Windows服务器安全设置经验详谈
来源:asp之家 发布时间:2010-03-31 19:03:00
其实,在服务器的安全设置方面,我虽然有一些经验,但是还谈不上有研究,所以我写这篇文章的时候心里很不踏实,总害怕说错了会误了别人的事。本文更侧重于防止ASP漏洞攻击,所以服务器防黑等方面的讲解可能略嫌少了点。
基本的服务器安全设置
安装补丁
安装好操作系统之后,最好能在托管之前就完成补丁的安装,配置好网络后,如果是2000则确定安装上了SP4,如果是2003,则最好安装上SP1,然后点击开始→Windows update,安装所有的关键更新。
安装杀毒软件
虽然杀毒软件有时候不能解决问题,但是杀毒软件避免了很多问题。
不要指望杀毒软件杀掉所有的木马,因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。
设置端口保护和防火墙、删除默认共享
都是服务器防黑的措施,即使你的服务器上没有IIS,这些安全措施都最好做上。这是阿江的盲区,大概知道屏蔽端口用本地安全策略,不过这方面的东西网上攻略很多,大家可以找出来看看,晚些时候我或者会复制一些到我的网站上。
权限设置
阿江感觉这是防止ASP漏洞攻击的关键所在,优秀的权限设置可以将危害减少在一个IIS站点甚至一个虚拟目录里。我这里讲一下原理和设置思路,聪明的朋友应该看完这个就能解决问题了。
权限设置的原理
WINDOWS用户,在WINNT系统中大多数时候把权限按用户(?M)来划分。在【开始→程序→管理工具→计算机管理→本地用户和组】管理系统用户和用户组。
NTFS权限设置,请记住分区的时候把所有的硬盘都分为NTFS分区,然后我们可以确定每个分区对每个用户开放的权限。【文件(夹)上右键→属性→安全】在这里管理NTFS文件(夹)权限。
IIS匿名用户,每个IIS站点或者虚拟目录,都可以设置一个匿名访问用户(现在暂且把它叫`IIS匿名用户`),当用户访问你的网站的.ASP文件的时候,这个.ASP文件所具有的权限,就是这个`IIS匿名用户`所具有的权限。
权限设置的思路
要为每个独立的要保护的个体(比如一个网站或者一个虚拟目录)创建一个系统用户,让这个站点在系统中具有惟一的可以设置权限的身份。
在IIS的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑】填写刚刚创建的那个用户名。
设置所有的分区禁止这个用户访问,而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问(要去掉继承父权限,并且要加上超管组和SYSTEM组)。
这样设置了之后,这个站点里的ASP程序就只有当前这个文件夹的权限了,从探针上看,所有的硬盘都是红叉叉。
我的设置方法
我是先创建一个用户组,以后所有的站点的用户都建在这个?M里,然后设置这个组在各个分区没有权限或者完全拒绝。然后再设置各个IIS用户在各在的文件夹里的权限。
因为比较多,所以我很不想写,其实知道了上面的原理,大多数人都应该懂了,除非不知道怎么添加系统用户和?M,不知道怎么设置文件夹权限,不知道IIS站点属性在那里。真的有那样的人,你也不要着急,要沉住气慢慢来,具体的方法其实自己也能摸索出来的,我就是这样。当然,如果我有空,我会写我的具体设置方法,很可能还会配上图片。
猜你喜欢
- 付款流程中有两个收入点需要注意,一个是 10 美元,一个是 100 美元。一.10美元,确认帐户信息当你的收入达到10美元时,系统会自动向你
- 最近提及到一个搜索引擎如何判断文章原创性的问题。我们都听说网站的原创内容越多,搜索引擎会越喜欢,网站排名就会越靠前,所以很多编辑同志们就开始
- 一、 事件回顾最近有大量用户给超级巡警安全中心举报,收到如下的信息。“尊敬的用户您好!为配合国家在两会期间新 * 的“关于废除银行各项服务性收
- 我从www.xrnic.cn开通了一个独立IP LINUX空间,空间支持伪静态功能。由于网站根目录下安装的是DEDECMS,bbs目录下安装
- 打开 template/wind/readtpl.htm查找:var cnt = 0;在此句下面添加:var bbsurl = '$
- iis无法启动,发生意外错误0x8ffe2740第一次发现这个错误的时候,以为IIS出了什么问题,所以就重装了(这是我经常用的方法,哈哈.革
- 美国《财富》杂志网络版周四评出了2009年全球最具影响力商界女强人50强,百事可乐董事长兼CEO卢英德(Indra Nooyi)居首,雅虎C
- 为了方便不熟悉英文的朋友,我特地将购买Inmotion主机的流程用图文并茂加注解的方式演示一遍。1、点击这里进入Inmotion官方网站2、
- 读完本篇文章大家有必要看一下自己的友情链接,是不是已经被nofollow了。也许有些朋友问,什么是nofollow?简单的讲,就是虽然你的友
- 昨日在微博,有站长发布了一张“QQ群”新功能测试图,引发了众多站长关注,图片显示QQ群可以展示论坛的信息,推广论坛内容。据了解,这是康盛公司
- 可以说当今世上,没有一个不会不想当老板的,包括我在内。不是有句熟话是这么说的吗?"不想当将军的兵,就不是好兵",换句话来
- 北京时间7月8日消息,据国外媒体报道,谷歌周一发布了公司内部使用的开源数据描述语言“Protocol Buffers”。Protocol B
- 怎么知道域名是否被注册过或被K过呢?域名的注册也是有讲究的,其中最重要的就是看域名是否被搜索引擎k过。如果域名被注册过,且网站因为涉及到法律
- 先说明下为什么要写这篇文章,以及纠结于这个“小问题”。首先开启静态文件的gzip压缩非常有利用提高网站的访问速度,并且有效减少蜘蛛爬行静态页
- 一、首先我们来看第一部分: 关键词分析关键词分析是所有 SEO 必须掌握的一门功课,大型网站虽然有海量的数据,但是每个页面都需要进行关键 词
- 在国内,现在发现但凡是能做网站的,基本上都提供SEO服务。看似繁荣鼎盛,但实际效果却不怎么样。很多都是改改标签,部署一下关键词,然后用群发软
- 具备内置 Web 与虚拟化技术的 Microsoft Windows Server 2008 使企业能够大幅提升其服务器基础架构的可靠性与灵
- Exchange Server在满足大企业和小公司不同需求上不断地努力,并得到用户广泛的认可。但今天各种规模的企业用户有着新的、相似的沟通服
- 目前在国内大多数站长通过网站挣钱的主要手段还仅仅是通过网站广告的点击来取得收入,但同样的广告有的网站挣的多有的网站就挣的少,为什么呢?下面我
- 10月22日消息,视频分享网站56网与成都传媒集团携手,就“国际小姐”世界大会展开深层次合作,56网