Windows2000 SERVER安全配置服务器手册(4)
来源:asp之家 发布时间:2010-05-22 18:03:00
SQL SERVER是NT平台上用的最多的数据库系统,但是它的安全问题也必须引起重视。数据库中往往存在着最有价值的信息,一旦数据被窃后果不堪设想。
及时更新补丁程序。
说明:与NT一样,SQL SERVER的许多漏洞会由补丁程序来弥补。建议在安装补丁程序之前先在测试机器上做测试,同时提前做好目标服务器的数据备份。
给SA一个复杂的口令。
说明:SA具有对SQL SERVER数据库操作的全部权限。遗憾的是,一部分网管对数据库并不熟悉,建立数据库的工作由编程人员完成,而这部分人员往往只注重编写SQL 语句本身,对SQL SERVER数据库的管理不熟悉,这样很有可能造成SA口令为空。这对数据库安全是一个严重威胁。目前具有这种隐患的站点不在少数。
严格控制数据库用户的权限,轻易不要给让用户对表有直接的查询、更改、插入、删除权限,可以通过给用户以访问视图的权限,以及只具有执行存储过程的权限。
说明:用户如果对表有直接的操作权限,就会存在数据被破坏的危险。制订完整的数据库备份与恢复策略。
32.目前,PCANYWHERE是最流行的基于2000的远程控制工具,同样也需要注意安全问题。
建议采用单独的用户名与口令,最好采用加密手段。千万不要采用与NT管理员一样的用户名与口令,也不要使用与NT集成的口令。同时在服务器端的设置时务必采用security options中的强加密方式,拒绝低加密水平的连接,同时采用口令加密与传输过程中的用户名与口令加密,以防止被嗅探到,还要限制连接次数,另外很重要的一点就是一定在protect item中设置高强度的口令,同时一定限制不能够让别人看到你的host端的任何设置,即便是要察看主机端的相关设置也必须要输入口令!
说明:PCANYWHERE 口令是远程控制的第一个关口,如果与NT的一样, 就失去了安全屏障。被攻破后就毫无安全可言。而如果采用单独的口令,即使攻破了PCANYWHERE,NT还有一个口令屏障。及时安装较新的版本。
33.实际上,安全和应用在很多时候是矛盾的,因此,你需要在其中找到平衡点,毕竟服务器是给用户用而不是做OPEN HACK的,如果安全原则妨碍了系统应用,那么这个安全原则也不是一个好的原则。 网络安全是一项系统工程,它不仅有空间的跨度,还有时间的跨度。很多朋友(包括部分系统管理员)认为进行了安全配置的主机就是安全的,其实这其中有个误区:我只能说一台主机在一定的情况一定的时间上是安全的随着网络结构的变化、新的漏洞的发现,管理员/用户的操作,主机的安全状况是随时随地变化着的,只有让安全意识和安全制度贯穿整个过程才能做到真正的安全。
以下是提高IIS 5.0网站服务器的执行效率的八种方法:
1. 启用HTTP的持续作用可以改善15~20%的执行效率。
2. 不启用记录可以改善5~8%的执行效率。
3. 使用 “独立” 的处理程序会损失20%的执行效率。
4. 增加快取内存的保存文件数量,可提高Active Server Pages之效能。
5. 勿使用CGI程序。
6. 增加IIS 5.0电脑CPU数量。
7. 勿启用ASP侦错功能。
8. 静态网页采用HTTP 压缩,大约可以减少20%的传输量。
34.启用HTTP的持续作用(Keep-Alive)时,IIS与浏览器的连线不会断线,可以改善执行效率,直到浏览器关闭时连线才会断线。因为维持“Keep-Alive”状态时,于每次用户端请求时都不须重新建立一个新的连接,所以将改善服务器的效率。此功能为HTTP1.1预设的功能,HTTP 1.0加上Keep-Alive header也可以提供HTTP的持续作用功能。
启用HTTP的持续作用可以改善15~20%的执行效率。如何启用HTTP的持续作用呢?步骤如下:在“Internet服务管理员”中,选取整个IIS电脑、或Web站台,于“内容”之“主目录”页,勾选“HTTP的持续作用”选项。
35.不启用记录可以改善5~8%的执行效率。如何设定不启用记录呢?步骤如下:
