服务器安全（三） (3)

SQL SERVER数据库操作的全部权限。遗憾的是，一部分网管对数据库并不熟悉，建立数据
库的工作由编程人员完成，而这部分人员往往只注重编写SQL 语句本身，对SQL SERVER数据库的管理不熟悉，
这样很有可能造成SA口令为空。这对数据库安全是一个严重威胁。目前具有这种隐患的站点不在少数。
　　
　　严格控制数据库用户的权限，轻易不要给让用户对表有直接的查询、更改、插入、删除权限，可以通过给
用户以访问视图的权限，以及只具有执行存储过程的权限。
　　说明：用户如果对表有直接的操作权限，就会存在数据被破坏的危险。
　　
　　制订完整的数据库备份与恢复策略。
　 24. PCANYWHERE的安全：
　　
　　目前，PCANYWHERE是最流行的基于NT与2000的远程控制工具，同样也需要注意安全问题。
　　
　　建议采用单独的用户名与口令，最好采用加密手段。千万不要采用与NT管理员一样的用户名与口令，也不
要使用与NT集成的口令。同时在服务器端的设置时务必采用security options中的强加密方式，拒绝低加密水
平的连接，同时采用口令加密与传输过程中的用户名与口令加密，以防止被嗅探到，还要限制连接次数，另外
很重要的一点就是一定在protect item中设置高强度的口令，同时一定限制不能够让别人看到你的host端的任何设置，即便是要察看主机端的相关设置也必须要输入口令！
　　说明：PCANYWHERE 口令是远程控制的第一个关口，如果与NT的一样， 就失去了安全屏障。被攻破后就毫
无安全可言。而如果采用单独的口令，即使攻破了PCANYWHERE，NT还有一个口令屏障。
　　及时安装较新的版本。
2.中级篇: IIS的安全与性能调整
实际上，安全和应用在很多时候是矛盾的，因此，你需要在其中找到平衡点，毕竟服务器是给用户用而不是做
OPEN HACK的，如果安全原则妨碍了系统应用，那么这个安全原则也不是一个好的原则。 网络安全是一项系统
工程，它不仅有空间的跨度，还有时间的跨度。很多朋友（包括部分系统管理员）认为进行了安全配置的主机
就是安全的，其实这其中有个误区：我们只能说一台主机在一定的情况一定的时间上是安全的随着网络结构的
变化、新的漏洞的发现，管理员/用户的操作，主机的安全状况是随时随地变化着的，只有让安全意识和安全制
度贯穿整个过程才能做到真正的安全。
提高IIS 5.0网站伺服器的执行效率的八种方法 　
以下是提高IIS 5.0网站伺服器的执行效率的八种方法：
1. 启用HTTP的持续作用可以改善15~20%的执行效率。 　
2. 不启用记录可以改善5~8%的执行效率。 　
3. 使用 [独立] 的处理程序会损失20%的执行效率。 　
4. 增加快取记忆体的保存档案数量，可提高Active Server Pages之效能。 　
5. 勿使用CGI程式。 　
6. 增加IIS 5.0电脑CPU数量。 　
7. 勿启用ASP侦错功能。 　
8. 静态网页采用HTTP 压缩，大约可以减少20%的传输量。 　
简单介绍如下。 　
1、启用HTTP的持续作用 　
启用HTTP的持续作用（Keep-Alive）时，IIS与浏览器的连线不会断线，可以改善执行效率，直到浏览器关闭时
连线才会断线。因为维持「Keep-Alive」状态时，於每次用户端请求时都不须重新建立一个新的连接，所以将
改善伺服器的效率。此功能为HTTP1.1预设的功能，HTTP 1.0加上Keep-Alive header也可以提供HTTP的持续作
用功能。
　
2、启用HTTP的持续作用可以改善15~20%的执行效率。 　
如何启用HTTP的持续作用呢？步骤如下：在 [Internet服务管理员] 中，选取整个IIS电脑、或Web站台，於 [
内容] 之 [主目录] 页，勾选 [HTTP的持续作用] 选项。
　
3、不启用记录 　
不启用记录可以改善5~8%的执行效率。如何设定不启用记录呢？步骤如下： 　
在 [Internet服务管理员] 中，选取整个IIS电脑、或Web站台，於 [内容] 之 [主目录] 页，不勾选 [启用记
录] 选项。设定非独立的处理程序使用 [独立] 的处理程序会损失20%的执行效率，此处所谓 独立」系指将 [
主目录]、[虚拟目录] 页之应用程式保护选项设定为 [高（独立的）] 时。因此 [应用程式保护] 设定为 [低
