Tutoriel ASP : problèmes à noter lors de la configuration du serveur IIS
1. Installation du système d'exploitation
Le système d'exploitation dont je parle ici prend comme exemple Windows 2000. Les versions supérieures de Windows ont également des fonctions similaires.
Lors du formatage du disque dur, il doit être formaté en NTFS et ne jamais utiliser le type FAT32.
Le lecteur C est le disque du système d'exploitation, le lecteur D est destiné aux logiciels couramment utilisés et le lecteur E est destiné aux sites Web. Définissez les autorisations du disque immédiatement après le formatage. Les paramètres de sécurité du lecteur D sont le contrôle total de l'administrateur et du système. les utilisateurs peuvent les supprimer. Le lecteur E est destiné aux sites Web, s'il n'y a qu'un seul site Web, définissez le contrôle total de l'administrateur et du système. Tout le monde lit, si un certain morceau de code sur le site Web doit terminer l'opération d'écriture, puis modifiez individuellement les autorisations de. le dossier où se trouve le fichier.
Lors du processus d'installation du système, le principe des services minimum doit être suivi. Les services inutiles ne sont pas sélectionnés pour réaliser l'installation minimale du système. Lors de l'installation d'IIS, seules les fonctions les plus élémentaires et nécessaires sont installées. ne doit pas être installé. Par exemple : extension serveur FrontPage 2000, Internet Service Manager (HTML), service FTP, document, service d'indexation, etc.
2. Configuration de la sécurité du réseau
L'élément le plus élémentaire concernant la sécurité réseau concerne les paramètres de port. Dans les propriétés de la connexion locale, cliquez sur Protocole Internet (TCP/IP), cliquez sur Avancé, puis cliquez sur Options-Filtrage TCP/IP. Ouvrez uniquement les ports requis pour les services du site Web. L'interface de configuration est la suivante.
Après avoir effectué les réglages suivants, la résolution du nom de domaine ne sera pas disponible depuis votre serveur, vous pourrez donc accéder à Internet, mais l'accès externe sera normal. Ce paramètre sert principalement à empêcher les attaques DDOS à grande échelle.
3. Paramètres du modèle de sécurité
Exécutez MMC, ajoutez une configuration et une analyse de sécurité de l'unité de gestion indépendante, importez le modèle basicsv.inf ou securec.inf, puis cliquez sur Configurer l'ordinateur maintenant, le système configurera automatiquement les politiques de compte, les politiques locales, les services système et d'autres informations en une seule étape. mais ces configurations Cela peut entraîner l'échec ou l'exécution incorrecte de certains logiciels.
4. Paramètres du serveur WEB
En prenant IIS comme exemple, n'utilisez jamais le répertoire WEB installé par IIS par défaut, vous devez plutôt créer un nouveau répertoire sur le lecteur E. Ensuite, cliquez avec le bouton droit sur l'hôte dans IIS Manager-> Propriétés-> WWW Service Edit-> Home Directory Configuration-> Application Mapping, conservez uniquement asp et asa et supprimez tout le reste.
5. Sécurité ASP
Sur le système IIS, la plupart des chevaux de Troie sont écrits par ASP. La sécurité des composants ASP est donc très importante.
En fait, la plupart des chevaux de Troie ASP réalisent leurs fonctions en appelant les composants Shell.Application, WScript.Shell, WScript.Network, FSO et Adodb.Stream. À l'exception de FSO, la plupart des autres peuvent être directement désactivés.
Utilisez cette commande pour supprimer le composant WScript.Shell : regsvr32 WSHom.ocx /u
Utilisez cette commande pour supprimer le composant WScript.Network : regsvr32 wshom.ocx /u
Shell.Application peut empêcher les utilisateurs invités d'utiliser shell32.dll pour empêcher l'appel de ce composant. Utilisez la commande : cacls C:/WINNT/system32/shell32.dll /e /d invités
La commande pour interdire aux invités d'exécuter cmd.exe est : cacls C:/WINNT/system32/Cmd.exe /e /d invités
La désactivation du composant FSO est gênante. Si le site Web lui-même n'a pas besoin d'utiliser ce composant, désactivez-le via la commande RegSrv32 scrrun.dll /u. Si le site Web lui-même doit également utiliser FSO, veuillez consulter cet article.