微軟的IIS和SQL服務(wù)器通常是基于Windows的分布式應(yīng)用環(huán)境的主要部分。這就意味著它們也是最經(jīng)常受到攻擊的目標(biāo)。在本文中，我們將提供提高這些產(chǎn)品安全性的一些具體建議。

提高IIS安全性的建議

IIS中有一個(gè)稱作ISAPI的編程接口，這個(gè)編程接口與那些以DLL為擴(kuò)展名的文件有關(guān)。這些文件也稱作ISAPI擴(kuò)展。

小知識(shí)

ISAPI是（Internet Server API）的縮寫，是微軟IIS web服務(wù)器的一個(gè)應(yīng)用程序編程接口（API），因?yàn)镮SAPI與Web服務(wù)器結(jié)合的更緊密，這使程序員可以通過使用ISAPI開發(fā)出比傳統(tǒng)CGI技術(shù)執(zhí)行效率更高的基于web的應(yīng)用程序。除了微軟的IIS之外，還有其它一些廠商的Web服務(wù)器產(chǎn)品也支持ISAPI接口。

ISAPI擴(kuò)展負(fù)責(zé)處理如活動(dòng)服務(wù)器頁（ASP）、.NET網(wǎng)絡(luò)服務(wù)和基于網(wǎng)絡(luò)的打印共享等功能。然而，很多這些擴(kuò)展功能都是不必要的，特別是在你使用IIS 5.0以前版本的時(shí)候。這個(gè)問題是許多這種擴(kuò)展(過濾器)都存在可以利用的安全漏洞。臭名昭著的“紅色代碼”就是利用這些擴(kuò)展功能的一種惡意程序的例子。你可以僅僅啟用網(wǎng)絡(luò)服務(wù)器和應(yīng)用程序需要的那些ISAPI擴(kuò)展，嚴(yán)格限制能夠與各種擴(kuò)展功能一起使用的HTTP選項(xiàng)。

在IIS中設(shè)置ISAPI選項(xiàng)

大多數(shù)IIS安裝都包括一些簡(jiǎn)單的應(yīng)用程序和旨在展示這個(gè)網(wǎng)絡(luò)服務(wù)器功能的腳本。它們?cè)谠O(shè)計(jì)上并不是很好的考慮了安全，特別是在5.0版本之前。這樣，人們利用這些程序的安全漏洞就可以覆蓋服務(wù)器上的文件或者遠(yuǎn)程閱覽，甚至遠(yuǎn)程訪問敏感的服務(wù)器信息，如系統(tǒng)設(shè)置和指向可執(zhí)行程序的路徑。在設(shè)置任何IIS服務(wù)器投入正式使用之前，你至少應(yīng)該刪除“/InetPub/iissamples”目錄，刪除、移動(dòng)“/InetPub/Adminscripts”管理員腳本目錄或限制對(duì)它的訪問。微軟的IIS安全工具IIS Lockdown Tool對(duì)于加強(qiáng)IIS安全是非常有用的。

任何沒有堅(jiān)持不斷地升級(jí)補(bǔ)丁和保持最新狀態(tài)的Web服務(wù)器都是惡意活動(dòng)的主要目標(biāo)。有規(guī)律地及時(shí)地修補(bǔ)允許公開訪問的web服務(wù)器是非常重要的。

ColdFusion和PHP等網(wǎng)絡(luò)插件也能夠在網(wǎng)絡(luò)服務(wù)器中造成安全漏洞。對(duì)這些插件要認(rèn)真進(jìn)行設(shè)置，并且要查看資源網(wǎng)站和最新的安全公告，了解這些插件需要的最新的補(bǔ)丁和新的漏洞。

IIS安全檢查清單

1、應(yīng)用最新的操作系統(tǒng)服務(wù)包和IIS的安全升級(jí)以及在同一臺(tái)主機(jī)上安裝的任何應(yīng)用程序的最新升級(jí)包。考慮使用自動(dòng)升級(jí)工具來自動(dòng)安裝補(bǔ)丁。

