WIN2000 SERVER安全配置服務器手冊(4)

31.SQL SERVER是NT平臺上用的最多的數據庫系統，但是它的安全問題也必須引起重視。數據庫中往往存在著最有價值的信息，一旦數據被竊后果不堪設想。

??及時更新補丁程序。

??說明：與NT一樣，SQL SERVER的許多漏洞會由補丁程序來彌補。建議在安裝補丁程序之前先在測試機器上做測試，同時提前做好目標服務器的數據備份。

??給SA一個復雜的口令。

??說明：SA具有對SQL SERVER數據庫操作的全部權限。遺憾的是，一部分網管對數據庫并不熟悉，建立數據庫的工作由編程人員完成，而這部分人員往往只注重編寫SQL 語句本身，對SQL SERVER數據庫的管理不熟悉，這樣很有可能造成SA口令為空。這對數據庫安全是一個嚴重威脅。目前具有這種隱患的站點不在少數。

??嚴格控制數據庫用戶的權限，輕易不要給讓用戶對表有直接的查詢、更改、插入、刪除權限，可以通過給用戶以訪問視圖的權限，以及只具有執行存儲過程的權限。

??說明：用戶如果對表有直接的操作權限，就會存在數據被破壞的危險。制訂完整的數據庫備份與恢復策略。

32.目前，PCANYWHERE是最流行的基于2000的遠程控制工具，同樣也需要注意安全問題。

??建議采用單獨的用戶名與口令，最好采用加密手段。千萬不要采用與NT管理員一樣的用戶名與口令，也不要使用與NT集成的口令。同時在服務器端的設置時務必采用security options中的強加密方式，拒絕低加密水平的連接，同時采用口令加密與傳輸過程中的用戶名與口令加密，以防止被嗅探到，還要限制連接次數，另外很重要的一點就是一定在protect item中設置高強度的口令，同時一定限制不能夠讓別人看到你的host端的任何設置，即便是要察看主機端的相關設置也必須要輸入口令！

??說明：PCANYWHERE 口令是遠程控制的第一個關口，如果與NT的一樣， 就失去了安全屏障。被攻破后就毫無安全可言。而如果采用單獨的口令，即使攻破了PCANYWHERE，NT還有一個口令屏障。及時安裝較新的版本。

33.實際上，安全和應用在很多時候是矛盾的，因此，你需要在其中找到平衡點，畢竟服務器是給用戶用而不是做OPEN HACK的，如果安全原則妨礙了系統應用，那么這個安全原則也不是一個好的原則。 網絡安全是一項系統工程，它不僅有空間的跨度，還有時間的跨度。很多朋友（包括部分系統管理員）認為進行了安全配置的主機就是安全的，其實這其中有個誤區：我只能說一臺主機在一定的情況一定的時間上是安全的隨著網絡結構的變化、新的漏洞的發現，管理員/用戶的操作，主機的安全狀況是隨時隨地變化著的，只有讓安全意識和安全制度貫穿整個過程才能做到真正的安全。

以下是提高IIS 5.0網站服務器的執行效率的八種方法：

1. 啟用HTTP的持續作用可以改善15~20%的執行效率。 　

2. 不啟用記錄可以改善5~8%的執行效率。 　

3. 使用 “獨立” 的處理程序會損失20%的執行效率。 　

4. 增加快取內存的保存文件數量，可提高Active Server Pages之效能。 　

5. 勿使用CGI程序。 　

6. 增加IIS 5.0電腦CPU數量。 　

7. 勿啟用ASP偵錯功能。 　

8. 靜態網頁采用HTTP 壓縮，大約可以減少20%的傳輸量。 　

34.啟用HTTP的持續作用（Keep-Alive）時，IIS與瀏覽器的連線不會斷線，可以改善執行效率，直到瀏覽器關閉時連線才會斷線。因為維持“Keep-Alive”狀態時，于每次用戶端請求時都不須重新建立一個新的連接，所以將改善服務器的效率。此功能為HTTP1.1預設的功能，HTTP 1.0加上Keep-Alive header也可以提供HTTP的持續作用功能。

啟用HTTP的持續作用可以改善15~20%的執行效率。如何啟用HTTP的持續作用呢？步驟如下：在“Inte.net服務管理員”中，選取整個IIS電腦、或Web站臺，于“內容”之“主目錄”頁，勾選“HTTP的持續作用”選項。

35.不啟用記錄可以改善5~8%的執行效率。如何設定不啟用記錄呢？步驟如下： 　

在“Internet服務管理員”中，選取整個IIS電腦、或Web站臺，于“內容”之“主目錄”頁，不勾選“啟用記錄”選項。設定非獨立的處理程序使用“獨立”的處理程序會損失20%的執行效率，此處所謂“獨立”系指將“主目錄”、“虛擬目錄”頁之應用程序保護選項設定為“高（獨立的）” 時。因此“應用程序保護”設定為“低 (IIS處理程序)”時執行效率較高如何設定非“獨立”的處理程序呢？步驟如下：在“Internet服務管理員”中，選取整個IIS電腦、Web站臺、或應用程序的起始目錄。于“內容”之“主目錄”、“虛擬目錄”頁，設定應用程序保護選項為“低 (IIS處理程序)”。 　

