ASP教程之配置IIS伺服器要注意的問題
一、作業系統的安裝
我這裡說的作業系統以Windows 2000為例,高版本的Windows也有類似功能。
格式化硬碟時候,必須格式化為NTFS的,絕對不要使用FAT32型別。
C盤為作業系統盤,D盤放常用軟體,E盤網站,格式化完成後立刻設定磁碟權限,C盤默認,D盤的安全設定為Administrator和System完全控制,其他用戶刪除,E盤放網站,如果只有一個網站,就設定Administrator和System完全控制,Everyone讀取,如果網站上某段程式碼必須完成寫入操作,這時再單獨對那個檔案所在的資料夾權限進行變更。
系統安裝過程中一定本著最小服務原則,無用的服務一概不選擇,達到系統的最小安裝,在安裝IIS的過程中,只安裝最基本必要的功能,那些不必要的危險服務千萬不要安裝,例如:FrontPage 2000伺服器擴展,網路服務管理員(HTML),FTP服務,文檔,索引服務等等。
二、網路安全配置
網路安全最基本的是連接埠設置,在本地連接屬性,點Internet協定(TCP/IP),點高級,再點選項-TCP/IP篩選。僅開啟網站服務所需使用的端口,配置介面如下圖。
進行如下設定後,從你的伺服器將不能使用網域名稱解析,因此上網,但是外部的存取是正常的。這個設定主要為了防止一般規模的DDOS攻擊。
三、安全模板設定
運行MMC,新增獨立管理單元安全配置與分析,導入模板basicsv.inf或securedc.inf,然後點立刻配置計算機,系統就會自動配置帳戶策略、本地策略、系統服務等信息,一步到位,不過這些配置可能會導致某些軟體無法運作或運作出錯。
四、WEB伺服器的設置
以IIS為例,絕對不要使用IIS預設安裝的WEB目錄,而需要在E磁碟新建立一個目錄。然後在IIS管理器中右鍵點選主機->屬性->WWW服務編輯->主目錄配置->應用程式映射,只保留asp和asa,其餘全部刪除。
五、ASP的安全
在IIS系統上,大部分木馬都是ASP寫的,因此,ASP組件的安全是非常重要的。
ASP木馬實際上大部分透過呼叫Shell.Application、WScript.Shell、WScript.Network、FSO、Adodb.Stream元件來實現其功能,除了FSO之外,其他的大多可以直接停用。
WScript.Shell元件使用這個指令刪除:regsvr32 WSHom.ocx /u
WScript.Network元件使用這個指令刪除:regsvr32 wshom.ocx /u
Shell.Application可以使用禁止Guest使用者使用shell32.dll來防止呼叫此元件。使用指令:cacls C:/WINNT/system32/shell32.dll /e /d guests
禁止guests使用者執行cmd.exe的指令是: cacls C:/WINNT/system32/Cmd.exe /e /d guests
FSO元件的停用比較麻煩,如果網站本身不需要用這個元件,那麼就透過RegSrv32 scrrun.dll /u指令來停用吧。如果網站本身也需要用到FSO,那麼請參考這篇文章。