Windows2000 SERVER安全配置服务器手册(4)
来源:asp之家 发布时间:2010-05-22 18:03:00
SQL SERVER是NT平台上用的最多的数据库系统,但是它的安全问题也必须引起重视。数据库中往往存在着最有价值的信息,一旦数据被窃后果不堪设想。
及时更新补丁程序。
说明:与NT一样,SQL SERVER的许多漏洞会由补丁程序来弥补。建议在安装补丁程序之前先在测试机器上做测试,同时提前做好目标服务器的数据备份。
给SA一个复杂的口令。
说明:SA具有对SQL SERVER数据库操作的全部权限。遗憾的是,一部分网管对数据库并不熟悉,建立数据库的工作由编程人员完成,而这部分人员往往只注重编写SQL 语句本身,对SQL SERVER数据库的管理不熟悉,这样很有可能造成SA口令为空。这对数据库安全是一个严重威胁。目前具有这种隐患的站点不在少数。
严格控制数据库用户的权限,轻易不要给让用户对表有直接的查询、更改、插入、删除权限,可以通过给用户以访问视图的权限,以及只具有执行存储过程的权限。
说明:用户如果对表有直接的操作权限,就会存在数据被破坏的危险。制订完整的数据库备份与恢复策略。
32.目前,PCANYWHERE是最流行的基于2000的远程控制工具,同样也需要注意安全问题。
建议采用单独的用户名与口令,最好采用加密手段。千万不要采用与NT管理员一样的用户名与口令,也不要使用与NT集成的口令。同时在服务器端的设置时务必采用security options中的强加密方式,拒绝低加密水平的连接,同时采用口令加密与传输过程中的用户名与口令加密,以防止被嗅探到,还要限制连接次数,另外很重要的一点就是一定在protect item中设置高强度的口令,同时一定限制不能够让别人看到你的host端的任何设置,即便是要察看主机端的相关设置也必须要输入口令!
说明:PCANYWHERE 口令是远程控制的第一个关口,如果与NT的一样, 就失去了安全屏障。被攻破后就毫无安全可言。而如果采用单独的口令,即使攻破了PCANYWHERE,NT还有一个口令屏障。及时安装较新的版本。
33.实际上,安全和应用在很多时候是矛盾的,因此,你需要在其中找到平衡点,毕竟服务器是给用户用而不是做OPEN HACK的,如果安全原则妨碍了系统应用,那么这个安全原则也不是一个好的原则。 网络安全是一项系统工程,它不仅有空间的跨度,还有时间的跨度。很多朋友(包括部分系统管理员)认为进行了安全配置的主机就是安全的,其实这其中有个误区:我只能说一台主机在一定的情况一定的时间上是安全的随着网络结构的变化、新的漏洞的发现,管理员/用户的操作,主机的安全状况是随时随地变化着的,只有让安全意识和安全制度贯穿整个过程才能做到真正的安全。
以下是提高IIS 5.0网站服务器的执行效率的八种方法:
1. 启用HTTP的持续作用可以改善15~20%的执行效率。
2. 不启用记录可以改善5~8%的执行效率。
3. 使用 “独立” 的处理程序会损失20%的执行效率。
4. 增加快取内存的保存文件数量,可提高Active Server Pages之效能。
5. 勿使用CGI程序。
6. 增加IIS 5.0电脑CPU数量。
7. 勿启用ASP侦错功能。
8. 静态网页采用HTTP 压缩,大约可以减少20%的传输量。
34.启用HTTP的持续作用(Keep-Alive)时,IIS与浏览器的连线不会断线,可以改善执行效率,直到浏览器关闭时连线才会断线。因为维持“Keep-Alive”状态时,于每次用户端请求时都不须重新建立一个新的连接,所以将改善服务器的效率。此功能为HTTP1.1预设的功能,HTTP 1.0加上Keep-Alive header也可以提供HTTP的持续作用功能。
启用HTTP的持续作用可以改善15~20%的执行效率。如何启用HTTP的持续作用呢?步骤如下:在“Internet服务管理员”中,选取整个IIS电脑、或Web站台,于“内容”之“主目录”页,勾选“HTTP的持续作用”选项。
35.不启用记录可以改善5~8%的执行效率。如何设定不启用记录呢?步骤如下:
