¿Cómo evitar que otros modifiquen su CONN y su base de datos?
Para configurar el servidor, hay que determinar si se trata de un servidor de dominio, un servicio web o un servidor de archivos. .
Hay muchas introducciones en la búsqueda de Baidu. Si te da pereza deja tu email y te enviaré la información. De lo contrario sería demasiado largo para responder.
Instalación correcta y configuración de seguridad del servidor WIN 2K
Autor: Sharp Wenner De: Hongke Alliance (www.cnredhacker.org)
Actualmente los servidores WIN 2K ocupan La mayor parte de la cuota de mercado nacional, pero según nuestra inspección de seguridad de los servidores WIN 2K nacionales, los usuarios y administradores del servidor WIN 2K no tienen una buena comprensión de la configuración de seguridad y la tecnología de prevención de WIN 2K. Ahora haremos nuestra parte por la seguridad de la red doméstica y dedicaremos este artículo a los administradores domésticos de WIN 2K.
1. Selección e instalación correcta del sistema operativo WIN 2K
1. Partición del disco duro
(1). Es habitual colocar archivos del sistema, archivos de registro y aplicaciones en una partición. Los ataques de los piratas informáticos suelen aprovechar las vulnerabilidades de las aplicaciones para ingresar al sistema y luego mejorar los permisos a través de programas relacionados en los archivos del sistema, eliminando así los archivos de registro (impidiendo que los administradores los investiguen) y destruyendo los archivos del sistema. Por lo tanto, antes de instalar el sistema operativo WIN 2K, debes tener esto en cuenta, por lo que necesitas crear al menos dos particiones lógicas, una partición del sistema y una partición de la aplicación. Para confundir a los piratas informáticos, también deberíamos cambiar las ubicaciones de las carpetas predeterminadas de Mis documentos, Outlook Express y otras aplicaciones para que no puedan saber en qué partición están almacenados los archivos del sistema.
(2) Para el formato del sistema de archivos de la partición del disco duro, se recomienda utilizar la partición NTFS. En primer lugar, la partición NTFS agrega la función de configurar diferentes permisos de acceso para diferentes carpetas, mejorando así la seguridad del sistema. Se recomienda que al instalar particiones NTFS, sea mejor instalar todas las particiones formateadas NTFS a la vez y elegir instalarlas primero como particiones FAT y luego convertir las particiones NTFS. La instalación de parches puede provocar que el sistema falle fácilmente. Al instalar una partición NTFS, hay un aspecto que merece nuestra atención. Cuando se utiliza un disquete para iniciar una partición NTFS, la mayoría del software antivirus actual no proporciona antivirus, por lo que es fácil ser invadido por virus maliciosos y el sistema no puede iniciarse normalmente. Así que tome precauciones antes de que sucedan y haga un buen trabajo para prevenir los virus.
2. Elija la versión de WIN 2K que más le convenga:
WIN 2K SERVER es un sistema operativo multilingüe producido por Microsoft. Para los chinos, podemos optar por instalar la versión en chino simplificado o la versión en inglés. Al elegir sistemas operativos en estos dos idiomas, analizaremos las ventajas y desventajas de estos dos sistemas operativos: para todos, no existe una barrera del idioma para instalar la versión en chino simplificado del sistema operativo, y también es fácil instalar varios sistemas operativos en chino. Aplicaciones basadas en No hay ningún problema de código confuso, como el uso de QQ para comunicarse o instalar varios juegos en línea, pero es bien sabido que el sistema operativo de Microsoft está lleno de lagunas. Además, la versión china del sistema operativo tiene vulnerabilidades mucho mayores que la versión en inglés. Además, los parches de vulnerabilidades de seguridad para la versión china del sistema operativo generalmente aparecen dos semanas después de que se publica la vulnerabilidad, por lo que durante este período, debe utilizar sus propios métodos para evitar que los piratas informáticos ataquen nuevas vulnerabilidades. Para el sistema operativo original en inglés de WIN 2K, para todos, el primero es que hay algunos problemas con el idioma y el segundo es el problema de las aplicaciones confusas. Aunque algunos programas pueden proporcionar conversión entre códigos internos en chino e inglés, sigue siendo bastante problemático. El sistema operativo inglés es el sistema operativo original y Microsoft cuida muy bien su seguridad, rendimiento, aplicaciones compatibles, etc. Por lo tanto, según nuestro análisis, a los usuarios individuales comunes se les recomienda utilizar un sistema operativo chino, mientras que para los usuarios empresariales, es mejor que los administradores instalen el sistema operativo WIN 2K en inglés.
