【文章內容簡介】 取消選擇“啟用父路徑”復選框。?? 在iis里把所有的目錄,不包括asp等文件的目錄 ,比如img,image,pic,upload等等這些目錄,里面一般是沒有asp文件的目錄的執(zhí)行許可設置為無,這樣就算你用的程序被發(fā)現了新的漏洞,傳了馬上來了,它也執(zhí)行不了,不過要看仔細了,有些目錄里也是有asp,asa文件的!主頁使用的文件按照文件類型應使用不同的訪問控制列表：CGI (.exe, .dll, .cmd, .pl) Everyone (X) Administrators（完全控制）System（完全控制）腳本文件 (.asp) Everyone (X) Administrators（完全控制）System（完全控制）include文件 (.inc, .shtm, .shtml) Everyone (X) Administrators（完全控制）System（完全控制）靜態(tài)內容 (.txt, .gif, .jpg, .html) Everyone (R) Administrators（完全控制）System（完全控制）在創(chuàng)建Web站點時，沒有必要在每個文件上設置訪問控制權限，應該為每個文件類型創(chuàng)建一個新目錄，然后在每個目錄上設置訪問控制權限、允許訪問控制權限傳給各個文件。 例如，目錄結構可為以下形式：D:\\root\\myserver\\static (.html) D:\\root\\myserver\\include (.inc) D:\\root\\myserver \\script (.asp) D:\\root\\myserver \\executable (.dll) D:\\root\\myserver \\images (.gif, .jpeg) 1）日志的審核配置確定服務器是否被攻擊時，日志記錄是極其重要的。應使用 W3C 擴展日志記錄格式，步驟如下： 打開 Internet 服務管理器： 右鍵單擊站點，然后從上下文菜單中選擇“屬性”。單擊“Web 站點”選項卡。 選中“啟用日志記錄”復選框。從“活動日志格式”下拉列表中選擇“W3C 擴展日志文件格式”。單擊“屬性”。單擊“擴展屬性”選項卡，然后設置以下屬性：* 客戶 IP 地址 * 用戶名* 方法* URI 資源* HTTP 狀態(tài)* Win32 狀態(tài)* 用戶代理* 服務器 IP 地址 * 服務器端口2）日志的安全管理啟用操作系統(tǒng)組策略中的審核功能，對關鍵事件進行審核記錄；啟用IIS、FTP服務器等服務本身的日志功能；并對所有日志存放的默認位置進行更改同時作好文件夾權限設置！安裝Portreport對所有網絡訪問操作進行監(jiān)視（可選，可能增大服務器負荷）；安裝自動備份工具，定時對上述日志進行異地備份，起碼是在其他分區(qū)的隱蔽位置進行備份，并對備份目錄設置好權限（僅管理員可訪問）。準備一款日志分析工具，以便隨時可用。要特別關注任何服務的重啟、訪問敏感的擴展存儲過程等事件。可使用IIS的備份功能，將設定好的IIS配置全部備份下來，這樣就可以隨時恢復1）使用工具程序修改IIS標志修改IIS標志Banner的方法：下載一個修改IIS Banner顯示信息的軟件——。利用它我們可以很輕松地修改IIS的Banner。但要注意在修改之前我們首先要將IIS停止（最好是在服務中將World Wide Web Publishing停止）,并要將DLLcache下的文件全部清除。否則你會發(fā)現即使修改了一點改變也沒有。IIS/PWS Banner Edit其實是個傻瓜級的軟件，我們只要直接在New Banner中輸入想要的Banner信息，再點擊Save to file就修改成功了。用IIS/PWS Banner Edit簡單地修改，對菜鳥黑客來說他可能已被假的信息迷惑了，可是對一些高手來說這并沒有給他們造成什么麻煩。為此我們必須親自修改IIS的Banner信息，這樣才能做到萬無一失。高版本Windows的文件路徑為 C:\\WINDOWS\\system32\\inetsrv\\,，然后以“Server：”為關鍵字查找。