Problema de instalación completa de Win2000 Advanced Server
A la hora de configurar el servidor hay que dejar claro si se trata de un servidor de nombres de dominio, un servicio de red o un servidor de archivos.
Baidu buscó muchas presentaciones. Si eres demasiado vago para dejar tu dirección de correo electrónico, te enviaré la información. De lo contrario, será demasiado largo y difícil de responder.
Instalación correcta y configuración de seguridad del servidor WIN2K
Autor: SharpWinnner De: Reddit (www.cnredhacker.org)
Actualmente, el servidor WIN 2K ocupa el ámbito doméstico mercado Sin embargo, según nuestra prueba de seguridad de servidores WIN 2K nacionales, los usuarios y administradores del servidor WIN 2K no tienen una buena comprensión de la configuración de seguridad y la tecnología de prevención de WIN 2K. Ahora, de acuerdo con nuestra responsabilidad con la seguridad de las redes domésticas, dedicamos este artículo a los administradores domésticos de WIN 2K.
1. Selección e instalación correcta del sistema operativo WIN 2K
1. Partición del disco duro
(1). Por lo general, al instalar el sistema operativo WIN 2K, se acostumbra colocar los archivos del sistema, los archivos de registro y las aplicaciones en una partición. Los ataques de piratas informáticos suelen aprovechar las vulnerabilidades de las aplicaciones del sistema y luego utilizan los permisos de los programas relacionados en los archivos del sistema. Elevate, eliminando así los archivos de registro (evitando que los administradores los investiguen) y provocando daños en los archivos del sistema. Por lo tanto, antes de instalar WIN 2K, debemos tener esto en cuenta, así que cree al menos dos particiones lógicas, a saber, la partición del sistema y la partición de la aplicación. Para confundir a los piratas informáticos, también deberíamos cambiar las ubicaciones de las carpetas predeterminadas para aplicaciones como Mis documentos y Outlook Express para que los piratas informáticos no puedan saber qué parte de un archivo del sistema está almacenada en qué partición.
(2). El formato de sistema de archivos recomendado para la partición del disco duro es NTFS. En primer lugar, las particiones NTFS añaden la capacidad de establecer diferentes permisos de acceso para diferentes carpetas, mejorando así la seguridad del sistema. Se recomienda que al instalar particiones NTFS, sea mejor instalar todas las particiones formateadas NTFS a la vez, y primero elegir instalarlas como particiones FAT y luego convertir las particiones NTFS. Al instalar parches, es posible que la conversión no se realice correctamente y el el sistema puede fallar. Hay otro aspecto que vale la pena señalar al instalar una partición NTFS. Cuando se utiliza un disquete para iniciar una partición NTFS, la mayoría del software antivirus actual no detecta virus, por lo que es fácil que los virus maliciosos invadan y provoquen que el sistema falle. empezar normalmente. Por lo tanto, tome precauciones antes de que sucedan y haga todo lo posible para prevenir la aparición del virus desde la raíz.
2. Elija la versión correcta de WIN 2K:
WIN 2K SERVER es un sistema operativo multilingüe lanzado por Microsoft. Para nosotros, los chinos, puede optar por instalar la versión en chino simplificado o la versión en inglés. Con respecto a la elección de estos sistemas operativos en dos idiomas, analizaremos las ventajas y desventajas de estos dos sistemas operativos para usted: Para todos, no existe ninguna barrera del idioma para instalar la versión en chino simplificado del sistema operativo e instalar varios sistemas operativos basados en chino. sistemas operativos No hay problemas con caracteres confusos en las aplicaciones, por ejemplo, no hay problemas con la comunicación QQ o la instalación de varios juegos en línea. Sin embargo, es bien sabido que el sistema operativo de Microsoft está lleno de lagunas y la versión china del sistema operativo. El sistema tiene muchas más lagunas que la versión en inglés. Además, los parches de vulnerabilidad de seguridad de la versión china del sistema operativo suelen aparecer dos semanas antes de que se anuncie la vulnerabilidad, por lo que durante este período hay que utilizar el suyo propio. métodos para evitar que los piratas informáticos ataquen nuevas vulnerabilidades. Con respecto al sistema operativo original en inglés de WIN 2K, para todos, en primer lugar, existen ciertos problemas de idioma y, en segundo lugar, está el problema de los códigos confusos en las aplicaciones. Aunque algunos programas pueden proporcionar conversión de códigos en chino e inglés, todavía lo es. bastante problemático después de todo. La versión en inglés del sistema operativo es el sistema operativo original y Microsoft ha cuidado muy bien su seguridad, rendimiento, aplicaciones de soporte, etc.
