Tutorial ASP: Problemas a serem observados ao configurar o servidor IIS
1. Instalação do sistema operacional
O sistema operacional de que estou falando aqui toma o Windows 2000 como exemplo. Versões superiores do Windows também possuem funções semelhantes.
Ao formatar o disco rígido, ele deve ser formatado como NTFS e nunca usar o tipo FAT32.
A unidade C é o disco do sistema operacional, a unidade D é para software comumente usado e a unidade E é para sites. Defina as permissões do disco imediatamente após a formatação. A unidade D é definida como configurações de segurança de controle total do sistema. pode excluí-los. A unidade E é para sites, se houver apenas um site, defina o controle total do administrador e do sistema e todos poderão lê-lo. Se um determinado trecho de código no site precisar concluir a operação de gravação, altere-o individualmente. permissões da pasta onde o arquivo está localizado.
Durante o processo de instalação do sistema, o princípio dos serviços mínimos deve ser seguido. Os serviços inúteis não são selecionados para atingir a instalação mínima do sistema. Durante a instalação do IIS, apenas as funções mais básicas e necessárias são instaladas. não deve ser instalado Por exemplo: extensão de servidor FrontPage 2000, Internet Service Manager (HTML), serviço FTP, documento, serviço de indexação, etc.
2. Configuração de segurança de rede
O mais básico sobre segurança de rede são as configurações de porta. Nas propriedades da conexão local, clique em Protocolo de Internet (TCP/IP), clique em Avançado e clique em Opções-Filtragem TCP/IP. Abra apenas as portas necessárias para os serviços do site. A interface de configuração é mostrada abaixo.
Após fazer as configurações a seguir, a resolução do nome de domínio não estará disponível no seu servidor, então você poderá acessar a Internet, mas o acesso externo será normal. Essa configuração serve principalmente para evitar ataques DDOS em escala geral.
3. Configurações do modelo de segurança
Execute o MMC, adicione configuração e análise de segurança da unidade de gerenciamento independente, importe o modelo basicsv.inf ou securec.inf e clique em Configurar computador agora, o sistema configurará automaticamente políticas de conta, políticas locais, serviços do sistema e outras informações em uma única etapa, mas essas configurações podem fazer com que algum software não funcione ou funcione incorretamente.
4. Configurações do servidor WEB
Tomando o IIS como exemplo, nunca use o diretório WEB instalado pelo IIS por padrão. Em vez disso, você precisa criar um novo diretório na unidade E. Em seguida, clique com o botão direito do mouse no host em Gerenciador IIS-> Propriedades-> Edição de serviço WWW-> Configuração do diretório inicial-> Mapeamento de aplicativos, mantenha apenas asp e asa e exclua todo o resto.
5. Segurança ASP
No sistema IIS, a maioria dos Trojans são escritos por ASP. Portanto, a segurança dos componentes ASP é muito importante.
Na verdade, a maioria dos Trojans ASP realizam suas funções chamando os componentes Shell.Application, WScript.Shell, WScript.Network, FSO e Adodb.Stream. Exceto o FSO, a maioria dos outros pode ser desabilitada diretamente.
Use este comando para excluir o componente WScript.Shell: regsvr32 WSHom.ocx /u
Use este comando para excluir o componente WScript.Network: regsvr32 wshom.ocx /u
Shell.Application pode impedir que usuários convidados usem shell32.dll para evitar a chamada desse componente. Use o comando: cacls C:/WINNT/system32/shell32.dll /e /d convidados
O comando para proibir convidados de executar cmd.exe é: cacls C:/WINNT/system32/Cmd.exe /e /d convidados
Desativar o componente FSO é problemático. Se o próprio site não precisar usar esse componente, desative-o por meio do comando RegSrv32 scrrun.dll /u. Se o próprio site também precisar usar o FSO, consulte este artigo.