10.解除NetBios與TCP/IP協議的綁定
說明:NetBois在局域網內是不可缺少的功能,在網站服務器上卻成了黑客掃描工具的首選目標。方法:NT:控制面版——網絡——綁定——NetBios接口——禁用 2000:控制面版——網絡和撥號連接——本地網絡——屬性——TCP/IP——屬性——高級——WINS——禁用TCP/IP上的NETBIOS
11.刪除所有的網絡共享資源,在網絡連接的設置中刪除文件和打印共享,只留下TCP/IP協議
說明:NT與2000在默認情況下有不少網絡共享資源,在局域網內對網絡管理和網絡通訊有用,在網站服務器上同樣是一個特大的安全隱患。(卸載“Microsoft 網絡的文件和打印機共享”。當查看“網絡和撥號連接”中的任何連接屬性時,將顯示該選項。單擊“卸載”按鈕刪除該組件;清除“Microsoft 網絡的文件和打印機共享”複選框將不起作用。)
方法:
(1)NT:管理工具——服務器管理器——共享目錄——停止共享;
2000:控制面版——管理工具——計算及管理——共享文件夾———停止共享
但上述兩種方法太麻煩,服務器每重啓一次,管理員就必須停止一次
(2)修改註冊表:
運行Regedit,然後修改註冊表在HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters下增加一個鍵
Name: AutoShareServer
Type: REG_DWORD
value: 0
然後重新啓動您的服務器,磁盤分區共享去掉,但IPC共享仍存在,需每次重啓後手工刪除。
12.改NTFS的安全權限;
說明:NTFS下所有文件默認情況下對所有人(EveryOne)爲完全控制權限,這使黑客有可能使用一般用戶身份對文件做增加、刪除、執行等操作,建議對一般用戶只給予讀取權限,而只給管理員和System以完全控制權限,但這樣做有可能使某些正常的腳本程序不能執行,或者某些需要寫的操作不能完成,這時需要對這些文件所在的文件夾權限進行更改,建議在做更改前先在測試機器上作測試,然後慎重更改。
13.加強數據備份;
說明:這一點非常重要,站點的核心是數據,數據一旦遭到破壞後果不堪設想,而這往往是黑客們真正關心的東西;遺憾的是,不少網管在這一點上作的並不好,不是備份不完全,就是備份不及時。數據備份需要仔細計劃,制定出一個策略並作了測試以後才實施,而且隨着網站的更新,備份計劃也需要不斷地調整。
14.只保留TCP/IP協議,刪除NETBEUI、IPX/SPX協議;
說明:網站需要的通訊協議只有TCP/IP,而NETBEUI是一個只能用於局域網的協議,IPX/SPX是面臨淘汰的協議,放在網站上沒有任何用處,反而會被某些黑客工具利用。
15.不要起用IP轉發功能,控制面板->網絡->協議->TCP/IP協議->屬性,使這個選框爲空。(NT)
說明:缺省情況下,NT的IP轉發功能是禁止的,但注意不要啓用,否則它會具有路由作用,被黑客利用來對其他服務器進行攻擊。
16.安裝最新的MDAC(http://www.microsoft.com/data/download.htm)
說明:MDAC爲數據訪問部件,通常程序對數據庫的訪問都通過它,但它也是黑客攻擊的目標,爲防止以前版本的漏洞可能會被帶入升級後的版本,建議卸載後安裝最新的版本。注意:在安裝最新版本前最好先做一下測試,因爲有的數據訪問方式或許在新版本中不再被支持,這種情況下可以通過修改註冊表來檔漏洞,祥見漏洞測試文檔。
17.設置IP拒絕訪問列表
說明:對於WWW服務,可以拒絕一些對站點有攻擊嫌疑的地址;尤其對於FTP服務,如果只是自己公司上傳文件,就可以只允許本公司的IP訪問改FTP服務,這樣,安全性大爲提高。
18.禁止對FTP服務的匿名訪問
