Tag Archives: IIS安全配置

win2003下服务器安全配置

版权所有,Meteor 。
基本的服务器安全设置

1、安装补丁
安装好操作系统之后,安装上SP1,然后点击开始→Windows Update,安装所有的关键更新。
 
2、安装杀毒软件
       虽然杀毒软件有时候不能解决问题,但是杀毒软件避免了很多问题。作为服务器使用,不能使用类似瑞星、kv、卡巴的单机版;而应该使用专门的服务器版。这个国内的似乎都没有做到。国外的有sav,macfee企业版和卡巴企业版。我一直使用sav企业版。
      不要指望杀毒软件杀掉所有的木马,因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。
 
3、设置端口保护和防火墙、删除默认共享,关闭不需要的服务。这些网上有,就不写了

 

权限设置
1、权限设置的原理
WINDOWS用户,在WINNT系统中大多数时候把权限按用户(組)来划分。在【开始→程序→管理工具→计算机管理→本地用户和组】管理系统用户和用户组。
NTFS权限设置,请记住分区的时候把所有的硬盘都分为NTFS分区,然后我们可以确定每个分区对每个用户开放的权限。【文件(夹)上右键→属性→安全】在这里管理NTFS文件(夹)权限。
IIS匿名用户,每个IIS站点或者虚拟目录,都可以设置一个匿名访问用户(现在暂且把它叫“IIS隔离用户”),当用户访问你的网站的.ASP文件的时候,这个.ASP文件所具有的权限,就是这个“IIS隔离用户”所具有的权限。
2、权限设置的思路
每个文件夹都需要有单独的用户,并且只针对该用户访问。该用户为系统用户,且只属于隔离用户组
 
配置方法
1、所有磁盘之只留下system和administator的完全权限,其余的全部删除。注意,去掉继承选项。
2、修改系统属性,将系统的临时文件移动到c盘以外的地方。然后赋予system和administator的完全权限,同时添加虚拟用户的修改权限。
3、具体对文件夹进行配置。假设我们的d盘存放web网站。那么,d盘的权限只有system和administartor完全控制,其余全部去掉。
      比如:需要增加一个名为xxx的网站,
                 a、创建用户组 虚拟用户。隶属于,无。
                       创建用户xxx。隶属于 虚拟用户。删除user组。设定密码。同时设定不可修改密码,密码永不过期                
                b、在d盘下新建名称为xxx的文件夹。添加xxx的权限。注意,不能添加写入和修改。正常情况下应该是读取、列表权限
                c、找到xxx网站的数据库data.mdb。设置xxx权限修改。
                d、找到xxx网站上传文件夹upload,设置xxx权限为修改
                e、在iis中增加虚拟目录xxx。设置为纯脚本。同时,删除除asp,asa之外的所有解析。
                f、在iis中设置虚拟目录xxx的访问权限为允许匿名用户,但不使用默认,用户设置为刚才的xxx,输入密码
               g、在iis中找到data.mdb以及upload目录,设置执行权限为无。
 
 
 
 
 
 
这样来说,服务器就比较安全了。对于asp漏洞可以做到较好的防范。
2005-12-21