WIN2000 SERVER安全配置服務器手冊(3)

21.安裝最新的MDAC（http://www.microsoft.com/data/download.htm）

說明：MDAC為數據訪問部件，通常程序對數據庫的訪問都通過它，但它也是黑客攻擊的目標，為防止以前版本的漏洞可能會被帶入升級后的版本，建議卸載后安裝最新的版本。注意：在安裝最新版本前最好先做一下測試，因為有的數據訪問方式或許在新版本中不再被支持，這種情況下可以通過修改注冊表來檔漏洞，祥見漏洞測試文檔。

22.設置IP拒絕訪問列表

說明：對于WWW服務，可以拒絕一些對站點有攻擊嫌疑的地址；尤其對于FTP服務，如果只是自己公司上傳文件，就可以只允許本公司的IP訪問改FTP服務，這樣，安全性大為提高。

23.禁止對FTP服務的匿名訪問

說明：如果允許對FTP服務做匿名訪問，該匿名帳戶就有可能被利用來獲取包多的信息，以致對系統造成危害。

24.建議使用W3C擴充日志文件格式，每天記錄客戶IP地址，用戶名，服務器端口，方法，URI字根，HTTP狀態，用戶代理，而且每天均要審查日志。（最好不要使用缺省的目錄，建議更換一個記日志的路徑，同時設置日志的訪問權限，只允許管理員和system為Full Control）

說明：作為一個重要措施，既可以發現攻擊的跡象，采取預防措施，也可以作為受攻擊的一個證據。

25.慎重設置WEB站點目錄的訪問權限，一般情況下，不要給予目錄以寫入和允許目錄瀏覽權限。只給予.ASP文件目錄以腳本的權限，而不要給與執行權限。

說明：目錄訪問權限必須慎重設置，否則會被黑客利用。

26.涉及用戶名與口令的程序最好封裝在服務器端，盡量少的在ASP文件里出現，涉及到與數據庫連接地用戶名與口令應給予最小的權限。

說明：用戶名與口令，往往是黑客們最感興趣的東西，如果被通過某種方式看到源代碼，后果是嚴重的。因此要盡量減少它們在ASP文件中的出現次數。出現次數多得用戶名與口令可以寫在一個位置比較隱蔽的包含文件中。如果涉及到與數據庫連接，理想狀態下只給它以執行存儲過程的權限，千萬不要直接給予該用戶以修改、插入、刪除記錄的權限。

27.需要經過驗證的ASP頁面，可跟蹤上一個頁面的文件名，只有從上一頁面轉進來的會話才能讀取這個頁面。

說明：現在的需要經過驗證的ASP程序多是在頁面頭部加一個判斷語句，但這還不夠，有可能被黑客繞過驗證直接進入，因此有必要跟蹤上一個頁面。具體漏洞見所附漏洞文檔。

28.防止ASP主頁.inc文件泄露問題

當存在asp 的主頁正在制作并沒有進行最后調試完成以前，可以被某些搜索引擎機動追加為搜索對象，如果這時候有人利用搜索引擎對這些網頁進行查找，會得到有關文件的定位，并能在瀏覽器中察看到數據庫地點和結構的細節揭示完整的源代碼。

解決方案：應該在網頁發布前對其進行徹底的調試；安全專家需要褂訕asp 包含文件以便外部的用戶不能看他們。 首先對 .inc 文件內容進行加密，其次也可以使用 .asp 文件代替 .inc 文件使用戶無法從瀏覽器直接觀看文件的源代碼。.inc 文件的文件名不用使用系統默認的或者有特殊含義容易被用戶猜測到的，盡量使用無規則的英文字母。

29.注意某些ASP編輯器會自動備份asp文件，會被下載的漏洞

在有些編輯asp程序的工具，當創建或者修改一個asp文件時，編輯器自動創建一個備份文件，比如：UltraEdit就會備份一個.bak文件，如你創建或者修改了some.asp，編輯器自動生成一個叫some.asp.bak文件，如果你沒有刪除這個 bak文件，攻擊有可以直接下載some.asp.bak文件，這樣some.asp的源程序就會給下載。

在處理類似留言板、BBS等輸入框的ASP程序中，最好屏蔽掉HTML、javascript、VBScript語句，如無特殊要求，可以限定只允許輸入字母與數字，屏蔽掉特殊字符。同時對輸入字符的長度進行限制。而且不但在客戶端進行輸入合法性檢查，同時要在服務器端程序中進行類似檢查。

說明：輸入框是黑客利用的一個目標，他們可以通過輸入腳本語言等對用戶客戶端造成損壞； 如果該輸入框涉及到數據查詢，他們會利用特殊查詢輸入得到更多的數據庫數據，甚至是表的全部。因此必須對輸入框進行過濾。但如果為了提高效率僅在客戶端進行輸入合法性檢查，仍有可能被繞過，因此必須在服務器端再做一次檢查。

30.防止ACCESS mdb 數據庫有可能被下載的漏洞

在用ACCESS做后臺數據庫時，如果有人通過各種方法知道或者猜到了服務器的ACCESS數據庫的路徑和數據庫名稱，那么他能夠下載這個ACCESS數據庫文件，這是非常危險的。

解決方法：

1>為你的數據庫文件名稱起個復雜的非常規的名字，并把他放在幾目錄下。所謂 “非常規”， 打個比方： 比如有個數據庫要保存的是有關書籍的信息， 可不要把他起個“book.mdb”的名字，起個怪怪的名稱，比如d34ksfslf.mdb， 再把他放在如./kdslf/i44/studi/的幾層目錄下，這樣黑客要想通過猜的方式得到你的ACCESS數據庫文件就難上加難了。

2>不要把數據庫名寫在程序中。有些人喜歡把DSN寫在程序中，比如：

DBPath = Server.MapPath("cmddb.mdb") conn.Open "driver={Microsoft Aclearcase/" target="_blank" >ccess Driver (*.mdb)};dbq=" & DBPath

假如萬一給人拿到了源程序，你的ACCESS數據庫的名字就一覽無余。因此建議你在ODBC里設置數據源，再在程序中這樣寫：

conn.open "shujiyuan"

3>使用ACCESS來為數據庫文件編碼及加密。首先在選取堡具->安全->加密/解密數據庫，選取數據庫（如：employer.mdb），然后接確定，接著會出現“數據庫加密后另存為”的窗口，存為：employer1.mdb。 接著employer.mdb就會被編碼，然后存為employer1.mdb。

要注意的是，以上的動作并不是對數據庫設置密碼，而只是對數據庫文件加以編碼，目的是為了防止他人使用別的工具來查看數據庫文件的內容。

接下來我們為數據庫加密，首先以打開經過編碼了的employer1.mdb， 在打開時，選擇“獨占”方式。然后選取寶能表的“工具->安全->設置數據庫密碼”， 接著 輸入密碼即可。這樣即使他人得到了employer1.mdb文件，沒有密碼他是無法看到 employer1.mdb的。

原文轉自：http://www.kjueaiud.com