對于配置IIS服務(wù)器 我想大家也許有不是很明白的地方 下面介紹ASP配置IIS服務(wù)器時需要注意的地方 把好安全關(guān)是所有網(wǎng)站都必須要做好的功課 如果服務(wù)器本身不安全 給網(wǎng)站帶來的將是毀滅性的
站在用戶的角度思考問題,與客戶深入溝通,找到大安市網(wǎng)站設(shè)計與大安市網(wǎng)站推廣的解決方案,憑借多年的經(jīng)驗,讓設(shè)計與互聯(lián)網(wǎng)技術(shù)結(jié)合,創(chuàng)造個性化、用戶體驗好的作品,建站類型包括:成都網(wǎng)站設(shè)計、網(wǎng)站制作、企業(yè)官網(wǎng)、英文網(wǎng)站、手機端網(wǎng)站、網(wǎng)站推廣、域名申請、虛擬空間、企業(yè)郵箱。業(yè)務(wù)覆蓋大安市地區(qū)。
一 操作系統(tǒng)的安裝
我這里說的操作系統(tǒng)以Windows 為例 高版本的Windows也有類似功能
格式化硬盤時候 必須格式化為NTFS的 絕對不要使用FAT 類型
C盤為操作系統(tǒng)盤 D盤放常用軟件 E盤網(wǎng)站 格式化完成后立刻設(shè)置磁盤權(quán)限 C盤默認(rèn) D盤的安全設(shè)置為Administrator和System完全控制 其他用戶刪除 E盤放網(wǎng)站 如果只有一個網(wǎng)站 就設(shè)置Administrator和System完全控制 Everyone讀取 如果網(wǎng)站上某段代碼必須完成寫操作 這時再單獨對那個文件所在的文件夾權(quán)限進(jìn)行更改
系統(tǒng)安裝過程中一定本著最小服務(wù)原則 無用的服務(wù)一概不選擇 達(dá)到系統(tǒng)的最小安裝 在安裝IIS的過程中 只安裝最基本必要的功能 那些不必要的危險服務(wù)千萬不要安裝 例如 FrontPage 服務(wù)器擴展 Internet服務(wù)管理器(HTML) FTP服務(wù) 文檔 索引服務(wù)等等
二 網(wǎng)絡(luò)安全配置
網(wǎng)絡(luò)安全最基本的是端口設(shè)置 在 本地連接屬性 點 Internet協(xié)議(TCP/IP) 點 高級 再點 選項 TCP/IP篩選 僅打開網(wǎng)站服務(wù)所需要使用的端口 配置界面如下圖
進(jìn)行如下設(shè)置后 從你的服務(wù)器將不能使用域名解析 因此上網(wǎng) 但是外部的訪問是正常的 這個設(shè)置主要為了防止一般規(guī)模的DDOS攻擊
三 安全模板設(shè)置
運行MMC 添加獨立管理單元 安全配置與分析 導(dǎo)入模板basicsv inf或者securedc inf 然后點 立刻配置計算機 系統(tǒng)就會自動配置 帳戶策略 本地策略 系統(tǒng)服務(wù) 等信息 一步到位 不過這些配置可能會導(dǎo)致某些軟件無法運行或者運行出錯
四 WEB服務(wù)器的設(shè)置
以IIS為例 絕對不要使用IIS默認(rèn)安裝的WEB目錄 而需要在E盤新建立一個目錄 然后在IIS管理器中右擊主機 屬性 WWW服務(wù) 編輯 主目錄配置 應(yīng)用程序映射 只保留asp和asa 其余全部刪除
五 ASP的安全
在IIS系統(tǒng)上 大部分木馬都是ASP寫的 因此 ASP組件的安全是非常重要的
ASP木馬實際上大部分通過調(diào)用Shell Application WScript Shell WScript Neork FSO Adodb Stream組件來實現(xiàn)其功能 除了FSO之外 其他的大多可以直接禁用
WScript Shell組件使用這個命令刪除 regsvr WSHom ocx /u
WScript Neork組件使用這個命令刪除 regsvr wshom ocx /u
Shell Application可以使用禁止Guest用戶使用shell dll來防止調(diào)用此組件 使用命令 cacls C \WINNT\system \shell dll /e /d guests
禁止guests用戶執(zhí)行cmd exe的命令是 cacls C \WINNT\system \Cmd exe /e /d guests