利用編輯器將原來的內容替換成我們想要的信息，比如改成Apache的顯示信息，這樣入侵者就無法判斷我們的主機類型，也就無從選擇溢出工具了。2）修改IIS的默認出錯提示信息等。很多文章講了怎樣防止數據庫不被下載都不錯的,只要記住一點 .不要改成asp就可以了,不然給你放一個一句話木馬讓你死的很難看, Object Not Found出錯頁面通過URL重定向到一個定制HTM文件,這樣大多數的暴庫得到的都是你設置好的文件,自然就掩飾了數據庫的地址還能防止一些菜鳥sql注射。對于服務器管理員，既然你不可能挨個檢查每個網站是否存在SQL注入漏洞，那么就來個一個絕招。這個絕招能有效防止SQL注入入侵而且省心又省力，效果真好！SQL注入入侵是根據IIS給出的ASP錯誤提示信息來入侵的，如果你把IIS設置成不管出什么樣的ASP錯誤，只給出一種錯誤提示信息，即 500錯誤，那么人家就沒辦法入侵了。具體設置請參看圖2。主要把500:100這個錯誤的默認提示頁面 C:\\WINDOWS\\Help\\iisHelp\\mon\\C:\\WINDOWS\\Help\\iisHelp\\mon\\，這時，無論ASP運行中出什么錯，服務器都只提示HTTP　500錯誤。還可更改C:\\WINDOWS\\Help\\iisHelp\\mon\\META HTTPEQUIV=REFRESH CONTENT=0。URL=/。這樣，出錯了自動轉到首頁?！?？？Win 2003中提高FSO的安全性ASP提供了強大的文件系統(tǒng)訪問能力，可以對服務器硬盤上的任何文件進行讀、寫、復制、刪除、改名等操作，這給學校網站的安全帶來巨大的威脅?，F在很多校園主機都遭受過FSO木馬的侵擾。但是禁用FSO組件后，引起的后果就是所有利用這個組件的ASP程序將無法運行，無法滿足客戶的需求。如何既允許FileSystemObject組件，又不影響服務器的安全性呢（即：不同虛擬主機用戶之間不能使用該組件讀寫別人的文件）？以下是筆者多年來摸索出來的經驗： 　　第一步是有別于Windows 2000設置的關鍵：右擊C盤，點擊“共享與安全”，在出現在對話框中選擇“安全”選項卡，將Everyone、Users組刪除，刪除后如果你的網站連ASP程序都不能運行，請?zhí)砑覫IS_WPG組（圖1），并重啟計算機。經過這樣設計后，FSO木馬就已經不能運行了。如果你要進行更安全級別的設置，請分別對各個磁盤分區(qū)進行如上設置，并為各個站點設置不同匿名訪問用戶。下面以實例來介紹（）： 　　1. 打開“計算機管理→本地用戶和組→用戶”，創(chuàng)建Abc用戶，并設置密碼，并將“用戶下次登錄時須更改密碼”前的對號去掉，選中“用戶不能更改密碼”和“密碼永不過期”，并把用戶設置為隸屬于Guests組。 　　2. 右擊E:\\Abc，選擇“屬性→安全”選項卡，此時可以看到該文件夾的默認安全設置是“Everyone”完全控制（視不同情況顯示的內容不完全一樣），刪除Everyone的完全控制（如果不能刪除，請點擊[高級]按鈕，將“允許父項的繼承權限傳播”前面的對號去掉，并刪除所有），添加Administrators及Abc用戶對本網站目錄的所有安全權限。 　　3. 打開IIS管理器，在彈出的菜單中選擇“屬性→目錄安全性”選項卡，點擊身份驗證和訪問控制的[編輯]，彈出圖2所示對話框，匿名訪問用戶默認的就是“IUSR_機器名”，點擊[瀏覽]，在“選擇用戶”對話框中找到前面創(chuàng)建的Abc賬戶，確定后重復輸入密碼。 經過這樣設置，訪問網站的用戶就以Abc賬戶匿名身份訪問E:\\Abc文件夾的站點，因為Abc賬戶只對此文件夾有安全權限，所以他只能在本文件夾下使用FSO。　　常見問題： 　　如何解除FSO上傳程序小于200k限制？ 　　先在服務里關閉IIS admin service服務，找到Windows＼System32＼Inesrv目錄下的Metabase．xml并打開，找到ASPMaxRequestEntityAllowed，將其修改為需要的值。默認為204800，即200K，把它修改為51200000（50M），然后重啟IIS admin service服務。 　　ASP提供了強大的文件系統(tǒng)訪問能力，可以對服務器硬盤上的任何文件進行讀、寫、復制、刪除、改名等操作，這給學校網站的安全帶來巨大的威脅?