3. Personalización de componentes:
Generalmente, los componentes del sistema operativo WIN 2K se instalan de forma predeterminada, lo que se puede decir que abre la puerta a los piratas informáticos.
No solo el sistema operativo WIN 2K, sino también el sistema operativo LINUX/UNIX/VMS instalado de forma predeterminada también pueden permitir que los piratas informáticos ingresen fácilmente al sistema. Entonces seguimos el principio de seguridad de "servicio mínimo, permiso mínimo = seguridad máxima" y seleccionamos algunos servicios que podemos usar para instalar. Para la instalación de un servidor web, los componentes mínimos son: Administrador de servicios de Internet, servidor WWW y archivos públicos. Si necesita instalar otros componentes, hay dos componentes con los que debe tener mucho cuidado: Extensiones de servicio de Frontpage 2000 y Servicio de indexación.
4. Elija una aplicación de gestión:
En función de los requisitos de seguridad y de la aplicación, es necesario elegir un buen software de gestión. El servicio de terminal de WIN 2K es un software de control remoto basado en RDP (Protocolo de escritorio remoto), que es muy rápido, conveniente y operable. Sin embargo, también tiene algunas desventajas. Cuando Terminal Services interactúa con el escritorio real, a menudo deja el sistema en un estado desordenado y realiza operaciones incorrectas. Por lo tanto, para estar seguro, le sugiero que instale un software de control remoto como auxiliar, PcAnyWhere es una buena opción.
5. Seleccione la secuencia de instalación:
Asegúrese de prestar atención a la secuencia de instalación del sistema WIN 2K. La primera es la instalación del parche. Si está instalando un sistema WIN 2K, puede instalar directamente todos los parches de seguridad y luego instalar los componentes del sistema y otras aplicaciones, entonces puedo decir que su sistema está listo para ser pirateado en cualquier momento. ¿Cuál es la razón? Debido a que el parche se instala para reemplazar/modificar algunos archivos del sistema, si el parche se instala primero y luego la aplicación, el programa parcheado se restaurará a un estado vulnerable. Otro es el momento de acceder a la red. Debemos conectarnos a la red después de que se hayan solucionado todas las vulnerabilidades de seguridad. De lo contrario, si el sistema está infectado por un virus o dañado por piratas informáticos, necesitaremos restaurar el sistema y realizar un trabajo repetitivo, lo que equivale a un trabajo inútil. Por lo tanto, debe instalar el sistema correctamente paso a paso según la secuencia de instalación para minimizar cualquier daño al sistema. La secuencia de instalación correcta del sistema WIN 2K debe ser:
Partición del disco duro - Seleccione la instalación del sistema operativo - Seleccione el formato del sistema de archivos (NTFS) - Seleccione los componentes y aplicaciones para instalar - Instale varios parches del sistema - Instale el firewall y precauciones de seguridad adicionales: acceso a redes de Internet.
2. Configuración de seguridad del servidor WIN 2K
1. Gestión de seguridad de la cuenta
(1). Cuantas menos cuentas, mejor, y cuantos menos inicios de sesión, mejor. Nota: las cuentas del sitio web generalmente solo se usan para el mantenimiento del sistema y no se necesitan cuentas adicionales, porque existe el riesgo de ser violadas con una cuenta más.
b. Además del administrador, también es necesario agregar una cuenta que pertenezca al grupo de administradores. Nota: las cuentas de los dos grupos de administradores, por un lado, impiden que el administrador tenga una copia de seguridad; cuenta una vez que olvida la contraseña de una cuenta. Por otro lado, una vez que un pirata informático irrumpe en una cuenta y cambia la contraseña, todavía tenemos la posibilidad de recuperar el control en un corto período de tiempo.
