最佳安全實踐:鎖定IIS和SQL伺服器

來源:互聯網
上載者:User

微軟的IIS和SQL伺服器通常是基於Windows的分布式應用環境的主要部分。這就意味著它們也是最經常受到攻擊的目標。在本文中,我們將提供提高這些產品安全性的一些具體建議。

提高IIS安全性的建議

IIS中有一個稱作ISAPI的編程介面,這個編程介面與那些以DLL為副檔名的檔案有關。這些檔案也稱作ISAPI擴充。

小知識

ISAPI是(Internet Server API)的縮寫,是微軟IIS web伺服器的一個API(API),因為ISAPI與Web伺服器結合的更緊密,這使程式員可以通過使用ISAPI開發出比傳統CGI技術執行效率更高的基於web的應用程式。除了微軟的IIS之外,還有其它一些廠商的Web伺服器產品也支援ISAPI介面。

ISAPI擴充負責處理如活動伺服器頁(ASP)、.NET網路服務和基於網路的列印共用等功能。然而,很多這些擴充功能都是不必要的,特別是在你使用IIS 5.0以前版本的時候。這個問題是許多這種擴充(過濾器)都存在可以利用的安全性漏洞。臭名昭著的“紅色代碼”就是利用這些擴充功能的一種惡意程式的例子。你可以僅僅啟用網路伺服器和應用程式需要的那些ISAPI擴充,嚴格限制能夠與各種擴充功能一起使用的HTTP選項。

在IIS中設定ISAPI選項

大多數IIS安裝都包括一些簡單的應用程式和旨在展示這個網路伺服器功能的指令碼。它們在設計上並不是很好的考慮了安全,特別是在5.0版本之前。這樣,人們利用這些程式的安全性漏洞就可以覆蓋伺服器上的檔案或者遠程閱覽,甚至遠端存取敏感的伺服器資訊,如系統設定和指向可執行程式的路徑。在設定任何IIS伺服器投入正式使用之前,你至少應該刪除“/InetPub/iissamples”目錄,刪除、移動“/InetPub/AdminScripts”管理員指令碼目錄或限制對它的訪問。微軟的IIS安全工具IIS Lockdown Tool對於加強IIS安全是非常有用的。

任何沒有堅持不斷地升級補丁和保持最新狀態的Web伺服器都是惡意活動的主要目標。有規律地及時地修補允許公開訪問的web伺服器是非常重要的。

ColdFusion和PHP等網路外掛程式也能夠在網路伺服器中造成安全性漏洞。對這些外掛程式要認真進行設定,並且要查看資源網站和最新的資訊安全諮詢,瞭解這些外掛程式需要的最新的補丁和新的漏洞。

IIS安全檢查清單

1、應用最新的作業系統服務包和IIS的安全升級以及在同一台主機上安裝的任何應用程式的最新升級包。考慮使用自動升級工具來自動安裝補丁。

2、安裝基於主機的殺毒和入侵檢測軟體。保持這些軟體使用最新的補丁並且經常查看記錄檔案。

3、關閉不必要的指令碼解譯器並且刪除它們的二進位檔案。例如 perl、perlscript、vbscript、jscript、javascript和php。
  
4、使用日誌並且經常檢查日誌記錄,最好通過歸納事件的自動化程式來查看記錄並且報告異常和可疑的事件。

5、刪除或者限制攻擊者突破電腦常用的系統工具。例如,tftp(.exe)、ftp(.exe)、cmd.exe、bash、net.exe、remote.exe,和telnet(.exe)等。

6、在web伺服器上僅運行HTTP服務以及支援這種服務所需的服務。

7、熟悉和最大限度地減少通過公用網路伺服器進入內部網路的任何串連。在面向互連網的系統上關閉檔案和印表機共用以及NETBIOS名稱解析。

8、在隔離區使用一個單獨的DNS伺服器為面向互連網的Web伺服器服務。把在隔離區外面的不能夠解析的任何查詢都引導到其它公用DNS伺服器中或者你的服務提供者的伺服器中,千萬不要引導到你內部的DND伺服器。

9、在面向公眾的系統中使用與內部系統不同的帳號和密碼制定規則,面向互連網的IIS伺服器應該位於防火牆後面的隔離區,隔離區和內部網路之間還有第二層防火牆。面向互連網的IIS伺服器不應該是內部活動目錄域的一部分,或者使用屬於內部活動目錄域的賬戶。

