配置IIS服务器时需要注意的地方

发布时间：2018-05-17浏览次数：858 <p> </p> <table style="BORDER-RIGHT: #cccccc 1px dotted; TABLE-LAYOUT: fixed; BORDER-TOP: #cccccc 1px dotted; BORDER-LEFT: #cccccc 1px dotted; BORDER-BOTTOM: #cccccc 1px dotted" cellspacing="0" cellpadding="6" width="95%" align="center" border="0"><tbody><tr> <td style="WORD-WRAP: break-word" bgcolor="#fdfddf"> <font color="#ff0000">WebjxCom提示：</font><font color="#000000">介绍五种配置IIS服务器时需要注意的地方，把好安全关是所有网站都必须要做好的功课，如果服务器本身不安全，给网站带来的将是毁灭性的。</font> </td> </tr></tbody></table> 介绍五种<strong>配置IIS服务器时需要注意的地方</strong>，把好安全关是所有网站都必须要做好的功课，如果服务器本身不安全，给网站带来的将是毁灭性的。 <p><strong>一、操作系统的安装</strong></p> <p>我这里说的操作系统以Windows 2000为例，高版本的Windows也有类似功能。</p> <p>格式化硬盘时候，必须格式化为NTFS的，绝对不要使用FAT32类型。</p> <p>C盘为操作系统盘，D盘放常用软件，E盘网站，格式化完成后立刻设置磁盘权限，C盘默认，D盘的安全设置为Administrator和System完全控制，其他用户删除，E盘放网站，如果只有一个网站，就设置Administrator和System完全控制，Everyone读取，如果网站上某段代码必须完成写操作，这时再单独对那个文件所在的文件夹权限进行更改。</p> <p>系统安装过程中一定本着最小服务原则，无用的服务一概不选择，达到系统的最小安装，在安装IIS的过程中，只安装最基本必要的功能，那些不必要的危险服务千万不要安装，例如：FrontPage 2000服务器扩展，Internet服务管理器（HTML），FTP服务，文档，索引服务等等。</p> <p align="center">&#160;</p> <p><strong>二、网络安全配置</strong></p> <p>网络安全最基本的是端口设置，在“本地连接属性”，点“Internet协议（TCP/IP）”，点“高级”，再点“选项”-“TCP/IP筛选”。仅打开网站服务所需要使用的端口，配置界面如下图。</p> <p align="center">&#160;</p> <p>进行如下设置后，从你的服务器将不能使用域名解析，因此上网，但是外部的访问是正常的。这个设置主要为了防止一般规模的DDOS攻击。</p> <p><strong>三、安全模板设置</strong></p> <p>运行MMC，添加独立管理单元“安全配置与分析”，导入模板basicsv.inf或者securedc.inf，然后点“立刻配置计算机”，系统就会自动配置“帐户策略”、“本地策略”、“系统服务”等信息，一步到位，不过这些配置可能会导致某些软件无法运行或者运行出错。</p> <p align="center">&#160;</p> <p><strong>四、WEB服务器的设置</strong></p> <p>以IIS为例，绝对不要使用IIS默认安装的WEB目录，而需要在E盘新建立一个目录。然后在IIS管理器中右击主机-&gt;属性-&gt;WWW服务 编辑-&gt;主目录配置-&gt;应用程序映射，只保留asp和asa，其余全部删除。</p> <p><strong>五、ASP的安全</strong></p> <p>在IIS系统上，大部分木马都是ASP写的，因此，ASP组件的安全是非常重要的。</p> <p>ASP木马实际上大部分通过调用Shell.Application、WScript.Shell、WScript.Network、FSO、Adodb.Stream组件来实现其功能，除了FSO之外，其他的大多可以直接禁用。</p> <p>WScript.Shell组件使用这个命令删除：regsvr32 WSHom.ocx /u</p> <p>WScript.Network组件使用这个命令删除：regsvr32 wshom.ocx /u</p> <p>Shell.Application可以使用禁止Guest用户使用shell32.dll来防止调用此组件。使用命令：cacls C：\WINNT\system32\shell32.dll /e /d guests</p> <p>禁止guests用户执行cmd.exe的命令是： cacls C：\WINNT\system32\Cmd.exe /e /d guests</p> <p><font color="#4e0a13">FSO组件的禁用</font>比较麻烦，如果网站本身不需要用这个组件，那么就通过RegSrv32 scrrun.dll /u命令来禁用吧。如果网站本身也需要用到FSO，那么请参看<font color="#4e0a13">这篇文章</font>。</p> <p>另外，使用微软提供的URLScan Tool这个过滤非法URL访问的工具，也可以起到一定防范作用。当然，每天备份也是一个好习惯。</p>