安全維護 IIS下 ASP 站點的高級技巧

2019-11-02 16:51:18

字體：大中小

來源：轉載

供稿：網友

一. 前言

　?。▋H以此文感謝好友bigeagle。不是他，我可能不用這么擔心win2000安全問題的。呵呵！）

　　人說，一朝被蛇咬，十年怕.....，就是這樣。2000年初，當我終于擺脫winnt 4.0 server那可怕的補丁之旅，邁向win2000 server時。我終于可以比較放心我的服務器了。但隨著SQL SERVER的補丁出現。我知道，與微軟的補丁因緣又開始輪回了。但還好。win2000自動化的管理還是讓我放心好多，而以前管理winnt后的失眠癥狀也逐漸消失了。偶爾還能見到我的"夢"老弟。但這一切都伴隨者同bigeagle的一次知心交談中付之東流了。一次，bigeagle發來qq，給我看了一段代碼。我一看就知道這不是bigeagle寫的代碼，那么爛，不過有點熟悉。再一看，?。浚∵@不是我的數據庫連接字符串嗎??！GOD。頓時覺得有一種不祥的預兆。不過還好，這個只是個access的，我還用了一些手段防止他被下載。但這足以讓我長時間的失眠又來了。（再次說明，bigeagle不是蛇，他是鷹）

二. 安裝過程中的IIS 與 ASP安全防護

　?。ㄟ@里只考慮是Web服務器，而不是本地機子上的web開發平臺。）

接下來的幾天有是幾個難熬的日子。我開始重新部署win2000 web服務器的安全策略。找到ASP代碼被泄漏的原因。原來，我的補丁每次打得都比較及時的。但一次因為卸載FTP時，重裝了IIS，而這之后，我并沒有再打補丁而導致最新的漏洞web解析出錯。（就是那個較新的漏洞 Translate :f，用這個加上一些工具就可以看到ASP的代碼了。）

　　首先，開始重裝IIS。

　　這次安裝的策略就是安全，夠用。去掉一些多余的東西。

　　1. FTP不要安裝了，功能不好，還容易出錯，并且漏洞很大。Ftp缺省傳輸密碼的過程可是明文傳送，很容易被人截獲。（可以考慮用第三方工具。）

　　2. 一切實例、文檔也不要安裝了。這是在web服務器上，最好不要這些例子，事實證明可以從這些例子站點突破IIS的防線的。

　　3. 安裝時選擇站點目錄，建議不要用缺省目錄c:/inetpub，最好安裝道不是系統盤的盤上。如：

d:/IISWEB，可以考慮自建目錄。這樣即使IIS被突破，也能盡可能的保護好系統文件了。

　4. 不要安裝html的遠程管理。html的遠程管理在winnt 4.0還能用的上，但漏洞比較大，而且比較危險，端口號雖然是隨機的，但很容易被人掃描道，從而留下隱患。事實上，我們可以通過另一臺服務器上的IIS來管理他。這樣比較安全。

　　5. 多余的服務也不要安了，如NNtp，如果不做新聞組。就不要安了。smtp，如果有更好的郵件服務，也不要裝它了。

　　6. 索引服務器。這個索引真的是很有用，但我沒有用過他。否則，你可以用他建立個整個站點的文件搜索的，但現在好像大多數的ASP網頁都是一個網頁，動態從數據庫里查詢。所以根本用不上索引服務器了，（不是索引不好，而是本身上面的那種ASP文件結構就不適合）所以可以不要安裝。

三. 有目的進行安全配置

　　①、開發前的工作。

　　首先，啟動IIS后，看有沒有/iissamples,/IIShelp,/msadc/,這些目錄，如果有，他們大多是用來作為例子，幫助安裝的，刪掉他們，再把腳本庫也刪掉，直到web目錄只留下干靜的新建的虛擬目錄即可。如果有管理的web站點，也刪掉他。沒有它，我們一樣可以工作的更好。還有看看有沒有printer的文件夾，他們大多數都是些通過web來訪問打印機的。MS就是怪。為了表示我的功力強大，允許通過web來遠程打印。相信沒有哪個網絡公司是通過web網來打印的把。也不可能讓網友來使用你的計算機吧。那好，去掉它。

　　然后。開始詳細配置各個web虛擬目錄的安全。大概的策略是這樣的。分類每個文件夾管理，如可以把擴展名是相同的分配到同一目錄，如*.ASP的，和*.inc就盡量分開。如果是*.ASP的，則開放虛擬目錄權限，但將實際目錄權限授予administrator,system(完全控制)everyone (rc)即可。這樣可以通過web允許讀取。但實際上你可以加大安全力度，如果你認為它是比較保密的。如果是*.inc的，則開放目錄權限，但不允許通過直接訪問。這里又一個技巧了。比如，你可以允許實際目錄被everyone訪問，但在IIS中，你把改目錄瀏覽項去掉，而包含文件只能被源文件讀取，但不允許被直接讀取。這樣，黑客就不可能下載到你的單機數據庫了，而且你的*.inc文件也不會被瀏覽器直接閱讀。

上一篇：保護(IIS)web服務器安全的15個技巧

下一篇：Web服務器安全完全指南