阿江的WINDOWS服務(wù)器安全設(shè)置_動易Cms教程
教程Tag:暫無Tag,歡迎添加,賺取U幣!
前言
其實(shí),在服務(wù)器的安全設(shè)置方面,我雖然有一些經(jīng)驗(yàn),但是還談不上有研究,所以我寫這篇文章的時候心里很不踏實(shí),總害怕說錯了會誤了別人的事。
本文更側(cè)重于防止ASP漏洞攻擊,所以服務(wù)器防黑等方面的講解可能略嫌少了點(diǎn)。
基本的服務(wù)器安全設(shè)置
安裝補(bǔ)丁
安裝好操作系統(tǒng)之后,最好能在托管之前就完成補(bǔ)丁的安裝,配置好網(wǎng)絡(luò)后,假如是2000則確定安裝上了SP4,假如是2003,則最好安裝上SP1,然后點(diǎn)擊開始→Windows Update,安裝所有的要害更新。
安裝殺毒軟件
雖然殺毒軟件有時候不能解決問題,但是殺毒軟件避免了很多問題。我一直在用諾頓2004,據(jù)說2005可以殺木馬,不過我沒試過。還有人用瑞星,瑞星是確定可以殺木馬的。更多的人說卡巴司機(jī)好,不過我沒用過。
不要指望殺毒軟件殺掉所有的木馬,因?yàn)锳SP木馬的特征是可以通過一定手段來避開殺毒軟件的查殺。
設(shè)置端口保護(hù)和防火墻、刪除默認(rèn)共享
都是服務(wù)器防黑的措施,即使你的服務(wù)器上沒有IIS,這些安全措施都最好做上。這是阿江的盲區(qū),大概知道屏蔽端口用本地安全策略,不過這方面的東西網(wǎng)上攻略很多,大家可以擻出來看看,晚些時候我或者會復(fù)制一些到我的網(wǎng)站上。
權(quán)限設(shè)置
阿江感覺這是防止ASP漏洞攻擊的要害所在,優(yōu)秀的權(quán)限設(shè)置可以將危害減少在一個IIS站點(diǎn)甚至一個虛擬目錄里。我這里講一下原理和設(shè)置思路,聰明的朋友應(yīng)該看完這個就能解決問題了。
權(quán)限設(shè)置的原理
WINDOWS用戶,在WINNT系統(tǒng)中大多數(shù)時候把權(quán)限按用戶(組)來劃分。在【開始→程序→治理工具→計算機(jī)治理→本地用戶和組】治理系統(tǒng)用戶和用戶組。
NTFS權(quán)限設(shè)置,請記住分區(qū)的時候把所有的硬盤都分為NTFS分區(qū),然后我們可以確定每個分區(qū)對每個用戶開放的權(quán)限。【文件(夾)上右鍵→屬性→安全】在這里治理NTFS文件(夾)權(quán)限。
IIS匿名用戶,每個IIS站點(diǎn)或者虛擬目錄,都可以設(shè)置一個匿名訪問用戶(現(xiàn)在暫且把它叫“IIS匿名用戶”),當(dāng)用戶訪問你的網(wǎng)站的.ASP文件的時候,這個.ASP文件所具有的權(quán)限,就是這個“IIS匿名用戶”所具有的權(quán)限。
權(quán)限設(shè)置的思路
要為每個獨(dú)立的要保護(hù)的個體(比如一個網(wǎng)站或者一個虛擬目錄)創(chuàng)建一個系統(tǒng)用戶,讓這個站點(diǎn)在系統(tǒng)中具有惟一的可以設(shè)置權(quán)限的身份。
在IIS的【站點(diǎn)屬性或者虛擬目錄屬性→目錄安全性→匿名訪問和驗(yàn)證控制→編輯→匿名訪問→編輯】填寫剛剛創(chuàng)建的那個用戶名。
設(shè)置所有的分區(qū)禁止這個用戶訪問,而剛才這個站點(diǎn)的主目錄對應(yīng)的那個文件夾設(shè)置答應(yīng)這個用戶訪問(要去掉繼續(xù)父權(quán)限,并且要加上超管組和SYSTEM組)。
這樣設(shè)置了之后,這個站點(diǎn)里的ASP程序就只有當(dāng)前這個文件夾的權(quán)限了,從探針上看,所有的硬盤都是紅叉叉。
我的設(shè)置方法
