ASP服务器安全配置篇(针对win2k和win2003)

时间:06-01-24 栏目:站长の天地 作者:wukong 评论:0 点击: 847 次

我们从裸机说起——
首先,拔掉网线,按需求分区之后将所有盘格式化为NTFS,在D盘安装系统。系统装完之后立刻做一个裸系统的ghost备份,以防后面配置的过程中出意外。
先把驱动都装上是必要的。之后先装防火墙,选择一款好的防火墙是很重要的。能买硬件防火墙最好,推荐的选择:cisco pix系列、天融信 NGFW系列、冰之眼(入侵检测系统)。没有硬件防火墙的情况下,使用软件防火墙,推荐:Blackice(我个人的最爱)、Checkpoint(以色列国家级防火墙)、ZoneAlarm(不太熟悉,但口碑不错),虽然比较喜欢天网防火墙,但是不推荐服务器用天网。
装完防火墙装杀毒软件,推荐:KV江民杀毒软件(好东西)、诺顿(虽然好,但比较霸道)、卡巴斯基(听说比较耗内存,但对病毒疗效狂好)。
开始安装各种需要的软件,如果是2003系统,别忘了装IIS。以上所有软件都装在一个非系统盘的指定盘里。
下面开始给系统打补丁,首先用手头有的光盘给2k打上SP4或给2003打上SP1。在本地操作的情况下将能打系统和软件的补丁都打上。之后,在确认防火墙和杀毒软件都设置好的情况下插上网线,开始window update,并升级杀毒软件至最新病毒库。打完所有的系统和软件的补丁之后,将网线拔掉,把所有临时文件和系统补丁留下的卸载文件全部删除,如果觉得占用空间太多还可以把%systemroot%System32dllcache下的所有文件删除(系统备份文件),这将使最后的ghost备份文件体积比较小。然后再次用ghost备份系统。
之后删除不安全的组件,需要将WScript.Shell, WScript.Network, Shell.application删除掉。在cmd下分别输入(以2k为例,2003路经为D:windows):
regsvr32/u D:WINNTSystem32wshom.ocx
del D:WINNTSystem32wshom.ocx
重新启动,就OK了。另外入侵者可以利用getobject("WINNT")获得用户和进程的列表,可以将Workstation服务禁用作为防范措施。
设置权限是必要的。首先,确定IIS里要建立几个站点,之后为每个站点建立一个用户。在IIS站点的目录安全性里选择让这个用户作为匿名访问的帐户。再设置所有分区都禁止这个用户访问,而在站点对应的文件夹设置允许此用户访问。这样即使站点被入侵,入侵者也拿不到服务器的shell。
一切做好之后用ghost再次备份,并将做好的备份文件放在与服务器不在同一局域网的机器上或相对安全的地方。插上网线,服务器就可以安全的正常工作了。之后可以在每次服务器重起时还原一次系统,这都是后话了。

好了,基本上就这么多了,以上说的可能不太完全,仅作参考之用,不足之处还请高手多多补充。欢迎各位来中国网络安全中心交流:http://www.scccn.com

Bluephantom作于2005年

声明: 本文由( wukong )原创编译,转载请保留链接: ASP服务器安全配置篇(针对win2k和win2003)

ASP服务器安全配置篇(针对win2k和win2003):等您坐沙发呢!

发表评论

您必须 [ 登录 ] 才能发表留言!

------====== 本站公告 ======------
大家有任何疑问和建议,请到这里留言:点击留言板

读者排行