C. Todos los permisos de la cuenta deben controlarse estrictamente y las cuentas no deben recibir permisos especiales fácilmente;
d. Cambiar el nombre del administrador a un nombre que no sea fácil de adivinar. Otras cuentas generales también deben seguir este principio. Nota: Esto puede agregar una capa de obstáculos a los ataques de piratas informáticos y evitar la intrusión de cuentas clonadas.
E. Deshabilite la cuenta de invitado, cámbiele el nombre a un nombre complejo, agregue una contraseña y elimínela del grupo de invitados. Descripción: algunas herramientas de piratería aprovechan las debilidades de los invitados y pueden eliminar la cuenta; Los usuarios generales se actualizan al grupo de administradores.
F. Establezca una contraseña compleja para todas las cuentas de usuario. La contraseña debe tener al menos 8 caracteres y debe contener letras, números y caracteres especiales. Al mismo tiempo, no utilice palabras conocidas, secuencias de teclado conocidas, números familiares, etc. Nota: Las contraseñas son el foco de los ataques de piratas informáticos. Una vez que se descifra la contraseña, no hay ningún tipo de seguridad en el sistema, lo que a menudo es ignorado por muchos administradores de red. Según nuestras pruebas, una contraseña de 5 dígitos con sólo letras y números se puede descifrar en unos minutos, mientras que la solución recomendada es mucho más segura.
G. La contraseña debe cambiarse periódicamente (se recomienda cambiarla al menos una vez cada dos semanas. Es mejor tenerla en cuenta y no anotarla en ningún otro lugar; se encuentra en la auditoría de registro que una cuenta se ha probado continuamente, la cuenta (incluido el nombre de usuario y la contraseña) debe cambiarse inmediatamente;
H. Establezca el número de bloqueos en las propiedades de la cuenta. Por ejemplo, si hay más de 5 inicios de sesión fallidos, la cuenta se bloqueará y se cambiará. Esto evita intentos de fuerza bruta y mantiene a los administradores alerta sobre la cuenta.
(2) Mejore la seguridad de la cuenta WIN 2K modificando el registro.
La seguridad de la cuenta Win2000 es otro punto clave. Primero, la instalación predeterminada de Win2000 permite a cualquier usuario obtener una lista de todas las cuentas en system/* * * a través de un usuario vacío. Originalmente, esto tenía como objetivo facilitar que los usuarios de LAN * * * disfruten de los archivos, pero un usuario remoto también puede obtener su lista de usuarios y usar la fuerza bruta para descifrar las contraseñas de los usuarios.
Evita que 139*** disfrute de conexiones vacías: muchos amigos saben que puedes prohibir 139 conexiones vacías cambiando el registro local_machine\system\current control set\control\LSA-restricted anonymous = 1. De hecho, la política de seguridad local de win2000 (si es un servidor de dominio, está en la política de seguridad del servidor de dominio y la política de seguridad del dominio) tiene una opción RestrictAnonymous, que tiene tres valores:
0: Ninguno . Confíe en los permisos predeterminados
1: No se permite enumerar cuentas SAM y disfrutar.
2: Sin permisos anónimos explícitos, no se permite el acceso.
0 es el valor predeterminado del sistema sin restricciones. Los usuarios remotos pueden conocer todas las cuentas de su máquina, información de grupo, * * * directorios compartidos y listas de transmisión de red, lo cual es muy peligroso para el servidor.
1 Un valor de NULL permite a los usuarios que no son NULL acceder a la información de la cuenta SAM y * * a la información de disfrute.
2Este valor sólo se admite en win2000. Tenga en cuenta que una vez que se utiliza este valor, su estimación de *disfrute* desaparece por completo, por lo que recomiendo establecerlo en 1.
