学步园

iis网站服务器+sql server数据库服务器安全
一 程序部分注意事项

1 友好的错误提示页，不出错误黄页，会暴露信息

2 输入参数检测，get,post,cookie验证，防注入

3 页面层不含任何业务逻辑

4 fck等编辑器有安全漏洞，慎用

5 .net开发除了在页面层对所有输入要防注入外，最好在底层再做一次，只对输入进行单引号没用，很容易绕过。

6 操作实体进如果不是全表更新最好只更新单独一列的sql，这样效率也好

二 网站文件部分

1 经常用漏洞扫描，安全检测工具扫描网站服务器（暗组安全杀毒，webscan,wscan等），特别是网站文件所在的文件夹。

三 IIS设置部分

1 如果是IIS服务器的话，最好装个IIS防火墙，可以起到一定的防护作用。如果是后台程序只是内部人或有限人访问的或以限制访问IP，设置方法详见 http://blog.csdn.net/huwei2003/article/details/6258627

2 iis服务器网站文件夹的权限设置一定要注意，如果多个站每个站用一个单独的账号（匿名访问账号）如果是.net开发的应用程序池最好也是分开，图片，上传文件的文件夹最好权限设置为"无",删除不必要的账号，权限最小分配原则。

(3)、IIS安全设置
　　IIS的安全：
　　1、不使用默认的Web站点，如果使用也要将IIS目录与系统磁盘分开。
　　2、删除IIS默认创建的Inetpub目录（在安装系统的盘上）。
　　3、删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
　　4、删除不必要的IIS扩展名映射。
　　右键单击“默认Web站点→属性→主目录→配置”，打开应用程序窗口，去掉不必要的应用程序映射。主要为.shtml、.shtm、 .stm。
　　5、更改IIS日志的路径
　　右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性
　　6、如果使用的是2000可以使用iislockdown来保护IIS，在2003运行的IE6.0的版本不需要。

四 数据库安全部分

1 如果是用sqlserver数据库，开的端口（默认1433）要做好限制，只允话有限的服务器访问，

(2)、SQL2000 SERV-U FTP安全设置
　　SQL安全方面
　　1、System Administrators 角色最好不要超过两个
　　2、如果是在本机最好将身份验证配置为Win登陆
　　3、不要使用Sa账户，为其配置一个超级复杂的密码
            或修改sa用户名：
            update sysxlogins set name='xxxx' where sid=0x01
            update sysxlogins set sid=0xE765555BD44F054F89CD0076A06EA823 where name='xxxx'
　　4、删除以下的扩展存储过程格式为：
　　use master
　　sp_dropextendedproc '扩展存储过程名'
　　xp_cmdshell：是进入操作系统的最佳捷径，删除
　　访问注册表的存储过程，删除
　　 Xp_regaddmultistring
         Xp_regdeletekey
         Xp_regdeletevalue
         Xp_regenumvalues
　　 Xp_regread 
         Xp_regwrite 
         Xp_regremovemultistring
　　 OLE自动存储过程，不需要，删除
　　 Sp_OACreate 
         Sp_OADestroy
         Sp_OAGetErrorInfo
         Sp_OAGetProperty
　　 Sp_OAMethod
         Sp_OASetProperty
         Sp_OAStop
　　5、隐藏 SQL Server、更改默认的1433端口。
　　右击实例选属性-常规-网络配置中选择TCP/IP协议的属性，选择隐藏 SQL Server 实例，并改原默认的1433端口。
    6.为数据库建立一个新的角色，禁止该角色对系统表的的select等权限，防止sql注入时利用系统表。
　　

五 系统安全部分

1 服务器要及时更新安全补丁

2 服务器密码，数据库密码等要经常修改，密码复杂度要高。

3 关闭不需要的服务及端口。

4 做好防火墙设置及本地安全策略。本地安全策略设置可见 http://blog.csdn.net/huwei2003/article/details/4041581

5 网站服务器，数据库服务器除了本机做好备份外，最好要有备份机。以防出现问题一时不能恢复时启用。同时做好多点备份。

6 经常查下服务器的日志，事件查看器 如果发现有意外的登录及操作应引起注意，iis日志查看是否有过注入之类的访问

7 .net开发的网站 c:\windwos\temp要有访问权限，

(8)、检测服务器
   在这里服务器本身的安全设置基本完成一半了，大家可以使用流光或者x-san 等扫描软件在其他机器上对服务器进行扫描看看还有哪些方面有问题，正常来说2003本身安全性就比较高，应该是没问题了，如果条件不允许没有以上骇客软件的话也可登录天网防火墙的官方网站上面有在线端口扫描，可以帮助你检测下自己的服务器。
   