Por lo tanto, según nuestro análisis, a los usuarios individuales comunes se les recomienda utilizar el sistema operativo chino, mientras que para los usuarios empresariales, es mejor que los administradores instalen el sistema operativo WIN 2K en inglés.
3. Personalización de componentes:
Normalmente, se puede decir que los componentes instalados de forma predeterminada en el sistema operativo WIN 2K abren la puerta a la comodidad para los piratas informáticos, no solo el funcionamiento de WIN 2K. sistema, pero también Los sistemas operativos LINUX/UNIX/VMS instalados de forma predeterminada pueden permitir que los piratas informáticos ingresen fácilmente al sistema. Por lo tanto, seguimos el principio de seguridad de "servicio mínimo, permiso mínimo = seguridad máxima" y seleccionamos algunos servicios utilizables para la instalación. Para la instalación de un servidor WEB, los componentes mínimos son el Administrador de servicios de Internet, el servidor WWW y los archivos públicos. Si necesita instalar otros componentes, como la extensión del servicio Frontpage 2000 y el servicio de índice, preste especial atención a estos dos componentes.
4. Selección del software de aplicación de gestión:
En función de los requisitos de seguridad y de la aplicación, es necesario elegir un buen software de gestión. WIN 2K Terminal Service es un software de control remoto basado en RDP (Protocolo de escritorio remoto). Este software es muy bueno en términos de velocidad, facilidad de uso y operatividad. Sin embargo, Terminal Services también tiene deficiencias. Cuando Terminal Services interactúa con el escritorio real, tiende a confundir el sistema y realizar operaciones incorrectas. Por tanto, por motivos de seguridad, te recomiendo que instales un software de control remoto como auxiliar, y PcAnyWhere es una buena opción.
5. Seleccione la secuencia de instalación:
Asegúrese de prestar atención a la secuencia de instalación del sistema WIN 2K. La primera es la instalación de parches si instala WIN 2K. sistema, instale directamente todos los parches de seguridad y luego instale los componentes del sistema y otras aplicaciones, entonces se puede decir que su sistema puede ser pirateado en cualquier momento. ¿Cuál es la razón de esto? Debido a que los parches se instalan reemplazando/modificando ciertos archivos del sistema, si instala el parche primero y luego instala la aplicación, restaurará la aplicación parcheada a un estado vulnerable. Otra es al acceder a la web. Debemos parchear todas las vulnerabilidades de seguridad antes de acceder a la red. De lo contrario, una vez que el sistema esté infectado y dañado por virus o piratas informáticos, necesitaremos restaurar el sistema y realizar algunos trabajos repetitivos, lo que equivale a un trabajo inútil. Por lo tanto, debemos seguir la secuencia de instalación y realizar la instalación correcta paso a paso, para minimizar diversos daños al sistema. La secuencia de instalación correcta del sistema WIN 2K debe ser:
Partición del disco duro--seleccione el sistema operativo que se instalará--seleccione el formato del sistema de archivos (NTFS)--seleccione los componentes y aplicaciones que se instalarán instalado: instale cada parche del sistema - instale el firewall y otras precauciones de seguridad - acceda a la red de Internet
2. Configuración de seguridad del servidor WIN 2K
1.
(1).Política de seguridad de la cuenta:
A. Utilice la cuenta lo menos posible y úsela lo menos posible para iniciar sesión. Nota: las cuentas del sitio web generalmente solo se usan para el mantenimiento del sistema y no se necesitan cuentas adicionales, porque habrá peligro de que varias cuentas sean pirateadas; múltiples cuentas.