36.IIS 5.0將靜態的網頁資料暫存于快?。–ache）內存當中；IIS 4.0則將靜態的網頁資料暫存于文件當中。調整快?。–ache）內存的保存文件數量可以改善執行效率。ASP指令文件執行過后，會在暫存于快?。–ache）內存中以提高執行效能。增加快取內存的保存文件數量，可提高Active Server Pages之效能?？梢栽O定所有在整個IIS電腦、“獨立”Web站臺、或“獨立”應用程序上執行之應用程序的快取內存文件數量。如何設定快?。–ache）功能呢？步驟如下：在 “Internet服務管理員” 中選取整個IIS電腦、“獨立”Web站臺、或“獨立”應用程序的起始目錄。于 “內容” 之 “主目錄”、“虛擬目錄” 頁，按下 “設定” 按鈕時，即可由 “處理程序選項” 頁設定“指令檔快取內存” 。如何設定快?。–ache）內存文件數量呢？步驟如下：在“Internet服務管理員” 中，選取整個IIS電腦、或Web站臺的起始目錄。于 “內容” 之“服務器擴充程序” 頁，按下 “設定” 按鈕。即可設定快?。–ache）內存文件數量。

37.使用CGI程序時，因為處理程序（Process）須不斷地產生與摧毀，造成執行效率不佳。一般而言，執行效率比較如下： 靜態網頁（Static）：100 ISAPI：50 ASP：10 CGI：1。換句話說，ASP比CGI可能快10倍，因此勿使用CGI程序可以改善IIS的執行效率。以彈性（Flexibility）而言：ASP > CGI > ISAPI > 靜態網頁（Static）。以安全（Security）而言：ASP（獨立） = ISAPI（獨立）= CGI > ASP（非獨立） = ISAPI（非獨立）= 靜態網頁（Static）

38.根據微軟的測試報告，增加IIS 4.0電腦CPU數量，執行效率并不會改善多少；但是增加IIS 5.0電腦CPU數量，執行效率會幾乎成正比地提供，換句話說，兩顆CPU的IIS5.0電腦執行效率幾乎是一顆CPU電腦的兩倍，四顆CPU的IIS 5.0電腦執行效率幾乎是一顆CPU電腦的四倍IIS 5.0將靜態的網頁資料暫存于快?。–ache）內存當中；IIS 4.0 則將靜態的網頁資料暫存于文件當中。調整快?。–ache）內存的保存文件數量可以改善執行效率。 　

39.勿啟用ASP偵錯功能可以改善執行效率。如何勿啟用ASP偵錯功能呢？步驟如下：于“Internet服務管理員” 中，選取Web站臺、或應用程序的起始目錄，按右鍵選擇“內容”，按 “主目錄”、“虛擬目錄” 或 “目錄” 頁，按下 “設定” 按鈕，選擇 “應用程序偵錯” 頁，不勾選 “啟用ASP服務器端指令偵錯”、“啟用ASP用戶端指令偵錯” 選項。

40.靜態網頁采用HTTP 壓縮，大約可以減少20%的傳輸量。HTTP壓縮功能啟用或關閉，系針對整臺IIS服務器來設定。用戶端使用IE 5.0瀏覽器連線到已經啟用HTTP壓縮IIS5.0之Web服務器，才有HTTP壓縮功能。如何啟用HTTP壓縮功能呢？步驟如下：若要啟用HTTP壓縮功能，方法為在“Internet服務管理員”中，選取電腦之“內容”，于“主要內容”之下選取“WWW服務”。然后按一下“編輯” 按鈕，于“服務”頁上，選取“壓縮靜態文件”可以壓縮靜態文件，不選取“壓縮應用程序文件”。動態產生的內容文件（壓縮應用程序文件）也可以壓縮，但是須耗費額外CPU處理時間，若%Processor Time已經百分之八十或更多時，建議不要壓縮。



以上是對采用IIS作為WEB服務器的一些安全相關的設置與其性能調整的參數設置，可以最大化的優化你的IIS，不過個人認為如果不存在障礙，還是采用apache比較好一些，漏洞少，建議采用apache 1.3.24版本，因為最近經測試，apache 1.3.23之前的版本都存在溢出漏洞，不要怕，這種漏洞很少的。另外，個人建議不要采用ASP安全性總不叫人放心，個人認為還是采用JSP好一些，安全性好，功能強大，絕對超值，因為PHP也存在不少的漏洞。

原文轉自：http://www.kjueaiud.com