首先在 D:根目錄新建一個 wwwroot 檔案夾,用來做為 WEB 服務器站點的根目錄,里面存放不同網站的檔案夾。例如新建第一個網站存放檔案的目錄 WebSite1,為了杜絕跨站攻擊等各種相關安全問題,實作各個虛擬主機目錄有獨立權限的訪問機制,我們要給每個目錄分配一個匿名訪問的用戶帳號。
依次右擊桌面我的電腦----->管理------>本地用戶與組,然后新建一個用戶 IISUSER_01,選中用戶不能更改密碼和密碼永不過期,去掉其余兩項復選。(當然,如果您的 WEB SERVER 上有 50 個虛擬主機的話,可以再以同樣的方法新增一些用戶)。可以給每個新增用戶設定個密碼,當然,其實為空也無大礙,因為這是用來為 IIS 匿名訪問用戶而設的,對系統安全基本不會有影響。
新增用戶后因為默認新增用戶自動加入 Users 組內,要分別去除掉它們 User 組的權限,并重新分別把它們只歸屬于 Guests 組,這一步一定要記住了,安全問題很關鍵。設定完成后,為了方便統一劃分 WEB 站點匿名訪問用戶的權限,再新建一個用戶組,例如為 IISUSER_GROUP,把 IISUSER_01 用戶添加到 IISUSER_GROUP 組內。
用戶和組設定好后,我們再次打開 d 盤的 wwwroot,右擊 website1 檔案夾在屬性配置的安全選項里,添加 IISUSER_01 用戶權限(如果是單純的 HTML 站點可以只給讀取權限即可,如果是 ASP+ACESS 資料庫或需要進行 FSO 操作的站點,同時還需要加上"寫入"權限或一般我們將“完全控制”權給 IISUSER_01 用戶)。
如果想進行更嚴密的安全配置,可以設定IISUSER_01 用戶在website1目錄的權限為讀取,在需要更新或寫入操作的圖片上傳目錄或資料庫目錄上才賦予寫入權限,這樣更為安全。做完這一步,網站的目錄安全性就夠了嗎?不,利用一些 FSO 等木馬一樣還可以進行跨站進行讀取,雖然跨站后沒有權限修改,但比如用海洋頂端的檔案夾打包功能,仍能進行跨站瀏覽系統磁盤及包操作并下載!解決的方法是,右擊 C 和 D 盤符選擇屬性中的安全選項,添加剛才我們建立的用戶組(包含有 IISUSER_01 或新增的其它 WEB 網站目錄用戶),禁止該組的所有操作權限。
(注意子目錄繼承權限的設定,WebSite1 目錄不要繼承父目錄的該權限。)
這樣一來,每個站點的瀏覽者(匿名訪問用戶)也只能對該站目錄內檔案進行一定的權限操作,即使 ASP 木馬上傳到其中一個網站目錄,不會對別的站點造成任何影響,更不會對服務器的安全有任何危險。
檔案夾安全配置完后,我們下一步將進行 IIS 的配置。
首先打開 IIS 管理器—》主目錄,為了方便統一管理,將默認站點重命名為 WebSite1 并將主目錄指向 D:\wwwroot\WebSite1 目錄。
然后點擊本視窗的配置按鈕進入應用程式配置,在應用程式擴展欄中洗掉必須之外的任何無用映射, 只保留你確實需要用到的檔案型別,比如 ASP,ASPX,shtml 等,一般的 WEB 服務器應用有了其中兩個映射就夠了,其它的映射在以往的自由微軟漏洞中都發生過太多的安全漏洞事件,不信你可以去查查以前的漏洞串列。開始把不用的擴展一個個洗掉掉吧。
配置完這一項,再點擊本視窗上方的選項欄,一般在大部分的 ASP 程式中,我們都會在代碼中呼叫父路徑,我們在這一頁中勾選中[啟用父路徑]的復選框,當然如果你確定你的程式不會有呼叫父路徑的代碼,最好不要選擇此項,安全性會更強一些。最后,再點擊本視窗上方的除錯欄,在腳本錯誤的錯誤訊息選項中,選中[向客戶端發送下列文本錯誤訊息]項否則 ASP 腳本出錯時,出錯資訊很可能會向客戶端顯示你的資料庫路徑(即黑客常說的暴庫),程式代碼,結構,引數等重要資訊。