在“Internet服务管理员”中,选取整个IIS电脑、或Web站台,于“内容”之“主目录”页,不勾选“启用记录”选项。设定非独立的处理程序使用“独立”的处理程序会损失20%的执行效率,此处所谓“独立”系指将“主目录”、“虚拟目录”页之应用程序保护选项设定为“高(独立的)” 时。因此“应用程序保护”设定为“低 (IIS处理程序)”时执行效率较高如何设定非“独立”的处理程序呢?步骤如下:在“Internet服务管理员”中,选取整个IIS电脑、Web站台、或应用程序的起始目录。于“内容”之“主目录”、“虚拟目录”页,设定应用程序保护选项为“低 (IIS处理程序)”。
36.IIS 5.0将静态的网页资料暂存于快取(Cache)内存当中;IIS 4.0则将静态的网页资料暂存于文件当中。调整快取(Cache)内存的保存文件数量可以改善执行效率。ASP指令文件执行过后,会在暂存于快取(Cache)内存中以提高执行效能。增加快取内存的保存文件数量,可提高Active Server Pages之效能。可以设定所有在整个IIS电脑、“独立”Web站台、或“独立”应用程序上执行之应用程序的快取内存文件数量。如何设定快取(Cache)功能呢?步骤如下:在 “Internet服务管理员” 中选取整个IIS电脑、“独立”Web站台、或“独立”应用程序的起始目录。于 “内容” 之 “主目录”、“虚拟目录” 页,按下 “设定” 按钮时,即可由 “处理程序选项” 页设定“指令档快取内存” 。如何设定快取(Cache)内存文件数量呢?步骤如下:在“Internet服务管理员” 中,选取整个IIS电脑、或Web站台的起始目录。于 “内容” 之“服务器扩充程序” 页,按下 “设定” 按钮。即可设定快取(Cache)内存文件数量。
37.使用CGI程序时,因为处理程序(Process)须不断地产生与摧毁,造成执行效率不佳。一般而言,执行效率比较如下: 静态网页(Static):100 ISAPI:50 ASP:10 CGI:1。换句话说,ASP比CGI可能快10倍,因此勿使用CGI程序可以改善IIS的执行效率。以弹性(Flexibility)而言:ASP > CGI > ISAPI > 静态网页(Static)。以安全(Security)而言:ASP(独立) = ISAPI(独立)= CGI > ASP(非独立) = ISAPI(非独立)= 静态网页(Static)
38.根据微软的测试报告,增加IIS 4.0电脑CPU数量,执行效率并不会改善多少;但是增加IIS 5.0电脑CPU数量,执行效率会几乎成正比地提供,换句话说,两颗CPU的IIS5.0电脑执行效率几乎是一颗CPU电脑的两倍,四颗CPU的IIS 5.0电脑执行效率几乎是一颗CPU电脑的四倍IIS 5.0将静态的网页资料暂存于快取(Cache)内存当中;IIS 4.0 则将静态的网页资料暂存于文件当中。调整快取(Cache)内存的保存文件数量可以改善执行效率。
39.勿启用ASP侦错功能可以改善执行效率。如何勿启用ASP侦错功能呢?步骤如下:于“Internet服务管理员” 中,选取Web站台、或应用程序的起始目录,按右键选择“内容”,按 “主目录”、“虚拟目录” 或 “目录” 页,按下 “设定” 按钮,选择 “应用程序侦错” 页,不勾选 “启用ASP服务器端指令侦错”、“启用ASP用户端指令侦错” 选项。
40.静态网页采用HTTP 压缩,大约可以减少20%的传输量。HTTP压缩功能启用或关闭,系针对整台IIS服务器来设定。用户端使用IE 5.0浏览器连线到已经启用HTTP压缩IIS5.0之Web服务器,才有HTTP压缩功能。如何启用HTTP压缩功能呢?步骤如下:若要启用HTTP压缩功能,方法为在“Internet服务管理员”中,选取电脑之“内容”,于“主要内容”之下选取“WWW服务”。然后按一下“编辑” 按钮,于“服务”页上,选取“压缩静态文件”可以压缩静态文件,不选取“压缩应用程序文件”。动态产生的内容文件(压缩应用程序文件)也可以压缩,但是须耗费额外CPU处理时间,若%Processor Time已经百分之八十或更多时,建议不要压缩。