Eliminar partición de disco * * *Disfrute: ejecute Regedit, luego modifique el registro para agregar una clave en HKEY_Local_Machine\System\Current Control Set\Services\Lanmanserver\Parameters.
Nombre: AutoShareServer
Tipo: REG_DWORD
Valor: 0
Luego reinicie su servidor y la partición * * * se eliminará , pero el IPC*** seguirá existiendo y deberá eliminarse manualmente después de cada reinicio.
Bueno, el intruso ahora no tiene acceso a nuestra lista de usuarios, nuestras cuentas están seguras... espera, al menos una cuenta tiene una contraseña para ejecutar. Este es el administrador integrado del sistema. ¿Qué debo hacer? Lo cambié, en Administración de computadoras -> haga clic derecho en Administrador en Cuentas de usuario y cámbiele el nombre al que pueda recordar. No, no, he cambiado mi nombre de usuario. ¿Por qué alguien sigue ejecutando con mi contraseña de administrador? Afortunadamente mi contraseña es lo suficientemente larga, pero esa no es la solución. Bueno, debo haberlo visto en la interfaz de inicio de sesión del servicio de terminal o local. Bien, cambiemos "No mostrar los datos de cadena del último nombre de usuario que inició sesión" en HKEY_local_machine\software\Microsoft\Windows NT\Current version\Winlogon a 1, para que el sistema no muestre automáticamente el último usuario que inició sesión. Famoso.
Modifique los datos de la cadena No mostrar los últimos nombres de usuario en la clave HKEY_Local_Machine\Software\Microsoft\Windows NT\Current Version\Winlogon del registro del servidor a 1 para ocultar el nombre de usuario que inició sesión en la consola la última vez.
2. Configuración de seguridad del servicio WIN 2K.
(1). Puerto: El puerto es la interfaz lógica entre el ordenador y la red externa, y también es la primera barrera del ordenador. La corrección de la configuración del puerto afecta directamente a la seguridad del host. En términos generales, es más seguro abrir sólo los puertos que necesita. El método de configuración es habilitar el filtrado TCP/IP en las propiedades de la tarjeta de red-TCP/IP-Opciones avanzadas-Filtrado TCP/IP, pero para win2000,
(2).IIS: IIS es el más vulnerable Uno de los componentes, una vulnerabilidad aparecerá en promedio cada dos o tres meses. Sin embargo, la instalación predeterminada de IIS por parte de Microsoft realmente no es halagadora, por lo que la configuración de IIS es nuestro enfoque. Ahora síganme:
Primero elimine completamente el directorio Inetpub en la unidad c, cree un Inetpub en la unidad D (puede cambiar el nombre si no confía en el nombre del directorio predeterminado, pero recuérdelo usted mismo) y agregue el directorio de inicio Apunte a D:\Inetpub; en segundo lugar, al instalar IIS, se eliminarán los directorios virtuales predeterminados, como los scripts (fuente del problema, recuerde /scripts/.. c1 1c../winnt/system32/ cmd.exe? Aunque hemos sacado Inetpub del disco del sistema, tenga cuidado si necesita algún permiso, cree lentamente el directorio usted mismo y preste especial atención a los permisos de escritura y ejecución, nunca los otorgue a menos que sea absolutamente necesario. (3). Configuración de la aplicación: elimine todas las asignaciones inútiles en el administrador de IIS, excepto aquellas que sean necesarias. Debe hacer referencia a los tipos de archivos que realmente necesita, como ASP, ASA, etc., como el uso de stml (usando la inclusión del lado del servidor). ). De hecho, 90. Los hosts tienen las dos asignaciones anteriores, y casi todas las demás asignaciones tienen una historia triste: HTW, HTR, IDQ, Ada... Consulte la lista de vulnerabilidades anterior. Haga clic derecho en el host -> Propiedades -> Editor de servicios WWW -> Configuración del directorio principal -> Mapas de aplicaciones y comience a eliminarlos uno por uno (sin seleccionarlos todos) y luego en el marcador Depuración de aplicaciones en esa ventana, cambie el script. mensaje de error para enviar texto (a menos