，F在很多校園主機都遭受過FSO木馬的侵擾。但是禁用FSO組件后，引起的后果就是所有利用這個組件的ASP程序將無法運行，無法滿足客戶的需求。如何既允許FileSystemObject組件，又不影響服務器的安全性呢（即：不同虛擬主機用戶之間不能使用該組件讀寫別人的文件）？以下是筆者多年來摸索出來的經驗： 　　第一步是有別于Windows 2000設置的關鍵：右擊C盤，點擊“共享與安全”，在出現在對話框中選擇“安全”選項卡，將Everyone、Users組刪除，刪除后如果你的網站連ASP程序都不能運行，請?zhí)砑覫IS_WPG組（圖1），并重啟計算機。 　　經過這樣設計后，FSO木馬就已經不能運行了。如果你要進行更安全級別的設置，請分別對各個磁盤分區(qū)進行如上設置，并為各個站點設置不同匿名訪問用戶。下面以實例來介紹（）： 　　1. 打開“計算機管理→本地用戶和組→用戶”，創(chuàng)建Abc用戶，并設置密碼，并將“用戶下次登錄時須更改密碼”前的對號去掉，選中“用戶不能更改密碼”和“密碼永不過期”，并把用戶設置為隸屬于Guests組。 　　2. 右擊E:\\Abc，選擇“屬性→安全”選項卡，此時可以看到該文件夾的默認安全設置是“Everyone”完全控制（視不同情況顯示的內容不完全一樣），刪除Everyone的完全控制（如果不能刪除，請點擊[高級]按鈕，將“允許父項的繼承權限傳播”前面的對號去掉，并刪除所有），添加Administrators及Abc用戶對本網站目錄的所有安全權限。 　　3. 打開IIS管理器，在彈出的菜單中選擇“屬性→目錄安全性”選項卡，點擊身份驗證和訪問控制的[編輯]，彈出圖2所示對話框，匿名訪問用戶默認的就是“IUSR_機器名”，點擊[瀏覽]，在“選擇用戶”對話框中找到前面創(chuàng)建的Abc賬戶，確定后重復輸入密碼。 　　經過這樣設置，訪問網站的用戶就以Abc賬戶匿名身份訪問E:\\Abc文件夾的站點，因為Abc賬戶只對此文件夾有安全權限，所以他只能在本文件夾下使用FSO。 四、數據及備份管理1．備份1）要經常把重要數據備份到專用的備份服務器，備份完畢后，可將備份服務器與網絡隔離。 可采用自動的備份工具進行，要求支持FTP方式備份。2）使用系統(tǒng)的備份功能對安裝好的系統(tǒng)進行階段性備份。3）使用等工具對注冊表進行階段性備份。4）使用Ghost對全面配置完畢的系統(tǒng)分區(qū)進行映像備份，并存放到隱藏的分區(qū)中。2．設置文件共享權限1） 限制共享權限設置共享文件時，要注意把共享文件的權限從“everyone”組改成“授權用戶”，包括打印共享。2） 關閉默認共享Win 2000安裝好以后，系統(tǒng)會創(chuàng)建一些隱藏的共享，在cmd下可用net share命令查看它們。要禁止這些共享。**作方法是：打開“管理工具→計算機管理→共享文件夾→共享”，在相應的共享文件夾上按右鍵，點“停止共享”即可。不當過機器重新啟動后，這些共享又會重新開啟。Windows 2000/XP/2003版本的操作系統(tǒng)提供了默認共享功能，這些默認的共享都有“$”標志，意為隱含的，包括所有的邏輯盤（C$，D$，E$……）和系統(tǒng)目錄Winnt或Windows（admin$）。網絡上的任何人都可以通過共享硬盤，隨意進入你的電腦，黑客可以通過連接你的電腦實現對這些默認共享的訪問，因此我們有必要關閉這些默認的共享。通過更改注冊表的一些鍵值，可以關閉這些共享：　1. 在“開始”菜單中選擇“運行”輸入“regedit”確定后，打開注冊表編輯器，找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\ parameters”項 ，雙擊右側窗口中的“AutoShareServer”項將鍵值由1改為0，這樣就能關閉硬盤各分區(qū)的共享。如果沒有AutoShareServer項，可自己新建一個再改鍵值。？2. 還是在這一窗口下再找到“AutoShareWks”項，也把鍵值由1改為0，關閉admin$共享。？3. 到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa”項處找到“restr