对于配置IIS服务器我想大家也许有不是很明白的地方下面介绍ASP配置IIS服务器时需要注意的地方把好安全关是所有网站都必须要做好的功课如果服务器本身不安全给网站带来的将是毁灭性的
一操作系统的安装
我这里说的操作系统以Windows 为例高版本的Windows也有类似功能
格式化硬盘时候必须格式化为NTFS的绝对不要使用FAT类型
C盘为操作系统盘D盘放常用软件E盘网站格式化完成后立刻设置磁盘权限C盘默认D盘的安全设置为Administrator和System完全控制其他用户删除E盘放网站如果只有一个网站就设置Administrator和System完全控制Everyone读取如果网站上某段代码必须完成写操作这时再单独对那个文件所在的文件夹权限进行更改
系统安装过程中一定本着最小服务原则无用的服务一概不选择达到系统的最小安装在安装IIS的过程中只安装最基本必要的功能那些不必要的危险服务千万不要安装例如FrontPage 服务器扩展Internet服务管理器(HTML)FTP服务文档索引服务等等
二网络安全配置
网络安全最基本的是端口设置在本地连接属性点Internet协议(TCP/IP)点高级再点选项TCP/IP筛选仅打开网站服务所需要使用的端口配置界面如下图
进行如下设置后从你的服务器将不能使用域名解析因此上网但是外部的访问是正常的这个设置主要为了防止一般规模的DDOS攻击
三安全模板设置
运行MMC添加独立管理单元安全配置与分析导入模板basicsvinf或者securedcinf然后点立刻配置计算机系统就会自动配置帐户策略本地策略系统服务等信息一步到位不过这些配置可能会导致某些软件无法运行或者运行出错
四WEB服务器的设置
以IIS为例绝对不要使用IIS默认安装的WEB目录而需要在E盘新建立一个目录然后在IIS管理器中右击主机>属性>WWW服务 编辑>主目录配置>应用程序映射只保留asp和asa其余全部删除
五ASP的安全
在IIS系统上大部分木马都是ASP写的因此ASP组件的安全是非常重要的
ASP木马实际上大部分通过调用ShellApplicationWScriptShellWScriptNetworkFSOAdodbStream组件来实现其功能除了FSO之外其他的大多可以直接禁用
WScriptShell组件使用这个命令删除regsvr WSHomocx /u
WScriptNetwork组件使用这个命令删除regsvr wshomocx /u
ShellApplication可以使用禁止Guest用户使用shelldll来防止调用此组件使用命令cacls C\WINNT\system\shelldll /e /d guests
禁止guests用户执行cmdexe的命令是 cacls C\WINNT\system\Cmdexe /e /d guests
FSO组件的禁用比较麻烦如果网站本身不需要用这个组件那么就通过RegSrv scrrundll /u命令来禁用吧如果网站本身也需要用到FSO那么请参看这篇文章
另外使用微软提供的URLScan Tool这个过滤非法URL访问的工具也可以起到一定防范作用当然每天备份也是一个好习惯
