ASP配置IIS服务器的注意事项

对于配置IIS服务器 我想大家也许有不是很明白的地方 下面介绍ASP配置IIS服务器时需要注意的地方 把好安全关是所有网站都必须要做好的功课 如果服务器本身不安全 给网站带来的将是毁灭性的

一 操作系统的安装

我这里说的操作系统以Windows 为例 高版本的Windows也有类似功能

格式化硬盘时候 必须格式化为NTFS的 绝对不要使用FAT 类型

C盘为操作系统盘 D盘放常用软件 E盘网站 格式化完成后立刻设置磁盘权限 C盘默认 D盘的安全设置为Administrator和System完全控制 其他用户删除 E盘放网站 如果只有一个网站 就设置Administrator和System完全控制 Everyone读取 如果网站上某段代码必须完成写操作 这时再单独对那个文件所在的文件夹权限进行更改

系统安装过程中一定本着最小服务原则 无用的服务一概不选择 达到系统的最小安装 在安装IIS的过程中 只安装最基本必要的功能 那些不必要的危险服务千万不要安装 例如 FrontPage 服务器扩展 Internet服务管理器（HTML） FTP服务 文档 索引服务等等

二 网络安全配置

网络安全最基本的是端口设置 在 本地连接属性 点 Internet协议（TCP/IP） 点 高级 再点 选项 TCP/IP筛选 仅打开网站服务所需要使用的端口 配置界面如下图

进行如下设置后 从你的服务器将不能使用域名解析 因此上网 但是外部的访问是正常的 这个设置主要为了防止一般规模的DDOS攻击

三 安全模板设置

运行MMC 添加独立管理单元 安全配置与分析 导入模板basicsv inf或者securedc inf 然后点 立刻配置计算机 系统就会自动配置 帐户策略 本地策略 系统服务 等信息 一步到位 不过这些配置可能会导致某些软件无法运行或者运行出错

四 WEB服务器的设置

以IIS为例 绝对不要使用IIS默认安装的WEB目录 而需要在E盘新建立一个目录 然后在IIS管理器中右击主机 >属性 >WWW服务 编辑 >主目录配置 >应用程序映射 只保留asp和asa 其余全部删除

五 ASP的安全

在IIS系统上 大部分木马都是ASP写的 因此 ASP组件的安全是非常重要的

ASP木马实际上大部分通过调用Shell Application WScript Shell WScript Neork FSO Adodb Stream组件来实现其功能 除了FSO之外 其他的大多可以直接禁用

WScript Shell组件使用这个命令删除 regsvr WSHom ocx /u

WScript Neork组件使用这个命令删除 regsvr wshom ocx /u

Shell Application可以使用禁止Guest用户使用shell dll来防止调用此组件 使用命令 cacls C \WINNT\system \shell dll /e /d guests

禁止guests用户执行cmd exe的命令是 cacls C \WINNT\system \Cmd exe /e /d guests

FSO组件的禁用比较麻烦 如果网站本身不需要用这个组件 那么就通过RegSrv scrrun dll /u命令来禁用吧 如果网站本身也需要用到FSO 那么请参看这篇文章

lishixinzhi/Article/program/net/201311/11873

一、启用Asp支持\x0d\x0aWindows Server 2003 默认安装，是不安装 IIS 6 的，需要另外安装。安装完 IIS 6，还需要单独开启对于 ASP 的支持。 \x0d\x0a\x0d\x0a第一步，启用Asp，进入：控制面板 ->管理工具 ->IIS(Internet 服务器)- Web服务扩展 ->Active Server Pages ->允许\x0d\x0a\x0d\x0a控制面板 ->管理工具 ->IIS(Internet 服务器)- Web服务扩展 ->在服务端的包含文件 ->允许\x0d\x0a\x0d\x0a第二步,启用父路径支持。\x0d\x0aIIS-网站－主目录－配置－选项－启用父路径\x0d\x0a\x0d\x0a第三步，权限分配\x0d\x0aIIS-网站－（具体站点）－（右键）权限－Users完全控制\x0d\x0a\x0d\x0a二、解决windows2003最大只能上载200K的限制。\x0d\x0a先在服务里关闭iis admin service服务\x0d\x0a找到windows/system32/inesrv/下的metabase.xml,\x0d\x0a打开，找到ASPMaxRequestEntityAllowed 把他修改为需要的值，\x0d\x0a然后重启iis admin service服务\x0d\x0a1、在web服务扩展 允许 active server pages和在服务器端的包含文件\x0d\x0a2、修改各站点的属性 \x0d\x0a主目录－配置－选项－启用父路径\x0d\x0a3、使之可以上传大于 200k的文件(修改成您要的大小就可以了，如在后面补两个0，就允许20m了)\x0d\x0ac:/WINDOWS/system32/inetsrv/MetaBase.xml\x0d\x0a\x0d\x0a（企业版的windows2003在第592行，默认为 AspMaxRequestEntityAllowed="204800" 即200K\x0d\x0a\x0d\x0a将其加两个0，即改为，现在最大就可以上载20M了。\x0d\x0a\x0d\x0aAspMaxRequestEntityAllowed="20480000"

---