2、安裝基于主機(jī)的殺毒和入侵檢測(cè)軟件。保持這些軟件使用最新的補(bǔ)丁并且經(jīng)常查看記錄文件。

3、關(guān)閉不必要的腳本解釋器并且刪除它們的二進(jìn)制文件。例如 perl、perlscript、vbscript、jscript、javascript和php。
　　
4、使用日志并且經(jīng)常檢查日志記錄，最好通過歸納事件的自動(dòng)化程序來查看記錄并且報(bào)告異常和可疑的事件。

5、刪除或者限制攻擊者突破計(jì)算機(jī)常用的系統(tǒng)工具。例如，tftp(.exe)、ftp(.exe)、cmd.exe、bash、net.exe、remote.exe,和telnet(.exe)等。

6、在web服務(wù)器上僅運(yùn)行HTTP服務(wù)以及支持這種服務(wù)所需的服務(wù)。

7、熟悉和最大限度地減少通過公共網(wǎng)絡(luò)服務(wù)器進(jìn)入內(nèi)部網(wǎng)絡(luò)的任何連接。在面向互聯(lián)網(wǎng)的系統(tǒng)上關(guān)閉文件和打印機(jī)共享以及NETBIOS名稱解析。

8、在隔離區(qū)使用一個(gè)單獨(dú)的DNS服務(wù)器為面向互聯(lián)網(wǎng)的Web服務(wù)器服務(wù)。把在隔離區(qū)外面的不能夠解析的任何查詢都引導(dǎo)到其它公共DNS服務(wù)器中或者你的服務(wù)提供商的服務(wù)器中，千萬不要引導(dǎo)到你內(nèi)部的DND服務(wù)器。

9、在面向公眾的系統(tǒng)中使用與內(nèi)部系統(tǒng)不同的帳號(hào)和密碼制定規(guī)則，面向互聯(lián)網(wǎng)的IIS服務(wù)器應(yīng)該位于防火墻后面的隔離區(qū)，隔離區(qū)和內(nèi)部網(wǎng)絡(luò)之間還有第二層防火墻。面向互聯(lián)網(wǎng)的IIS服務(wù)器不應(yīng)該是內(nèi)部活動(dòng)目錄域的一部分，或者使用屬于內(nèi)部活動(dòng)目錄域的賬戶。

10、如果有必要的話，封鎖所有通向隔離區(qū)的端口，80端口或者443端口除外。

11、在一個(gè)硬盤上安裝操作系統(tǒng)并且在不同的硬盤上安裝網(wǎng)站，以防止目錄遍歷攻擊。

12、如果你必須使用遠(yuǎn)程數(shù)據(jù)協(xié)議(或者終端服務(wù)協(xié)議和遠(yuǎn)程桌面協(xié)議)來管理服務(wù)器，把默認(rèn)的3389端口改為黑客不容易發(fā)現(xiàn)的其它端口。

保證IIS安全的工具

對(duì)于單個(gè)服務(wù)器使用Windows升級(jí)或者自動(dòng)升級(jí)程序。

在可管理的環(huán)境中或者管理員負(fù)責(zé)多個(gè)不同的系統(tǒng)的地方使用系統(tǒng)管理服務(wù)器 (SMS) 或者 Windows服務(wù)器升級(jí)服務(wù)(WSUS) 。

微軟基準(zhǔn)安全分析器(MBSA) 幫助系統(tǒng)管理員在本地系統(tǒng)和遠(yuǎn)程系統(tǒng)實(shí)施掃描，查找最新的補(bǔ)丁。這個(gè)工具在Windows NT 4、Windows 2000、 Windows XP和Windows 2003平臺(tái)上運(yùn)行。

使用IIS Lockdown Tool 或者安全設(shè)置向?qū)?SCW)增強(qiáng)你的IIS和服務(wù)器。使用URLScan過濾HTTP請(qǐng)求。URLScan是IIS Lockdown Tool 的一部分，經(jīng)過設(shè)置之后能夠拒絕“藍(lán)色代碼”和“紅色代碼”等惡意的HTTP請(qǐng)求，甚至在服務(wù)器處理這些惡意請(qǐng)求之前就能夠拒絕這些請(qǐng)求。

