微軟的IIS和SQL服務器通常是基于Windows的分布式應用環境的主要部分。這就意味著它們也是最經常受到攻擊的目標。在本文中，我們將提供提高這些產品安全性的一些具體建議。

提高IIS安全性的建議

IIS中有一個稱作ISAPI的編程接口，這個編程接口與那些以DLL為擴展名的文件有關。這些文件也稱作ISAPI擴展。

小知識

ISAPI是（Internet Server API）的縮寫，是微軟IIS web服務器的一個應用程序編程接口（API），因為ISAPI與Web服務器結合的更緊密，這使程序員可以通過使用ISAPI開發出比傳統CGI技術執行效率更高的基于web的應用程序。除了微軟的IIS之外，還有其它一些廠商的Web服務器產品也支持ISAPI接口。

ISAPI擴展負責處理如活動服務器頁（ASP）、.NET網絡服務和基于網絡的打印共享等功能。然而，很多這些擴展功能都是不必要的，特別是在你使用IIS 5.0以前版本的時候。這個問題是許多這種擴展(過濾器)都存在可以利用的安全漏洞。臭名昭著的“紅色代碼”就是利用這些擴展功能的一種惡意程序的例子。你可以僅僅啟用網絡服務器和應用程序需要的那些ISAPI擴展，嚴格限制能夠與各種擴展功能一起使用的HTTP選項。

在IIS中設置ISAPI選項

大多數IIS安裝都包括一些簡單的應用程序和旨在展示這個網絡服務器功能的腳本。它們在設計上并不是很好的考慮了安全，特別是在5.0版本之前。這樣，人們利用這些程序的安全漏洞就可以覆蓋服務器上的文件或者遠程閱覽，甚至遠程訪問敏感的服務器信息，如系統設置和指向可執行程序的路徑。在設置任何IIS服務器投入正式使用之前，你至少應該刪除“/InetPub/iissamples”目錄，刪除、移動“/InetPub/Adminscripts”管理員腳本目錄或限制對它的訪問。微軟的IIS安全工具IIS Lockdown Tool對于加強IIS安全是非常有用的。

任何沒有堅持不斷地升級補丁和保持最新狀態的Web服務器都是惡意活動的主要目標。有規律地及時地修補允許公開訪問的web服務器是非常重要的。

ColdFusion和PHP等網絡插件也能夠在網絡服務器中造成安全漏洞。對這些插件要認真進行設置，并且要查看資源網站和最新的安全公告，了解這些插件需要的最新的補丁和新的漏洞。

IIS安全檢查清單

1、應用最新的操作系統服務包和IIS的安全升級以及在同一臺主機上安裝的任何應用程序的最新升級包�？紤]使用自動升級工具來自動安裝補丁。

2、安裝基于主機的殺毒和入侵檢測軟件。保持這些軟件使用最新的補丁并且經常查看記錄文件。

3、關閉不必要的腳本解釋器并且刪除它們的二進制文件。例如 perl、perlscript、vbscript、jscript、javascript和php。
　　
4、使用日志并且經常檢查日志記錄，最好通過歸納事件的自動化程序來查看記錄并且報告異常和可疑的事件。

5、刪除或者限制攻擊者突破計算機常用的系統工具。例如，tftp(.exe)、ftp(.exe)、cmd.exe、bash、net.exe、remote.exe,和telnet(.exe)等。

6、在web服務器上僅運行HTTP服務以及支持這種服務所需的服務。

7、熟悉和最大限度地減少通過公共網絡服務器進入內部網絡的任何連接。在面向互聯網的系統上關閉文件和打印機共享以及NETBIOS名稱解析。

8、在隔離區使用一個單獨的DNS服務器為面向互聯網的Web服務器服務。把在隔離區外面的不能夠解析的任何查詢都引導到其它公共DNS服務器中或者你的服務提供商的服務器中，千萬不要引導到你內部的DND服務器。

9、在面向公眾的系統中使用與內部系統不同的帳號和密碼制定規則，面向互聯網的IIS服務器應該位于防火墻后面的隔離區，隔離區和內部網絡之間還有第二層防火墻。面向互聯網的IIS服務器不應該是內部活動目錄域的一部分，或者使用屬于內部活動目錄域的賬戶。

