用Win 2003 server打造安全的个人Web服务器(3)
来源:asp之家 发布时间:2010-04-14 18:23:00
标签:server,web服务器,安全
五、其它安全相关设置
1、隐藏重要文件/目录
可以修改注册表实现完全隐藏:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0
2、启动系统自带的Internet连接防火墙,在设置服务选项中勾选Web服务器。
3、防止SYN洪水攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为SynAttackProtect,值为2
4. 禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名为PerformRouterDiscovery 值为0
5. 防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
将EnableICMPRedirects 值设为0
6. 不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为IGMPLevel 值为0
7、禁用DCOM:
运行中输入 Dcomcnfg.exe。 回车, 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。
对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。选择“默认属性”选项卡。
清除“在这台计算机上启用分布式 COM”复选框。
注:3-6项内容我采用的是Server2000设置,没有测试过对2003是否起作用。但有一点可以肯定我用了一段的时间没有发现其它副面的影响。
六、配置 IIS 服务:
1、不使用默认的Web站点,如果使用也要将 将IIS目录与系统磁盘分开。
2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。
3、删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
4、删除不必要的IIS扩展名映射。
右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。主要为.shtml, .shtm, .stm
5、更改IIS日志的路径
右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性
6、如果使用的是2000可以使用iislockdown来保护IIS,在2003运行的IE6.0的版本不需要。
7、使用UrlScan
UrlScan是一个ISAPI筛选器,它对传入的HTTP数据包进行分析并可以拒绝任何可疑的通信量。目前最新的版本是2.5,如果是2000Server需要先安装1.0或2.0的版本。下载地址见页未的链接
如果没有特殊的要求采用UrlScan默认配置就可以了。
但如果你在服务器运行ASP.NET程序,并要进行调试你需打开要%WINDIR%\System32\Inetsrv\URLscan
文件夹中的URLScan.ini 文件,然后在UserAllowVerbs节添加debug谓词,注意此节是区分大小写的。
如果你的网页是.asp网页你需要在DenyExtensions删除.asp相关的内容。
如果你的网页使用了非ASCII代码,你需要在Option节中将AllowHighBitCharacters的值设为1
在对URLScan.ini 文件做了更改后,你需要重启IIS服务才能生效,快速方法运行中输入iisreset
如果你在配置后出现什么问题,你可以通过添加/删除程序删除UrlScan。
8、利用WIS (Web Injection Scanner)工具对整个网站进行SQL Injection 脆弱性扫描.
0
投稿
猜你喜欢
- 你的计算机上是否存在有至关重要的数据,并且不希望它们落入恶人之手呢?当然,它们完全有这种可能 。而且,近些年来,服务器遭受的风险也比以前更大
- 在Windows 2000下,动态DNS是与DHCP、WINS及活动目录(AD)集成在一起的。在Windows 2000的域下有三种实现DN
- “在查看您的帐户时,我们注意到您目前在展示 Google 广告时所采用的方式不符合我们的政策。例如,我们发现在类似 URL的网页上有违反 A
- UCenter Home 默认有 8 个分组,如下图所示: 很多会员想修改默认的会员分组,下面我们仔细讲解如何修改好友分组的名称。
- 在虚拟机上新安装了一个根据开源Chromium源码编译好的Chrome OS镜像文件进行试用测试,颇有一些感慨。Chrome OS省去了其他
- 11月12日消息,今天,百度知道文档分享平台正式上线,为百度用户分享文档提供了一个方便而实用的渠道。“百度知道文档分享&
- 什么是SPF就是Sender Policy Framework。SPF可以防止别人伪造你来发邮件,是一个反伪造性邮件的解决方案。当你定义了你
- 很多热门论坛都会给会员提供FTP资源下载,达到一定等级的会员就可以免费登录这些FTP服务器下载诸多共享资源,如影视、技术资料、常用大型工具软
- 在前面的Windows2003设置系列教程中,我们提及了使用eAccelerator加速PHP,在那篇文章中提供了PHP5.2.0到PHP5
- 在金融海啸袭击下,网路赚钱也是越来越不易,点广告赚钱真正会快速付款的网站越来越少、Google AdSense广告或其它广告联盟的广告又没人
- 电脑辐射会渗透皮肤激活黑色素母细胞,促使黑色素生成以抵挡辐射,如不适当清洁和防护会导致黑色素沉积或老死在皮肤内不易代谢出使得皮肤容易长斑,肤
- 一个比较热烈的讨论话题:Google Adsense 西联汇款为什么免费。这个问题应该用大话西游的台词来回答,免费不需要理由。因为西联汇款是
- 谷歌创始人谢尔盖·布林和拉里·佩奇据国外媒体报道,谷歌连续多年蝉联最佳雇主,成为年轻专业人士最向往的地方,谷歌也已经成为搜索的代名词,那么谷
- 很多新手的站长感觉建站难了、维护难了、推广更难了,一是由于国内禁止个人注册CN域名导致建站成本迅速上升,二是国家对网络管理异常严格,所有与色
- 说起电子邮箱,相信不少朋友都会有不下两三个吧?接下来我们将向你介绍如何用计算机来架设一个邮件服务器。一、下载安装WinMail1)首先有请我
- 一年之内,先是搜狐分拆旗下的游戏业务——畅游公司上市,继而盛大网络也将旗下的游戏&mdash
- 如果你负担不起付费主机,那免费使用的虚拟主机往往是最好的选择。但在你决定使用免费主机以前有几点是你必须要注意的,最重要的是你不能期望和要求免
- wordpress默认会把一些比较大的图片进行裁切压缩处理,自动生成缩略图。但是我这里并不需要该功能,为此在后台找了一下解决的办法:登陆wp
- 看上去,马化腾和腾讯王国达到了一个巅峰:2300亿港元的互联网“市值王”,2009年上半年54亿元的
- 8月份曾应朋友的邀请,参与了谷歌公司的一个内部活动,跟谷歌的Adsense、搜索质量组、Adwords部门部分员工进行一个对话。对话前谷歌的