快捷導(dǎo)航

Win2003 服務(wù)器安全配置技巧第3/3頁(yè)

更新時(shí)間：2009年07月02日 13:48:52 作者：

我們配置的服務(wù)器需要提供支持的組件如下：（ASP、ASPX、CGI、PHP、FSO、JMAIL、MySql、SMTP、POP3、FTP、 3389終端服務(wù)、遠(yuǎn)程桌面Web連接管理服務(wù)等）

在應(yīng)用程序池里有個(gè)"標(biāo)識(shí)"選項(xiàng)，可以選擇應(yīng)用程序池的安全性帳戶，默認(rèn)才用網(wǎng)絡(luò)服務(wù)這個(gè)帳戶，大家就不要?jiǎng)铀?，能盡量以最低權(quán)限去運(yùn)行大，隱患也就更小些。在一個(gè)站點(diǎn)的某些目錄里，譬如這個(gè)"uploadfile"目錄，不需要在里面運(yùn)行asp程序或其他腳本的，就去掉這個(gè)目錄的執(zhí)行腳本程序權(quán)限，在"應(yīng)用程序設(shè)置"的"執(zhí)行權(quán)限"這里，默認(rèn)的是"純腳本"，我們改成"無(wú)"，這樣就只能使用靜態(tài)頁(yè)面了。依次類推，大凡是不需要asp運(yùn)行的目錄，譬如數(shù)據(jù)庫(kù)目錄，圖片目錄等等里都可以這樣做，這樣主要是能避免在站點(diǎn)應(yīng)用程序腳本出現(xiàn)bug的時(shí)候，譬如出現(xiàn)從前流行的upfile漏洞，而能夠在一定程度上對(duì)漏洞有扼制的作用。

在默認(rèn)情況下，我們一般給每個(gè)站點(diǎn)的web目錄的權(quán)限為IIS用戶的讀取和寫入，如圖：

但是我們現(xiàn)在為了將SQL注入，上傳漏洞全部都趕走，我們可以采取手動(dòng)的方式進(jìn)行細(xì)節(jié)性的策略設(shè)置。

1．給web根目錄的IIS用戶只給讀權(quán)限。如圖：

然后我們對(duì)響應(yīng)的uploadfiles/或其他需要存在上傳文件的目錄額外給寫的權(quán)限，并且在IIS里給這個(gè)目錄無(wú)腳本運(yùn)行權(quán)限，這樣即使網(wǎng)站程序出現(xiàn)漏洞，入侵者也無(wú)法將asp木馬寫進(jìn)目錄里去，呵呵，不過(guò)沒(méi)這么簡(jiǎn)單就防止住了攻擊，還有很多工作要完成。如果是MS-SQL數(shù)據(jù)庫(kù)的，就這樣也就OK了，但是Access的數(shù)據(jù)庫(kù)的話，其數(shù)據(jù)庫(kù)所在的目錄，或數(shù)據(jù)庫(kù)文件也得給寫權(quán)限，然后數(shù)據(jù)庫(kù)文件沒(méi)必要改成.asp的。這樣的后果大家也都知道了把，一旦你的數(shù)據(jù)庫(kù)路徑被暴露了，這個(gè)數(shù)據(jù)庫(kù)就是一個(gè)大木馬，夠可怕的。其實(shí)完全還是規(guī)矩點(diǎn)只用mdb后綴，這個(gè)目錄在IIS里不給執(zhí)行腳本權(quán)限。然后在IIS里加設(shè)置一個(gè)映射規(guī)律，如圖：