que desee que el usuario sepa acerca de su programa/red/estructura de base de datos cuando ASP falla). Lo que quiera, hágalo usted mismo. Al salir con "OK", no olvide dejar el virtual. El sitio hereda las propiedades que usted configuró. Para hacer frente al creciente número de escáneres de vulnerabilidades cgi, existe otro truco al que puede recurrir para redirigir la página de error HTTP 404 Objeto no encontrado a una personalizada a través de archivos HTM que pueden invalidar. La mayoría de los escáneres de vulnerabilidades CGI actuales por conveniencia, la mayoría de los escáneres CGI generalmente usan el código HTTP de la página devuelta para determinar si hay una prueba 1.idq. Si se devuelve HTTP200, se considera que hay una vulnerabilidad. se devuelve, se considera que no hay vulnerabilidad. Si redirige el mensaje de error HTTP404 al archivo HTTP404.htm a través de la URL, todos los escaneos devolverán HTTP200 independientemente de si hay una vulnerabilidad, 90 escáneres CGI pensarán que tiene. cualquier vulnerabilidad, pero los resultados encubrirán sus vulnerabilidades reales, dejando a los intrusos perdidos (a menudo se dice en las novelas de artes marciales que todo el cuerpo es invulnerable a las vulnerabilidades, ¿es este el ámbito? Pero desde un punto de vista personal, yo Aún así, creo que realizar buenas configuraciones de seguridad es mucho más importante que un pequeño truco. Finalmente, para estar seguro, puede usar la función de copia de seguridad de IIS para hacer una copia de seguridad de todas las configuraciones que acaba de realizar para poder restaurarlas. configuración de seguridad de IIS en cualquier momento.
Además, si tiene miedo de que el servidor falle debido a una sobrecarga de IIS, también puede habilitar límites de rendimiento de la CPU, como limitar la utilización máxima de CPU de IIS a 70.
(4). Registro de seguridad: Me encontré con una situación en la que otra persona invadió un host y el administrador del sistema me pidió que localizara al asesino. Inicié sesión y eché un vistazo: el registro de seguridad estaba vacío, pero recuerde: ¡la instalación predeterminada de Win2000 no activa ninguna auditoría de seguridad! Luego vaya a la política de seguridad local - gt; active la auditoría correspondiente en la política de auditoría. Las auditorías recomendadas son:
La gestión de la cuenta falló correctamente.
El evento de inicio de sesión falló exitosamente.
Error en el acceso al objeto.
El cambio de política tuvo éxito pero fracasó.
Error en el uso del permiso.
El evento del sistema falló exitosamente.
Error en el acceso al servicio de directorio.
El evento de inicio de sesión de la cuenta falló exitosamente.
La desventaja de tener pocos elementos de auditoría es que si desea verlos pero descubre que no hay registros, no hay nada que pueda hacer; demasiados elementos de auditoría no solo ocuparán recursos del sistema, sino que también ocuparán recursos del sistema. También hará que no tenga tiempo para mirarlos, perdiendo así el significado de la auditoría.
Relacionados con esto están:
Política de cuenta actual -> Configuración en la Política de contraseñas:
La complejidad de la contraseña debe estar habilitada.
La longitud mínima de la contraseña es de 6 dígitos.
Forzar historial de contraseñas 5 veces
La vida útil máxima es de 30 días.
Política de cuenta actual: gt; Configuración en la Política de bloqueo de cuenta:
Cuenta bloqueada, 3 inicios de sesión incorrectos.
El tiempo de bloqueo es de 20 minutos.
Restablecer el recuento de bloqueos durante 20 minutos.
Del mismo modo, el registro de seguridad de Terminal Services está desactivado de forma predeterminada. Podemos configurar la auditoría de seguridad en Configuración de Servicios de Terminal-Permisos-Avanzado. Generalmente, solo necesitamos registrar los eventos de inicio y cierre de sesión.
El archivo de registro de la aplicación se almacena en: c:\winnt\system32\config\appevent.evt.
