好学IT学院:IT信息技术分享交流平台
标签:环境  来源:互联网  作者:未知  发布时间:2007-12-07  ★★★加入收藏〗〖手机版
摘要:一:安装过程中的IIS与asp安全防护。(这里只考虑是web服务器,而不是本地机子上的web开发平台)…

2:启用日志监测。

这是亡羊补牢的好工具,至少你可以用它来监测谁通过webl干了什么,当然,你还要保护该日志的权限只能是被系统管理员。和超级管理所控制。这样避免某些人的干了某些事而不留痕迹。为了留好现场而又不影响IIS的响应速度。还是建议选则w3c扩展日志格式比较好。(以前别人介绍我用ODBC,看来比较方便,但实际上不是这样。他受到数据库的影响很大。而且速度较慢了)。

可以考虑纪录下一下现场数据:

客户 IP 地址

用户名

方法

URI 资源

HTTP 状态

Win32 状态

用户代理

服务器 IP 地址

服务器端口

如果在一台计算机上有多个 Web 服务器,则后两种属性非常有用。Win32 状态属性对于调试非常有用。

检查日志时,密切注意错误 5,这意味着访问被拒绝。在命令行上输入 net helpmsg err,可找出其它Win32 错误的含义,其中 err 是要查找的错误号。

3:配置合适的脚本映射。

相信我,大部分的asp源代码泄漏都是通过不安全,或是有错误的脚本映射导致的。而他们中的大多数可能你用不到。如下面我说的。

1 *.htr这是一个比较厉害的文件,他是web应用程序的一种。同hta一样。这是些比较厉害的功能,但介绍很少。hta就是一种html 格式的 application,功能比较强大。切安全性比htm要低。所以可能会导致功能强大的操作。比如htr就可以通过web来重社密码。相信我们大多数的asp程序员和NT网管不需要这个把。那好,把他的对应选项删掉好了。否则,任何人都可以通过你的web来进行非法操作,甚至格式化掉你的硬盘。

2 *.hta 这个我已经说过了,他是把双刃剑,用的好,你可以通过他来访问nt的很多操作,在asp上开nt用户也是可能的。但大多数的工作可以不通过web来事最好的。而*.hta在web很少用到,虽然他在iis4.0就推出了。比如,你把一个文件保存成*.hta,你就可以用ie打开。看看,很奇怪的界面吧。听ms的工程师说.net中吧*.hta换了个说法,功能加大了。看来网管的工作又该加大了。如果你想安全一些。删掉吧。

3 *.idc 这个东东是个比较老的数据库连接方法了,现在大多数都直接用asp文件。不用idc了,所以删掉他。

4 *.printer这个是打印机文件。去掉他好了

5 *.htw , *.ida *.idq这些都是索引文件,也可以去掉了。

四:好的安全习惯。

账号策略,密码策略

这些其实都在我的前两片贴子贴过了。,等等,感兴趣的可以看看相关文章。

另外。还要注意要多上ms的站点,看看安全公告。(MS的访问量就是这样长期排行世界前三的!)

还要准备好一些第三方的工具。如扫描工具,模拟攻击工具。多上安全站点看看。

如果你可以交道一些比较好的黑道朋友(我另一个师兄家家的方法),也是比较好的。(黑道是黑客走的路!)

4:防止asp代码被泄漏。

这里只能说是防止,我只有从已经发现的看asp方法的漏洞入手,现在对于iis4.0则几乎有20种以上的办法,但安装了sp6a后有两种,可以到微软的网站安全公告下载2000-8月后的补丁可以解决。但如果你用了本文上面的方法。可以装到sp6就可以了。

如果是win2000 server,则有两种方法。安了sp1后,还有一种,所以你必须倒微软安全公告栏去下载相应的hotfix。可以解决。

5:防止恶意的破坏。

这个功能能对付一些被你监测到的不良分子,你可以在日志中、或第三方工具看到到底是谁在不停的探测、破坏你的IIS,那么把他列为不收欢迎的黑名单,这样,你再配置站点时可以对其IP,或域进行拒绝访问,不过这一过程是要付出代价的,你的IIS要担任反向查找的功能。可能会比较耗时。

6: 安全的话题。

以上还只是IIS与asp的。如果你要用道数据库。用道远程管理,用道远程连接数据库。那还要分别注意。正如我说的。没有绝对的安全。而这也才是安全的需要。关于安全的话题,没有结束,只有待续。。。。。