說明:如果允許對FTP服務做匿名訪問,該匿名帳戶就有可能被利用來獲取更多的信息,以致對系統造成危害。
19.建議使用W3C擴充日誌文件格式,每天記錄客戶IP地址,用戶名,服務器端口,方法,URI字根,HTTP狀態,用戶代理,而且每天均要審查日誌。(最好不要使用缺省的目錄,建議更換一個記日誌的路徑,同時設置日誌的訪問權限,只允許管理員和system爲Full Control)
說明:作爲一個重要措施,既可以發現攻擊的跡象,採取預防措施,也可以作爲受攻擊的一個證據。
20.慎重設置WEB站點目錄的訪問權限,一般情況下,不要給予目錄以寫入和允許目錄瀏覽權限。只給予.ASP文件目錄以腳本的權限,而不要給與執行權限。
說明:目錄訪問權限必須慎重設置,否則會被黑客利用。
21.ASP編程安全:
安全不僅是網管的事,編程人員也必須在某些安全細節上注意,養成良好的安全習慣,否則,會給黑客造成可乘之機。目前,大多數網站上的ASP程序有這樣那樣的安全漏洞,但如果寫程序的時候注意的話,還是可以避免的。
涉及用戶名與口令的程序最好封裝在服務器端,儘量少的在ASP文件裏出現,涉及到與數據庫連接地用戶名與口令應給予最小的權限。
說明:用戶名與口令,往往是黑客們最感興趣的東西,如果被通過某種方式看到源代碼,後果是嚴重的。因此要儘量減少它們在ASP文件中的出現次數。出現次數多得用戶名與口令可以寫在一個位置比較隱蔽的包含文件中。如果涉及到與數據庫連接,理想狀態下只給它以執行存儲過程的權限,千萬不要直接給予該用戶以修改、插入、刪除記錄的權限。
需要經過驗證的ASP頁面,可跟蹤上一個頁面的文件名,只有從上一頁面轉進來的會話才能讀取這個頁面。
說明:現在的需要經過驗證的ASP程序多是在頁面頭部加一個判斷語句,但這還不夠,有可能被黑客繞過驗證直接進入,因此有必要跟蹤上一個頁面。具體漏洞見所附漏洞文檔。
防止ASP主頁.inc文件泄露問題
當存在asp 的主頁正在製作並沒有進行最後調試完成以前,可以被某些搜索引擎機動追加爲搜索對象,如果這時候有人利用搜索引擎對這些網頁進行查找,會得到有關文件的定位,並能在瀏覽器中察看到數據庫地點和結構的細節揭示完整的源代碼。
解決方案:程序員應該在網頁發佈前對其進行徹底的調試;安全專家需要固定asp 包含文件以便外部的用戶不能看他們。 首先對 .inc 文件內容進行加密,其次也可以使用 .asp 文件代替 .inc 文件使用戶無法從瀏覽器直接觀看文件的源代碼。.inc 文件的文件名不用使用系統默認的或者有特殊含義容易被用戶猜測到的,儘量使用無規則的英文字母。
注意某些ASP編輯器會自動備份asp文件,會被下載的漏洞
在有些編輯asp程序的工具,當創建或者修改一個asp文件時,編輯器自動創建一個備份文件,比如:UltraEdit就會備份一個..bak文件,如你創建或者修改了some.asp,編輯器自動生成一個叫some.asp.bak文件,如果你沒有刪除這個 bak文件,攻擊有可以直接下載some.asp.bak文件,這樣some.asp的源程序就會給下載。
在處理類似留言板、BBS等輸入框的ASP程序中,最好屏蔽掉HTML、javascript、VBScript語句,如無特殊要求,可以限定只允許輸入字母與數字,屏蔽掉特殊字符。同時對輸入字符的長度進行限制。而且不但在客戶端進行輸入合法性檢查,同時要在服務器端程序中進行類似檢查。
說明:輸入框是黑客利用的一個目標,他們可以通過輸入腳本語言等對用戶客戶端造成損壞; 如果該輸入框涉及到數據查詢,他們會利用特殊查詢輸入得到更多的數據庫數據,甚至是表的全部。因此必須對輸入框進行過濾。但如果爲了提高效率僅在客戶端進行輸入合法性檢查,仍有可能被繞過,因此必須在服務器端再做一次檢查。
防止ACCESS mdb 數據庫有可能被下載的漏洞
