国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

http://netsecurity.51cto.com  2006-02-05 17:39  51CTO.COM論壇  51CTO.COM論壇  我要評論(0)摘要：本節(jié)涵蓋IIS5所特有的安全問題，同時微軟的IIS默認安裝實在不敢恭維，所以IIS的配置是也將是重點。 標簽：IIS5Oracle幫您準確洞察各個物流環(huán)節(jié)本節(jié)涵蓋IIS5所特有的安全問題，同時微軟的IIS默認安裝實在不敢恭維，所以IIS的配置是也將是重點。(1) 在虛擬目錄上設(shè)置ACL。盡管該步驟與應用程序稍微有些關(guān)系，但是經(jīng)驗仍適用，正如表5.4中列出的那樣。文件類型：訪問控制列表 CGI (.exe, .dll, .cmd, .pl)Everyone (X)Administrators（完全控制）System（完全控制）腳本文件 (.asp)Everyone (X)Administrators（完全控制）System（完全控制）Include 文件 (.inc, .shtm, .shtml)Everyone (X)Administrators（完全控制）System（完全控制）靜態(tài)內(nèi)容 (.txt, .gif, .jpg, .html)Everyone (R)Administrators（完全控制）System（完全控制）① 按文件類型推薦使用的默認ACL。無需在每個文件上設(shè)置ACL，最好為每個文件類型創(chuàng)建一個新目錄、在每個目錄上設(shè)置ACL、允許ACL傳給各個文件。例如，目錄結(jié)構(gòu)可為以下形式： ·   c:\inetpub\wwwroot\myserver\static (.html)·   c:\inetpub\wwwroot\myserver\include (.inc)·   c:\inetpub\wwwroot\myserver\script (.asp)·   c:\inetpub\wwwroot\myserver\executable (.dll)·   c:\inetpub\wwwroot\myserver\images (.gif, .jpeg)同樣，請?zhí)貏e注意以下兩個目錄： ·    c:\inetpub\FTProot（FTP 服務器）·    c:\inetpub\mailroot（SMTP 服務器）在這兩個目錄上的ACL是Everyone（完全控制），并且應被更緊密的事物所覆蓋（取決于您的功能級別）。如果打算支持 Everyone（寫入），則將該文件夾放在IIS服務器以外的不同卷上，或使用Windows 2000磁盤配額限制可寫入這些目錄的數(shù)據(jù)量。② 設(shè)置適當?shù)腎IS日志文件ACL請確保IIS產(chǎn)生的日志文件 (%systemroot%\system32\LogFiles) 上的ACL是 ·       Administrators（完全控制）·       System（完全控制）·       Everyone (RWC)這有助于防止惡意用戶為隱藏他們的蹤跡而刪除文件。當您希望確定服務器是否被攻擊時，日志記錄是極其重要的。應使用 W3C 擴展日志記錄格式，步驟如下：① 裝載 Internet Information Services工具。② 右鍵單擊所述站點，然后從上下文菜單中選擇“屬性”。③ 單擊“Web 站點”選項卡。④ 選中“啟用日志記錄”復選框。⑤ 從“活動日志格式”下拉列表中選擇“W3C擴展日志文件格式”。⑥ 單擊“屬性”。⑦ 單擊“擴展屬性”選項卡，然后設(shè)置客戶IP地址、用戶名、方法、URI資源、HTTP狀態(tài)、Win32 狀態(tài)、用戶代理、服務器IP地址、服務器端口。如果在一臺計算機上有多個Web服務器，則后兩種屬性非常有用。Win32狀態(tài)屬性對于調(diào)試非常有用。檢查日志時，密切注意錯誤5，這意味著訪問被拒絕。在命令行上輸入 net helpmsg err，可找出其他Win32錯誤的含義，其中err是要查找的錯誤號。(2) 設(shè)置IP地址/DNS 地址限制。這不是常用選項，但是如果您希望限制某些用戶對 Web 站點的訪問，則這是可采用的選項。請注意，如果您輸入IIS擁有的域名系統(tǒng)(DNS) 名稱以執(zhí)行 DNS 查找，則這將非常耗時。(3) 驗證可執(zhí)行內(nèi)容的可靠性。很難知道可執(zhí)行內(nèi)容是否可靠。