我是先創(chuàng)建一個用戶組,以后所有的站點(diǎn)的用戶都建在這個組里,然后設(shè)置這個組在各個分區(qū)沒有權(quán)限或者完全拒絕。然后再設(shè)置各個IIS用戶在各在的文件夾里的權(quán)限。
因?yàn)楸容^多,所以我很不想寫,其實(shí)知道了上面的原理,大多數(shù)人都應(yīng)該懂了,除非不知道怎么添加系統(tǒng)用戶和組,不知道怎么設(shè)置文件夾權(quán)限,不知道IIS站點(diǎn)屬性在那里。真的有那樣的人,你也不要著急,要沉住氣慢慢來,具體的方法其實(shí)自己也能摸索出來的,我就是這樣。當(dāng)然,假如我有空,我會寫我的具體設(shè)置方法,很傲能還會配上圖片。
改名或卸載不安全組件
不安全組件不驚人
我的在阿江探針1.9里加入了不安全組件檢測功能(其實(shí)這是參考7i24的代碼寫的,只是把界面改的友好了一點(diǎn),檢測方法和他是基本一樣的),這個功能讓很多站長吃驚不小,因?yàn)樗l(fā)現(xiàn)他的服務(wù)器支持很多不安全組件。
其實(shí),只要做好了上面的權(quán)限設(shè)置,那么FSO、XML、strem都不再是不安全組件了,因?yàn)樗麄兌紱]有跨出自己的文件夾或者站點(diǎn)的權(quán)限。那個歡樂時光更不用怕,有殺毒軟件在還怕什么時光啊。
其實(shí),在服務(wù)器的安全設(shè)置方面,我雖然有一些經(jīng)驗(yàn),但是還談不上有研究,所以我寫這篇文章的時候心里很不踏實(shí),總害怕說錯了會誤了別人的事。
本文更側(cè)重于防止ASP漏洞攻擊,所以服務(wù)器防黑等方面的講解可能略嫌少了點(diǎn)。
基本的服務(wù)器安全設(shè)置
安裝補(bǔ)丁
安裝好操作系統(tǒng)之后,最好能在托管之前就完成補(bǔ)丁的安裝,配置好網(wǎng)絡(luò)后,假如是2000則確定安裝上了SP4,假如是2003,則最好安裝上SP1,然后點(diǎn)擊開始→Windows Update,安裝所有的要害更新。
安裝殺毒軟件
雖然殺毒軟件有時候不能解決問題,但是殺毒軟件避免了很多問題。我一直在用諾頓2004,據(jù)說2005可以殺木馬,不過我沒試過。還有人用瑞星,瑞星是確定可以殺木馬的。更多的人說卡巴司機(jī)好,不過我沒用過。
不要指望殺毒軟件殺掉所有的木馬,因?yàn)锳SP木馬的特征是可以通過一定手段來避開殺毒軟件的查殺。
設(shè)置端口保護(hù)和防火墻、刪除默認(rèn)共享
都是服務(wù)器防黑的措施,即使你的服務(wù)器上沒有IIS,這些安全措施都最好做上。這是阿江的盲區(qū),大概知道屏蔽端口用本地安全策略,不過這方面的東西網(wǎng)上攻略很多,大家可以擻出來看看,晚些時候我或者會復(fù)制一些到我的網(wǎng)站上。
權(quán)限設(shè)置
阿江感覺這是防止ASP漏洞攻擊的要害所在,優(yōu)秀的權(quán)限設(shè)置可以將危害減少在一個IIS站點(diǎn)甚至一個虛擬目錄里。我這里講一下原理和設(shè)置思路,聰明的朋友應(yīng)該看完這個就能解決問題了。
權(quán)限設(shè)置的原理
WINDOWS用戶,在WINNT系統(tǒng)中大多數(shù)時候把權(quán)限按用戶(組)來劃分。在【開始→程序→治理工具→計算機(jī)治理→本地用戶和組】治理系統(tǒng)用戶和用戶組。
NTFS權(quán)限設(shè)置,請記住分區(qū)的時候把所有的硬盤都分為NTFS分區(qū),然后我們可以確定每個分區(qū)對每個用戶開放的權(quán)限。【文件(夾)上右鍵→屬性→安全】在這里治理NTFS文件(夾)權(quán)限。