Ubicación de almacenamiento del archivo de registro de seguridad: c:\winnt\system32\config\secevent.evt.
La ubicación de almacenamiento del archivo de registro del sistema: c:\win nt\system32\config\sys event.evt
(5) Permisos de directorio y archivos:
.Para poder controlar los permisos de los usuarios en el servidor y prevenir posibles futuras intrusiones y desbordamientos, también debemos configurar con mucho cuidado los permisos de acceso a directorios y archivos. Los derechos de acceso de NT se dividen en: leer, escribir, leer y ejecutar, modificar, listar directorio y control total. De forma predeterminada, la mayoría de las carpetas están totalmente controladas por Todos, por lo que deberás restablecer los permisos según las necesidades de tu aplicación.
Al controlar los permisos, recuerde los siguientes principios:
A. Las restricciones son acumulativas: si un usuario pertenece a dos grupos al mismo tiempo, entonces tiene todo lo permitido por ambos grupos. Permisos;
B. Los permisos denegados son superiores a los permisos permitidos (la política denegada se implementará primero). Si un usuario pertenece a un grupo al que se le niega el acceso a un recurso, no puede acceder al recurso independientemente de cuántas otras configuraciones de permisos se le abran.
Por lo tanto, utilice el rechazo con mucho cuidado, cualquier rechazo inapropiado puede hacer que el sistema no funcione normalmente;
Los permisos de archivos son superiores a los permisos de carpetas (¿no es necesario explicar esto?)
D. Usar grupos de usuarios para controlar los permisos es uno de los buenos hábitos que debe tener un administrador de sistemas maduro;
E. Otorgue a los usuarios solo los permisos que realmente necesitan. El principio de minimizar los permisos es una garantía importante. por seguridad;
(6). Evitar la denegación de servicio:
Cambiar los siguientes valores en el registro hklm\system\current control set\services\tcpip\parameters puede ayudar. resistes una cierta intensidad de los ataques DoS.
SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0
nonameleaseondemand REG_DWORD 1
EnableDeadGWDetect Register_DWORD 0
KeepAliveTime REG_DWORD 300.000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
Ataques ICMP: los ataques de tormenta ICMP y los ataques de fragmentación también son un dolor de cabeza para los hosts NT Método de ataque, pero el El método para abordarlo es en realidad muy simple. Win2000 viene con una herramienta de enrutamiento y acceso remoto. Esta herramienta ha comenzado a tomar forma como un enrutador (¿Microsoft realmente quiere hacer todo? Escuché que recientemente creará un firewall). En esta herramienta, podemos definir fácilmente la entrada y la salida. filtro de paquetes. Por ejemplo, configurar el código ICMP de entrada 255 para descartar significa descartar todos los mensajes ICMP entrantes.
(7).Problemas de seguridad del programa ASP:
La seguridad no es solo una cuestión de administración de la red, los programadores también deben prestar atención a algunos detalles de seguridad y desarrollar buenos hábitos de seguridad; de lo contrario, Lo harán. Esto les dará a los piratas informáticos una oportunidad. Actualmente, la mayoría de los programas ASP en sitios web tienen este tipo de vulnerabilidades de seguridad, pero si se presta atención al escribir programas, se pueden evitar. Los programas que involucran nombres de usuario y contraseñas se empaquetan mejor en el lado del servidor y aparecen lo menos posible en archivos ASP. El nombre de usuario y la contraseña que se conectan a la base de datos deben tener permisos mínimos.
Descripción: Los nombres de usuario y las contraseñas suelen ser lo que más interesa a los hackers. Si el código fuente se ve de alguna manera, las consecuencias pueden ser graves. Por tanto, es necesario minimizar su aparición en archivos ASP. Los nombres de usuario y contraseñas que aparecen con frecuencia se pueden escribir en un archivo de inclusión en una ubicación oculta. Si se trata de una conexión a una base de datos, lo ideal es darle permiso solo para ejecutar procedimientos almacenados y no darle permiso al usuario para modificar, insertar o eliminar registros directamente.
