Tutorial de ASP: cuestiones a tener en cuenta al configurar el servidor IIS
1. Instalación del sistema operativo
El sistema operativo del que hablo aquí toma como ejemplo Windows 2000. Las versiones superiores de Windows también tienen funciones similares.
Al formatear el disco duro se debe formatear como NTFS y nunca utilizar el tipo FAT32.
La unidad C es el disco del sistema operativo, la unidad D es para el software de uso común y la unidad E es para los sitios web. Configure los permisos del disco inmediatamente después del formateo. La unidad D está configurada como configuración de seguridad de control total del Administrador y del sistema. Puede eliminarlos. La unidad E es para sitios web, si solo hay un sitio web, configure el control total del Administrador y del sistema, y todos pueden leerlo. Si un determinado fragmento de código en el sitio web debe completar la operación de escritura, cambie individualmente. permisos de la carpeta donde se encuentra el archivo.
Durante el proceso de instalación del sistema, se debe seguir el principio de servicios mínimos. No se seleccionan servicios inútiles para lograr la instalación mínima del sistema. Durante la instalación de IIS, solo se instalan aquellos servicios innecesarios y peligrosos. no debe estar instalado Por ejemplo: extensión de servidor FrontPage 2000, Administrador de servicios de Internet (HTML), servicio FTP, documentos, servicio de indexación, etc.
2. Configuración de seguridad de la red
Lo más básico sobre la seguridad de la red es la configuración del puerto. En las propiedades de la conexión local, haga clic en Protocolo de Internet (TCP/IP), haga clic en Avanzado y luego haga clic en Opciones-Filtrado TCP/IP. Abra solo los puertos necesarios para los servicios del sitio web. La interfaz de configuración se muestra a continuación.
Después de realizar las siguientes configuraciones, la resolución del nombre de dominio no estará disponible desde su servidor, por lo que podrá acceder a Internet, pero el acceso externo será normal. Esta configuración es principalmente para prevenir ataques DDOS a escala general.
3. Configuración de la plantilla de seguridad
Ejecute MMC, agregue la configuración y el análisis de seguridad de la unidad de administración independiente, importe la plantilla basicsv.inf o aseguradoc.inf y luego haga clic en Configurar computadora ahora, el sistema configurará automáticamente las políticas de cuenta, las políticas locales, los servicios del sistema y otra información en un solo paso. pero estas configuraciones pueden provocar que algún software no se ejecute o se ejecute incorrectamente.
4. Configuración del servidor WEB
Tomando IIS como ejemplo, nunca utilice el directorio WEB instalado por IIS de forma predeterminada. En su lugar, debe crear un nuevo directorio en la unidad E. Luego haga clic derecho en el host en Administrador de IIS->Propiedades->Edición de servicio WWW->Configuración del directorio principal->Asignación de aplicaciones, conserve solo asp y asa, y elimine todo el resto.
5. Seguridad ASP
En el sistema IIS, la mayoría de los troyanos están escritos en ASP. Por lo tanto, la seguridad de los componentes ASP es muy importante.
De hecho, la mayoría de los troyanos ASP realizan sus funciones llamando a los componentes Shell.Application, WScript.Shell, WScript.Network, FSO y Adodb.Stream. Excepto FSO, la mayoría de los demás se pueden desactivar directamente.
Utilice este comando para eliminar el componente WScript.Shell: regsvr32 WSHom.ocx /u
Utilice este comando para eliminar el componente WScript.Network: regsvr32 wshom.ocx /u
Shell.Application puede evitar que los usuarios invitados utilicen shell32.dll para evitar llamar a este componente. Utilice el comando: cacls C:/WINNT/system32/shell32.dll /e /d invitados
El comando para prohibir a los invitados ejecutar cmd.exe es: cacls C:/WINNT/system32/Cmd.exe /e /d guest
Deshabilitar el componente FSO es problemático. Si el sitio web en sí no necesita utilizar este componente, desactívelo mediante el comando RegSrv32 scrrun.dll /u. Si el sitio web también necesita utilizar FSO, consulte este artículo.