配置iis服务器有五点需要注意。所有网站都要做好保障工作。如果服务器本身不安全,对网站来说是毁灭性的。
一、操作系统的安装
我这里说的操作系统以Windows 2000为例。更高版本的Windows也有类似的功能。
格式化硬盘时,必须将其格式化为NTFS。切勿使用FAT32型。
c盘是操作系统盘,D盘包含常用软件,E盘网站。格式化后,会立即设置磁盘权限。c盘是默认的,D盘的安全设置是管理员和系统完全控制。当其他用户删除它时,E盘存储网站。如果只有一个网站,设置管理员和系统完全控制,所有人都可以阅读。如果网站上的某个代码必须要写,那么就单独更改该文件所在文件夹的权限。
在系统的安装过程中,要遵循最小服务的原则,不要选择无用的服务来实现系统的最小安装。在安装IIS的过程中,应该只安装最基本和必要的功能,而绝不安装那些不必要和危险的服务,如frontpage 2000 server extension、Internet service manager (HTML)、FTP服务、文档和索引服务等。
二、网络安全配置
网络安全最基本的就是端口设置。在“本地连接属性”中,单击“Internet协议(TCP/IP)”,单击“高级”,然后单击“选项”-“TCP/IP过滤”。只打开网站服务需要的端口,配置界面如下图所示。
进行以下设置后,您的服务器将无法进行域名解析,因此您可以上网,但外部访问正常。这个设置主要是为了防止一般规模的DDOS攻击。
三、安全模板设置
运行MMC,添加独立管理单元“安全配置和分析”,导入模板basicsv.inf或securedc.inf,然后点击“立即配置计算机”,系统会一步到位自动配置“帐户策略”、“本地策略”、“系统服务”等信息。但是,这些配置可能会导致某些软件无法运行或运行不正确。
四。web服务器的设置
以IIS为例,千万不要使用IIS中默认安装的WEB目录,而需要在E盘上新建一个目录。然后在IIS管理器中右键点击主机-属性-WWW服务编辑-主目录配置-应用映射,只留下asp和asa,其他全部删除。
第五,ASP的安全性
在IIS系统上,大部分木马都是ASP编写的,所以ASP组件的安全性非常重要。
其实大部分木马都是通过调用Shell来实现功能的。应用程序,WScript。Shell,WScript。网络,FSO和Adodb。流组件,除了FSO,其他都可以直接禁用。
WScript。使用以下命令删除外壳组件:regsvr32wshom.ocx/u.
WScript。网络组件使用此命令删除:regsvr32wshom.ocx/u.
贝壳。应用程序可以通过禁止来宾用户使用shell32.dll来阻止调用该组件。使用以下命令:cacls c:\ win nt \ system32 \ shell32.dll/e/dguests
禁止来宾执行cmd.exe的命令是:cacls c:\ win nt \ system32 \ cmd.exe/e/dguests.
禁用FSO组件很麻烦。如果网站本身不需要使用这个组件,请通过regsrv 32 scrrun.dll/U命令禁用它。如果网站本身需要FSO,请参考这篇文章。
另外,使用微软提供的URLScan工具,一个过滤非法网址访问的工具,也可以起到预防的作用。当然,每天备份也是一个好习惯。