B. Además del administrador, es necesario agregar otra cuenta que pertenezca al grupo de administradores. Nota: Dos cuentas del grupo de administradores, por un lado, evitan que el administrador olvide la contraseña de una cuenta; , y hay una cuenta de respaldo. Por otro lado, una vez que un pirata informático irrumpe en una cuenta y cambia la contraseña, todavía tenemos la posibilidad de recuperar el control en el corto plazo.
C. Todos los permisos de la cuenta deben controlarse estrictamente y no se deben otorgar permisos especiales a las cuentas fácilmente.
D. Cambie el nombre del Administrador a un nombre que sea difícil de adivinar. Otras cuentas ordinarias también deberían seguir este principio. Nota: Esto agrega una capa de protección contra los piratas informáticos y evita intrusiones de clonación de cuentas.
E. Deshabilite la cuenta de Invitado, cámbiele el nombre a un nombre complejo, agregue una contraseña y elimínela del grupo de Invitados. Nota: Algunas herramientas de piratería aprovechan las debilidades de Invitado para elevar la cuenta de un usuario normal a uno; el grupo de administradores.
F. Establezca una contraseña compleja para todas las cuentas de usuario que tenga al menos 8 dígitos y debe contener letras, números y caracteres especiales. Tampoco utilice palabras conocidas, secuencias de teclado conocidas, números familiares, etc. Nota: Las contraseñas son el foco de los ataques de piratas informáticos. Una vez que la contraseña se ve comprometida, no habrá ninguna seguridad en el sistema. Según nuestras pruebas, esto suele pasarse por alto con una contraseña de 5 dígitos que solo contenga letras y números. Se utilizará en unos minutos y se romperá en poco tiempo, y la solución recomendada es mucho más segura.
G. La contraseña debe cambiarse periódicamente (se recomienda cambiarla al menos una vez cada dos semanas), y es mejor tenerla presente. En caso contrario, no la registre en ningún otro lugar; , si se encuentra en la auditoría de registro que una cuenta ha sido Si se intenta continuamente, la cuenta (incluido el nombre de usuario y la contraseña) debe cambiarse inmediatamente;
H. como cambiar el número de intentos fallidos de inicio de sesión de la cuenta. Si hay más de 5 intentos fallidos de inicio de sesión, la cuenta se bloqueará. Esto evita intentos de fuerza bruta y permite a los administradores estar más atentos a la cuenta.
(2). Mejorar la seguridad de las cuentas WIN 2K modificando el registro.
La seguridad de la cuenta de Win2000 es otro punto clave. En primer lugar, la instalación predeterminada de Win2000 permite cualquier. El usuario puede iniciar sesión a través del espacio vacío. El usuario obtiene la lista de todas las cuentas/compartidos del sistema. Esto originalmente está destinado a facilitar que los usuarios de LAN compartan archivos, pero los usuarios remotos pueden obtener su lista de usuarios y usar métodos de fuerza bruta para descifrar las contraseñas de los usuarios.
Prohibir 139**** conexiones vacías: muchos amigos saben que puede modificar el registro Local_Machine/System/CurrentControlSet\Control\LSA-RestrictAnonymous=1 para prohibir 139 conexiones vacías. política de win2000 (en el caso de un servidor de dominio, esta es la política de seguridad local). La política de seguridad (en Seguridad del Servidor de Dominio y Política de Seguridad del Dominio si es un servidor de dominio) tiene una opción RestrictAnonymous (restricciones adicionales en conexiones anónimas), que tiene tres valores:
0: Ninguna. Depende de los permisos predeterminados
1: No permite la enumeración de cuentas SAM y disfrute de ****
2: No permite el acceso sin permisos anónimos explícitos
El valor 0 es el valor predeterminado del sistema y no restringe ningún contenido. Los usuarios remotos pueden conocer todas las cuentas, información de grupo, directorios de disfrute, listas de transmisión de red (NetServerTransportEnum, etc.) en la máquina. Esta es una configuración muy peligrosa para el servidor.
1 Este valor solo permite a los usuarios no nulos acceder a la información de la cuenta SAM y a la información de disfrute ***.
2 Este valor solo es compatible con Win2000. Cabe señalar que si usa este valor, su disfrute sexual puede terminar, por lo que le recomiendo que lo establezca en 1.
