案例十三 管理eb服务器的访问权限.docVIP

案例十三 管理Web服务器的访问权限 操作准备 已安装了Windows 2003 Server操作系统及其IIS组件的虚拟机，该虚拟机上已架设好相应的网站。 操作要求 该网站是一个ASP网站，主目录web文件夹位于E:\下，其数据库文件位于web文件夹下的date目录。鉴于网站的以下需求设置其访问权限： 合理配置主目录及数据库目录权限，确保能够注册新会员。 为防止黑客猜出网站数据库路径后下载数据库造成巨大损失，需要强化网站数据库存放目录的权限设置，阻止下载。 对网站设置做一定安全强化，根据服务器中现有网站的代码类型，启用必要的Web服务扩展，禁用无关扩展；合理设置执行权限，并调整应用程序扩展设置，仅保留必要的文件类型解析设置。 经过一段时间的测试运行，发现来自外网下列IP地址：116.114.123.250~252、202.96.174.0~255的渗透攻击行为，需要禁止这些IP地址访问本站。 操作步骤 步骤一、设置NTFS权限 首先对E:\设置NTFS权限，因为Internet 来宾帐户属于Guests组，而Guests组成员跟Users组（用户组）有同等的访问权限，所以首先取消Users组对E:\的权限，如图三.22。接下来对网站主目录的NTFS权限进行设置，添加Internet来宾用户的访问权限，如图三.23，数据库文件夹date目录继承web文件夹的权限，如图三.24。 图三22 设置E:\的NTFS权限 图三23设置主目录的NTFS权限 图三24 date目录的NTFS权限 步骤二、设置IIS权限 在IIS管理器中，更改date目录的IIS权限，取消执行权限，取消读取、写入、目录浏览权限，如图三.25。 图三25 设置date目录的IIS权限 步骤三、管理应用服务扩展及应用程序映射 IIS服务器可以通过Web服务扩展为网站添加各种丰富的功能，但如果我们的网站并没有使用到这些功能，那么出于减少受攻击面的考虑，我们应当禁用不使用的Web服务扩展。 在IIS管理器的Web服务扩展设置中，如下图所示，除了我们网站所需要的“Active Server Pages”之外，其余的Web服务扩展都应当禁用。 加固Web服务扩展 在“应用程序配置”窗口的“映射”选项卡中只保留对asp文件的映射，删除对其它类型文件的映射，如图三.26。 图三26 管理应用程序映射 步骤四、进行IP地址限制 在“IP地址限制和域名限制”窗口中点击添加打开“拒绝访问”窗口，选择“一台计算机”，依次添加“116.114.123.250”、“116.114.123.251”、“116.114.123.252”，如图三.27。选择“一组计算机”，设置如图三.28所示。 图三27拒绝单个IP 图三28拒绝一组计算机 protection design of tall buildings GB50045-95 the construction interior trim design fire protection standard GB50222-95 6, building curtain wall design code for lightning protection lightning protection standard building GB50057-94 7, building curtain wall technical standards for lighting architectural lighting design standard GB/T50033-2001 optical properties of glass curtain wall GB/ T18091-2000 8, physical inspection and technical standards of architectural curtain wall construction performance testing method for in-plane deformation of curtain wall GB/T18250-2000 classification GB/T15225-94 wind pressure of building curtain wall building curtain wall physical properties deformation performance test method GB/T15227-94 curtain GB/T15226-94 curtain air permeability test methods rainwater se