FSO組件的禁用比較麻煩 如果網(wǎng)站本身不需要用這個組件 那么就通過RegSrv scrrun dll /u命令來禁用吧 如果網(wǎng)站本身也需要用到FSO 那么請參看這篇文章
lishixinzhi/Article/program/net/201311/11873
1、百度搜索一下iis安全設(shè)置
2、還有服務(wù)器的安全設(shè)置
3、原則上是這樣的
(1、刪除不必要的端口,2、刪除不必要的服務(wù),3、刪除不必要的用戶組和用戶,4、給每個網(wǎng)站配置獨立的訪客賬戶,5、給每個網(wǎng)站配置獨立的數(shù)據(jù)庫、6、給每個網(wǎng)站配置獨立的應(yīng)用程序池、7、給每個網(wǎng)站設(shè)置好讀寫權(quán)限,8、可寫入的不能有執(zhí)行權(quán)限。9、可執(zhí)行的不能有寫入權(quán)限,10、給服務(wù)器系統(tǒng)打好安全補丁,11、給網(wǎng)站系統(tǒng)打好安全補丁。12、給網(wǎng)站做好安全備份。13、給服務(wù)器做好殺毒措施,14、刪除不必要的網(wǎng)站文件,特別是可以寫入的程序文件。15、做好網(wǎng)站后臺安全設(shè)置
隨著校園網(wǎng)絡(luò)建設(shè)和應(yīng)用的逐步深入,越來越多的學(xué)校建立了自己的Web服務(wù)器。IIS(Internet Information Server)作為目前最為流行的Web服務(wù)器平臺,在校園網(wǎng)中發(fā)揮著巨大的作用。因此,了解如何加強IIS的安全機制,建立一個高安全性能的Web服務(wù)器就顯得尤為重要。
保證系統(tǒng)的安全性
因為IIS是建立在Windows NT/2000操作系統(tǒng)下,安全性也應(yīng)該建立在系統(tǒng)安全性的基礎(chǔ)上,因此,保證系統(tǒng)的安全性是IIS安全性的基礎(chǔ),為此,我們要做以下事情。
1、使用NTFS文件系統(tǒng)
在NT系統(tǒng)中應(yīng)該使用NTFS系統(tǒng),NTFS可以對文件和目錄進(jìn)行管理,而FAT文件系統(tǒng)只能提供共享級的安全,而且在默認(rèn)情況下,每建立一個新的共享,所有的用戶就都能看到,這樣不利于系統(tǒng)的安全性。和FAT文件系統(tǒng)不同,在NTFS文件下,建立新共享后可以通過修改權(quán)限保證系統(tǒng)安全。
2、關(guān)閉默認(rèn)共享
在Windows 2000中,有一個“默認(rèn)共享”,這是在安裝服務(wù)器的時候,把系統(tǒng)安裝分區(qū)自動進(jìn)行共享,雖然對其訪問還需要超級用戶的密碼,但這是潛在的安全隱患,從服務(wù)器的安全考慮,最好關(guān)閉這個“默認(rèn)共享”,以保證系統(tǒng)安全。方法是:單擊“開始/運行”,在運行窗口中輸入“Regedit”,打開注冊表編輯器,展開“HKEY_ LOCAL_MACHINESYSTEMCurrentControlSetanmanworkstationparameters”,在右側(cè)窗口中創(chuàng)建一個名為“AutoShare-
Wks”的雙字節(jié)值,將其值設(shè)置為0,這樣就可以徹底關(guān)閉“默認(rèn)共享”。
3、設(shè)置用戶密碼
用戶一定要設(shè)置密碼,用戶的密碼盡量使用數(shù)字與字母大小混排的口令,還需要經(jīng)常修改密碼,封鎖失敗的登錄嘗試,并且設(shè)定嚴(yán)格的賬戶生存時間。應(yīng)避免設(shè)置簡單的密碼,且用戶的密碼盡可能不要和用戶名有任何關(guān)聯(lián)。
保證IIS自身的安全性
在保證系統(tǒng)具有較高安全性的情況下,還要保證IIS的安全性,主要請注意以下事情:
1、要盡量避免把IIS安裝在網(wǎng)絡(luò)中的主域控制器上。因為在安裝完IIS后,會在所安裝的計算機上生成IUSR_Computername的匿名賬戶。這個賬戶會被添加到域用戶組中,從而把應(yīng)用于域用戶組的訪問權(quán)限提供給訪問Web服務(wù)器的每個匿名用戶,這樣不僅不能保證IIS的安全性,而且會威脅到主域控制器。
2、限制網(wǎng)站的目錄權(quán)限。目前有很多的腳本都有可能導(dǎo)致安全隱患,因此在設(shè)定IIS中網(wǎng)站的目錄權(quán)限時,要嚴(yán)格限制執(zhí)行、寫入等權(quán)限。