Eliminar partición de disco **** disfrute: ejecute Regedit, luego modifique el registro y agregue un nombre de clave
en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters. AutoShareServer
Tipo: REG_DWORD
Valor: 0
Luego reinicie el servidor, la partición del disco **** ha sido eliminada, pero el IPC *** * ha regresado. Ahora es necesario eliminarlo manualmente después de cada reinicio.
Ok, ahora el intruso no tiene forma de obtener nuestra lista de usuarios, nuestra cuenta está segura... Más despacio, hay al menos una cuenta que puede ejecutar la contraseña, este es el administrador integrado del sistema, ¿qué hacer? Cambié los cambios, hice clic derecho en "Administrador" en "Administración de computadoras" - "Cuentas de usuario" y luego cambié el nombre al que desee, siempre que pueda recordarlo. No, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, No, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no, no. No, no. Por suerte mi contraseña era lo suficientemente larga, pero esa no es la respuesta, ¿verdad? Bueno, debe verse en la interfaz de inicio de sesión local o de Terminal Services, así que cambiemos "No mostrar" en la clave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\winlogon a 1. Cambie la cadena No mostrar el último nombre de usuario en la entrada de Winlogon a 1 para que el sistema no muestre automáticamente el último nombre de usuario que inició sesión. Cambie los datos de la cadena No mostrar el último nombre de usuario en la clave del registro del servidor HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon a 1 para ocultar el último nombre de usuario que inició sesión en la consola.
2. Configuración de seguridad del servicio WIN 2K
(1). Puerto: El puerto es la interfaz lógica que conecta la computadora a la red externa y también es la primera barrera de la computadora. La corrección de la configuración del puerto afecta directamente la seguridad del host. En términos generales, es más seguro abrir solo los puertos que deben usarse. El método de configuración es habilitar TCP en las propiedades de la tarjeta de red -TCP/IP-Avanzado-. Opciones: filtrado TCP / IP. / Filtrado IP, pero el filtrado de puertos de Win2000 tiene una mala función: solo puede especificar qué puertos abrir, pero no puede especificar qué puertos cerrar, lo que hace que sea más doloroso para los usuarios que necesitan abrir. muchos puertos.
(2).IIS: IIS es el más propenso a sufrir vulnerabilidades entre los componentes de Microsoft. Aparecerá una vulnerabilidad cada dos o tres meses en promedio, y el IIS instalado por Microsoft de forma predeterminada realmente no es halagador, por lo que. Configurar IIS es nuestro enfoque. Ahora sígueme y busca:
Primero, elimina todo el directorio Inetpub en la unidad C y crea un Inetpub en la unidad D (si no te sientes cómodo, también puedes cambiarlo). nombre del directorio predeterminado a un nombre determinado, pero debe recordarlo), apunte el directorio de inicio a D:\Inetpub en el administrador de IIS, en segundo lugar, elimine todos los scripts en el directorio virtual predeterminado durante la instalación de IIS (problema La fuente, recuerde; es /script/....c11c.../winnt/system32/cmd.exe? Aunque hemos sacado Inetpub del disco del sistema, aún debemos tener cuidado), ¿qué permisos se necesitan para el directorio? Puede construirlo usted mismo lentamente y abrir los permisos que necesite. (Preste especial atención a los permisos de escritura y de ejecución del programa. No los otorgue a menos que sea absolutamente necesario)
(3) Además de eliminar las asignaciones inútiles en el administrador de IIS, asegúrese de hacerlo. se refiere a los tipos de archivos que realmente necesita usar, como ASP, ASA, etc., como el stml que usa (usando inclusión del lado del servidor). De hecho, el 90% de los hosts tienen las dos asignaciones anteriores. los mapeos restantes son miserables Historias: htw, htr, idq, ida..., ¿quieres conocer estas historias? Vaya a consultar la lista de vulnerabilidades anterior.