Requiere una página ASP verificada que pueda rastrear el nombre del archivo de la página anterior. Solo la sesión transferida desde la página anterior puede leer esta página.
Nota: actualmente, la mayoría de los programas ASP que requieren verificación agregan una declaración de juicio al encabezado de la página, pero esto no es suficiente. Los piratas informáticos pueden pasar por alto la verificación e ingresar directamente, por lo que deben volver a la página anterior. Para vulnerabilidades específicas, consulte la documentación de vulnerabilidades adjunta.
Evita que se filtre la página de inicio de asp. inc, cuando se produce una página de inicio ASP, algunos motores de búsqueda pueden agregarlo de manera flexible como un objeto de búsqueda antes de que se complete la depuración final. Si alguien usa un motor de búsqueda para buscar en estas páginas web en este momento, se ubicarán los archivos relevantes y se podrá ver información detallada sobre la ubicación y estructura de la base de datos en el navegador, revelando el código fuente completo.
Solución: los programadores deben depurar minuciosamente las páginas web antes de publicarlas; los expertos en seguridad deben corregir los archivos de inclusión ASP para que los usuarios externos no puedan verlos. Primero, cifrado. En segundo lugar, puedes utilizar . archivos asp en su lugar.
inc archivo para que los usuarios no puedan ver el código fuente del archivo directamente desde el navegador. Nombre del archivo. El archivo inc no necesita utilizar el valor predeterminado del sistema ni tener significados especiales que sean fáciles de adivinar para los usuarios. En su lugar, intente utilizar letras inglesas irregulares.
Tenga en cuenta que algunos editores ASP realizarán automáticamente copias de seguridad de los archivos ASP y estos archivos se descargarán. En algunas herramientas para editar programas ASP, cuando se crea o modifica un archivo ASP, el editor crea automáticamente un archivo de copia de seguridad. Por ejemplo, UltraEdit realizará una copia de seguridad de los archivos ...bak. Si crea o modifica some.asp, el editor generará automáticamente un archivo llamado some.asp.bak. Si no elimina este archivo bak, el atacante puede descargar directamente el archivo some.asp.bak, de modo que some.asp. Se descargará el programa fuente.
En programas ASP que manejan cuadros de entrada como tableros de mensajes y BBS, es mejor bloquear las declaraciones HTML, JavaScript y VBScript. Si no hay requisitos especiales, puede limitar la entrada solo a letras y números y bloquear caracteres especiales. Al mismo tiempo, la longitud de los caracteres de entrada es limitada. Además, la validez de la entrada no sólo se comprueba en el lado del cliente, sino que también se realizan comprobaciones similares en el programa del lado del servidor.
Nota: el cuadro de entrada es el objetivo de los piratas informáticos. Los piratas informáticos pueden destruir el cliente del usuario ingresando un lenguaje de script.
Si el cuadro de entrada implica una consulta de datos, utilizarán una entrada de consulta especial; para obtener más datos de la base de datos, incluso todas las tablas. Por lo tanto, el cuadro de entrada debe filtrarse. Sin embargo, si solo verifica la legalidad de la entrada en el lado del cliente para mejorar la eficiencia, es posible que aún se omita, por lo que deberá realizar otra verificación en el lado del servidor.
(8).Seguridad de pcanywhere:
PCANYWHERE es actualmente la herramienta de control remoto más popular basada en nt y 2000. También se debe prestar atención a los problemas de seguridad. Se recomienda utilizar nombres de usuario y contraseñas independientes, preferiblemente cifrados. No utilice el mismo nombre de usuario y contraseña que el administrador de NT o la contraseña integrada con NT.
Descripción: La contraseña PCANYWHERE es la primera puerta de entrada al control remoto. Si es la misma que la contraseña de NT, se pierde la barrera de seguridad. No hay sensación de seguridad después de haber sido violado. Si se utiliza una contraseña separada, NT todavía tiene una barrera de contraseña incluso si PCANYWHERE está descifrado. Instale versiones actualizadas con prontitud.
