ASP-Tutorial: Zu beachtende Probleme beim Konfigurieren des IIS-Servers
1. Installation des Betriebssystems
Das Betriebssystem, von dem ich hier spreche, nimmt als Beispiel Windows 2000. Auch höhere Versionen von Windows verfügen über ähnliche Funktionen.
Beim Formatieren der Festplatte muss diese als NTFS formatiert sein und darf niemals den Typ FAT32 verwenden.
Laufwerk C ist die Betriebssystemfestplatte, Laufwerk D ist für Websites vorgesehen. Die Sicherheitseinstellungen für Laufwerk D sind standardmäßig „Administrator“ und „Vollständige Systemsteuerung“. Benutzer können sie löschen. Wenn nur eine Website vorhanden ist, legen Sie die volle Kontrolle über den Administrator und das System fest. Wenn ein bestimmter Code auf der Website den Schreibvorgang abschließen muss, ändern Sie die Berechtigungen einzeln der Ordner, in dem sich die Datei befindet.
Während des Systeminstallationsprozesses muss das Prinzip der Mindestdienste befolgt werden, um die Mindestinstallation des Systems zu erreichen. Bei der Installation von IIS werden nur die grundlegendsten und notwendigsten Funktionen installiert Darf nicht installiert sein. Zum Beispiel: FrontPage 2000-Servererweiterung, Internet Service Manager (HTML), FTP-Dienst, Dokument, Indexdienst usw.
2. Netzwerksicherheitskonfiguration
Die grundlegendste Sache bei der Netzwerksicherheit sind die Porteinstellungen. Klicken Sie in den lokalen Verbindungseigenschaften auf Internetprotokoll (TCP/IP), klicken Sie auf Erweitert und dann auf Optionen-TCP/IP-Filterung. Öffnen Sie nur die für Website-Dienste erforderlichen Ports. Die Konfigurationsoberfläche ist wie unten dargestellt.
Nachdem Sie die folgenden Einstellungen vorgenommen haben, ist die Auflösung des Domänennamens von Ihrem Server aus nicht mehr verfügbar, sodass Sie auf das Internet zugreifen können, der externe Zugriff jedoch normal ist. Diese Einstellung dient hauptsächlich der Verhinderung allgemeiner DDOS-Angriffe.
3. Einstellungen der Sicherheitsvorlage
Führen Sie MMC aus, fügen Sie eine unabhängige Sicherheitskonfiguration und -analyse für die Verwaltungseinheit hinzu, importieren Sie die Vorlage „basicsv.inf“ oder „securec.inf“ und klicken Sie dann auf „Computer konfigurieren“. Jetzt konfiguriert das System automatisch Kontorichtlinien, lokale Richtlinien, Systemdienste und andere Informationen in einem Schritt. aber diese Konfigurationen Es kann dazu führen, dass einige Software nicht oder nicht ordnungsgemäß ausgeführt wird.
4. WEB-Server-Einstellungen
Nehmen Sie als Beispiel IIS: Verwenden Sie niemals das standardmäßig von IIS installierte WEB-Verzeichnis. Stattdessen müssen Sie ein neues Verzeichnis auf dem Laufwerk E erstellen. Klicken Sie dann mit der rechten Maustaste auf den Host im IIS-Manager->Eigenschaften->WWW-Dienstbearbeitung->Home-Verzeichniskonfiguration->Anwendungszuordnung, behalten Sie nur asp und asa bei und löschen Sie den Rest.
5. ASP-Sicherheit
Auf dem IIS-System werden die meisten Trojaner von ASP geschrieben. Daher ist die Sicherheit der ASP-Komponenten sehr wichtig.
Tatsächlich realisieren die meisten ASP-Trojaner ihre Funktionen durch den Aufruf von Shell.Application-, WScript.Shell-, WScript.Network-, FSO- und Adodb.Stream-Komponenten. Mit Ausnahme von FSO können die meisten anderen direkt deaktiviert werden.
Verwenden Sie diesen Befehl, um die WScript.Shell-Komponente zu löschen: regsvr32 WSHom.ocx /u
Verwenden Sie diesen Befehl, um die WScript.Network-Komponente zu löschen: regsvr32 wshom.ocx /u
Shell.Application kann Gastbenutzer daran hindern, shell32.dll zu verwenden, um den Aufruf dieser Komponente zu verhindern. Verwenden Sie den Befehl: cacls C:/WINNT/system32/shell32.dll /e /d Guests
Der Befehl, um Gästen die Ausführung von cmd.exe zu verbieten, lautet: cacls C:/WINNT/system32/Cmd.exe /e /d Guests
Das Deaktivieren der FSO-Komponente ist problematisch. Wenn die Website selbst diese Komponente nicht verwenden muss, deaktivieren Sie sie über den Befehl RegSrv32 scrrun.dll /u. Wenn die Website selbst auch FSO verwenden muss, lesen Sie bitte diesen Artikel.