¿Qué? ¿No encuentras dónde eliminar? Haga clic derecho en el host en IIS Manager-gt; Propiedades-gt; WWW Service Edit-gt; Home Directory Application Mapping y luego comience a eliminarlos uno por uno (no hay selección de todos). Luego envíe el texto del mensaje de error del script en el marcador de depuración de la aplicación en la ventana en este momento (a menos que desee que el usuario conozca la estructura de su programa/red/base de datos cuando ocurre un error de ASP). Lo que quieras, depende de ti. Cuando haga clic en "Aceptar" para salir, no olvide dejar que el sitio web virtual herede las propiedades que configuró. Para hacer frente a cada vez más escáneres de vulnerabilidades CGI, existe un pequeño truco al que puede consultar en IIS: puede redirigir la página de error HTTP404 Objeto no encontrado a un archivo HTM personalizado a través de la URL, que puede eliminar la gran mayoría. de vulnerabilidades CGI El escáner falló. De hecho, la razón es muy simple para mayor comodidad al escribir, la mayoría de los escáneres CGI juzgan si existe una vulnerabilidad mirando el código HTTP de la página devuelta. Por ejemplo, la famosa vulnerabilidad IDQ generalmente se prueba mediante fetch 1.idq. Si se devuelve HTTP200, se considera que hay una vulnerabilidad. Por el contrario, si se devuelve HTTP404, se considera que no existe. Si redirige el mensaje de error HTTP404 al archivo HTTP404.htm, entonces todos los escaneos devolverán HTTP200, 90 independientemente de si hay una vulnerabilidad. Todos los escáneres CGI pensarán que usted tiene algunas vulnerabilidades, pero al final encubren sus vulnerabilidades reales, dejando a los intrusos sin saber por dónde empezar. En las novelas de artes marciales se suele decir que las vulnerabilidades en todo el cuerpo son invulnerables, ¿es cierto?) ¿Es este el caso? ) Pero desde un punto de vista personal, sigo pensando que una buena configuración de seguridad es mucho más importante que esos pequeños trucos. Finalmente, para estar seguro, puede utilizar la función de copia de seguridad de IIS para hacer una copia de seguridad de todas las configuraciones que acaba de realizar, de modo que pueda restaurar la configuración de seguridad de IIS en cualquier momento. Es más, si le preocupa que demasiada carga en IIS provoque que el servidor falle a plena capacidad, también puede activar la aceleración de la CPU en Rendimiento, como limitar el uso máximo de CPU de IIS a 70.
(4). Registro de seguridad: el autor se encontró una vez con una situación de este tipo. Un host fue invadido por otros. El administrador del sistema le pidió al autor que localizara al culpable. Después de iniciar sesión, el autor vio: El registro de seguridad está vacío. Recuerde: ¡la instalación predeterminada de Win2000 no permite ninguna auditoría de seguridad! Luego vaya a la política de seguridad local-gt; política de auditoría para abrir la auditoría correspondiente. El método de auditoría recomendado es:
Éxito y fracaso en la gestión de la cuenta
Evento de inicio de sesión exitoso y fallido<. /p>
Error en el acceso al objeto
El cambio de política falló con éxito
Error en el uso de privilegios
Evento del sistema falló con éxito
Servicio de directorio error de acceso
Error en el uso de privilegios
Error en evento del sistema
Error en el acceso al servicio de directorio
p>Error en el acceso al servicio de directorio
El evento de inicio de sesión de la cuenta falló exitosamente
La desventaja de tener menos elementos de auditoría es que si desea revisarlos y descubre que no están registrados, entonces no hay demasiados elementos de auditoría; no solo ocupará recursos del sistema, sino que también hará que no tenga tiempo para revisar estos elementos, lo que anula el propósito original de la auditoría.
Relacionado con esto:
En Políticas de cuenta -> Política de contraseña establecida:
Habilitar requisitos de complejidad de contraseña
Longitud de la contraseña Mínimo 6 dígitos
Forzar historial de contraseñas 5 veces
Tiempo máximo de retención 30 días
Establecer en Políticas de cuenta -> Política de bloqueo de cuenta:
p>
Bloqueo de cuenta durante 3 días
Establecer en Política de cuenta -> Política de bloqueo de cuenta.
p>
Cuenta bloqueada por 3 inicios de sesión incorrectos
Tiempo de bloqueo 20 minutos
Restablecer recuento de bloqueo 20 minutos
Asimismo, Terminal Services El registro de seguridad no está activado de forma predeterminada. Podemos configurar la auditoría de seguridad en Migración de configuración de Terminal Services - Permisos - Avanzado. Generalmente, solo necesitamos registrar los eventos de inicio y cierre de sesión.