在“Internet服务管理员”中,选取整个IIS电脑、或Web站台,于“内容”之“主目录”页,不勾选“启用记录”选项。设定非独立的处理程序使用“独立”的处理程序会损失20%的执行效率,此处所谓“独立”系指将“主目录”、“虚拟目录”页之应用程序保护选项设定为“高(独立的)” 时。因此“应用程序保护”设定为“低 (IIS处理程序)”时执行效率较高如何设定非“独立”的处理程序呢?步骤如下:在“Internet服务管理员”中,选取整个IIS电脑、Web站台、或应用程序的起始目录。于“内容”之“主目录”、“虚拟目录”页,设定应用程序保护选项为“低 (IIS处理程序)”。
36.IIS 5.0将静态的网页资料暂存于快取(Cache)内存当中;IIS 4.0则将静态的网页资料暂存于文件当中。调整快取(Cache)内存的保存文件数量可以改善执行效率。ASP指令文件执行过后,会在暂存于快取(Cache)内存中以提高执行效能。增加快取内存的保存文件数量,可提高Active Server Pages之效能。可以设定所有在整个IIS电脑、“独立”Web站台、或“独立”应用程序上执行之应用程序的快取内存文件数量。如何设定快取(Cache)功能呢?步骤如下:在 “Internet服务管理员” 中选取整个IIS电脑、“独立”Web站台、或“独立”应用程序的起始目录。于 “内容” 之 “主目录”、“虚拟目录” 页,按下 “设定” 按钮时,即可由 “处理程序选项” 页设定“指令档快取内存” 。如何设定快取(Cache)内存文件数量呢?步骤如下:在“Internet服务管理员” 中,选取整个IIS电脑、或Web站台的起始目录。于 “内容” 之“服务器扩充程序” 页,按下 “设定” 按钮。即可设定快取(Cache)内存文件数量。
37.使用CGI程序时,因为处理程序(Process)须不断地产生与摧毁,造成执行效率不佳。一般而言,执行效率比较如下: 静态网页(Static):100 ISAPI:50 ASP:10 CGI:1。换句话说,ASP比CGI可能快10倍,因此勿使用CGI程序可以改善IIS的执行效率。以弹性(Flexibility)而言:ASP > CGI > ISAPI > 静态网页(Static)。以安全(Security)而言:ASP(独立) = ISAPI(独立)= CGI > ASP(非独立) = ISAPI(非独立)= 静态网页(Static)
38.根据微软的测试报告,增加IIS 4.0电脑CPU数量,执行效率并不会改善多少;但是增加IIS 5.0电脑CPU数量,执行效率会几乎成正比地提供,换句话说,两颗CPU的IIS5.0电脑执行效率几乎是一颗CPU电脑的两倍,四颗CPU的IIS 5.0电脑执行效率几乎是一颗CPU电脑的四倍IIS 5.0将静态的网页资料暂存于快取(Cache)内存当中;IIS 4.0 则将静态的网页资料暂存于文件当中。调整快取(Cache)内存的保存文件数量可以改善执行效率。
39.勿启用ASP侦错功能可以改善执行效率。如何勿启用ASP侦错功能呢?步骤如下:于“Internet服务管理员” 中,选取Web站台、或应用程序的起始目录,按右键选择“内容”,按 “主目录”、“虚拟目录” 或 “目录” 页,按下 “设定” 按钮,选择 “应用程序侦错” 页,不勾选 “启用ASP服务器端指令侦错”、“启用ASP用户端指令侦错” 选项。
40.静态网页采用HTTP 压缩,大约可以减少20%的传输量。HTTP压缩功能启用或关闭,系针对整台IIS服务器来设定。用户端使用IE 5.0浏览器连线到已经启用HTTP压缩IIS5.0之Web服务器,才有HTTP压缩功能。如何启用HTTP压缩功能呢?步骤如下:若要启用HTTP压缩功能,方法为在“Internet服务管理员”中,选取电脑之“内容”,于“主要内容”之下选取“WWW服务”。然后按一下“编辑” 按钮,于“服务”页上,选取“压缩静态文件”可以压缩静态文件,不选取“压缩应用程序文件”。动态产生的内容文件(压缩应用程序文件)也可以压缩,但是须耗费额外CPU处理时间,若%Processor Time已经百分之八十或更多时,建议不要压缩。
