阿江的WINDOWS服务器安全设置
作者:阿江 来源:www.ajiang.net 发布时间:2007-08-06 14:18:00
前言
其实,在服务器的安全设置方面,我虽然有一些经验,但是还谈不上有研究,所以我写这篇文章的时候心里很不踏实,总害怕说错了会误了别人的事。
本文更侧重于防止ASP漏洞攻击,所以服务器防黑等方面的讲解可能略嫌少了点。
基本的服务器安全设置
安装补丁
安装好操作系统之后,最好能在托管之前就完成补丁的安装,配置好网络后,如果是2000则确定安装上了SP4,如果是2003,则最好安装上SP1,然后点击开始→Windows Update,安装所有的关键更新。
安装杀毒软件
虽然杀毒软件有时候不能解决问题,但是杀毒软件避免了很多问题。我一直在用诺顿2004,据说2005可以杀木马,不过我没试过。还有人用瑞星,瑞星是确定可以杀木马的。更多的人说卡巴司机好,不过我没用过。
不要指望杀毒软件杀掉所有的木马,因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。
设置端口保护和防火墙、删除默认共享
都是服务器防黑的措施,即使你的服务器上没有IIS,这些安全措施都最好做上。这是阿江的盲区,大概知道屏蔽端口用本地安全策略,不过这方面的东西网上攻略很多,大家可以擞出来看看,晚些时候我或者会复制一些到我的网站上。
权限设置
阿江感觉这是防止ASP漏洞攻击的关键所在,优秀的权限设置可以将危害减少在一个IIS站点甚至一个虚拟目录里。我这里讲一下原理和设置思路,聪明的朋友应该看完这个就能解决问题了。
权限设置的原理
WINDOWS用户,在WINNT系统中大多数时候把权限按用户(組)来划分。在【开始→程序→管理工具→计算机管理→本地用户和组】管理系统用户和用户组。
NTFS权限设置,请记住分区的时候把所有的硬盘都分为NTFS分区,然后我们可以确定每个分区对每个用户开放的权限。【文件(夹)上右键→属性→安全】在这里管理NTFS文件(夹)权限。
IIS匿名用户,每个IIS站点或者虚拟目录,都可以设置一个匿名访问用户(现在暂且把它叫“IIS匿名用户”),当用户访问你的网站的.ASP文件的时候,这个.ASP文件所具有的权限,就是这个“IIS匿名用户”所具有的权限。
权限设置的思路
要为每个独立的要保护的个体(比如一个网站或者一个虚拟目录)创建一个系统用户,让这个站点在系统中具有惟一的可以设置权限的身份。
在IIS的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑】填写刚刚创建的那个用户名。
设置所有的分区禁止这个用户访问,而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问(要去掉继承父权限,并且要加上超管组和SYSTEM组)。
这样设置了之后,这个站点里的ASP程序就只有当前这个文件夹的权限了,从探针上看,所有的硬盘都是红叉叉。
猜你喜欢
- 一、锚链接的使用链接是互联网网页之间连接的纽带,没有链接所有网页和网站之间都会是孤立的。什么是锚链接?在SEO这个领域里锚链接可
- 不知不觉写程序已经做了2年,有成功的喜悦,也有失败的痛苦,但总不敢称自己是高手,因为和我心目中真正的高手们比起来,还差的太远。世界上并没有成
- 本文代码摘自Low End Box,LEB的站长因为成功搭建了80M的WEB环境而被业内传为佳话,这一次他懒惰,不想长篇大论,就
- 网站权重,是搜索引擎给网站(包括网页)赋予一定的权威值,对网站(含网页)权威的评估评价,一个网站权重越高,在搜索引擎所占的份量越大,在搜索引
- 使用下面的步骤来设置ftp进行日志记录:1.# cp /etc/inetd.conf /etc/inetd.conf.bak2.# vi /
- $CTDF_USERINFO["sid"] = $sid; $CTDF_USERINFO[&quo
- 今天在检查博客附件的时候发现有以前上传的一个注册表导入脚本reg文件丢了,重新上传的时候居然报错了。仔细看了才发现是之前安装的Waterma
- 1、选择主题。主题选好也就成功了一半,所以这个步骤必须慎重考虑。主要有以下几方面因素:热门指数、该类主题的网站数量及其发展情况、该主题可能的
- 成功是一种习惯,失败也是一种习惯。你的习惯无法改变,但可以用好的习惯来替代。成功很简单,只要简单的事情重复做,养成习惯,如此而已。 以下是成
- 打开注册表编辑器,找到 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control,将 Wait
- 首先在Idea中选择编辑运行配置,如下图左上角的“+”号,选择Tomcat服务,如下图自定义服务名称
- 经常碰到客户问百度、谷歌排到第一多少钱,我耐心的解释无法保证第一的原因,最后客户以保持怀疑的态度关闭了与我的对话,我想有必要写一下这方面的东
- 2009年10月10号,美图秀秀官网发布了2.0周年版,小编这才发现原来美图秀秀已经一岁了。在感叹时间飞逝的同时,小编针对美图秀秀一年来的改
- 康盛创想(Comsenz)旗下的UCenter Home(简称UCHome)新版本即将推出,本期笔者给大家分享下道具“道具转让许可证”功能。
- 第十七届万维网大会(WWW2008)结束招待晚宴在北京人民大会堂举行,昨晚,来自全球的互联网界精英悉数出席。百度总裁李彦宏在晚宴中致辞,并在
- 问题描述调用并传参数给其他shell脚本,传的参数带有空格,被调用的shell脚本只取了这个参数的第一个单词。代码如下# 传参脚本 test
- 一、我只用GG的“AdSense 内容广告”所选广告代码只有三种:要么纯文字,要么纯图片,当然还有文
- (一) 图链网站登陆对于一个流量不大, 知名度不高的网站来说, 图链网站能给你带来的流量远远超过搜索引擎以及其他方法.(二) 友情连接友情连
- 第 1 步:选择推介区域 选择特定广告前,您需要指定国家/地区和语言首选项。为了最大限度地增加转换机会,请选择能充分反映用户情况的组合。有些
- 碰到CC攻击请把下面的代码放做成conn.asp,原理大家可以自己研究<% DimfsoObject DimtsObject dimf