在用ACCESS做後臺數據庫時,如果有人通過各種方法知道或者猜到了服務器的ACCESS數據庫的路徑和數據庫名稱,那麼他能夠下載這個ACCESS數據庫文件,這是非常危險的。
解決方法:
(1) 爲你的數據庫文件名稱起個複雜的非常規的名字,並把他放在幾目錄下。所謂 "非常規", 打個比方: 比如有個數據庫要保存的是有關書籍的信息, 可不要把他起個"book.mdb"的名字,起個怪怪的名稱,比如d34ksfslf.mdb, 再把他放在如./kdslf/i44/studi/ 的幾層目錄下,這樣黑客要想通過猜的方式得到你的ACCESS數據庫文件就難上加難了。
(2)不要把數據庫名寫在程序中。有些人喜歡把DSN寫在程序中,比如:
DBPath = Server.MapPath("cmddb.mdb")
conn.Open "driver={ Microsoft Access Driver (*.mdb) };dbq=" & DBPath
假如萬一給人拿到了源程序,你的ACCESS數據庫的名字就一覽無餘。因此建議你在ODBC裏設置數據源,再在程序中這樣寫:
conn.open "shujiyuan"
(3)使用ACCESS來爲數據庫文件編碼及加密。首先在選取 "工具->安全->加密/解密數據庫,選取數據庫(如:employer.mdb),然後接確定,接着會出現 "數據庫加密後另存爲"的窗口,存爲:employer1.mdb。 接着employer.mdb就會被編碼,然後存爲employer1.mdb..
要注意的是,以上的動作並不是對數據庫設置密碼,而只是對數據庫文件加以編碼,目的是爲了防止他人使用別的工具來查看數據庫文件的內容。
接下來我們爲數據庫加密,首先以打開經過編碼了的 employer1.mdb, 在打開時,選擇"獨佔"方式。然後選取功能表的"工具->安全->設置數據庫密碼", 接着 輸入密碼即可。這樣即使他人得到了employer1.mdb文件,沒有密碼他是無法看到 employer1.mdb的。
23.SQL SERVER的安全
SQL SERVER是NT平臺上用的最多的數據庫系統,但是它的安全問題也必須引起重視。數據庫中往往存在着最有價值的信息,一旦數據被竊後果不堪設想。
及時更新補丁程序。
說明:與NT一樣,SQL SERVER的許多漏洞會由補丁程序來彌補。建議在安裝補丁程序之前先在測試機器上做測試,同時提前做好目標服務器的數據備份。
給SA一個複雜的口令。
說明:SA具有對SQL SERVER數據庫操作的全部權限。遺憾的是,一部分網管對數據庫並不熟悉,建立數據庫的工作由編程人員完成,而這部分人員往往只注重編寫SQL 語句本身,對SQL SERVER數據庫的管理不熟悉,這樣很有可能造成SA口令爲空。這對數據庫安全是一個嚴重威脅。目前具有這種隱患的站點不在少數。
嚴格控制數據庫用戶的權限,輕易不要給讓用戶對錶有直接的查詢、更改、插入、刪除權限,可以通過給用戶以訪問視圖的權限,以及只具有執行存儲過程的權限。
說明:用戶如果對錶有直接的操作權限,就會存在數據被破壞的危險。
制訂完整的數據庫備份與恢復策略
24. PCANYWHERE的安全:
目前,PCANYWHERE是最流行的基於NT與2000的遠程控制工具,同樣也需要注意安全問題。
建議採用單獨的用戶名與口令,最好採用加密手段。千萬不要採用與NT管理員一樣的用戶名與口令,也不要使用與NT集成的口令。同時在服務器端的設置時務必採用security options中的強加密方式,拒絕低加密水平的連接,同時採用口令加密與傳輸過程中的用戶名與口令加密,以防止被嗅探到,還要限制連接次數,另外很重要的一點就是一定在protect item中設置高強度的口令,同時一定限制不能夠讓別人看到你的host端的任何設置,即便是要察看主機端的相關設置也必須要輸入口令!