10、如果有必要的話,封鎖所有通向隔離區的連接埠,80連接埠或者443連接埠除外。

11、在一個硬碟上安裝作業系統並且在不同的硬碟上安裝網站,以防止目錄遍曆攻擊。

12、如果你必須使用遠端資料協議(或者終端服務合約和遠端桌面通訊協定)來管理伺服器,把預設的3389連接埠改為駭客不容易發現的其它連接埠。

保證IIS安全的工具

對於單個伺服器使用Windows升級或者自動升級程式。

在可管理的環境中或者管理員負責多個不同的系統的地方使用系統管理伺服器 (SMS) 或者 Windows伺服器升級服務(WSUS) 。

微軟基準安全分析器(MBSA) 協助系統管理員在本地系統和遠程系統實施掃描,尋找最新的補丁。這個工具在Windows NT 4、Windows 2000、 Windows XP和Windows 2003平台上運行。

使用IIS Lockdown Tool 或者安全設定嚮導(SCW)增強你的IIS和伺服器。使用URLScan過濾HTTP請求。URLScan是IIS Lockdown Tool 的一部分,經過設定之後能夠拒絕“藍色代碼”和“紅色代碼”等惡意的HTTP請求,甚至在伺服器處理這些惡意請求之前就能夠拒絕這些請求。

把這些工具下載到另一台機器上並在你的IIS伺服器串連到互連網之前把這些工具複製到你的IIS伺服器中。避免在徹底進行分析和使用補丁之前把你的IIS伺服器串連到互連網。

SQL伺服器安全措施推薦

修改預設的SQL伺服器連接埠

最普遍的SQL的攻擊甚至在資訊安全諮詢也沒有包含。這就是使用一個空白的口令企圖簡單地登入SA賬戶。微軟的SQL伺服器安裝了預設採用一個口令空白的SA賬戶,這是你需要修改的第一件事情。

另一個產生空白口令的常見原因是產品。例如,某些版本的Visio安裝微軟的SQL伺服器2000案頭引擎(MSDE)從來不修改SA口令。使用者甚至都不知道他們在運行MSDE。你可以從eEye數字安全公司下載一個程式掃描你的網路尋找擁有空白SA賬戶的SQL伺服器。

SQL伺服器安全檢查清單

1、設定一個SA賬戶口令,並且限制這個賬戶的使用。你還要定期修改口令以防止口令擴散,並且被開發人員或者太多的管理員所使用。如果任何知道SA口令的人離開公司,你都需要修改SA口令。使用eEye的工具掃描你的網路尋找沒有SA口令的SQL伺服器。

2、將你的SQL伺服器設定在防火牆後面,與你的IIS伺服器或者網路伺服器分開。僅允許這些指定的網路伺服器串連SQL伺服器。你的SQL伺服器永遠不要向互連網開放或者允許公開訪問。

3、從sysadmin角色中刪除BUILTIN/Administrators ,然後將SQL系統管理權限賦予需要SQL管理功能的域賬戶。

4、如果可能的話,使用Windows身份識別或者僅使用Windows模式。採用這種方式,潛在的駭客必須首先向這個域驗證身份,而不是僅向SQL伺服器驗證身份。

5、不要在網域控制站上運行SQL伺服器。

6、把SQL伺服器啟動賬戶改為非本地帳戶。

7、啟用失敗登入選項(伺服器屬性/安全性標籤),這樣你就可以查看失敗的登入,看看是否有未經過允許的個人設法訪問這個伺服器。如果可能的話,監視SQL記錄並且使用NETSEND或者電子郵件在SQL中設定警示。

8、為作業系統和SQL保持最新的補丁更新和服務包。某些選項可以參考確保IIS安全的工具。

9、保護任何擴充的預存程序。控制預存程序對資料的訪問,批准訪問這些資料,而不是對資料本身提供全面的db_datareader和db_datawriter許可。

10、使用設定工具修改標準的SQL伺服器連接埠,關閉預設連接埠1433。讓你的網路系統管理員開啟新的連接埠。

11、確保everyone組無SQL伺服器註冊表鍵的寫權。 



相關文章

Cloud Intelligence Leading the Digital Future

Alibaba Cloud ACtivate Online Conference, Nov. 20th & 21st, 2019 (UTC+08)

Register Now >

11.11 Big Sale for Cloud

Get Unbeatable Offers with up to 90% Off,Oct.24-Nov.13 (UTC+8)

Get It Now >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。