10、如果有必要的話，封鎖所有通向隔離區的端口，80端口或者443端口除外。

11、在一個硬盤上安裝操作系統并且在不同的硬盤上安裝網站，以防止目錄遍歷攻擊。

12、如果你必須使用遠程數據協議(或者終端服務協議和遠程桌面協議)來管理服務器，把默認的3389端口改為黑客不容易發現的其它端口。

保證IIS安全的工具

對于單個服務器使用Windows升級或者自動升級程序。

在可管理的環境中或者管理員負責多個不同的系統的地方使用系統管理服務器 (SMS) 或者 Windows服務器升級服務(WSUS) 。

微軟基準安全分析器(MBSA) 幫助系統管理員在本地系統和遠程系統實施掃描，查找最新的補丁。這個工具在Windows NT 4、Windows 2000、 Windows XP和Windows 2003平臺上運行。

使用IIS Lockdown Tool 或者安全設置向導(SCW)增強你的IIS和服務器。使用URLScan過濾HTTP請求。URLScan是IIS Lockdown Tool 的一部分，經過設置之后能夠拒絕“藍色代碼”和“紅色代碼”等惡意的HTTP請求，甚至在服務器處理這些惡意請求之前就能夠拒絕這些請求。

把這些工具下載到另一臺機器上并在你的IIS服務器連接到互聯網之前把這些工具復制到你的IIS服務器中。避免在徹底進行分析和使用補丁之前把你的IIS服務器連接到互聯網。

SQL服務器安全措施推薦

修改默認的SQL服務器端口

最普遍的SQL的攻擊甚至在安全公告也沒有包含。這就是使用一個空白的口令企圖簡單地登錄SA賬戶。微軟的SQL服務器安裝了默認采用一個口令空白的SA賬戶，這是你需要修改的第一件事情。

另一個產生空白口令的常見原因是產品。例如，某些版本的Visio安裝微軟的SQL服務器2000桌面引擎(MSDE)從來不修改SA口令。用戶甚至都不知道他們在運行MSDE。你可以從eEye數字安全公司下載一個程序掃描你的網絡查找擁有空白SA賬戶的SQL服務器。

SQL服務器安全檢查清單

1、設置一個SA賬戶口令，并且限制這個賬戶的使用。你還要定期修改口令以防止口令擴散，并且被開發人員或者太多的管理員所使用。如果任何知道SA口令的人離開公司，你都需要修改SA口令。使用eEye的工具掃描你的網絡查找沒有SA口令的SQL服務器。

2、將你的SQL服務器設置在防火墻后面，與你的IIS服務器或者網絡服務器分開。僅允許這些指定的網絡服務器連接SQL服務器。你的SQL服務器永遠不要向互聯網開放或者允許公開訪問。

3、從sysadmin角色中刪除BUILTIN/Administrators ，然后將SQL管理權限賦予需要SQL管理功能的域賬戶。

4、如果可能的話，使用Windows身份識別或者僅使用Windows模式。采用這種方式，潛在的黑客必須首先向這個域驗證身份，而不是僅向SQL服務器驗證身份。

5、不要在域控制器上運行SQL服務器。

6、把SQL服務器啟動賬戶改為非本地帳戶。

7、啟用失敗登錄選項(服務器屬性/安全標簽)，這樣你就可以查看失敗的登錄，看看是否有未經過允許的個人設法訪問這個服務器。如果可能的話，監視SQL記錄并且使用NETSEND或者電子郵件在SQL中設置報警。

8、為操作系統和SQL保持最新的補丁更新和服務包。某些選項可以參考確保IIS安全的工具。

9、保護任何擴展的存儲過程。控制存儲過程對數據的訪問，批準訪問這些數據，而不是對數據本身提供全面的db_datareader和db_datawriter許可。

10、使用設置工具修改標準的SQL服務器端口，關閉默認端口1433。讓你的網絡管理員打開新的端口。

11、確保everyone組無SQL服務器注冊表鍵的寫權。 

關鍵字：服務器、SQL、網絡、應用程序