把這些工具下載到另一臺(tái)機(jī)器上并在你的IIS服務(wù)器連接到互聯(lián)網(wǎng)之前把這些工具復(fù)制到你的IIS服務(wù)器中。避免在徹底進(jìn)行分析和使用補(bǔ)丁之前把你的IIS服務(wù)器連接到互聯(lián)網(wǎng)。

SQL服務(wù)器安全措施推薦

修改默認(rèn)的SQL服務(wù)器端口

最普遍的SQL的攻擊甚至在安全公告也沒有包含。這就是使用一個(gè)空白的口令企圖簡(jiǎn)單地登錄SA賬戶。微軟的SQL服務(wù)器安裝了默認(rèn)采用一個(gè)口令空白的SA賬戶，這是你需要修改的第一件事情。

另一個(gè)產(chǎn)生空白口令的常見原因是產(chǎn)品。例如，某些版本的Visio安裝微軟的SQL服務(wù)器2000桌面引擎(MSDE)從來不修改SA口令。用戶甚至都不知道他們?cè)谶\(yùn)行MSDE。你可以從eEye數(shù)字安全公司下載一個(gè)程序掃描你的網(wǎng)絡(luò)查找擁有空白SA賬戶的SQL服務(wù)器。

SQL服務(wù)器安全檢查清單

1、設(shè)置一個(gè)SA賬戶口令，并且限制這個(gè)賬戶的使用。你還要定期修改口令以防止口令擴(kuò)散，并且被開發(fā)人員或者太多的管理員所使用。如果任何知道SA口令的人離開公司，你都需要修改SA口令。使用eEye的工具掃描你的網(wǎng)絡(luò)查找沒有SA口令的SQL服務(wù)器。

2、將你的SQL服務(wù)器設(shè)置在防火墻后面，與你的IIS服務(wù)器或者網(wǎng)絡(luò)服務(wù)器分開。僅允許這些指定的網(wǎng)絡(luò)服務(wù)器連接SQL服務(wù)器。你的SQL服務(wù)器永遠(yuǎn)不要向互聯(lián)網(wǎng)開放或者允許公開訪問。

3、從sysadmin角色中刪除BUILTIN/Administrators ，然后將SQL管理權(quán)限賦予需要SQL管理功能的域賬戶。

4、如果可能的話，使用Windows身份識(shí)別或者僅使用Windows模式。采用這種方式，潛在的黑客必須首先向這個(gè)域驗(yàn)證身份，而不是僅向SQL服務(wù)器驗(yàn)證身份。

5、不要在域控制器上運(yùn)行SQL服務(wù)器。

6、把SQL服務(wù)器啟動(dòng)賬戶改為非本地帳戶。

7、啟用失敗登錄選項(xiàng)(服務(wù)器屬性/安全標(biāo)簽)，這樣你就可以查看失敗的登錄，看看是否有未經(jīng)過允許的個(gè)人設(shè)法訪問這個(gè)服務(wù)器。如果可能的話，監(jiān)視SQL記錄并且使用NETSEND或者電子郵件在SQL中設(shè)置報(bào)警。

8、為操作系統(tǒng)和SQL保持最新的補(bǔ)丁更新和服務(wù)包。某些選項(xiàng)可以參考確保IIS安全的工具。

9、保護(hù)任何擴(kuò)展的存儲(chǔ)過程�？刂拼鎯�(chǔ)過程對(duì)數(shù)據(jù)的訪問，批準(zhǔn)訪問這些數(shù)據(jù)，而不是對(duì)數(shù)據(jù)本身提供全面的db_datareader和db_datawriter許可。

10、使用設(shè)置工具修改標(biāo)準(zhǔn)的SQL服務(wù)器端口，關(guān)閉默認(rèn)端口1433。讓你的網(wǎng)絡(luò)管理員打開新的端口。

11、確保everyone組無SQL服務(wù)器注冊(cè)表鍵的寫權(quán)。 

關(guān)鍵字：服務(wù)器、SQL、網(wǎng)絡(luò)、應(yīng)用程序