一個試驗就是使用 DumpBin工具查看可執(zhí)行內(nèi)容是否調(diào)用某些API。DumpBin 包括在多種Win32開發(fā)工具中。例如，如果要查看名為MyISAPI.dll的文件是否調(diào)用 RevertToSelf，請使用以下語法：dumpbin /imports MyISAPI.dll | find "RevertToSelf"如果屏幕上未顯示任何結(jié)果，則MyISAPI.dll不直接調(diào)用 RevertToSelf。它可能通過 LoadLibrary調(diào)用API，在這種情況下，也可使用類似的命令搜索它。(4) 在IIS服務器上更新根CA證書。這個過程分為兩步：第一步，添加任何您信任的新根證書頒發(fā)機構(gòu) (CA) 證書 - 特別是，使用Microsoft證書服務2.0創(chuàng)建的根CA證書。第二步，刪除您不信任的所有根CA證書。請注意，如果您不知道頒發(fā)根證書的公司名，千萬別信他們。IIS 使用的所有根CA證書都駐留在計算機的機器存儲中?？赏ㄟ^以下步驟訪問該存儲： ·     打開 Microsoft 管理控制臺 (MMC)。·     從“控制臺”菜單中選擇“添加/刪除管理單元”，然后單擊“添加”。·     選擇“證書”，然后單擊“添加”。·     單擊“計算機帳戶”選項按鈕。·     單擊“下一步”。·     選擇所述機器。·     單擊“完成”。·     依次單擊“關(guān)閉”和“確定”。·     擴展“證書”節(jié)點。·     打開“受信任的根證書頒發(fā)機構(gòu)”。·     選擇“證書”。右窗格上將顯示當前可信的全部根CA證書。如果愿意，可以刪除多個證書。(5) 禁用或刪除所有的示例應用程序。示例只是示例；在默認情況下，并不安裝它們，且從不在生產(chǎn)服務器上安裝。請注意一些示例安裝，它們只可從http://localhost或127.0.0.1訪問；但是，它們?nèi)詰粍h除。表5.5列出一些示例的默認位置。表5.5 示例虛擬目錄位置IIS 示例\IISSamplesc:\inetpub\iissamplesIIS 文檔\IISHelpc:\winnt\help\iishelp數(shù)據(jù)訪問\MSADCc:\program files\common files\system\msadc啟用或刪除不需要的 COM 組件(6) 啟用或刪除不需要的COM組件。某些COM組件不是多數(shù)應用程序所必需的，應加以刪除。特別是，應考慮禁用文件系統(tǒng)對象組件，但是要注意這將也會刪除 Dictionary 對象。切記某些程序可能需要您禁用的組件。例如，Site Server 3.0使用File System Object。以下命令將禁用 File System Object：regsvr32 scrrun.dll /u(7) 刪除 IISADMPWD 虛擬目錄。該目錄可用于重置 Windows NT 和 Windows 2000 密碼。它主要用于 Intranet 情況下，并不作為 IIS 5 的一部分安裝，但是 IIS 4 服務器升級到 IIS 5 時，它并不刪除。如果您不使用 Intranet 或如果將服務器連接到 Web 上，則應將其刪除。有關(guān)該功能的詳細信息，請參閱 Microsoft 知識庫文章 Q184619。(8) 刪除無用的腳本映射。IIS 被預先配置為支持常用的文件名擴展如 .asp 和 .shtm 文件。IIS 接收到這些類型的文件請求時，該調(diào)用由 DLL 處理。如果您不使用其中的某些擴展或功能，則應刪除該映射，步驟如下：·       打開Internet服務管理器。·       右鍵單擊Web服務器，然后從上下文菜單中選擇“屬性”。·       主屬性·       選擇WWW 服務 | 編輯 | 主目錄 | 配置刪除這些引用： 如果您不使用...刪除該項：基于 Web 的密碼重設(shè).htrInternet 數(shù)據(jù)庫連接器（所有的 IIS 5 Web 站點應使用 ADO 或類似的技術(shù)）.idc服務器端包括.stm、.shtm 和 .shtmlInternet 打印.printer索引服務器.htw、.ida 和 .idq(9) 要從IIS 5刪除的擴展。除非您特別需要使用 .htr 功能，否則應刪除 .htr 擴展。(10) 少用或不用CGI程序。使用CGI程式時，因為處理程序（Process）須不斷地產(chǎn)生與摧毀，造成執(zhí)行效率不佳。