說明:PCANYWHERE 口令是遠程控制的第一個關口,如果與NT的一樣, 就失去了安全屏障。被攻破後就毫無安全可言。而如果採用單獨的口令,即使攻破了PCANYWHERE,NT還有一個口令屏障。
及時安裝較新的版本。
2.中級篇: IIS的安全與性能調整
實際上,安全和應用在很多時候是矛盾的,因此,你需要在其中找到平衡點,畢竟服務器是給用戶用而不是做OPEN HACK的,如果安全原則妨礙了系統應用,那麼這個安全原則也不是一個好的原則。 網絡安全是一項系統工程,它不僅有空間的跨度,還有時間的跨度。很多朋友(包括部分系統管理員)認爲進行了安全配置的主機就是安全的,其實這其中有個誤區:我們只能說一臺主機在一定的情況一定的時間上是安全的隨着網絡結構的變化、新的漏洞的發現,管理員/用戶的操作,主機的安全狀況是隨時隨地變化着的,只有讓安全意識和安全制度貫穿整個過程才能做到真正的安全。
提高IIS 5.0網站伺服器的執行效率的八種方法
以下是提高IIS 5.0網站伺服器的執行效率的八種方法:
1. 啓用HTTP的持續作用可以改善15~20%的執行效率。
2. 不啓用記錄可以改善5~8%的執行效率。
3. 使用 [獨立] 的處理程序會損失20%的執行效率。
4. 增加快取記憶體的保存檔案數量,可提高Active Server Pages之效能。
5. 勿使用CGI程式。
6. 增加IIS 5.0電腦CPU數量。
7. 勿啓用ASP偵錯功能。
8. 靜態網頁採用HTTP 壓縮,大約可以減少20%的傳輸量。
簡單介紹如下。
1、啓用HTTP的持續作用
啓用HTTP的持續作用(Keep-Alive)時,IIS與瀏覽器的連線不會斷線,可以改善執行效率,直到瀏覽器關閉時連線纔會斷線。因爲維持「Keep-Alive」狀態時,於每次用戶端請求時都不須重新建立一個新的連接,所以將改善伺服器的效率。此功能爲HTTP1.1預設的功能,HTTP 1.0加上Keep-Alive header也可以提供HTTP的持續作用功能。
2、啓用HTTP的持續作用可以改善15~20%的執行效率。
如何啓用HTTP的持續作用呢?步驟如下:在 [Internet服務管理員] 中,選取整個IIS電腦、或Web站臺,於 [內容] 之 [主目錄] 頁,勾選 [HTTP的持續作用] 選項。
3、不啓用記錄
不啓用記錄可以改善5~8%的執行效率。如何設定不啓用記錄呢?步驟如下:
在 [Internet服務管理員] 中,選取整個IIS電腦、或Web站臺,於 [內容] 之 [主目錄] 頁,不勾選 [啓用記錄] 選項。設定非獨立的處理程序使用 [獨立] 的處理程序會損失20%的執行效率,此處所謂 獨立」係指將 [主目錄]、[虛擬目錄] 頁之應用程式保護選項設定爲 [高(獨立的)] 時。因此 [應用程式保護] 設定爲 [低 (IIS處理程序)] 時執行效率較高如何設定非「獨立」的處理程序呢?步驟如下: 在 [Internet服務管理員] 中,選取整個IIS電腦、Web站臺、或應用程式的起始目錄。於 [內容] 之 [主目錄]、[虛擬目錄] 頁,設定應用程式保護選項爲 [低 (IIS處理程序)] 。
4、調整快取(Cache)記憶體