為了避免 cgi 漏洞掃描器掃描到 IIS 漏洞的安全隱患,在 IIS 管理面板中將 HTTP404 Object Not Found 出 錯 頁 面 通 過 URL 重 定 向 到 一 個 定 制 HTM 文 件 , 我 們 可 以 更 改C:/WINDOWS/Help/iisHelp/common/404b.htm 內容改為:<META http-equiv="REFRESH" content="5;URL=您的網站首頁">,或者可在 IIS 管理面板中的自定義錯誤欄修改 404 錯誤頁的 HTML 檔案路徑并做相應修改最后,我們還要把之前在為該站點建立的匿名用戶帳號系結到此站點的目錄安全性中的訪問權限來。打開站點的屬性頁中的"目錄安全性"選項卡,點身份驗證和訪問控制的"編輯" 勾選啟用匿名訪問,并點擊該欄的瀏覽按鈕,選擇我們之前為此站點(WebSite1)分配的匿名用戶帳號 IISUSER_01, 輸入該用戶的口令,提示再次輸入確認密碼。如無則留空即可。
經過設定匿名訪問帳號后,"WebSite1"網站的用戶,使用 ASP 的 FileSystemObject 組件 或 其 它 木 馬 程 序 入 侵 攻 擊 服 務 器 時 , 也 只 能 訪 問 “ WebSite1 ” 的 網 站 目 錄 :d:\wwwroot\WebSite1 下的內容,當試圖訪問其他內容時,會出現諸如"沒有權限"、"硬碟未準備好"、"500 服務器內部錯誤"等出錯提示了(曾試過用 asp 海洋頂端 2006 木馬進行全面測驗,對服務器安全不構成任何影響)。
最后,別忘了備份 IIS 的配置,在災難性系統崩潰或 IIS 出現重大錯誤需要重新安裝等緊急事故,可以快速的恢復 IIS 的安全配置,恢復站點的正常運行,備份功能很簡單,IIS 管理面板的操作工具列—》所有任務—》進行備份。
實際上,配置資料庫是指 MetaBase.xml 與 MBSchema.xml 檔案的組合以及駐留記憶體的 配 置 資料庫 。IIS 配 置資訊存盤在 MetaBase.xml 文 件 中 ,而配置數 據 庫 架構存盤在MBSchema.xml 檔案中。當啟動 IIS 時,這些檔案會由存盤層讀取,然后通過管理基本物件(ABO) 寫入到記憶體中的配置資料庫中…
說到 MetaBase.xml,隨便提到一點 IIS6 常遇到的問題,就是無法上傳大檔案的問題,IIS 6出于安全考慮, 默認最大請求 200K(也即最大提交資料限額為 200KByte, 204800Byte)。通常200K 的大小是不能滿足我們站點的需求的,解決的方法如下:
1. 關閉 IIS Admin Service 服務
2. 打開 \Windows\system32\inesrv\metabase.xml
3. 修改 ASPMaxRequestEntityAllowed 的值為自己需要的, 默認為 204800,即限制上傳檔案最大 200KB。
4. 啟動 IIS Admin Service
其實如果你對編程有些了解,仔細查看 metabase.xml 檔案中的內容,你會發現,很多 IIS配置同樣可以在里面修改,當然,除非你很熟悉,否則不建議直接修改。
配置到這一步,我們已經成功的配置了一臺安全性較高的 WEB 服務器
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/185048.html
標籤:網絡
上一篇:Seo優化
下一篇:幾款實用的linux工具