一般而言，執(zhí)行效率比較如下：靜態(tài)網(wǎng)頁（Static）：100　 ISAPI：50 　 ASP：10 　 CGI：1　換句話說，ASP比CGI可能快10倍，因此勿使用CGI程式可以改善IIS的執(zhí)行效率。以彈性（Flexibility）而言：ASP > CGI > ISAPI > 靜態(tài)網(wǎng)頁（Static）。以安全（Security）而言：ASP（獨立） = ISAPI（獨立）= CGI > ASP（非獨立）= ISAPI（非獨立）= 靜態(tài)網(wǎng)頁（Static）。當然有時不得不用CGI程序。因此這里提供了一個小技巧來對付日益增多的cgi漏洞掃描器。在IIS中將HTTP404 Object Not Found出錯頁面通過URL重定向到一個定制HTM文件，可以讓目前絕大多數(shù)CGI漏洞掃描器失靈。其實原因很簡單，大多數(shù)CGI掃描器在編寫時為了方便，都是通過查看返回頁面的HTTP代碼來判斷漏洞是否存在的，例如，著名的IDQ漏洞一般都是通過取1.idq來檢驗，如果返回HTTP200，就認為是有這個漏洞，反之如果返回HTTP404就認為沒有，如果你通過URL將HTTP404出錯信息重定向到HTTP404.htm文件，那么所有的掃描無論存不存在漏洞都會返回HTTP200，90%的CGI掃描器會認為你什么漏洞都有，結(jié)果反而掩蓋了你真正的漏洞，讓入侵者茫然無處下手。(11) 檢查ASP代碼中的  和查詢字符串輸入。許多站點使用用戶的輸入以調(diào)用其他代碼或直接創(chuàng)建 SQL 語句。換句話說，它們將該輸入視作有效的、格式正確的、非惡意的輸入。不應這樣看待；仍存在許多攻擊，用戶的輸入被誤以為是有效的輸入，而該用戶仍可獲得對服務器的訪問權(quán)或引起破壞。應對每一個  輸入和查詢字符串進行檢查，然后才能將它轉(zhuǎn)到另一個可能使用外部資源（如文件系統(tǒng)或數(shù)據(jù)庫）的進程或方法調(diào)用。可用JScript V5和VBScript V5 正規(guī)表達式功能執(zhí)行文本檢查。以下示例代碼可除去包含所有無效（不是0-9a-zA-Z或 _ 的字符）字符串： Set reg = New RegExpreg.Pattern = "\W+" ' One or more characters which' are NOT 0-9a-zA-Z or '_'strUnTainted = reg.Replace(strTainted, "")以下示例可除去 | 操作符后面的所有文本：Set reg = New RegExpreg.Pattern = "^(.+)\|(.+)" ' Any character from the start of' the string to a | character.strUnTainted = reg.Replace(strTainted, "$1")同樣，在用Scripting File System Object打開文件或創(chuàng)建文件時要千萬小心。如果文件名是基于用戶的輸入的，則該用戶可能試圖打開一個串口或打印機。以下JScript代碼可除去無效的文件名：var strOut = strIn.replace(/(AUX|PRN|NUL|COM\d|LPT\d)+\s*$/i,"");(12) 禁用父路徑。“父路徑”選項允許您在對諸如MapPath函數(shù)調(diào)用中使用“..”。在默認情況下，該選項處于啟用狀態(tài)，應該禁用它。禁用該選項的步驟如下：·       右鍵單擊該Web站點的根，然后從上下文菜單中選擇“屬性”。·       單擊“主目錄”選項卡。·       單擊“配置”。·       單擊“應用程序選項”選項卡。·       取消選擇“啟用父路徑”復選框。(13) 禁用-內(nèi)容位置中的IP地址。“內(nèi)容-位置”標頭可暴露通常在網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 防火墻或代理服務器后面隱藏或屏蔽的內(nèi)部IP地址。(14) 徹底刪掉C盤Inetpub目錄徹底刪掉。在D盤建一個Inetpub（要是你不放心用默認目錄名也可以改一個名字，但是自己要記得）在IIS管理器中將主目錄指向D:\Inetpub。(15) 備份。為了保險起見，你可以使用IIS的備份功能，將剛剛的設(shè)定全部備份下來，這樣就可以隨時恢復IIS的安全配置。還有，如果你怕IIS負荷過高導致服務器滿負荷死機，也可以在性能中打開CPU限制，例如將IIS的最大CPU使用率限制在70%。(責任編輯：zhaohb)