ASP チュートリアル: IIS サーバーを構成する際に注意すべき問題
1. オペレーティングシステムのインストール
ここで説明するオペレーティング システムは Windows 2000 を例にしています。Windows の上位バージョンにも同様の機能があります。
ハードドライブをフォーマットするときは、NTFS としてフォーマットする必要があり、FAT32 タイプは決して使用しないでください。
C ドライブはオペレーティング システム ディスク、D ドライブは一般的に使用されるソフトウェア用、E ドライブはフォーマット直後にディスクのアクセス許可を設定します。D ドライブはデフォルトで管理者およびシステムのフル コントロール セキュリティ設定に設定されます。 E ドライブは Web サイト用です。Web サイトが 1 つしかない場合は、管理者とシステムのフル コントロールを設定し、Web サイト上の特定のコードが書き込み操作を完了する必要がある場合は、個別に変更します。ファイルが置かれているフォルダーのアクセス許可。
システムのインストール プロセスでは、最小限のサービスの原則に従う必要があり、IIS のインストール中に、不要なサービスは選択されず、最も基本的で必要な機能のみがインストールされます。例: FrontPage 2000 サーバー エクステンション、インターネット サービス マネージャー (HTML)、FTP サービス、ドキュメント、インデックス サービスなど。
2. ネットワークセキュリティの設定
ネットワーク セキュリティに関する最も基本的なことは、ローカル接続のプロパティで、[インターネット プロトコル (TCP/IP)]、[詳細設定]、[オプション]-[TCP/IP フィルタリング]の順にクリックします。 Web サイトのサービスに必要なポートのみを開きます。設定インターフェイスは次のとおりです。
以下の設定を行うと、サーバーからのドメイン名解決が利用できなくなり、インターネットへのアクセスは可能になりますが、外部からのアクセスは通常通りになります。この設定は主に、一般規模の DDOS 攻撃を防ぐことを目的としています。
3. セキュリティテンプレートの設定
MMC を実行し、独立した管理ユニットのセキュリティ構成と分析を追加し、テンプレート Basicsv.inf または securec.inf をインポートして、[コンピューターの構成] をクリックします。これにより、システムは 1 ステップでアカウント ポリシー、ローカル ポリシー、システム サービス、およびその他の情報を自動的に構成します。ただし、これらの構成により、一部のソフトウェアが実行に失敗したり、正しく実行されなくなる可能性があります。
4.WEBサーバーの設定
IIS を例に挙げると、デフォルトで IIS によってインストールされる WEB ディレクトリは使用しないでください。代わりに、E ドライブに新しいディレクトリを作成する必要があります。次に、IIS マネージャーでホストを右クリックし、[プロパティ] -> [WWW サービス編集] -> [ホーム ディレクトリ構成] -> [アプリケーション マッピング] を選択し、asp と asa のみを保持し、残りをすべて削除します。
5. ASPセキュリティ
IIS システムでは、ほとんどのトロイの木馬は ASP によって作成されるため、ASP コンポーネントのセキュリティは非常に重要です。
実際、ほとんどの ASP トロイの木馬は、Shell.Application、WScript.Shell、WScript.Network、FSO、および Adodb.Stream コンポーネントを呼び出すことによってその機能を実現します。FSO を除き、他のほとんどのコンポーネントは直接無効にすることができます。
次のコマンドを使用して、WScript.Shell コンポーネントを削除します: regsvr32 WSHom.ocx /u
次のコマンドを使用して、WScript.Network コンポーネントを削除します: regsvr32 wshom.ocx /u
Shell.Application では、ゲスト ユーザーが shell32.dll を使用してこのコンポーネントを呼び出すことができないようにすることができます。コマンドを使用します: cacls C:/WINNT/system32/shell32.dll /e /d guest
ゲストによる cmd.exe の実行を禁止するコマンドは次のとおりです: cacls C:/WINNT/system32/Cmd.exe /e /d guest
FSO コンポーネントを無効にするのは面倒です。Web サイト自体でこのコンポーネントを使用する必要がない場合は、RegSrv32 scrrun.dll /u コマンドを使用して無効にします。 Web サイト自体も FSO を使用する必要がある場合は、この記事を参照してください。