Windows服务器安全设置经验详谈
来源:asp之家 发布时间:2010-03-31 19:03:00
其实,在服务器的安全设置方面,我虽然有一些经验,但是还谈不上有研究,所以我写这篇文章的时候心里很不踏实,总害怕说错了会误了别人的事。本文更侧重于防止ASP漏洞攻击,所以服务器防黑等方面的讲解可能略嫌少了点。
基本的服务器安全设置
安装补丁
安装好操作系统之后,最好能在托管之前就完成补丁的安装,配置好网络后,如果是2000则确定安装上了SP4,如果是2003,则最好安装上SP1,然后点击开始→Windows update,安装所有的关键更新。
安装杀毒软件
虽然杀毒软件有时候不能解决问题,但是杀毒软件避免了很多问题。
不要指望杀毒软件杀掉所有的木马,因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。
设置端口保护和防火墙、删除默认共享
都是服务器防黑的措施,即使你的服务器上没有IIS,这些安全措施都最好做上。这是阿江的盲区,大概知道屏蔽端口用本地安全策略,不过这方面的东西网上攻略很多,大家可以找出来看看,晚些时候我或者会复制一些到我的网站上。
权限设置
阿江感觉这是防止ASP漏洞攻击的关键所在,优秀的权限设置可以将危害减少在一个IIS站点甚至一个虚拟目录里。我这里讲一下原理和设置思路,聪明的朋友应该看完这个就能解决问题了。
权限设置的原理
WINDOWS用户,在WINNT系统中大多数时候把权限按用户(?M)来划分。在【开始→程序→管理工具→计算机管理→本地用户和组】管理系统用户和用户组。
NTFS权限设置,请记住分区的时候把所有的硬盘都分为NTFS分区,然后我们可以确定每个分区对每个用户开放的权限。【文件(夹)上右键→属性→安全】在这里管理NTFS文件(夹)权限。
IIS匿名用户,每个IIS站点或者虚拟目录,都可以设置一个匿名访问用户(现在暂且把它叫`IIS匿名用户`),当用户访问你的网站的.ASP文件的时候,这个.ASP文件所具有的权限,就是这个`IIS匿名用户`所具有的权限。
权限设置的思路
要为每个独立的要保护的个体(比如一个网站或者一个虚拟目录)创建一个系统用户,让这个站点在系统中具有惟一的可以设置权限的身份。
在IIS的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑】填写刚刚创建的那个用户名。
设置所有的分区禁止这个用户访问,而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问(要去掉继承父权限,并且要加上超管组和SYSTEM组)。
这样设置了之后,这个站点里的ASP程序就只有当前这个文件夹的权限了,从探针上看,所有的硬盘都是红叉叉。
我的设置方法
我是先创建一个用户组,以后所有的站点的用户都建在这个?M里,然后设置这个组在各个分区没有权限或者完全拒绝。然后再设置各个IIS用户在各在的文件夹里的权限。
因为比较多,所以我很不想写,其实知道了上面的原理,大多数人都应该懂了,除非不知道怎么添加系统用户和?M,不知道怎么设置文件夹权限,不知道IIS站点属性在那里。真的有那样的人,你也不要着急,要沉住气慢慢来,具体的方法其实自己也能摸索出来的,我就是这样。当然,如果我有空,我会写我的具体设置方法,很可能还会配上图片。
猜你喜欢
- 12月11日消息,据国外媒体报道,据互联网安全和监视公司ScanSaf说,从11月末开始出现的一种新的和非常复杂的SQL注入攻击已经感染了1
- 1、Google提交http://www.google.com/addurl/?hl=zh_CN2、百度提交http://www.baidu
- 北京时间10月14日上午消息,据国外媒体报道,消息人士透露,温思坦影业(Weinstein Company)准备将旗下富豪社交网络ASmal
- 来自Windows Live Hotmail官方Space的公告指出,现有的Windows Live Hotmail Plus用户已开通了P
- 最近有篇文章分析了一下超人气美国部落格Dooce,当前是Technorati排行榜的第47名部落格。网志背后的女博客叫做Heather Ar
- DEDECMS5.5刚出来,很多人都还没有用,我就先尝试了,(勇于做第一个吃螃蟹的人)呵呵~~,其实做好数据备份也没什么好怕的。正好公司网站
- 1. FTP协议概述FTP是文件传输协议(File Transfer Protocol )的简称。FTP是TCP/IP的一种具体应用,它工作
- 雅虎准备在硅谷圣塔克拉拉市兴建办公园区。雅虎表示,新建园区的目的是将现有办公和研发场所合并,以适应未来成长的需要。新园区占地四十八英亩,由十
- 受ASP * 页的吸引,笔者决定用Dreamweaver做一个ASP格式的学校主页。然而,当笔者将Web服务器中Htm格式的网页换成新做的A
- 通常地,大多数Web站点的设计目标都是:以最易接受的方式,为访问者提供即时的信息访问。在过去的几年中,越来越多的黑客、病毒和蠕虫带来的安全问
- 大家先来看看问题描述:新建虚拟机的列表中没有64位系统选项,如何解决?操作系统:Windows 7 64位;虚拟机:Oracle VM Vi
- 提供给需要将SS与DZ整合的站长,此方法在本地经过不下50次的测试,才最终成功整合。我是菜鸟,喜欢自己一个人瞎琢磨,但我没有学过这些语言,也
- 最近,有做博客营销的网友问:“怎样才能使自己的博客旺起来,使其人气旺、浏览量和点评量高。”其实这一问
- 编辑smbpasswd文件从中删除不必要的账号以防止安全隐患,然后用以下命令添加新samba用户:bsd# /usr/local/samba
- 饭否网初听这个名字,让我想起一句成语:廉颇老矣,尚能饭否?私下里不由窃窃:王兴取的这个饭否网,究竟蕴藏着什么玄机,与廉颇老前辈有什么渊源吗?
- 随着百度有啊的名品频道的正式上线,百度关于建立BTOC电子商城网站实施战略也步入了正式运营阶段;如果网站运营成功,此举将为百度平台价值提升起
- “大江东去,浪淘尽,千古风流人物。故垒西边,人道是,三国周郎赤壁。乱石穿空,惊涛拍岸,卷起千堆雪。江山如画,一时多少豪杰……”当年苏轼站在著
- 引言:网站PR值(Page Rank)在网站优化和搜索引擎排名中起到一个不小的作用,就本人对PR 更新的预测,特地和大家分享一下.googl
- 首先我们为了之后继续搭建软件,这里没有使用docker-compose,而是通过构建四台centos,再在里面搭建我们所需要的组件宿主机最好
- Ads优化工具:Blacklist作用:提高每次点击价格,将那些低价(如每CPS:0.08美金)的广告商过滤出去。用法:进入 Blackli