3、經(jīng)常到微軟的站點下載IIS的補丁程序,保證IIS最新版本。
只要提高安全意識,經(jīng)常注意系統(tǒng)和IIS的設(shè)置情況,IIS就會是一個比較安全的服務(wù)器平臺,能為我們提供安全穩(wěn)定的服務(wù)。
Web服務(wù)器攻擊常利用Web服務(wù)器軟件和配置中的漏洞,web服務(wù)器安全也是我們現(xiàn)在很多人關(guān)注的一點,那么你知道web服務(wù)器安全設(shè)置嗎?下面是我整理的一些關(guān)于web服務(wù)器安全設(shè)置的相關(guān)資料,供你參考。
web服務(wù)器安全設(shè)置一、IIS的相關(guān)設(shè)置
刪除默認(rèn)建立的站點的虛擬目錄,停止默認(rèn)web站點,刪除對應(yīng)的文件目錄c:inetpub,配置所有站點的公共設(shè)置,設(shè)置好相關(guān)的連接數(shù)限制, 帶寬設(shè)置以及性能設(shè)置等其他設(shè)置。配置應(yīng)用程序映射,刪除所有不必要的應(yīng)用程序擴展,只保留asp,php,cgi,pl,aspx應(yīng)用程序擴展。對于php和cgi,推薦使用isapi方式解析,用exe解析對安全和性能有所影響。用戶程序調(diào)試設(shè)置發(fā)送文本錯誤信息給客戶。
對于數(shù)據(jù)庫,盡量采用mdb后綴,不需要更改為asp,可在IIS中設(shè)置一個mdb的擴展映射,將這個映射使用一個無關(guān)的dll文件如C:WINNTsystem32inetsrvssinc.dll來防止數(shù)據(jù)庫被下載。設(shè)置IIS的日志保存目錄,調(diào)整日志記錄信息。設(shè)置為發(fā)送文本錯誤信息。修改403錯誤頁面,將其轉(zhuǎn)向到其他頁,可防止一些掃描器的探測。另外為隱藏系統(tǒng)信息,防止telnet到80端口所泄露的系統(tǒng)版本信息可修改IIS的banner信息,可以使用winhex手工修改或者使用相關(guān)軟件如banneredit修改。
對于用戶站點所在的目錄,在此說明一下,用戶的FTP根目錄下對應(yīng)三個文件佳,wwwroot,database,logfiles,分別存放站點文件,數(shù)據(jù)庫備份和該站點的日志。如果一旦發(fā)生入侵事件可對該用戶站點所在目錄設(shè)置具體的權(quán)限,圖片所在的目錄只給予列目錄的權(quán)限,程序所在目錄如果不需要生成文件(如生成html的程序)不給予寫入權(quán)限。因為是虛擬主機平常對腳本安全沒辦法做到細(xì)致入微的地步。
方法
用戶從腳本提升權(quán)限:
web服務(wù)器安全設(shè)置二、ASP的安全設(shè)置
設(shè)置過權(quán)限和服務(wù)之后,防范asp木馬還需要做以下工作,在cmd窗口運行以下命令:
regsvr32/u C:\WINNT\System32\wshom.ocx
del C:\WINNT\System32\wshom.ocx
regsvr32/u C:\WINNT\system32\shell32.dll
del C:\WINNT\system32\shell32.dll
即可將WScript.Shell, Shell.application, WScript.Network組件卸載,可有效防止asp木馬通過wscript或shell.application執(zhí)行命令以及使用木馬查看一些系統(tǒng)敏感信息。另法:可取消以上文件的users用戶的權(quán)限,重新啟動IIS即可生效。但不推薦該方法。
另外,對于FSO由于用戶程序需要使用,服務(wù)器上可以不注銷掉該組件,這里只提一下FSO的防范,但并不需要在自動開通空間的虛擬商服務(wù)器上使用,只適合于手工開通的站點??梢葬槍π枰狥SO和不需要FSO的站點設(shè)置兩個組,對于需要FSO的用戶組給予c:winntsystem32scrrun.dll文件的執(zhí)行權(quán)限,不需要的不給權(quán)限。重新啟動服務(wù)器即可生效。
對于這樣的設(shè)置結(jié)合上面的權(quán)限設(shè)置,你會發(fā)現(xiàn)海陽木馬已經(jīng)在這里失去了作用!
