现在的web服务器很多,微软的iis服务器安全性一直很不错,也是最受欢迎的,但是为了进一步的安全,我们也需要对iis进行加固。
一、 首先,iis上可以部署很多的web程序,为每个iis的web建立一个账号是很必要的
新建一个用户
右击新建的账号,选择录属于,把user删掉
打开iis,右击属性---目录安全性
输入刚才创建的用户名和密码,确定
最后在右击web---权限---
添加相应的权限即可
二、权限的设置
本地路径中,只需要给予校本资源的读取权限即可,写入权限是很危险的,包括目录浏览也不用设置
执行权限就是纯脚本,不能选择脚本资源和可执行文件,这样的话,如果黑客放进来一个exe文件,那么很容易被攻击
如果是上传的目录,设置写入权限,执行权限一定要设为无,否则黑客直接传上来一个asp的文件,好多的大马都是asp文件,执行上传的大马,那么服务器的安全会受到很大的威胁,其他的图片文件,只赋予读取的权限,其他的权限不用给,执行权限更要设为无
NTFS 权限中不要给 IIS_WPG 用户组和 Internet 来宾帐号设置写和修改权限,为了保证最大的安全,最后每一个web目录都仔细的设置好文件和目录权限,保证安全性
右击web根目录,在权限中也可以进行设置
Access 数据库所在目录的权限设置: 许多 IIS 用户常常采用将 Access 数据库改名(改为 asp 或者 aspx 后缀等)或者放在发布目录之外的方法来避免浏览者下载它们的 Access 数据库。而实际上,这是不必要的。其实只需要将 Access 所在目录(或者该文件)的“读取”、“写入”权限都去掉就可以防止被人下载或篡改了。你不必担心这样你的程序会无法读取和写入你的 Access 数据库。你的程序需要的是 NTFS 上 Internet 来宾帐号或 IIS_WPG 组帐号的权限,你只要将这些用户的权限设置为可读可写就完全可以保证你的程序能够正确运行了。
你的网站下可能还有纯图片目录、纯 html 模版目录、纯客户端 js 文件目录或者样式表目录等,这些目录只需要设置“读取”权限即可,执行权限设成“无”即可。其它权限一概不需要设置。
三、删除必要的扩展名映射,如asp.net的网站就可以把asp的后缀删除,php的就可以把.aspx,.asp的删除