就可以覆蓋服 務(wù)器上的文件或者遠(yuǎn)程閱覽，甚至遠(yuǎn)程訪問敏感的服務(wù)器信息，如系 統(tǒng)設(shè)置和指向可執(zhí)行程序的路徑。在設(shè)置任何iis服務(wù)器投入正式使 用之前，你至少應(yīng)該刪除7inetpub/iissamples口錄，刪除、移動 47inetpub/adminscripts,9管理員腳木目錄或限制對它的訪問。微軟的 iis安全工具iis lockdown tool對于加強(qiáng)iis安全是非常有用的。任何沒有堅(jiān)持不斷地升級補(bǔ)丁和保持最新

4、狀態(tài)的web服務(wù)器都 是惡意活動的主要目標(biāo)。有規(guī)律地及時(shí)地修補(bǔ)允許公開訪問的web 服務(wù)器是非常重要的。coldfusion和php等網(wǎng)絡(luò)插件也能夠在網(wǎng)絡(luò)服務(wù)器中造成安全 漏洞。對這些插件要認(rèn)真進(jìn)行設(shè)置，并且要查看資源網(wǎng)站和最新的安 全公告，了解這些插件需要的最新的補(bǔ)丁和新的漏洞。iis安全檢查清單3關(guān)閉不必要的腳木解釋器并且刪除它們的二進(jìn)制文件。例如 問、perlscrjpt' 唄訕、jsc.pt、腫script 和 php。:用日志并且經(jīng)常檢查日志記錄，最好通過歸納事件 程序來查看記錄并且報(bào)告異常和可疑的事件。5刪除或者限制攻擊者突破計(jì)算機(jī)常用的系統(tǒng)工具。例如， tftp(.exe

5、)、ftp(.exe)、cmd exp 等、net.exe、remote.exe,和 telnet(.exe)geb服務(wù)器上僅運(yùn)行hr服務(wù)以及支持這種服務(wù)所7熟悉和最犬限度地減少通過公共網(wǎng)絡(luò)服務(wù)器進(jìn)入內(nèi)部網(wǎng)絡(luò)的 壬何連接。在面向互聯(lián)網(wǎng)的系統(tǒng)上關(guān)閉文件和打印機(jī)共享以及 netbios名稱解析。畑:;隔禺區(qū)使用f單獨(dú)的dns服務(wù)器為面向互聯(lián)網(wǎng)的web服 7把在隔離區(qū)外面的不能夠解析的任何查詢都引導(dǎo)到其它公 共dns服務(wù)器中或者你的服務(wù)提供商的服務(wù)器屮，千萬不要引導(dǎo)到 你內(nèi)部的dnd服務(wù)器。9 在面向公眾的系統(tǒng)中使用與內(nèi)部系統(tǒng)不同的帳號和密碼制定 規(guī)則，而向互聯(lián)網(wǎng)的iis服務(wù)器應(yīng)該位于防火墻后而的隔

6、離區(qū)，隔離 區(qū)和內(nèi)部網(wǎng)絡(luò)之間還有第二層防火墻。面向互聯(lián)網(wǎng)的iis服務(wù)器不應(yīng) 該是內(nèi)部活動目錄域的一部分，或者使用屬于內(nèi)部活動目錄域的賬戶。10如果有必要的話，封鎖所有通向隔離區(qū)的端口，80端口或者 443端口除外。11.在一個(gè)硬盤上安裝操作系統(tǒng)并且在不同的硬盤上安裝網(wǎng)站， 以防止口錄遍歷攻擊。12 如果你必須使用遠(yuǎn)程數(shù)據(jù)協(xié)議(或者終端服務(wù)協(xié)議和遠(yuǎn)程桌面 協(xié)議)來管理服務(wù)器，把默認(rèn)的3389端口改為黑客不容易發(fā)現(xiàn)的其它 端口。保證iis安全的工具對于單個(gè)服務(wù)器使用windows升級或者自動升級程序。在可管理的環(huán)境中或者管理員負(fù)責(zé)多個(gè)不同的系統(tǒng)的地方使用 系統(tǒng)管理服務(wù)器(sms)或者windows