Ubicación de almacenamiento del archivo de registro de la aplicación: c:\winnt\system32\config\AppEvent.Evt
Ubicación de almacenamiento del archivo de registro de seguridad: c:\winnt\system32\config\SecEvent.
Ubicación de almacenamiento del archivo de registro del sistema: c:\winnt\system32\config\SysEvent.Evt
(5) Permisos de directorio y archivos:
Para Para. Controlar los permisos de los usuarios en el servidor, y para evitar posibles intrusiones y desbordamientos en el futuro, también debemos configurar con mucho cuidado los permisos de acceso a directorios y archivos. Los permisos de acceso NT se dividen en: lectura, escritura, lectura y ejecución: Permisos de acceso NT. se dividen en Para: leer, escribir, leer y ejecutar, modificar, catalogar y control total. De forma predeterminada, la mayoría de las carpetas están completamente abiertas (Control total) para todos los usuarios (grupo Todos), deberá restablecer los permisos según las necesidades de su aplicación.
Al realizar el control de permisos, recuerde los siguientes principios:
A. Las restricciones son acumulativas: si un usuario pertenece a dos grupos al mismo tiempo, entonces tiene los permisos de ambos. grupos Todos los permisos;
B. Los permisos denegados son superiores a los permisos permitidos (la política de denegación tendrá prioridad. Si a un grupo al que pertenece un usuario se le niega el acceso a un recurso, no importa qué otras configuraciones de permisos). están abiertos para él No importa cuántos permisos tenga, definitivamente no podrá acceder al recurso. Por lo tanto, tenga cuidado con los rechazos. Cualquier rechazo inadecuado puede hacer que el sistema no funcione normalmente;
C. Los permisos de archivos son superiores a los permisos de carpetas (no es necesario explicar esto)
E. Otorgar a los usuarios solo los permisos que realmente necesitan. El principio de minimizar los permisos es una garantía importante. por seguridad;
(6). Prevenir DoS:
Cambiar los siguientes valores en el registro HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters puede ayudarle a resistir una determinada acción. intensidad de los ataques DoS
SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG _DWORD 300, 000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
Ataques ICMP: los ataques ICMP Storm y los ataques de fragmentación también son dolores de cabeza para los hosts NT.
De hecho, el método para solucionarlo también es muy simple. Win2000 viene con una herramienta de enrutamiento y acceso remoto. Esta herramienta ya ha tomado la forma de un enrutador (Microsoft también habla en serio, ¿qué puede hacer? Escuché que lo es). construyendo un firewall recientemente). En esta herramienta, podemos definir fácilmente filtros de paquetes de entrada y salida. Por ejemplo, configurar el código ICMP de entrada en 255 descartado significa descartar todos los mensajes ICMP entrantes.
(7). Problemas de seguridad de los programas ASP:
La seguridad no es sólo una cuestión de administradores de sitios web, los programadores también deben prestar atención a algunos detalles de seguridad. Desarrolla buenos hábitos de seguridad; de lo contrario, darás a los piratas informáticos la oportunidad de aprovecharse de ti. Actualmente, la mayoría de los programas ASP en sitios web tienen vulnerabilidades de seguridad de un tipo u otro, pero aún así se pueden evitar si se presta atención al escribir programas. Los programas que involucran nombres de usuario y contraseñas se encapsulan mejor en el lado del servidor y encapsulados en archivos ASP lo menos posible, donde los programas que involucran el uso de nombres de usuario y contraseñas para conectarse a la base de datos deben recibir la menor cantidad de permisos.
Nota: Los nombres de usuario y las contraseñas suelen ser lo que más interesa a los hackers, y si de alguna manera aparecen en el código fuente, las consecuencias serán muy graves. Por lo tanto, intente minimizar su aparición en el archivo ASP. Los nombres de usuario y las contraseñas que aparecen con frecuencia se pueden escribir en archivos de inclusión ocultos. Si necesita conectarse a una base de datos, lo ideal es que solo le dé permiso para ejecutar procedimientos almacenados y nunca le dé al usuario permiso directo para modificar, insertar o eliminar registros.