IIS匿名用戶,每個IIS站點(diǎn)或者虛擬目錄,都可以設(shè)置一個匿名訪問用戶(現(xiàn)在暫且把它叫“IIS匿名用戶”),當(dāng)用戶訪問你的網(wǎng)站的.ASP文件的時候,這個.ASP文件所具有的權(quán)限,就是這個“IIS匿名用戶”所具有的權(quán)限。
權(quán)限設(shè)置的思路
要為每個獨(dú)立的要保護(hù)的個體(比如一個網(wǎng)站或者一個虛擬目錄)創(chuàng)建一個系統(tǒng)用戶,讓這個站點(diǎn)在系統(tǒng)中具有惟一的可以設(shè)置權(quán)限的身份。
在IIS的【站點(diǎn)屬性或者虛擬目錄屬性→目錄安全性→匿名訪問和驗(yàn)證控制→編輯→匿名訪問→編輯】填寫剛剛創(chuàng)建的那個用戶名。
設(shè)置所有的分區(qū)禁止這個用戶訪問,而剛才這個站點(diǎn)的主目錄對應(yīng)的那個文件夾設(shè)置答應(yīng)這個用戶訪問(要去掉繼續(xù)父權(quán)限,并且要加上超管組和SYSTEM組)。
這樣設(shè)置了之后,這個站點(diǎn)里的ASP程序就只有當(dāng)前這個文件夾的權(quán)限了,從探針上看,所有的硬盤都是紅叉叉。
我的設(shè)置方法
我是先創(chuàng)建一個用戶組,以后所有的站點(diǎn)的用戶都建在這個組里,然后設(shè)置這個組在各個分區(qū)沒有權(quán)限或者完全拒絕。然后再設(shè)置各個IIS用戶在各在的文件夾里的權(quán)限。
因?yàn)楸容^多,所以我很不想寫,其實(shí)知道了上面的原理,大多數(shù)人都應(yīng)該懂了,除非不知道怎么添加系統(tǒng)用戶和組,不知道怎么設(shè)置文件夾權(quán)限,不知道IIS站點(diǎn)屬性在那里。真的有那樣的人,你也不要著急,要沉住氣慢慢來,具體的方法其實(shí)自己也能摸索出來的,我就是這樣。當(dāng)然,假如我有空,我會寫我的具體設(shè)置方法,很傲能還會配上圖片。
改名或卸載不安全組件
不安全組件不驚人
我的在阿江探針1.9里加入了不安全組件檢測功能(其實(shí)這是參考7i24的代碼寫的,只是把界面改的友好了一點(diǎn),檢測方法和他是基本一樣的),這個功能讓很多站長吃驚不小,因?yàn)樗l(fā)現(xiàn)他的服務(wù)器支持很多不安全組件。
其實(shí),只要做好了上面的權(quán)限設(shè)置,那么FSO、XML、strem都不再是不安全組件了,因?yàn)樗麄兌紱]有跨出自己的文件夾或者站點(diǎn)的權(quán)限。那個歡樂時光更不用怕,有殺毒軟件在還怕什么時光啊。
相關(guān)動易Cms教程:
- MAC錯誤的解決方法
- 如何屏蔽動易后臺導(dǎo)航里的某個功能菜單?
- 動易.NET版本留言自動選定欄目方法
- 動易SiteFactoty整合Discuz!NT3.0
- 在任意位置獲取根節(jié)點(diǎn)ID標(biāo)簽
- 如何開啟SiteWeaver6.8的支持,反對功能
- Windows 2008安裝動易.NET系統(tǒng)之四----動易系統(tǒng)安裝篇
- Windows 2008安裝動易.NET系統(tǒng)之三----數(shù)據(jù)庫篇
- Windows 2008安裝動易.NET系統(tǒng)之二----IIS、目錄環(huán)境配置篇
- 數(shù)據(jù)庫修復(fù),SQL Server 2005內(nèi)部操作不一致的處理
- 如何安裝動易.net程序權(quán)限配置
- 為什么提示對Windows系統(tǒng)文件夾下的Temp目錄沒有訪問權(quán)限?
- 相關(guān)鏈接:
- 教程說明:
動易Cms教程-阿江的WINDOWS服務(wù)器安全設(shè)置
。