对于配置IIS服务器 我想大家也许有不是很明白的地方 下面介绍ASP配置IIS服务器时需要注意的地方 把好安全关是所有网站都必须要做好的功课 如果服务器本身不安全 给网站带来的将是毁灭性的
站在用户的角度思考问题,与客户深入沟通,找到大安市网站设计与大安市网站推广的解决方案,凭借多年的经验,让设计与互联网技术结合,创造个性化、用户体验好的作品,建站类型包括:成都网站设计、网站制作、企业官网、英文网站、手机端网站、网站推广、域名申请、虚拟空间、企业邮箱。业务覆盖大安市地区。
一 操作系统的安装
我这里说的操作系统以Windows 为例 高版本的Windows也有类似功能
格式化硬盘时候 必须格式化为NTFS的 绝对不要使用FAT 类型
C盘为操作系统盘 D盘放常用软件 E盘网站 格式化完成后立刻设置磁盘权限 C盘默认 D盘的安全设置为Administrator和System完全控制 其他用户删除 E盘放网站 如果只有一个网站 就设置Administrator和System完全控制 Everyone读取 如果网站上某段代码必须完成写操作 这时再单独对那个文件所在的文件夹权限进行更改
系统安装过程中一定本着最小服务原则 无用的服务一概不选择 达到系统的最小安装 在安装IIS的过程中 只安装最基本必要的功能 那些不必要的危险服务千万不要安装 例如 FrontPage 服务器扩展 Internet服务管理器(HTML) FTP服务 文档 索引服务等等
二 网络安全配置
网络安全最基本的是端口设置 在 本地连接属性 点 Internet协议(TCP/IP) 点 高级 再点 选项 TCP/IP筛选 仅打开网站服务所需要使用的端口 配置界面如下图
进行如下设置后 从你的服务器将不能使用域名解析 因此上网 但是外部的访问是正常的 这个设置主要为了防止一般规模的DDOS攻击
三 安全模板设置
运行MMC 添加独立管理单元 安全配置与分析 导入模板basicsv inf或者securedc inf 然后点 立刻配置计算机 系统就会自动配置 帐户策略 本地策略 系统服务 等信息 一步到位 不过这些配置可能会导致某些软件无法运行或者运行出错
四 WEB服务器的设置
以IIS为例 绝对不要使用IIS默认安装的WEB目录 而需要在E盘新建立一个目录 然后在IIS管理器中右击主机 属性 WWW服务 编辑 主目录配置 应用程序映射 只保留asp和asa 其余全部删除
五 ASP的安全
在IIS系统上 大部分木马都是ASP写的 因此 ASP组件的安全是非常重要的
ASP木马实际上大部分通过调用Shell Application WScript Shell WScript Neork FSO Adodb Stream组件来实现其功能 除了FSO之外 其他的大多可以直接禁用
WScript Shell组件使用这个命令删除 regsvr WSHom ocx /u
WScript Neork组件使用这个命令删除 regsvr wshom ocx /u
Shell Application可以使用禁止Guest用户使用shell dll来防止调用此组件 使用命令 cacls C \WINNT\system \shell dll /e /d guests
禁止guests用户执行cmd exe的命令是 cacls C \WINNT\system \Cmd exe /e /d guests
FSO组件的禁用比较麻烦 如果网站本身不需要用这个组件 那么就通过RegSrv scrrun dll /u命令来禁用吧 如果网站本身也需要用到FSO 那么请参看这篇文章
lishixinzhi/Article/program/net/201311/11873
1、百度搜索一下iis安全设置
2、还有服务器的安全设置
3、原则上是这样的
(1、删除不必要的端口,2、删除不必要的服务,3、删除不必要的用户组和用户,4、给每个网站配置独立的访客账户,5、给每个网站配置独立的数据库、6、给每个网站配置独立的应用程序池、7、给每个网站设置好读写权限,8、可写入的不能有执行权限。9、可执行的不能有写入权限,10、给服务器系统打好安全补丁,11、给网站系统打好安全补丁。12、给网站做好安全备份。13、给服务器做好杀毒措施,14、删除不必要的网站文件,特别是可以写入的程序文件。15、做好网站后台安全设置
随着校园网络建设和应用的逐步深入,越来越多的学校建立了自己的Web服务器。IIS(Internet Information Server)作为目前最为流行的Web服务器平台,在校园网中发挥着巨大的作用。因此,了解如何加强IIS的安全机制,建立一个高安全性能的Web服务器就显得尤为重要。
保证系统的安全性
因为IIS是建立在Windows NT/2000操作系统下,安全性也应该建立在系统安全性的基础上,因此,保证系统的安全性是IIS安全性的基础,为此,我们要做以下事情。
1、使用NTFS文件系统
在NT系统中应该使用NTFS系统,NTFS可以对文件和目录进行管理,而FAT文件系统只能提供共享级的安全,而且在默认情况下,每建立一个新的共享,所有的用户就都能看到,这样不利于系统的安全性。和FAT文件系统不同,在NTFS文件下,建立新共享后可以通过修改权限保证系统安全。