  首先设置：所有盘、windows、documents and settings、program files 等只允许系统管理员用户访问，其他删除，这样就可以防止asp木马浏览你的系统盘了，（系统盘为ntfs）也可以单独建立一个用户，此用户设置权限为最低，然后指派给此用户专门就给web单独工作。
   一、禁用服务里面workstation 服务，可以防止列出用户和服务。
   二、使用wscript.shell组件
   wscript.shell可以调用系统内核运行dos基本命令 可以通过修改注册表，将此组件改名，来防止此类木马的危害。将注册表下的hkey_classes_root/wscript.shell/及hkey_classes_root/wscript.shell.1/ 改名为其它的名字，如：改为wscript.shell_changename或 wscript.shell.1_changename。自己以后调用的时候使用这个就可以正常调用此组件了，同时也要将clsid值也改动 hkey_classes_root/wscript.shell/clsid/项目的值
，hkey_classes_root/wscript.shell.1/clsid/项目的值，并禁止使用guest用户使用shell32.dll来防止调用此组件。使用命令：regsvr32 wshom.ocx /u也可以将其删除，来防止此类木马的危害。

(9)、 磁盘权限设置
　　C盘只给administrators和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。
　　Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。以前有朋友单独设置Instsrv和temp等目录权限，其实没有这个必要的。
 
　　另外在c:/Documents and Settings/这里相当重要，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，而在All Users/Application Data目录下会出现everyone用户有完全控制权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限；譬如利用serv-u的本地溢出提升权限，或系统遗漏有补丁，数据库的弱点，甚至社会工程学等等N多方法，从前不是有牛人发飑说："只要给我一个webshell，我就能拿到system"，这也的确是有可能的。在用做web/ftp服务器的系统里，建议是将这些目录都设置的锁死。其他每个盘的目录都按照这样设置，每个盘都只给adinistrators权限。
　　另外，还将：
　　net.exe NET命令
　　cmd.exe  CMD 懂电脑的都知道咯~
　　tftp.exe
　　netstat.exe
　　regedit.exe  注册表啦大家都知道
　　at.exe
　　attrib.exe
　　cacls.exe  ACL用户组权限设置，此命令可以在NTFS下设置任何文件夹的任何权限！偶入侵的时候没少用这个....（：
　　format.exe  不说了，大家都知道是做嘛的
　　大家都知道ASP木马吧，有个CMD运行这个的，这些如果都可以在CMD下运行..55，，估计别的没啥，format下估计就哭料~~~（：这些文件都设置只允许administrator访问。

(10)、防火墙、杀毒软件的安装
　　关于这个东西的安装其实我也说不来，反正安装什么的都有，建议使用卡巴，卖咖啡。用系统自带的防火墙，这个我不专业，不说了！大家凑合！

六 其它

1 出现攻击后可用工具（如autorus）查看当前运行的服务，看有没有木马程序或非法程序在运行。

2 服务器密码等密码之类的最好不要直接存在服务器上，以免利用。可用密码管理类的软件管理如keepass

3 aspxspy是一个木马程序，攻击者会利用上传漏洞上传该文件，取得一定权限后即可以操作服务器了。类似的还有caidao.exe等

(4)、serv-u的几点常规安全需要设置下：
　　选中"Block "FTP_bounce"attack and FXP"。什么是FXP呢？通常，当使用FTP协议进行文件传输时，客户端首先向FTP服务器发出一个"PORT"命令，该命令中包含此用户的IP地址和将被用来进行数据传输的端口号，服务器收到后，利用命令所提供的用户地址信息建立与用户的连接。大多数情况下，上述过程不会出现任何问题，但当客户端是一名恶意用户时，可能会通过在PORT命令中加入特定的地址信息，使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器，但是如果FTP服务器有权访问该机器的话，那么恶意用户就可以通过FTP服务器作为中介，仍然能够最终实现与目标服务器的连接。这就是FXP，也称跨服务器攻击。选中后就可以防止发生此种情况。

(5)、其它
　　1、系统升级、打操作系统补丁，尤其是IIS 6.0补丁、SQL SP3a补丁，甚至IE 6.0补丁也要打。同时及时跟踪最新漏洞补丁；
　　2、停掉Guest 帐号、并给guest 加一个异常复杂的密码，把Administrator改名或伪装！

(6)、隐藏重要文件/目录
　　可以修改注册表实现完全隐藏：“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠标右击 “CheckedValue”，选择修改，把数值由1改为0。
　　4、启动系统自带的Internet连接防火墙，在设置服务选项中勾选Web服务器。
　　5、防止SYN洪水攻击。
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
　　新建DWORD值，名为SynAttackProtect，值为2
　　6. 禁止响应ICMP路由通告报文
　　HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet\ Services\Tcpip\Parameters\Interfaces\interface
　　新建DWORD值，名为PerformRouterDiscovery 值为0。
　　7. 防止ICMP重定向报文的攻击
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
　　将EnableICMPRedirects 值设为0
　　8. 不支持IGMP协议
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
　　新建DWORD值，名为IGMPLevel 值为0。
　　9、禁用DCOM：
　　运行中输入Dcomcnfg.exe。回车，单击“控制台根节点”下的“组件服务”。打开“计算机”子文件夹。