Las páginas ASP que requieren autenticación registrarán el nombre del archivo de la página anterior, que solo puede ser leído por la sesión introducida desde la página anterior.
Nota: Hoy en día, los programas ASP que requieren autenticación a menudo agregan declaraciones de juicio en el encabezado de la página, pero esto no es suficiente, los piratas informáticos también pueden omitir la autenticación e ingresar directamente, por lo que es necesario realizar un seguimiento de lo anterior. página. Para vulnerabilidades específicas, consulte el documento de vulnerabilidad en el archivo adjunto.
Para evitar la filtración del archivo ASP homepage.inc, cuando la página de inicio ASP se produce sin una depuración final, la adición de objetos de búsqueda se puede completar mediante la manipulación de algunos motores de búsqueda si alguien usa la búsqueda. en este momento, cuando el motor busca estas páginas web, obtendrá la ubicación de los archivos relevantes y la ubicación y los detalles de la estructura de la base de datos se pueden ver en el navegador, revelando así el código fuente completo. código fuente.
Solución: Los programadores deben depurar minuciosamente las páginas web antes de publicarlas; los expertos en seguridad deben corregir los archivos de inclusión ASP para que no puedan ser vistos por usuarios externos. Primero, cifre el contenido del archivo .inc; segundo, reemplace el archivo .inc con un archivo .asp para que los usuarios no puedan ver el código fuente del archivo directamente desde el navegador. En lugar de utilizar valores predeterminados del sistema o nombres de archivos con significados especiales (que los usuarios pueden adivinar fácilmente), intente nombrar archivos .inc con letras aleatorias.
Tenga en cuenta que algunos editores ASP realizarán copias de seguridad automáticamente de los archivos ASP. Esto puede ser una vulnerabilidad de descarga de algunas herramientas de edición de programas ASP. Por ejemplo, al crear o modificar archivos ASP, el editor creará automáticamente un archivo de copia de seguridad. .: UltraEdit realizará una copia de seguridad de un archivo ..bak. Si crea o modifica un .asp, el editor generará automáticamente un archivo llamado some.asp.bak. Si no elimina este archivo bak, el atacante puede descargarlo directamente. .algún archivo.asp.bak, para que se descargue un determinado programa fuente .asp.
Cuando se trata de cuadros de entrada de programas ASP, como foros de mensajes y BBS, es mejor bloquear las declaraciones HTML, JavaScript y VBScript. Si no hay requisitos especiales, puede limitar la entrada solo. letras y números y bloquear caracteres especiales. Al mismo tiempo, limite la longitud de los caracteres de entrada.
Y no sólo se comprueba la validez de la entrada en el lado del cliente, sino que también se realizan comprobaciones similares en el programa del lado del servidor.
Nota: El cuadro de entrada es el objetivo de los piratas informáticos. Pueden causar daños al cliente del usuario al ingresar lenguaje de secuencia de comandos.
Si el cuadro de entrada está relacionado con la consulta de datos, utilizarán una entrada de consulta especial para obtener más datos de la base de datos, o incluso todos los datos de la tabla. Por lo tanto, el cuadro de entrada debe filtrarse. Sin embargo, si la verificación de validez de la entrada solo se realiza en el lado del cliente por motivos de eficiencia, aún es posible omitirla, por lo que se debe realizar otra verificación en el lado del servidor.
(8). Seguridad de PCANYWHERE:
PCANYWHERE es actualmente la herramienta de control remoto más popular basada en NT y 2000. También debe prestar atención a los problemas de seguridad. Se recomienda utilizar nombres de usuario y contraseñas separados, preferiblemente cifrados. Nunca utilice el mismo nombre de usuario y contraseña que el administrador de NT o una contraseña integrada con NT.
Nota: La contraseña PCANYWHERE es el primer paso para el control remoto. Si es la misma que la contraseña NT, se perderá la barrera de seguridad. Una vez comprometido, no hay seguridad alguna. Si se utiliza una contraseña separada, NT todavía tiene una barrera de contraseña incluso si PCANYWHERE está descifrado. Instale versiones actualizadas con prontitud.