4. Seguridad de la base de datos
(1). Seguridad de la base de datos de Access:
Evita la vulnerabilidad de que la base de datos ACCESS mdb se pueda descargar cuando se utiliza ACCESS como fondo. Base de datos, si alguien conoce o adivina la ruta y el nombre de la base de datos ACCESS del servidor a través de varios métodos, puede descargar el archivo de la base de datos ACCESS, lo cual es muy peligroso.
Solución:
Dé a su archivo de base de datos un nombre complejo y no tradicional y colóquelo en varios directorios. Los llamados "no convencionales", por ejemplo:
Por ejemplo, si hay una base de datos que almacena información sobre libros, no la llames "book.mdb", dale un nombre extraño. Por ejemplo, d34ksfslf.mdb y luego colóquelo en varios directorios, como por ejemplo. /kdslf/i44/studio/, por lo que será más difícil para los piratas informáticos obtener su archivo de base de datos ACCESS mediante adivinanzas.
B. No escribir el nombre de la base de datos en el programa. A algunas personas les gusta escribir DSN en programas, como por ejemplo:
DBPath = servidor. MapPath(" cmddb . MDB ")conn . Open " Driver = { Microsoft Access Driver(*. MDB)}; dbq = " ampDBPath Si alguien obtiene el programa fuente, el nombre de su base de datos ACCESS quedará claro.
Por lo tanto, le sugiero que configure una fuente de datos en ODBC y luego escriba esto en el programa:
Abra el número "Yuan Shuji"
Utilice ACCESS para codificar y cifrar. el archivo de base de datos. Primero, seleccione "Herramientas->Seguridad->Cifrar/Descifrar base de datos, seleccione la base de datos (como: empleado.mdb) y luego haga clic en Aceptar. Luego aparecerá la ventana "Guardar base de datos después del cifrado", guárdela como: empleado 1 MDB. Luego, empleado.mdb se codificará y guardará como empleado 1. MDB... Cabe señalar que la acción anterior no establece una contraseña para la base de datos, solo codifica el archivo de la base de datos. del uso de otras herramientas para ver la base de datos.
A continuación, ciframos la base de datos. Primero, abrimos el empleado codificado 1. MDB, seleccionamos el modo "Exclusivo" al abrir. seleccione el menú "Herramientas->Seguridad->Configuración". Contraseña de la base de datos" y luego ingrese la contraseña. Entonces, incluso si alguien más obtiene el archivo empleado1.mdb, no puede ver empleado1.mdb sin la contraseña.
(Seguridad de SQL Server
SQL SERVER Es el sistema de base de datos más utilizado en la plataforma NT, pero también se debe prestar atención a sus problemas de seguridad. La información más valiosa a menudo existe en la base de datos. Una vez que Si se roban datos, las consecuencias serán desastrosas.
Actualización oportuna de parches
Nota: al igual que NT, muchas vulnerabilidades de SQL SERVER se solucionarán con parches. pruebe la máquina antes de instalar el parche y haga una copia de seguridad del servidor de destino de antemano.
SA tiene una contraseña compleja
Descripción: SA tiene autoridad total sobre las operaciones de la base de datos de SQL SERVER. Desafortunadamente, algunos administradores de red no están familiarizados con las bases de datos y el trabajo de establecer la base de datos lo realizan los programadores, pero estas personas a menudo solo se concentran en escribir declaraciones SQL y no están familiarizadas con la administración de la base de datos SQL SERVER, lo cual es probable. para hacer que la contraseña de SA esté vacía. Esta es una amenaza grave para la seguridad de la base de datos. Actualmente hay muchos sitios con este peligro oculto.
Controle estrictamente los permisos de los usuarios de la base de datos y no les dé permisos directamente. consultar, modificar, insertar o eliminar tablas. Puede otorgar a los usuarios permisos para acceder a las vistas y solo otorgarles permisos para ejecutar procedimientos almacenados.
p>
Nota: si el usuario tiene permisos de operación directa. sobre la mesa, existe el riesgo de corrupción de datos.