以上是对采用IIS作为WEB服务器的一些安全相关的设置与其性能调整的参数设置,可以最大化的优化你的IIS,不过个人认为如果不存在障碍,还是采用apache比较好一些,漏洞少,建议采用apache 1.3.24版本,因为最近经测试,apache 1.3.23之前的版本都存在溢出漏洞,不要怕,这种漏洞很少的。另外,个人建议不要采用ASP安全性总不叫人放心,个人认为还是采用JSP好一些,安全性好,功能强大,绝对超值,因为PHP也存在不少的漏洞。
猜你喜欢
- 对于初创网站来说,最好从小的目标开始做起,即使资源、资金、人力等方面非常丰富,刚开始也最好从小处开始做起。确定网站定位的第一原则:小即是美。
- 拒绝服务器重新启动一般情况下,在Windows 2003 Server系统中安装完补丁程序后,系统总会提示要重新启动一下服务器。可是许多朋友
- 昨天登陆adsense后台西联已经签发,在后台看到这样东西:在点收入对帐单 就可以看到这些东西了在这个上面可以看到你的名字拼音的,我拿笔抄下
- 通过行业网站平台进行网上营销,是很多企业首选的推广方式。尤其在家居行业。以家居网为代表的家居类门户网站,除了提供家居行业资讯之外,更可以使企
- 如何写好一篇高质量的软文是每个站长都很头疼的问题?作为一个站长除了做站外每天忙的最多的事情就是写文章,推广、SEO、流量、网赚、做站心得,写
- 今天打开邮箱看到了这封来自Google AdSense 小组的信《有关推介用户注册 AdSense 的更新》,讲的是关于AdSense推荐即
- 建立博客有助于打造卓越企业的核心要件。企业的核心需求如下所示:妙点子好产品能见度训练有素的团队,为企业的成功而努力不懈提升业务的创意,改善公
- 最近公司有一个奇怪的需求,意思是有一个网页,要时时的打开着。现在只有把这个网页在服务器上打开。这样才能满足需求。但我在应用中遇见了个问题。我
- 下面是该作者对dedecms建站做seo优化的内容1、将当前位置的“主页”字样,改为“你自己的网站名称”。解释:学习过SEO的朋友一看就知道
- 我应该关注什么?它也起作用了,这还不够吗?每一个网站设计的项目都有一个时间限制,客户也都希望它们的网站能够提前完成。所以网络开发人员和设计人
- 我们在使用Windows 2000 server自带的IIS(Internet Information Server,Internet信息服
- 核心提示:经过经过几年来的观察与实践,这个模型已经基本能够涵盖和解释大部分的社区网站结构,同时,所有的网站盈利模式也包含在其中。基础层:万丈
- 我的Godaddy主机的主域名已经过期一年多了,因为这个并不影响空间的正常使用,也就没有续费。昨晚想看看最近网站蜘蛛爬行情况,却发现Goda
- Google对于公司的内部运作一向口风很紧,但是也确有少数消息可能会被无意中透露出来。Google负责搜索品质监督的副总裁Udi Manbe
- 随着互联网发展的趋势,也越来越多的人依赖着互联网。网络教育、网上招聘、博客和上网购物、电子商务的交易等都与互联网息息相关。上网购物、应聘、交
- 选择“使用自定义共享和文件夹权限”,点击自定义按钮之后弹出自定义权限设置界面。在这里可以根据需要对不
- 过去的三个月里 Google 宣布了在搜索结果的一系列新测试和新功能,值得回头来看看其间最频繁的,也研究下对于未来的优化工作会有什么潜在的影
- 前段时间,看麦田博客有一篇文章在探讨mayi首页的功能问题,大意为:假设首页为一扇门,这扇门是敞开的好还是半掩着的好,敞开的门能让人一眼的看
- 网上流传了很多个版本的Google Adsense低价广告过滤清单,并且也有很多发布者就在使用这个名单。从技术角度上讲,过滤单价广告不能提高
- 在广告模式还未成熟的情况下,虚拟礼物会成为挽救社交网站的一线希望吗?最近,最为互联网业界津津乐道的一件事莫过于美国知名社交网站Faceboo