(IIS处理程序)] 时执行效率较高如何设定非「独立」的处理程序呢？步骤如下： 在 [Internet服务管理员]
中，选取整个IIS电脑、Web站台、或应用程式的起始目录。於 [内容] 之 [主目录]、[虚拟目录] 页，设定应
用程式保护选项为 [低 (IIS处理程序)] 。 　
4、调整快取（Cache）记忆体 　
IIS 5.0将静态的网页资料暂存於快取（Cache）记忆体当中；IIS 4.0则将静态的网页资料暂存於档案当中。调
整快取（Cache）记忆体的保存档案数量可以改善执行效率。ASP指令档案执行过後，会在暂存於快取（Cache）
记忆体中以提高执行效能。增加快取记忆体的保存档案数量，可提高Active Server Pages之效能。可以设定所
有在整个IIS电脑、「独立」Web站台、或「独立」应用程式上执行之应用程式的快取记忆体档案数量。如何设
定快取（Cache）功能呢？步骤如下：在 [Internet服务管理员] 中选取整个IIS电脑、「独立」Web站台、或「
独立」应用程式的起始目录。於 [内容] 之 [主目录]、[虚拟目录] 页，按下 [设定] 按钮时，即可由 [处理
程序选项] 页设定[指令档快取记忆体] 。如何设定快取（Cache）记忆体档案数量呢？步骤如下：在[Internet
服务管理员] 中，选取整个IIS电脑、或Web站台的起始目录。於 [内容] 之[伺服器扩充程式] 页，按下 [设定
] 按钮。即可设定快取（Cache）记忆体档案数量。
5、勿使用CGI程式 　
使用CGI程式时，因为处理程序（Process）须不断地产生与摧毁，造成执行效率不佳。一般而言，执行效率比
较如下： 静态网页（Static）：100 ISAPI：50 ASP：10 CGI：1 　换句话说，ASP比CGI可能快10倍，因此勿
使用CGI程式可以改善IIS的执行效率。以弹性（Flexibility）而言：ASP > CGI > ISAPI > 静态网页（Static
）。以安全（Security）而言：ASP（独立） = ISAPI（独立）= CGI > ASP（非独立） = ISAPI（非独立）=
静态网页（Static）
6、增加IIS 5.0电脑CPU数量 　
根据微软的测试报告，增加IIS 4.0电脑CPU数量，执行效率并不会改善多少；但是增加IIS 5.0电脑CPU数量，
执行效率会几乎成正比地提供，换句话说，两颗CPU的IIS5.0电脑执行效率几乎是一颗CPU电脑的两倍，四颗CPU
的IIS 5.0电脑执行效率几乎是一颗CPU电脑的四倍IIS 5.0将静态的网页资料暂存於快取（Cache）记忆体当中
；IIS 4.0 则将静态的网页资料暂存於档案当中。调整快取（Cache）记忆体的保存档案数量可以改善执行效率
。 　
7、启用ASP侦错功能 　
勿启用ASP侦错功能可以改善执行效率。如何勿启用ASP侦错功能呢？步骤如下：於[Internet服务管理员] 中，
选取Web站台、或应用程式的起始目录，按右键选择[内容]，按 [主目录]、[虚拟目录] 或 [目录] 页，按下 [
设定] 按钮，选择 [应用程式侦错] 页，不勾选 [启用ASP伺服器端指令侦错]、[启用ASP用户端指令侦错] 选
项。
8、静态网页采用HTTP 压缩 　
静态网页采用HTTP 压缩，大约可以减少20%的传输量。HTTP压缩功能启用或关闭，系针对整台IIS伺服器来设定
。用户端使用IE 5.0浏览器连线到已经启用HTTP压缩IIS5.0之Web伺服器，才有HTTP压缩功能。如何启用HTTP压
缩功能呢？步骤如下：若要启用HTTP 压缩功能，方法为在 [Internet服务管理员] 中，选取电脑之 [内容]，
於 [主要内容] 之下选取 [WWW服务]。然後按一下 [编辑] 按钮，於 [服务] 页上，选取 [压缩静态档案] 可
以压缩静态档案，不选取 [压缩应用程式档案] 。 　动态产生的内容档案（压缩应用程式档案）也可以压缩，
但是须耗费额外CPU处理时间，若%Processor Time已经百分之八十或更多时，建议不要压缩
以上是对采用IIS作为WEB服务器的一些安全相关的设置与其性能调整的参数设置，可以最大化的优化你的IIS
，不过个人认为如果不存在障碍，还是采用apache比较好一些，漏洞少，建议采用apache 1.3.24版本，因为最
近经测试，apache 1.3.23之前的版本都存在溢出漏洞，不要怕，这种漏洞很少的，呵呵。另外，个人建议不要