web服務(wù)器安全設(shè)置三、PHP的安全設(shè)置
默認(rèn)安裝的php需要有以下幾個注意的問題:
C:\winnt\php.ini只給予users讀權(quán)限即可。在php.ini里需要做如下設(shè)置:
Safe_mode=on
register_globals = Off
allow_url_fopen = Off
display_errors = Off
magic_quotes_gpc = On [默認(rèn)是on,但需檢查一遍]
open_basedir =web目錄
disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod
默認(rèn)設(shè)置com.allow_dcom = true修改為false[修改前要取消掉前面的;]
web服務(wù)器安全設(shè)置四、MySQL安全設(shè)置
如果服務(wù)器上啟用MySQL數(shù)據(jù)庫,MySQL數(shù)據(jù)庫需要注意的安全設(shè)置為:
刪除mysql中的所有默認(rèn)用戶,只保留本地root帳戶,為root用戶加上一個復(fù)雜的密碼。賦予普通用戶updatedeletealertcreatedrop權(quán)限的時候,并限定到特定的數(shù)據(jù)庫,尤其要避免普通客戶擁有對mysql數(shù)據(jù)庫操作的權(quán)限。檢查mysql.user表,取消不必要用戶的shutdown_priv,reload_priv,process_priv和File_priv權(quán)限,這些權(quán)限可能泄漏更多的服務(wù)器信息包括非mysql的 其它 信息出去??梢詾閙ysql設(shè)置一個啟動用戶,該用戶只對mysql目錄有權(quán)限。設(shè)置安裝目錄的data數(shù)據(jù)庫的權(quán)限(此目錄存放了mysql數(shù)據(jù)庫的數(shù)據(jù)信息)。對于mysql安裝目錄給users加上讀取、列目錄和執(zhí)行權(quán)限。
Serv-u安全問題:
安裝程序盡量采用最新版本,避免采用默認(rèn)安裝目錄,設(shè)置好serv-u目錄所在的權(quán)限,設(shè)置一個復(fù)雜的管理員密碼。修改serv-u的banner信息,設(shè)置被動模式端口范圍(4001—4003)在本地服務(wù)器中設(shè)置中做好相關(guān)安全設(shè)置:包括檢查匿名密碼,禁用反超時調(diào)度,攔截“FTP bounce”攻擊和FXP,對于在30秒內(nèi)連接超過3次的用戶攔截10分鐘。域中的設(shè)置為:要求復(fù)雜密碼,目錄只使用小寫字母,高級中設(shè)置取消允許使用MDTM命令更改文件的日期。
更改serv-u的啟動用戶:在系統(tǒng)中新建一個用戶,設(shè)置一個復(fù)雜點的密碼,不屬于任何組。將servu的安裝目錄給予該用戶完全控制權(quán)限。建立一個FTP根目錄,需要給予這個用戶該目錄完全控制權(quán)限,因為所有的ftp用戶上傳,刪除,更改文件都是繼承了該用戶的權(quán)限,否則無法操 作文 件。另外需要給該目錄以上的上級目錄給該用戶的讀取權(quán)限,否則會在連接的時候出現(xiàn)530 Not logged in, home directory does not exist。比如在測試的時候ftp根目錄為d:soft,必須給d盤該用戶的讀取權(quán)限,為了安全取消d盤其他文件夾的繼承權(quán)限。而一般的使用默認(rèn)的system啟動就沒有這些問題,因為system一般都擁有這些權(quán)限的。
web服務(wù)器安全設(shè)置五、數(shù)據(jù)庫服務(wù)器的安全設(shè)置
對于專用的MSSQL數(shù)據(jù)庫服務(wù)器,按照上文所講的設(shè)置TCP/IP篩選和IP策略,對外只開放1433和5631端口。對于MSSQL首先需要為sa設(shè)置一個強壯的密碼,使用混合身份驗證,加強數(shù)據(jù)庫日志的記錄,審核數(shù)據(jù)庫登陸事件的”成功和失敗”.刪除一些不需要的和危險的OLE自動存儲過程(會造成 企業(yè)管理 器中部分功能不能使用),這些過程包括如下:
Sp_OAcreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
去掉不需要的注冊表訪問過程,包括有:
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue
Xp_regenumvalues Xp_regread Xp_regremovemultistring
Xp_regwrite
去掉其他系統(tǒng)存儲過程,如果認(rèn)為還有威脅,當(dāng)然要小心drop這些過程,可以在測試機器上測試,保證正常的系統(tǒng)能完成工作,這些過程包括:
xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember
xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin
sp_addextendedproc
在實例屬性中選擇TCP/IP協(xié)議的屬性。選擇隱藏 SQL Server 實例可防止對1434端口的探測,可修改默認(rèn)使用的1433端口。除去數(shù)據(jù)庫的guest賬戶把未經(jīng)認(rèn)可的使用者據(jù)之在外。 例外情況是master和 tempdb 數(shù)據(jù)庫,因為對他們guest帳戶是必需的。另外注意設(shè)置好各個數(shù)據(jù)庫用戶的權(quán)限,對于這些用戶只給予所在數(shù)據(jù)庫的一些權(quán)限。在程序中不要用sa用戶去連接任何數(shù)據(jù)庫。網(wǎng)絡(luò)上有建議大家使用協(xié)議加密的,千萬不要這么做,否則你只能重裝MSSQL了。