动易的服务器安全配置宣贯.pdfVIP

前言 其实，在服务器的安全设置方面，我虽然有一些经验，但是还谈不上有研究，所以我写这篇文章的时候心里很不踏 实，总害怕说错了会误了别人的事。 本文更侧重于防止 ASP 漏洞攻击，所以服务器防黑等方面的讲解可能略嫌少了点。 基本的服务器安全设置 安装补丁 安装好操作系统之后，最好能在托管之前就完成补丁的安装，配置好网络后，假如是 2000 则确定安装上了 SP4 ， 假如是 2003 ，则最好安装上 SP1 ，然后点击开始→ Windows Update ，安装所有的要害更新。 安装杀毒软件 虽然杀毒软件有时候不能解决问题， 但是杀毒软件避免了很多问题。 我一直在用诺顿 2004 ，据说 2005 可以杀木马， 不过我没试过。还有人用瑞星，瑞星是确定可以杀木马的。更多的人说卡巴司机好，不过我没用过。 不要指望杀毒软件杀掉所有的木马，因为 ASP 木马的特征是可以通过一定手段来避开杀毒软件的查杀。 设置端口保护和防火墙、删除默认共享 都是服务器防黑的措施，即使你的服务器上没有 IIS ，这些安全措施都最好做上。这是阿江的盲区，大概知道屏蔽端 口用本地安全策略，不过这方面的东西网上攻略很多，大家可以擞出来看看，晚些时候我或者会复制一些到我的网 站上。 权限设置 阿江感觉这是防止 ASP 漏洞攻击的要害所在， 优秀的权限设置可以将危害减少在一个 IIS 站点甚至一个虚拟目录里。 我这里讲一下原理和设置思路，聪明的朋友应该看完这个就能解决问题了。 权限设置的原理 WINDOWS 用户，在 WINNT 系统中大多数时候把权限按用户（組）来划分。在【开始→程序→治理工具→计算机 治理→本地用户和组】治理系统用户和用户组。 NTFS 权限设置，请记住分区的时候把所有的硬盘都分为 NTFS 分区，然后我们可以确定每个分区对每个用户开放 的权限。 【文件（夹）上右键→属性→安全】在这里治理 NTFS 文件（夹）权限。 IIS 匿名用户，每个 IIS 站点或者虚拟目录，都可以设置一个匿名访问用户（现在暂且把它叫 “IIS匿名用户 ”），当 用户访问你的网站的 .ASP 文件的时候，这个 .ASP 文件所具有的权限，就是这个 “IIS 匿名用户 ”所具有的权限。 权限设置的思路 要为每个独立的要保护的个体（比如一个网站或者一个虚拟目录）创建一个系统用户，让这个站点在系统中具有惟 一的可以设置权限的身份。 在 IIS 的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑】填写刚刚创 建的那个用户名。 设置所有的分区禁止这个用户访问，而刚才这个站点的主目录对应的那个文件夹设置答应这个用户访问（要去掉继 续父权限，并且要加上超管组和 SYSTEM 组）。 这样设置了之后，这个站点里的 ASP 程序就只有当前这个文件夹的权限了，从探针上看，所有的硬盘都是红叉叉。 我的设置方法 我是先创建一个用户组，以后所有的站点的用户都建在这个組里，然后设置这个组在各个分区没有权限或者完全拒 绝。然后再设置各个 IIS 用户在各在的文件夹里的权限。 因为比较多，所以我很不想写，其实知道了上面的原理，大多数人都应该懂了，除非不知道怎么添加系统用户和組， 不知道怎么设置文件夹权限，不知道 IIS 站点属性在那里。真的有那样的人，你也不要着急，要沉住气慢慢来，具 体的方法其实自己也能摸索出来的，我就是这样。当然，假如我有空，我会写我的具体设置方法，很傲能还会配上 图片。 改名或卸载不安全组件 不安全组件不惊人 我的在阿江探针 1.9 里加入了不安全组件检测功能（其实这是参考 7i24 的代码写的，只是把界面改的友好了一点， 检测方法和他是基本一样的） ，这个功能让很多站长吃惊不小，因为他发现他的服务器支持很多不安全组件。 其实，只要做好了上面的权限设置，那么 FSO 、XML 、strem 都不再是不安全组件了，因为他们都没有跨出自己的 文件夹或者站点的权限。那个欢乐时光更不用怕，有杀毒软件在还怕什么时光啊。 最危险的组件是 WSH 和 Shell ，因为它可以运行你硬盘里的 EXE 等程序， 比如它可以运行提升程序来提升