對於配置IIS服務器我想大家也許有不是很明白的地方下面介紹ASP配置IIS服務器時需要注意的地方把好安全關是所有網站都必須要做好的功課如果服務器本身不安全給網站帶來的將是毀滅性的
一操作系統的安裝
我這裡說的操作系統以Windows 為例高版本的Windows也有類似功能
格式化硬盤時候必須格式化為NTFS的絕對不要使用FAT類型
C盤為操作系統盤D盤放常用軟件E盤網站格式化完成後立刻設置磁盤權限C盤默認D盤的安全設置為Administrator和System完全控制其他用戶刪除E盤放網站如果只有一個網站就設置Administrator和System完全控制Everyone讀取如果網站上某段代碼必須完成寫操作這時再單獨對那個文件所在的文件夾權限進行更改
系統安裝過程中一定本著最小服務原則無用的服務一概不選擇達到系統的最小安裝在安裝IIS的過程中只安裝最基本必要的功能那些不必要的危險服務千萬不要安裝例如FrontPage 服務器擴展Internet服務管理器(HTML)FTP服務文檔索引服務等等
二網絡安全配置
網絡安全最基本的是端口設置在本地連接屬性點Internet協議(TCP/IP)點高級再點選項TCP/IP篩選僅打開網站服務所需要使用的端口配置界面如下圖
進行如下設置後從你的服務器將不能使用域名解析因此上網但是外部的訪問是正常的這個設置主要為了防止一般規模的DDOS攻擊
三安全模板設置
運行MMC添加獨立管理單元安全配置與分析導入模板basicsvinf或者securedcinf然後點立刻配置計算機系統就會自動配置帳戶策略本地策略系統服務等信息一步到位不過這些配置可能會導致某些軟件無法運行或者運行出錯
四WEB服務器的設置
以IIS為例絕對不要使用IIS默認安裝的WEB目錄而需要在E盤新建立一個目錄然後在IIS管理器中右擊主機>屬性>WWW服務 編輯>主目錄配置>應用程序映射只保留asp和asa其余全部刪除
五ASP的安全
在IIS系統上大部分木馬都是ASP寫的因此ASP組件的安全是非常重要的
ASP木馬實際上大部分通過調用ShellApplicationWScriptShellWScriptNetworkFSOAdodbStream組件來實現其功能除了FSO之外其他的大多可以直接禁用
WScriptShell組件使用這個命令刪除regsvr WSHomocx /u
WScriptNetwork組件使用這個命令刪除regsvr wshomocx /u
ShellApplication可以使用禁止Guest用戶使用shelldll來防止調用此組件使用命令cacls C\WINNT\system\shelldll /e /d guests
禁止guests用戶執行cmdexe的命令是 cacls C\WINNT\system\Cmdexe /e /d guests
FSO組件的禁用比較麻煩如果網站本身不需要用這個組件那麼就通過RegSrv scrrundll /u命令來禁用吧如果網站本身也需要用到FSO那麼請參看這篇文章
另外使用微軟提供的URLScan Tool這個過濾非法URL訪問的工具也可以起到一定防范作用當然每天備份也是一個好習慣
From:http://tw.wingwit.com/Article/program/net/201311/11873.html