IIS 5.0將靜態的網頁資料暫存於快取(Cache)記憶體當中;IIS 4.0則將靜態的網頁資料暫存於檔案當中。調整快取(Cache)記憶體的保存檔案數量可以改善執行效率。ASP指令檔案執行過後,會在暫存於快取(Cache)記憶體中以提高執行效能。增加快取記憶體的保存檔案數量,可提高Active Server Pages之效能。可以設定所有在整個IIS電腦、「獨立」Web站臺、或「獨立」應用程式上執行之應用程式的快取記憶體檔案數量。如何設定快取(Cache)功能呢?步驟如下:在 [Internet服務管理員] 中選取整個IIS電腦、「獨立」Web站臺、或「獨立」應用程式的起始目錄。於 [內容] 之 [主目錄]、[虛擬目錄] 頁,按下 [設定] 按鈕時,即可由 [處理程序選項] 頁設定[指令檔快取記憶體] 。如何設定快取(Cache)記憶體檔案數量呢?步驟如下:在[Internet服務管理員] 中,選取整個IIS電腦、或Web站臺的起始目錄。於 [內容] 之[伺服器擴充程式] 頁,按下 [設定] 按鈕。即可設定快取(Cache)記憶體檔案數量。
5、勿使用CGI程式
使用CGI程式時,因爲處理程序(Process)須不斷地產生與摧毀,造成執行效率不佳。一般而言,執行效率比較如下: 靜態網頁(Static):100 ISAPI:50 ASP:10 CGI:1 換句話說,ASP比CGI可能快10倍,因此勿使用CGI程式可以改善IIS的執行效率。以彈性(Flexibility)而言:ASP > CGI > ISAPI > 靜態網頁(Static)。以安全(Security)而言:ASP(獨立) = ISAPI(獨立)= CGI > ASP(非獨立) = ISAPI(非獨立)= 靜態網頁(Static)
6、增加IIS 5.0電腦CPU數量
根據微軟的測試報告,增加IIS 4.0電腦CPU數量,執行效率並不會改善多少;但是增加IIS 5.0電腦CPU數量,執行效率會幾乎成正比地提供,換句話說,兩顆CPU的IIS5.0電腦執行效率幾乎是一顆CPU電腦的兩倍,四顆CPU的IIS 5.0電腦執行效率幾乎是一顆CPU電腦的四倍IIS 5.0將靜態的網頁資料暫存於快取(Cache)記憶體當中;IIS 4.0 則將靜態的網頁資料暫存於檔案當中。調整快取(Cache)記憶體的保存檔案數量可以改善執行效率。
7、啓用ASP偵錯功能
勿啓用ASP偵錯功能可以改善執行效率。如何勿啓用ASP偵錯功能呢?步驟如下:於[Internet服務管理員] 中,選取Web站臺、或應用程式的起始目錄,按右鍵選擇[內容],按 [主目錄]、[虛擬目錄] 或 [目錄] 頁,按下 [設定] 按鈕,選擇 [應用程式偵錯] 頁,不勾選 [啓用ASP伺服器端指令偵錯]、[啓用ASP用戶端指令偵錯] 選項。
8、靜態網頁採用HTTP 壓縮
靜態網頁採用HTTP 壓縮,大約可以減少20%的傳輸量。HTTP壓縮功能啓用或關閉,系針對整臺IIS伺服器來設定。用戶端使用IE 5.0瀏覽器連線到已經啓用HTTP壓縮IIS5.0之Web伺服器,纔有HTTP壓縮功能。如何啓用HTTP壓縮功能呢?步驟如下:若要啓用HTTP 壓縮功能,方法爲在 [Internet服務管理員] 中,選取電腦之 [內容],於 [主要內容] 之下選取 [WWW服務]。然後按一下 [編輯] 按鈕,於 [服務] 頁上,選取 [壓縮靜態檔案] 可以壓縮靜態檔案,不選取 [壓縮應用程式檔案] 。 動態產生的內容檔案(壓縮應用程式檔案)也可以壓縮,但是須耗費額外CPU處理時間,若%Processor Time已經百分之八十或更多時,建議不要壓縮
以上是對採用IIS作爲WEB服務器的一些安全相關的設置與其性能調整的參數設置,可以最大化的優化你的IIS,不過個人認爲如果不存在障礙,還是採用apache比較好一些,漏洞少,建議採用apache 1.3.24版本,因爲最近經測試,apache 1.3.23之前的版本都存在溢出漏洞,不要怕,這種漏洞很少的,呵呵。另外,個人建議不要採用ASP安全性總不叫人放心,個人認爲還是採用JSP好一些,安全性好,功能強大,絕對超值,呵呵,因爲PHP也存在不少的洞洞
