Учебное пособие по ASP: проблемы, на которые следует обратить внимание при настройке сервера IIS
1. Установка операционной системы
В качестве примера операционной системы, о которой я говорю, взята Windows 2000. Более поздние версии Windows также имеют аналогичные функции.
При форматировании жесткого диска его необходимо форматировать в NTFS и никогда не использовать тип FAT32.
Диск C — это диск операционной системы, диск D — для часто используемого программного обеспечения, а диск E — для веб-сайтов. Установите права доступа к диску сразу после форматирования. Для диска D установлены настройки безопасности «Администратор», а для других пользователей — «Полный доступ к системе». можно удалить их. Диск E предназначен для веб-сайтов. Если веб-сайт только один, установите полный контроль администратора и системы, и каждый может его прочитать. Если определенный фрагмент кода на веб-сайте должен завершить операцию записи, измените его индивидуально. права доступа к папке, в которой находится файл.
В процессе установки системы необходимо соблюдать принцип минимума служб. Для достижения минимальной установки системы не выбираются бесполезные службы. Во время установки IIS устанавливаются только самые основные и необходимые функции. не должны быть установлены, например: расширение сервера FrontPage 2000, диспетчер служб Интернета (HTML), служба FTP, документ, служба индексирования и т. д.
2. Настройка сетевой безопасности
Самое главное в сетевой безопасности — настройки порта. В свойствах локального подключения нажмите «Протокол Интернета (TCP/IP), нажмите «Дополнительно», а затем выберите «Параметры» — «Фильтрация TCP/IP». Открывайте только порты, необходимые для служб веб-сайта. Интерфейс конфигурации показан ниже.
После выполнения следующих настроек разрешение доменных имен не будет доступно с вашего сервера, поэтому вы сможете получить доступ к Интернету, но внешний доступ будет обычным. Этот параметр предназначен главным образом для предотвращения DDOS-атак общего масштаба.
3. Настройки шаблона безопасности
Запустите MMC, добавьте конфигурацию и анализ безопасности независимого блока управления, импортируйте шаблон Basicsv.inf или Securec.inf, а затем нажмите «Настроить компьютер». Теперь система автоматически настроит политики учетных записей, локальные политики, системные службы и другую информацию за один шаг. но эти конфигурации могут привести к сбою или неправильной работе некоторого программного обеспечения.
4. Настройки WEB-сервера
Если взять в качестве примера IIS, никогда не используйте каталог WEB, установленный IIS по умолчанию. Вместо этого вам необходимо создать новый каталог на диске E. Затем щелкните правой кнопкой мыши хост в Диспетчере IIS->Свойства->Редактирование службы WWW->Конфигурация домашнего каталога->Сопоставление приложений, оставьте только asp и asa и удалите все остальное.
5. Безопасность ASP
В системе IIS большинство троянов написано ASP. Поэтому безопасность компонентов ASP очень важна.
Фактически, большинство троянов ASP реализуют свои функции путем вызова компонентов Shell.Application, WScript.Shell, WScript.Network, FSO и Adodb.Stream. За исключением FSO, большинство других можно отключить напрямую.
Используйте эту команду, чтобы удалить компонент WScript.Shell: regsvr32 WSHom.ocx /u
Используйте эту команду, чтобы удалить компонент WScript.Network: regsvr32 wshom.ocx /u
Shell.Application может запретить гостевым пользователям использовать shell32.dll, чтобы предотвратить вызов этого компонента. Используйте команду: cacls C:/WINNT/system32/shell32.dll /e /d Guest
Команда, запрещающая гостям выполнение cmd.exe: cacls C:/WINNT/system32/Cmd.exe /e /d Guest
Отключить компонент FSO проблематично. Если самому сайту не нужно использовать этот компонент, то отключите его с помощью команды RegSrv32 scrrun.dll /u. Если самому веб-сайту также необходимо использовать FSO, обратитесь к этой статье.