7、服務(wù)器升級服務(wù)(wsus)。微軟基準(zhǔn)安全分析器(mbsa)幫助系統(tǒng)管理員在本地系統(tǒng)和遠(yuǎn) 程系統(tǒng)實(shí)施掃描，查找最新的補(bǔ)丁。這個(gè)工具在windows nt4> windows 2000、windows xp 和 windows 2003 平臺上運(yùn)行。使用iis lockdown tool或者安全設(shè)置向?qū)?scw)增強(qiáng)你的iis 和服務(wù)器。使用urlscan過濾http請求ourlscan是iis lockdown tool的-部分,經(jīng)過設(shè)置之后能夠拒絕“藍(lán)色代碼酬“紅色代碼"等惡 意的http請求，甚至在服務(wù)器處理這些惡意請求之前就能夠拒絕這 些請求。把這些工具下載到另一臺機(jī)器上并

8、在你的iis服務(wù)器連接到互聯(lián) 網(wǎng)之前把這些工具復(fù)制到你的iis服務(wù)器中。避免在徹底進(jìn)行分析和 使用補(bǔ)丁之前把你的iis服務(wù)器連接到互聯(lián)網(wǎng)。sql服務(wù)器安全措施推薦修改默認(rèn)的sql服務(wù)器端口最普遍的sql的攻擊甚至在安全公告也沒有包含。這就是使用 一個(gè)空口的口令企圖簡單地登錄sa賬戶。微軟的sql服務(wù)器安裝 了默認(rèn)采用一個(gè)口令空白的sa賬戶，這是你需要修改的第一件事情。另一個(gè)產(chǎn)生空白口令的常見原因是產(chǎn)品。例如，某些版木的visio 安裝微軟的sql服務(wù)器2000桌而引擎(msde)從來不修改sa 口令。 用戶甚至都不知道他們在運(yùn)行msdeo你可以從eeye數(shù)字安全公司 下載一個(gè)程序掃描你的網(wǎng)絡(luò)查

9、找擁有空白sa賬戶的sql服務(wù)器。sql服務(wù)器安全檢查清單1.設(shè)置一個(gè)sa賬戶口令，并且限制這個(gè)賬戶的使用。你還要定 期修改口令以防止門令擴(kuò)散，并且被開發(fā)人員或者太多的管理員所使 用。如果任何知道sa 口令的人離開公同，你都需要修改sa 口令。 使用eeye的工具掃描你的網(wǎng)絡(luò)查找沒有sa 口令的sql服務(wù)器。2將你的sql服務(wù)器設(shè)置在防火墻后面，與你的iis服務(wù)器或者 網(wǎng)絡(luò)服務(wù)器分開。僅允許這些指定的網(wǎng)絡(luò)服務(wù)器連接sql服務(wù)器。 你的sql服務(wù)器永遠(yuǎn)不要向互聯(lián)網(wǎng)開放或者允許公開訪問。3.從 sysadmin 角色中刪除 builtin/administrators，然后將 sql 管理權(quán)限賦予需要sql管理功能的域賬戶。4如果可能的話，使用windows身份識別或者僅使用windows 模式。采用這種方式，潛在的黑客必須首先向這個(gè)域驗(yàn)證身份，而不 是僅向sql服務(wù)器驗(yàn)證身份。5不要在域控制器上運(yùn)行sql服務(wù)器。6把sql服務(wù)器啟動賬戶改為非本地帳戶o7啟用失敗登錄選項(xiàng)（服務(wù)器屬性/安全標(biāo)簽），這樣你就可以查看 失敗的登錄，看看是否有未經(jīng)過允許的個(gè)人設(shè)法訪問這個(gè)服務(wù)器。如 果可能的話，監(jiān)視sql記錄并且使用netsend或者電了郵件在sql 中設(shè)置報(bào)警。&為操作系統(tǒng)和sql保持最新的補(bǔ)丁更新和服務(wù)包。某些選項(xiàng)可 以參考確保iis安全的工具。9保