附:IIS安全工具及其使用說明
一、IIS Lock Tool,快速設置IIS安全屬性
IIS Lock Tool的推出,還要感謝紅色代碼,因爲正是紅色代碼的大面積傳播,致使微軟設計發佈這款幫助管理員們設置IIS安全性的工具。
(一)、IIS Lock Tool具有以下功能和特點
1、最基本功能,幫助管理員設置IIS安全性;
2、此工具可以在IIS4和IIS5上使用;
3、即使系統沒有及時安裝所有補丁,也能有效防止IIS4和IIS5的已知漏洞;
4、幫助管理員去掉對本網站不必要的一些服務,使IIS在滿足本網站需求的情況下運行最少的服務;
5、具有兩種使用模式:快捷模式和高級模式。快捷模式直接幫助管理員設置好IIS安全性,這種模式只適合於只有HTML和HTM靜態網頁的網站使用,因爲設置完成以後,ASP不能運行;高級模式允許管理員自己設置各種屬性,設置得當,對IIS系統任何功能均沒有影響。
(二)、IIS Lock Tool的使用
1、軟件下載和安裝
IIS Lock Tool在微軟網站下載,下載地址:
http://www.microsoft.com/......Release.asp?ReleaseID=32362
安裝很簡單,需要注意的是,安裝以後,程序不會在系統的【程序】菜單出現,也不會在【管理工具】出現,需要安裝者在安裝目錄尋找運行該程序。
2、軟件的使用
在以下的介紹中,我們將詳細介紹每一步設置的意義和推薦設置,之所以詳細介紹,是爲了我們明白這些設置到底意味着什麼,同時,和我們原來的安全設置相對照,避免出現設置完成以後,系統出現障礙。
以上界面介紹了IIS Lock Tool的一些基本情況和使用時需要注意的地方:1)使用時應該選擇針對本網站最少的服務,去掉不必要的服務;2)設置完成以後,建議對網站進行徹底檢查,以確定設置對本網站是否合適;
在以上界面,點擊【下一步】按鈕,
以上界面選擇快捷模式還是高級模式來運行軟件,在這裏,軟件介紹了兩者模式的區別:
快捷模式:此設置模式關閉了IIS的一些高級服務屬性,其中包括動態網頁屬性(ASP);所以,我們需要再重複一遍,選擇快捷模式只適合提供靜態頁面的網站,當然,這種模式是相對最安全的。
高級模式:此模式運行安裝者自定義各種屬性,同時允許高級屬性的運行。
快捷模式設置我們不必介紹,點擊【下一步】按鈕就可以設置完成。我們選擇【Advanced Lockdown】(高級設置),點擊【下一步】按鈕,
以上界面幫助管理員設置各種腳本映射,我們來看每一種影射應該怎樣設置:
1)Disable support Active Server Pages(ASP),選擇這種設置將使IIS不支持ASP功能;可以根據網站具體情況選擇,一般不選擇此項,因爲網站一般要求運行ASP程序;
2)Disable support Index Server Web Interface(.idq,.htw,.ida),選擇這一項將不支持索引服務,具體就是不支持.idq,.htw,.ida這些文件。我們先來看看到底什麼是索引服務,然後來決定取捨。索引服務是IIS4中包含的內容索引引擎。你可以對它進行ADO調用並搜索你的站點,它爲你提供了一個很好的web 搜索引擎。如果你的網站沒有利用索引服務對網站進行全文檢索,也就可以取消網站的這個功能,取消的好處是:1)減輕系統負擔;2)有效防止利用索引服務漏洞的病毒和黑客,因爲索引服務器漏洞可能使攻擊者控制網站服務器,同時,暴露網頁文件在服務器上的物理位置(利用.ida、.idq)。因此,我們一般建議在這一項前面打勾,也就是取消索引服務;
