阿江的WINDOWS服務器安全設置_動易Cms教程

前言
其實，在服務器的安全設置方面，我雖然有一些經驗，但是還談不上有研究，所以我寫這篇文章的時候心里很不踏實，總害怕說錯了會誤了別人的事。

本文更側重于防止ASP漏洞攻擊，所以服務器防黑等方面的講解可能略嫌少了點。

基本的服務器安全設置
安裝補丁
安裝好操作系統之后，最好能在托管之前就完成補丁的安裝，配置好網絡后，假如是2000則確定安裝上了SP4，假如是2003，則最好安裝上SP1，然后點擊開始→Windows Update，安裝所有的要害更新。

安裝殺毒軟件
雖然殺毒軟件有時候不能解決問題，但是殺毒軟件避免了很多問題。我一直在用諾頓2004，據說2005可以殺木馬，不過我沒試過。還有人用瑞星，瑞星是確定可以殺木馬的。更多的人說卡巴司機好，不過我沒用過。

不要指望殺毒軟件殺掉所有的木馬，因為ASP木馬的特征是可以通過一定手段來避開殺毒軟件的查殺。

設置端口保護和防火墻、刪除默認共享
都是服務器防黑的措施，即使你的服務器上沒有IIS，這些安全措施都最好做上。這是阿江的盲區，大概知道屏蔽端口用本地安全策略，不過這方面的東西網上攻略很多，大家可以擻出來看看，晚些時候我或者會復制一些到我的網站上。

權限設置
阿江感覺這是防止ASP漏洞攻擊的要害所在，優秀的權限設置可以將危害減少在一個IIS站點甚至一個虛擬目錄里。我這里講一下原理和設置思路，聰明的朋友應該看完這個就能解決問題了。

權限設置的原理
WINDOWS用戶，在WINNT系統中大多數時候把權限按用戶（組）來劃分。在【開始→程序→治理工具→計算機治理→本地用戶和組】治理系統用戶和用戶組。
NTFS權限設置，請記住分區的時候把所有的硬盤都分為NTFS分區，然后我們可以確定每個分區對每個用戶開放的權限�！疚募�（夾）上右鍵→屬性→安全】在這里治理NTFS文件（夾）權限。
IIS匿名用戶，每個IIS站點或者虛擬目錄，都可以設置一個匿名訪問用戶（現在暫且把它叫“IIS匿名用戶”），當用戶訪問你的網站的.ASP文件的時候，這個.ASP文件所具有的權限，就是這個“IIS匿名用戶”所具有的權限。
權限設置的思路
要為每個獨立的要保護的個體（比如一個網站或者一個虛擬目錄）創建一個系統用戶，讓這個站點在系統中具有惟一的可以設置權限的身份。
在IIS的【站點屬性或者虛擬目錄屬性→目錄安全性→匿名訪問和驗證控制→編輯→匿名訪問→編輯】填寫剛剛創建的那個用戶名。
設置所有的分區禁止這個用戶訪問，而剛才這個站點的主目錄對應的那個文件夾設置答應這個用戶訪問（要去掉繼續父權限，并且要加上超管組和SYSTEM組）。
這樣設置了之后，這個站點里的ASP程序就只有當前這個文件夾的權限了，從探針上看，所有的硬盤都是紅叉叉。

我的設置方法
我是先創建一個用戶組，以后所有的站點的用戶都建在這個組里，然后設置這個組在各個分區沒有權限或者完全拒絕。然后再設置各個IIS用戶在各在的文件夾里的權限。

因為比較多，所以我很不想寫，其實知道了上面的原理，大多數人都應該懂了，除非不知道怎么添加系統用戶和組，不知道怎么設置文件夾權限，不知道IIS站點屬性在那里。真的有那樣的人，你也不要著急，要沉住氣慢慢來，具體的方法其實自己也能摸索出來的，我就是這樣。當然，假如我有空，我會寫我的具體設置方法，很傲能還會配上圖片。

改名或卸載不安全組件
不安全組件不驚人
我的在阿江探針1.9里加入了不安全組件檢測功能（其實這是參考7i24的代碼寫的，只是把界面改的友好了一點，檢測方法和他是基本一樣的），這個功能讓很多站長吃驚不小，因為他發現他的服務器支持很多不安全組件。

其實，只要做好了上面的權限設置，那么FSO、XML、strem都不再是不安全組件了，因為他們都沒有跨出自己的文件夾或者站點的權限。那個歡樂時光更不用怕，有殺毒軟件在還怕什么時光啊。

查看更多 動易Cms教程  動易Cms模板