บทช่วยสอน ASP: ปัญหาที่ควรทราบเมื่อกำหนดค่าเซิร์ฟเวอร์ IIS
1. การติดตั้งระบบปฏิบัติการ
ระบบปฏิบัติการที่ฉันกำลังพูดถึงในที่นี้ใช้ Windows 2000 เป็นตัวอย่าง
เมื่อทำการฟอร์แมตฮาร์ดไดรฟ์ จะต้องฟอร์แมตเป็น NTFS และห้ามใช้ประเภท FAT32
ไดรฟ์ C คือดิสก์ระบบปฏิบัติการ ไดรฟ์ D ใช้สำหรับซอฟต์แวร์ที่ใช้ทั่วไป และไดรฟ์ E ใช้สำหรับเว็บไซต์ ตั้งค่าการอนุญาตดิสก์ทันทีหลังจากการฟอร์แมตเสร็จสิ้น ผู้ใช้สามารถลบออกได้ ไดรฟ์ E ใช้สำหรับเว็บไซต์ หากมีเพียงหนึ่งเว็บไซต์ ให้ตั้งค่าผู้ดูแลระบบและการควบคุมแบบเต็มระบบ ทุกคนจะอ่าน หากโค้ดบางส่วนบนเว็บไซต์ต้องดำเนินการเขียนให้เสร็จสิ้น จากนั้นให้เปลี่ยนสิทธิ์ของทีละรายการ โฟลเดอร์ที่มีไฟล์อยู่
ในระหว่างขั้นตอนการติดตั้งระบบ ต้องปฏิบัติตามหลักการของบริการขั้นต่ำ ไม่ได้เลือกบริการที่ไม่มีประโยชน์เพื่อให้เกิดการติดตั้งระบบขั้นต่ำ ในระหว่างการติดตั้ง IIS จะมีการติดตั้งเฉพาะบริการพื้นฐานและเป็นอันตรายเท่านั้น จะต้องไม่ถูกติดตั้ง ตัวอย่างเช่น: ส่วนขยายเซิร์ฟเวอร์ FrontPage 2000, Internet Service Manager (HTML), บริการ FTP, เอกสาร, บริการจัดทำดัชนี ฯลฯ
2. การกำหนดค่าความปลอดภัยของเครือข่าย
สิ่งพื้นฐานที่สุดเกี่ยวกับการรักษาความปลอดภัยเครือข่ายคือการตั้งค่าพอร์ต ในคุณสมบัติการเชื่อมต่อภายในเครื่อง ให้คลิก Internet Protocol (TCP/IP) คลิก ขั้นสูง แล้วคลิก ตัวเลือก-การกรอง TCP/IP เปิดเฉพาะพอร์ตที่จำเป็นสำหรับบริการเว็บไซต์เท่านั้น อินเทอร์เฟซการกำหนดค่าดังที่แสดงด้านล่าง
หลังจากทำการตั้งค่าต่อไปนี้แล้ว การแก้ไขชื่อโดเมนจะไม่สามารถใช้งานได้จากเซิร์ฟเวอร์ของคุณ ดังนั้นคุณจึงสามารถเข้าถึงอินเทอร์เน็ตได้ แต่การเข้าถึงจากภายนอกจะเป็นเรื่องปกติ การตั้งค่านี้มีไว้เพื่อป้องกันการโจมตี DDOS ในระดับทั่วไปเป็นหลัก
3. การตั้งค่าเทมเพลตความปลอดภัย
เรียกใช้ MMC เพิ่มการกำหนดค่าและการวิเคราะห์ความปลอดภัยของหน่วยการจัดการอิสระ นำเข้าเทมเพลต basicsv.inf หรือ Securedc.inf จากนั้นคลิกกำหนดค่าคอมพิวเตอร์ทันที ระบบจะกำหนดค่านโยบายบัญชี นโยบายท้องถิ่น บริการระบบ และข้อมูลอื่น ๆ โดยอัตโนมัติในขั้นตอนเดียว แต่การกำหนดค่าเหล่านี้อาจทำให้ซอฟต์แวร์บางตัวทำงานล้มเหลวหรือทำงานไม่ถูกต้อง
4. การตั้งค่าเว็บเซิร์ฟเวอร์
ยกตัวอย่าง IIS อย่าใช้ไดเร็กทอรีเว็บที่ติดตั้งโดย IIS ตามค่าเริ่มต้น คุณต้องสร้างไดเร็กทอรีใหม่บนไดรฟ์ E แทน จากนั้นคลิกขวาที่โฮสต์ใน IIS Manager->Properties->WWW Service Edit->Home Directory Configuration->Application Mapping เก็บเฉพาะ asp และ asa แล้วลบส่วนที่เหลือทั้งหมด
5. การรักษาความปลอดภัย ASP
บนระบบ IIS โทรจันส่วนใหญ่เขียนโดย ASP ดังนั้นความปลอดภัยของส่วนประกอบ ASP จึงมีความสำคัญมาก
ในความเป็นจริง โทรจัน ASP ส่วนใหญ่ตระหนักถึงฟังก์ชันของตนโดยการเรียกส่วนประกอบ Shell.Application, WScript.Shell, WScript.Network, FSO และ Adodb.Stream ยกเว้น FSO ส่วนอื่นๆ ส่วนใหญ่สามารถปิดใช้งานได้โดยตรง
ใช้คำสั่งนี้เพื่อลบคอมโพเนนต์ WScript.Shell: regsvr32 WSHom.ocx /u
ใช้คำสั่งนี้เพื่อลบคอมโพเนนต์ WScript.Network: regsvr32 wshom.ocx /u
Shell.Application สามารถป้องกันไม่ให้ผู้ใช้ทั่วไปใช้ shell32.dll เพื่อป้องกันการเรียกส่วนประกอบนี้ ใช้คำสั่ง: cacls C:/WINNT/system32/shell32.dll /e /d guest
คำสั่งเพื่อห้ามไม่ให้แขกดำเนินการ cmd.exe คือ: cacls C:/WINNT/system32/Cmd.exe /e /d guest
การปิดใช้งานส่วนประกอบ FSO เป็นเรื่องที่ยุ่งยาก หากเว็บไซต์ไม่จำเป็นต้องใช้ส่วนประกอบนี้ ให้ปิดใช้งานโดยใช้คำสั่ง RegSrv32 scrrun.dll /u หากตัวเว็บไซต์จำเป็นต้องใช้ FSO โปรดดูบทความนี้