2、关闭默认共享
在Windows 2000中,有一个“默认共享”,这是在安装服务器的时候,把系统安装分区自动进行共享,虽然对其访问还需要超级用户的密码,但这是潜在的安全隐患,从服务器的安全考虑,最好关闭这个“默认共享”,以保证系统安全。方法是:单击“开始/运行”,在运行窗口中输入“Regedit”,打开注册表编辑器,展开“HKEY_ LOCAL_MACHINESYSTEMCurrentControlSetanmanworkstationparameters”,在右侧窗口中创建一个名为“AutoShare-
Wks”的双字节值,将其值设置为0,这样就可以彻底关闭“默认共享”。
3、设置用户密码
用户一定要设置密码,用户的密码尽量使用数字与字母大小混排的口令,还需要经常修改密码,封锁失败的登录尝试,并且设定严格的账户生存时间。应避免设置简单的密码,且用户的密码尽可能不要和用户名有任何关联。
保证IIS自身的安全性
在保证系统具有较高安全性的情况下,还要保证IIS的安全性,主要请注意以下事情:
1、要尽量避免把IIS安装在网络中的主域控制器上。因为在安装完IIS后,会在所安装的计算机上生成IUSR_Computername的匿名账户。这个账户会被添加到域用户组中,从而把应用于域用户组的访问权限提供给访问Web服务器的每个匿名用户,这样不仅不能保证IIS的安全性,而且会威胁到主域控制器。
2、限制网站的目录权限。目前有很多的脚本都有可能导致安全隐患,因此在设定IIS中网站的目录权限时,要严格限制执行、写入等权限。
3、经常到微软的站点下载IIS的补丁程序,保证IIS最新版本。
只要提高安全意识,经常注意系统和IIS的设置情况,IIS就会是一个比较安全的服务器平台,能为我们提供安全稳定的服务。
Web服务器攻击常利用Web服务器软件和配置中的漏洞,web服务器安全也是我们现在很多人关注的一点,那么你知道web服务器安全设置吗?下面是我整理的一些关于web服务器安全设置的相关资料,供你参考。
web服务器安全设置一、IIS的相关设置
删除默认建立的站点的虚拟目录,停止默认web站点,删除对应的文件目录c:inetpub,配置所有站点的公共设置,设置好相关的连接数限制, 带宽设置以及性能设置等其他设置。配置应用程序映射,删除所有不必要的应用程序扩展,只保留asp,php,cgi,pl,aspx应用程序扩展。对于php和cgi,推荐使用isapi方式解析,用exe解析对安全和性能有所影响。用户程序调试设置发送文本错误信息给客户。
对于数据库,尽量采用mdb后缀,不需要更改为asp,可在IIS中设置一个mdb的扩展映射,将这个映射使用一个无关的dll文件如C:WINNTsystem32inetsrvssinc.dll来防止数据库被下载。设置IIS的日志保存目录,调整日志记录信息。设置为发送文本错误信息。修改403错误页面,将其转向到其他页,可防止一些扫描器的探测。另外为隐藏系统信息,防止telnet到80端口所泄露的系统版本信息可修改IIS的banner信息,可以使用winhex手工修改或者使用相关软件如banneredit修改。
对于用户站点所在的目录,在此说明一下,用户的FTP根目录下对应三个文件佳,wwwroot,database,logfiles,分别存放站点文件,数据库备份和该站点的日志。如果一旦发生入侵事件可对该用户站点所在目录设置具体的权限,图片所在的目录只给予列目录的权限,程序所在目录如果不需要生成文件(如生成html的程序)不给予写入权限。因为是虚拟主机平常对脚本安全没办法做到细致入微的地步。
方法
用户从脚本提升权限:
web服务器安全设置二、ASP的安全设置
设置过权限和服务之后,防范asp木马还需要做以下工作,在cmd窗口运行以下命令:
regsvr32/u C:\WINNT\System32\wshom.ocx
del C:\WINNT\System32\wshom.ocx
regsvr32/u C:\WINNT\system32\shell32.dll
del C:\WINNT\system32\shell32.dll
即可将WScript.Shell, Shell.application, WScript.Network组件卸载,可有效防止asp木马通过wscript或shell.application执行命令以及使用木马查看一些系统敏感信息。另法:可取消以上文件的users用户的权限,重新启动IIS即可生效。但不推荐该方法。
另外,对于FSO由于用户程序需要使用,服务器上可以不注销掉该组件,这里只提一下FSO的防范,但并不需要在自动开通空间的虚拟商服务器上使用,只适合于手工开通的站点。可以针对需要FSO和不需要FSO的站点设置两个组,对于需要FSO的用户组给予c:winntsystem32scrrun.dll文件的执行权限,不需要的不给权限。重新启动服务器即可生效。
对于这样的设置结合上面的权限设置,你会发现海阳木马已经在这里失去了作用!
