三剑数码工作室—南县网站建设,南县视频制作
三剑数码
三剑简介
三剑信念
三剑团队
三剑作品
三剑文集
联系我们
留言三剑
文档资料

ASP博客、新闻网站增强安全性能的网站IIS配置

添加时间:2009/12/28   浏览次数:798
 
 
 1、在[IIS站点属性]的[主目录]中,设置目录权限为[读取]即可,其余权限不选择。执行权限为:[纯脚本]。

图 1 配置网站的属性

  2、点击主目录中的[配置]进入应用程序配置介面,映射到 \WINDOWS\system32\inetsrv\asp.dll 的扩展名中,除了 .asp 的之外,删除其余映射到 asp.dll 的扩展名,主要有:.asa 、 .cdx 、cer 等。因为基本上很少有 ASP 程序会用这些扩展名。

图 2 删除不必要的扩展名映射

  3、顺便在这里说一下 [启用父路径] 的问题,主要因为该选项在 Windows Server 2003 之前是默认启用的,而 2003 默认是不启用,造成部分需要启用父路径的ASP程序出现问题。

图 3

  4、在[应用程序配置]的[调试]项目中,不启用ASP的服务器与客户端脚本调试,不向客户端发送详细的ASP错误消息,防止某些程序产生错误而显示数据库路径及其它网站配置信息。这些选项一般应在ASP程序安装调试正常之后配置,否则,可能自己在调试的时候看不到详细的错误消息,造成安装上的困难。

图 4 禁止向客户端发送详细的错误消息

  5、在网站属性的[身份验证方法]中查看网站匿名访问用户名,一般为 "IUSR_" + 本机名。如果本服务器中配为多个网站,还可以在服务器上配置不同的匿名帐户名,以提高网站间的安全性(避免同一个匿名访问帐户在各个网站间出现相同的文件存取权限,建议多网站的服务器建立各自不同的匿名访问帐户)。

图 5 查看或者配置网站的匿名访问帐户

  6、网站中如有相关的目录,只是文件访问,而不需要 ASP 程序执行权限的,比如网站的文件上传目录,网站的数据库目录,根本不需要 ASP (脚本) 的执行权限,则可以相应的配置该目录的权限,在 IIS 中打开该目录的[属性]介面,配置目录权限仅为[读取]即可(上传时的文件写入权限不在这里配置,见下面的说明)。而应用程序的[执行权限]选择[无],不允许程序的执行(包括脚本),以防止居心不良的用户透过系统漏洞上传木马程序并执行。

图 6-1 文件上传目录在IIS中一般只设置读取权限,并且设置为无执行权限。

图 6-2 在无执行权限的 uploadfile 目录下放置木马的执行效果

图 6-3 放置数据库的目录在IIS中也只需读取权限,并且无执行权限

  7、到操作系统中相应的网站根目录的文件夹安全属性中,配置相应的 Internet 来宾帐户(上面提到的网站匿名访问帐户)权限为读取,排除其它的任何权限。当然,从提高安全性出发,这里不应该设置 EVERYONE 的相关权限,即删除 EVERYONE 组。而相应需上传或者需要写入数据的文件夹,则给Internet 来宾帐户添加写入权限,如 uploadfile 目录一般要放置上传的文件,需要写入权限,data 目录中数据库文件也需要写入权限。

图 7-1 在文件夹的安全属性中只需给网站目录及文件以[读取]的权限,防止恶意上传文件到根目录及其它目录下。

图 7-2  在操作系统的文件夹安全属性中给相应的文件上专目录(uploadfile)写入的权限,使它可以上传写入文件

图 7-3  在操作系统的文件夹安全属性中给相应的数据库目录(data)写入的权限,使 ACCESS 数据库可以被添加或者更新

  相对来说,经过如上配置,IIS 的安全性能大大提高,当然要及时的更新操作系统的补丁,并经常经常观察系统有无其他异常,防止黑客从其它方面攻入。

 
 
 
Copyright © 三剑数码工作室 地址:南县南洲镇永红路 电话:13874325683