以上是对采用IIS作为WEB服务器的一些安全相关的设置与其性能调整的参数设置,可以最大化的优化你的IIS,不过个人认为如果不存在障碍,还是采用apache比较好一些,漏洞少,建议采用apache 1.3.24版本,因为最近经测试,apache 1.3.23之前的版本都存在溢出漏洞,不要怕,这种漏洞很少的。另外,个人建议不要采用ASP安全性总不叫人放心,个人认为还是采用JSP好一些,安全性好,功能强大,绝对超值,因为PHP也存在不少的漏洞。
猜你喜欢
- 标题(Title)在HTML中用于定义页面文档的标题,如 Title 元素 仅可在 HEAD元素 内使用。位于 Title 标签 之内的文本
- 详解如何将本地JAR包添加到本地Maven仓库中有些时候,当我们需要在自己的maven工程中添加一个确定的jar而发现Maven中央仓库不存
- 一、Wordpress Mu是Wordpress的多用户版,虽然在内核上是一样的,但是也有一些插件、模板并不能通用,一部分可以通过简单的修改
- (一) 图链网站登陆对于一个流量不大, 知名度不高的网站来说, 图链网站能给你带来的流量远远超过搜索引擎以及其他方法.(二) 友情连接友情连
- 10月15日消息,阿里学院今日宣布,为帮助中小企业解决人才缺口问题,近期将在全国范围内打造电子商务人才产业链,完成人才培养到人才输送。据阿里
- 本文介绍了使用Docker部署 spring-boot maven应用,分享给大家,具体如下:部署过程分为以下几个步骤:创建一个简单的spr
- 鉴于大部分网站入侵都是利用asp木马完成的,特写此文章以使普通虚拟主机用户能更好地了解、防范asp木马。也只有空间商和虚拟主机用户共同做好防
- 从baidu去年宣布进军C2C,就猜到baidu作IM是迟早的事。因为要作C2C,肯定免不了IM工具。有了阿里他爸的旺旺的启发。BAIDU自
- 如果域名品牌没构建好就建站的话那么你就失败了一半,回想刚开始注册域名的那情景,首先那个时候年轻冲动,初生牛崽不怕虎,很冲动地注册了一些自认为
- htaccess文件一直以来都是国内外众SEO高手所仔细研究的一个文件,因为该文件在很多情况下接管着网站的最高配置(比如虚拟主机),如果能合
- centos 7 变化很多 首先安装过程中,操作变化方式很大,mini安装也没有了base这个选项,也就导致很多在centos6里面的命令在
- 今天在《未来是湿的》书里看到一段很精彩的话。“群体能够施加一种迥异于个体的力量。共享的认识使得本来互不协调的群体开始以更
- 前言在用Deepin用户界面的时候,做的是真心的好看,界面效果是真的美观简洁,没有那些花哨的特效,就是刚开始还有点不习惯的,尽量安装的时候电
- Linux下使用pip安装SpeechRecognition经常会看到代码import speechrecognition as sr这类的
- 自从seo大师丘仕达把挖土豆和163邮箱和其他的单页面站成功的优化后,就引发了SEO界的强烈反响,众多的追随者和后来者前仆后继的学习SEO,
- 美国GoDaddy主机Windows方案的IIS6和IIS7有什么区别呢?下面我给大家讲解下。总体来讲,IIS7.0支持之前(如iis6)所
- 1.开始安装Vmware 选择VM-->install VMware Tools(此时Linux就会自动开始下载VMware Tool
- # 调整VMware硬盘启动优先级第一步:打开电源时进入固件,也就是BIOS 设置界面。第二步:找到Main-最下面的Boot-time D
- 互联网的普及早已深透到我们生活的方方面面,大家都在为互联网的飞速发展感到惊叹。今天,笔者已找不到任何一个可以离开互联网的理由。如果真的离开了
- 虽然说亡羊补牢可以将木马后门造成的损失降至最低,但最好的方法显然是防患于未然。1.后门防范基本功首先要关闭本机不用的端口或只允许指定的端口访