web服务器安全设置三、PHP的安全设置
默认安装的php需要有以下几个注意的问题:
C:\winnt\php.ini只给予users读权限即可。在php.ini里需要做如下设置:
Safe_mode=on
register_globals = Off
allow_url_fopen = Off
display_errors = Off
magic_quotes_gpc = On [默认是on,但需检查一遍]
open_basedir =web目录
disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod
默认设置com.allow_dcom = true修改为false[修改前要取消掉前面的;]
web服务器安全设置四、MySQL安全设置
如果服务器上启用MySQL数据库,MySQL数据库需要注意的安全设置为:
删除mysql中的所有默认用户,只保留本地root帐户,为root用户加上一个复杂的密码。赋予普通用户updatedeletealertcreatedrop权限的时候,并限定到特定的数据库,尤其要避免普通客户拥有对mysql数据库操作的权限。检查mysql.user表,取消不必要用户的shutdown_priv,reload_priv,process_priv和File_priv权限,这些权限可能泄漏更多的服务器信息包括非mysql的 其它 信息出去。可以为mysql设置一个启动用户,该用户只对mysql目录有权限。设置安装目录的data数据库的权限(此目录存放了mysql数据库的数据信息)。对于mysql安装目录给users加上读取、列目录和执行权限。
Serv-u安全问题:
安装程序尽量采用最新版本,避免采用默认安装目录,设置好serv-u目录所在的权限,设置一个复杂的管理员密码。修改serv-u的banner信息,设置被动模式端口范围(4001—4003)在本地服务器中设置中做好相关安全设置:包括检查匿名密码,禁用反超时调度,拦截“FTP bounce”攻击和FXP,对于在30秒内连接超过3次的用户拦截10分钟。域中的设置为:要求复杂密码,目录只使用小写字母,高级中设置取消允许使用MDTM命令更改文件的日期。
更改serv-u的启动用户:在系统中新建一个用户,设置一个复杂点的密码,不属于任何组。将servu的安装目录给予该用户完全控制权限。建立一个FTP根目录,需要给予这个用户该目录完全控制权限,因为所有的ftp用户上传,删除,更改文件都是继承了该用户的权限,否则无法操 作文 件。另外需要给该目录以上的上级目录给该用户的读取权限,否则会在连接的时候出现530 Not logged in, home directory does not exist。比如在测试的时候ftp根目录为d:soft,必须给d盘该用户的读取权限,为了安全取消d盘其他文件夹的继承权限。而一般的使用默认的system启动就没有这些问题,因为system一般都拥有这些权限的。
web服务器安全设置五、数据库服务器的安全设置
对于专用的MSSQL数据库服务器,按照上文所讲的设置TCP/IP筛选和IP策略,对外只开放1433和5631端口。对于MSSQL首先需要为sa设置一个强壮的密码,使用混合身份验证,加强数据库日志的记录,审核数据库登陆事件的”成功和失败”.删除一些不需要的和危险的OLE自动存储过程(会造成 企业管理 器中部分功能不能使用),这些过程包括如下:
Sp_OAcreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
去掉不需要的注册表访问过程,包括有:
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue
Xp_regenumvalues Xp_regread Xp_regremovemultistring
Xp_regwrite
去掉其他系统存储过程,如果认为还有威胁,当然要小心drop这些过程,可以在测试机器上测试,保证正常的系统能完成工作,这些过程包括:
xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember
xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin
sp_addextendedproc
在实例属性中选择TCP/IP协议的属性。选择隐藏 SQL Server 实例可防止对1434端口的探测,可修改默认使用的1433端口。除去数据库的guest账户把未经认可的使用者据之在外。 例外情况是master和 tempdb 数据库,因为对他们guest帐户是必需的。另外注意设置好各个数据库用户的权限,对于这些用户只给予所在数据库的一些权限。在程序中不要用sa用户去连接任何数据库。网络上有建议大家使用协议加密的,千万不要这么做,否则你只能重装MSSQL了。