当前位置 : 主页>服务器技术>安全防护>列表

增强Web的安全性

来源：互联网 作者：west263.com 时间：2008-02-23 点击：

西部数码-全国虚拟主机10强！40余项虚拟主机管理功能,全国领先!双线多线虚拟主机南北访问畅通无阻!免费赠送企业邮局,.CN域名,自助建站480元起,免费试用7天,满意再付款! P4主机租用799元/月.月付免压金!

（7）修改Web应用程序组权限，使其可运行应用程序需要的如.Net Framework C#编译器和资源转换器（Cse.exe和Cvtres.exe）等资源；

（8）配置URLScan2.5，使其只允许应用程序中使用的扩展集，并阻止较长的请求（URLScan2.5是由IIS锁定工具安装的，是一个ISAPI过滤器，可根据查询长度和字符集等规则监视和过滤发送到IIS Web服务器的所有输入请求）；

（9）设置Web内容目录的访问权限，授予ASP.NET进程对内容文件的读访问权限，授予匿名用户对所提供内容的适当只读访问权限；

（10）限制对IIS和URLScan的日志目录的访问，只有系统账户和系统管理员组才具有访问权限。

3．Windows2000 Advanced Server操作系统层安全

为增强操作系统的安全性，应尽可能安装当时发布的最新服务包，尽可能关闭应用程序未用到的服务。下面介绍几个注册表值。

（1）创建注册表项：nolmhash

在 Windows 2000 中，这是一个关键字，而在 Windows XP 和 Windows Server 2003 中，这是一个值。

位置：HKLM\System\Current ControlSet\Control\LSA ；

用途：防止操作系统以 LM 散列格式存储用户密码。此格式只用于不支持 NTLM 或 Kerberos 的 Windows 3.11 客户端。创建和保留此 LM 散列的风险在于，如果攻击者设法将以此格式存储的密码解密，就可以在网络上的其他计算机上重复利用这些密码。

（2）创建注册表值：NoDefault Exempt

位置：HKLM\System\Current ControlSet\Services\IPSEC ；

用途：默认情况下，IPSec 将允许源端口为 88 的传入通信查询 IPSec 服务，以获取连接到计算机的信息，而不管使用的是哪种 IPSec 策略。通过设置此值，除了我们设置的 IPSec 过滤器允许的通信以外，不允许端口之间进行任何通信。

（3）创建注册表值：Disable IPSource Routing

位置：HKLM\System\ CurrentControlSet\Services\Tcpip \Parameters；

用途：防止 TCP 数据包显式确定到最终目标的路由，并防止它要求服务器确定最佳路由。这是一个防止“人在中间”攻击（即攻击者通过自己的服务器对数据包进行路由，并在数据包传递期间窃取其中的内容）的保护层。

（4）创建注册表值：Syn Attack Protect

位置：HKLM\System\Current ControlSet\Services\Tcpip\ Parameters ；

用途：此注册表项通过限制分配给传入请求的资源来防止操作系统受到某种 SYN-Flood 的攻击。换句话说，这将帮助阻止在客户端和服务器之间试图使用 SYN（即同步）请求以拒绝服务的攻击。

4．SQL Server2000数据库服务器层安全

为增强数据库系统的安全性，应尽可能满足以下原则：

（1）将SQL Server安装在NTFS分区上；

（2）安装当时发布的最新服务包和修补程序；

（3）限制所支持的身份验证协议的数量（在控制面板→管理工具→本地安全设置→安全设置→本地策略→安全选项→网络安全: LAN Manager身份验证级别中进行设置）；

（4）选择低权限本地账户，启动SQL Server服务；

（5）使用Services MMC 管理单元停止 Distributed Transaction Coordinator (MSDTC) 服务，并将其设置为手动启动，以防数据库运行失误，并且服务器本身也不会运行 COM 应用程序；

（6）禁用应用程序不需要的 SQL Server 代理和 Microsoft 搜索服务；

（7）设置Server Network的网络属性，由“直接客户端广播”改为“隐藏 SQL Server”；

（8）如应用程序不使用“命名管道”协议，则删除之；

（9）限制数据库用户只具有用得到的数据库操作权限。

三、小结

以上所列出的增强Web解决方案的各种原则和方法，归纳如下：

1. 在原始设计中考虑安全问题，这包括开发工具采用最新的服务包和修补程序；

2. 总是使用复杂且不明显的密码;

3. 关闭所有不必要的功能；

4. 坚持“最低权限”原则，决不授予并非绝对必需的权限；

5. 使用 IIS 时，运行 IIS 锁定工具和 URLScan；

6. 验证所有输入数据；

7. 使用参数化的存储过程，而不是在数据库上生成动态查询。

本文列出的增强Web方案安全性的一般原则和方法，并不一定适用于所有的Web解决方案，只希望能抛砖引玉，引出更多更好的有关增强Web安全性的建议。

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!

[推荐] [评论] [打印] [关闭]

顶一下

相关文章

Trojan.PSW.Windage.c

你遭遇过吗？10大最容易发生的PC灾难

首例个人博客广告解约 Keso看衰广告联盟

SpamTool.Manager.a

METYS-L1

TrojanProxy.Win32.Thunker.b

backdoor.agobot.6.gen.enc

Trojan.LMir.Huzowa

Worm.Win32.Evolmi.enc

Google Maps和Web应用程序的整合

上一篇：有利可图多方分餐中国IDC市场　
下一篇：信产部：不会封杀P2P 计划业务分级管理

最新评论共有 0 位网友发表了评论

查看所有评论

发表评论

IDC资讯虚拟主机域名注册托管租用 vps主机智能建站
网站运营建站经验策划盈利搜索优化网站推广免费资源
网站联盟联盟新闻联盟介绍联盟点评网赚技巧
行业资讯业界动态搜索引擎网络游戏门户动态电子商务广告传媒
网络编程 Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql
服务器技术 Web服务器 Ftp服务器 Mail服务器 Dns服务器安全防护
软件技巧 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷 Internet Explorer
网页制作 FrontPages Dreamweaver Javascript css photoshop fireworks Flash
程序设计 Java技术 C/C++ VB delphi
网络知识网络协议网络安全网络管理组网方案 Cisco技术
操作系统 Win2000 WinXP Win2003 Mac OS Linux FreeBSD

版权所有西部数码(www.west263.com)
CopyRight (c) 2002~2007 west263.com all right reserved.
公司地址：四川成都市万和路90号天象大厦4楼　邮编：610031
电话总机：028-86263408 86263960 86264018 86267838 86262244 86263408
售前咨询：总机转201 202 203 204 205 206 207 208
售后服务：总机转211 212 213 214 217 218 晚上0点以后拔分机225