采用ASP安全性总不叫人放心，个人认为还是采用JSP好一些，安全性好，功能强大，绝对超值，呵呵，因为PHP
也存在不少的洞洞
附：IIS安全工具及其使用说明
一、IIS Lock Tool，快速设置IIS安全属性
　　IIS Lock Tool的推出，还要感谢红色代码，因为正是红色代码的大面积传播，致使微软设计发布这款帮助
管理员们设置IIS安全性的工具。
（一）、IIS Lock Tool具有以下功能和特点
　　１、最基本功能，帮助管理员设置IIS安全性；
　　２、此工具可以在IIS4和IIS5上使用；
　　３、即使系统没有及时安装所有补丁，也能有效防止IIS4和IIS5的已知漏洞；
　　４、帮助管理员去掉对本网站不必要的一些服务，使IIS在满足本网站需求的情况下运行最少的服务；
　　５、具有两种使用模式：快捷模式和高级模式。快捷模式直接帮助管理员设置好IIS安全性，这种模式只适
合于只有HTML和HTM静态网页的网站使用，因为设置完成以后，ASP不能运行；高级模式允许管理员自己设置各
种属性，设置得当，对IIS系统任何功能均没有影响。
（二）、IIS Lock Tool的使用
　　１、软件下载和安装
　　IIS Lock Tool在微软网站下载，下载地址：
www.microsoft.com/Downloads/Release.asp?ReleaseID=32362
　　安装很简单，需要注意的是，安装以后，程序不会在系统的【程序】菜单出现，也不会在【管理工具】出现，需要安装者在安装目录寻找运行该程序。
　　
二、URLScan Tool――过滤非法URL访问
　　仔细观察IIS的漏洞，我们几乎可以得出这样一个结论，所有利用这些漏洞实现对网站攻击的手段均是构造
特殊的URL来访问网站，一般有以下几种类型的URL可以利用漏洞：
　　１、特别长的URL，比如红色代码攻击网站的URL就是这样：
GET/default.idaXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u
9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u
00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 200；
　 ２、特殊字符或者字符串的URL，比如在URL后面加::$DATA可以看到网页（ASP）源代码；
　　３、URL中含有可执行文件名，最常见的就是有cmd.exe；
　　既然这些攻击利用特殊的URL来实现，所以，微软提供了这款专门过滤非法URL的安全工具，可以达到御敌
于国门之外的效果，这款工具有以下特点和功能：
　　１、基本功能：过滤非法URL请求；
　　２、设定规则，辨别那些URL请求是合法的；这样，就可以针对本网站来制定专门的URL请求规则；同时，
当有新的漏洞出现时，可以更改这个规则，达到防御新漏洞的效果；
　　３、程序提供一套URL请求规则，这个规则包含已经发现的漏洞利用特征，帮助管理员设置规则；
（一）、软件的下载与安装
　　URLScan可以在微软的网站上下载，地址如下：
download.microsoft.com/download/iis50/Utility/1.0/NT45XP/EN-US/UrlScan.exe
　　和一般软件一样安装，但是，此软件不能选择安装路径，安装完成以后，我们可以在
System32/InetSvr/URLScan目录下找到以下文件：
　　urlscan.dll：动态连接库文件；
　　urlscan.inf：安装信息文件；
　　urlscan.txt：软件说明文件；
　　urlscan.ini：软件配置文件，这个文件很只要，因为对URLScan的所有配置，均有这个文件来完成。
（二）、软件的配置
　　软件的配置由urlscan.ini文件来完成，在配置此文件以前，我们需要了解一些基本知识。
　１、urlscan配

亿恩科技地址(ADD)：郑州市黄河路129号天一大厦608室 邮编(ZIP)：450008 传真(FAX)：0371-60123888
   联系：亿恩小凡
   QQ：89317007
   电话:0371-63322206

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]