3)Disable support for Server Side Includes(.shtml,.shtm,.stm),取消服務器端包含;先來看看什麼叫服務器端包含,SSI就是HTML文件中,可以通過註釋行調用的命令或指針。SSI 具有強大的功能,只要使用一條簡單的SSI 命令就可以實現整個網站的內容更新,動態顯示時間和日期,以及執行shell和CGI腳本程序等複雜的功能。一般而言,我們沒有用到這個功能,所以,建議取消;取消可以防止一些IIS潛在地漏洞;
4)Disable for Internet Data Connector(.idc),取消Internet數據庫連接;先看Internet數據庫連接的作用,它允許HTML頁面和後臺數據庫建立連接,實現動態頁面。需要注意的是,IIS4和IIS5中基本已經不使用idc,所以,建議在此項打勾,取消idc;
5)Disable support for Internet Printing (.printer),取消Internet打印;這一功能我們一般沒有使用,建議取消;取消的好處是可以避免.printer遠程緩存溢出漏洞,這個漏洞使攻擊者可以利用這個漏洞遠程入侵IIS 服務器,並以系統管理員(system)身份執行任意命令;
6)Disable support for .HTR Scripting(.htr),取消htr映射;攻擊者通過htr構造特殊的URL請求,可能導致網站部分文件源代碼暴露(包括ASP),建議在此項前面打勾,取消映射;
理解以上各項設置以後,我們可以根據本網站情況來決定取捨,一般網站除了ASP要求保留以外,其他均可以取消,也就是全消第一項前面的勾,其他全部打勾,按【下一步】按鈕,
以上界面設置可以讓管理員選擇一些IIS默認安裝文件的保留與否,我們來看怎樣選擇:
1)Remove sample web files,刪除web例子文件;建議刪除,因爲一般我們不需要在服務器上閱讀這些文件,而且,這些文件可能讓攻擊者利用來閱讀部分網頁源程序代碼(包括ASP);
2)Remove the Scripts vitual directory,刪除腳本虛擬目錄;建議刪除;
3)Remove the MSDAC virtual directory,刪除MSDAC虛擬目錄,建議刪除;
4)Disable Distribauted Authoring and Versioning(WebDAV),刪除WEBDAV,WebDav主要允許管理者遠程編寫和修改頁面,一般我們不會用到,建議刪除,刪除的好處是可以避免IIS5的一個WebDav漏洞,該漏洞可能導致服務器停止。
5)Set file permissions to prevent the IIS anouymous user from executing system utilities(such as cmd.exe,tftp.exe),防止匿名用戶運行可執行文件,比如cmd.exe和tftp.exe;建議選擇此項,因爲紅色代碼和尼姆達均利用了以上所說的匿名執行可執行文件的功能;
6)Set file permissions to prevent the IIS anouymous user from writing to content directories,防止匿名用戶對目錄具有寫權限,這個不要解釋,建議選擇;
設置以上選項以後,按【下一步】按鈕
要求確認是否接受以上設置,選擇【是】,開始對系統執行設置:
在以上界面中,我們可以看到對IIS的詳細設置情況。設置完成以後,建議重新啓動IIS