4. Seguridad de la base de datos
(1). Problemas de seguridad de la base de datos ACCESS:
Para evitar la vulnerabilidad de que la base de datos ACCESS mdb pueda descargarse. , cuando se utiliza ACCESS como base de datos backend, si alguien conoce o adivina la ruta y el nombre de la base de datos ACCESS del servidor a través de varios métodos, puede descargar archivos de la base de datos ACCESS es muy peligroso.
Solución:
A. Asigne al archivo de la base de datos un nombre complejo y poco convencional y colóquelo en varios directorios. Los llamados "no convencionales", por ejemplo:
Por ejemplo, una base de datos que almacena información de libros no puede llamarse "book.mdb", sino un nombre extraño, como d34ksfslf.mdb, y luego Poner él como. /kdslf/i44/studi/ y otros directorios, para que los piratas informáticos puedan adivinar cómo ingresan a su archivo de base de datos ACCESS.
B. No escriba el nombre de la base de datos en el programa. A algunas personas les gusta escribir DSN en el programa, por ejemplo:
DBPath = Server.MapPath("cmddb.mdb") conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq = " & DBPath Si alguien obtiene el programa fuente, se revelará el nombre de su base de datos ACCESS. Por lo tanto, se recomienda configurar la fuente de datos en ODBC y luego escribir esto en el programa:
conn.open "shujiyuan"
C. Utilice ACCESS para codificar y cifrar el archivo de base de datos. Primero, seleccione "Herramientas-gt; Seguridad-gt; Cifrar/Descifrar base de datos, seleccione la base de datos (como: empleado.mdb) y luego confirme la conexión. En este momento, aparecerá una ventana "Guardar como base de datos cifrada". guardar como: empleado1. Luego, empleado.mdb se codificará y guardará como empleado1.... mdb... Cabe señalar que la operación anterior no establece una contraseña para la base de datos, solo codifica el archivo de la base de datos. impedir que otros la utilicen. Herramienta para ver el contenido de los archivos de bases de datos.
El siguiente paso para cifrar la base de datos es abrir el archivo empleador1.mdb codificado y seleccionar la opción "Exclusivo" después de abrirlo. Luego seleccione el menú "Herramientas > Seguridad > Establecer contraseña de base de datos" e ingrese la contraseña. De esta manera, incluso si alguien más obtiene el archivo empleador1.mdb, no podrá ver empleador1.mdb sin la contraseña.
(2). Seguridad de SQL SERVER
SQL SERVER es el sistema de base de datos más utilizado en la plataforma NT, pero sus problemas de seguridad también deben tomarse en serio. La información más valiosa suele existir en la base de datos. Una vez que se roban los datos, las consecuencias serán desastrosas.
Actualizar parches oportunamente.
NOTA: Al igual que ocurre con NT, muchas vulnerabilidades en SQL SERVER se pueden solucionar mediante parches. Se recomienda realizar la prueba en una máquina de prueba antes de instalar el parche y realizar una copia de seguridad de los datos en el servidor de destino con antelación.
Dale a SA una contraseña compleja.
Nota: SA tiene permisos completos para operar en la base de datos SQL SERVER. Desafortunadamente, algunos administradores de red no están familiarizados con las bases de datos, y el trabajo de establecer la base de datos lo completan los programadores. Este personal a menudo solo se concentra en escribir declaraciones SQL y no está familiarizado con la administración de bases de datos SQL SERVER, lo que fácilmente causa SA. la contraseña está vacía. Esto amenaza seriamente la seguridad de la base de datos. En la actualidad, existen muchos sitios web con este tipo de peligro oculto.
Controle estrictamente los permisos de los usuarios de la base de datos. No es fácil otorgar a los usuarios acceso directo para consultar, cambiar, insertar y eliminar permisos en tablas. Puede otorgarles a los usuarios permisos para acceder a las vistas y solo tener el permiso. para ejecutar procedimientos almacenados.
NOTA: Los usuarios con acceso directo a las tablas corren el riesgo de dañar los datos. Desarrollar una estrategia completa de respaldo y recuperación de bases de datos.