現在的web服務器很多,微軟的iis服務器安全性一直很不錯,也是最受歡迎的,但是為了進一步的安全,我們也需要對iis進行加固。
一、 首先,iis上可以部署很多的web程序,為每個iis的web建立一個賬號是很必要的
新建一個用戶
右擊新建的賬號,選擇錄屬於,把user刪掉
打開iis,右擊屬性---目錄安全性
輸入剛才創建的用戶名和密碼,確定
最后在右擊web---權限---
添加相應的權限即可
二、權限的設置
本地路徑中,只需要給予校本資源的讀取權限即可,寫入權限是很危險的,包括目錄瀏覽也不用設置
執行權限就是純腳本,不能選擇腳本資源和可執行文件,這樣的話,如果黑客放進來一個exe文件,那么很容易被攻擊
如果是上傳的目錄,設置寫入權限,執行權限一定要設為無,否則黑客直接傳上來一個asp的文件,好多的大馬都是asp文件,執行上傳的大馬,那么服務器的安全會受到很大的威脅,其他的圖片文件,只賦予讀取的權限,其他的權限不用給,執行權限更要設為無
NTFS 權限中不要給 IIS_WPG 用戶組和 Internet 來賓帳號設置寫和修改權限,為了保證最大的安全,最后每一個web目錄都仔細的設置好文件和目錄權限,保證安全性
右擊web根目錄,在權限中也可以進行設置
Access 數據庫所在目錄的權限設置: 許多 IIS 用戶常常采用將 Access 數據庫改名(改為 asp 或者 aspx 后綴等)或者放在發布目錄之外的方法來避免瀏覽者下載它們的 Access 數據庫。而實際上,這是不必要的。其實只需要將 Access 所在目錄(或者該文件)的“讀取”、“寫入”權限都去掉就可以防止被人下載或篡改了。你不必擔心這樣你的程序會無法讀取和寫入你的 Access 數據庫。你的程序需要的是 NTFS 上 Internet 來賓帳號或 IIS_WPG 組帳號的權限,你只要將這些用戶的權限設置為可讀可寫就完全可以保證你的程序能夠正確運行了。
你的網站下可能還有純圖片目錄、純 html 模版目錄、純客戶端 js 文件目錄或者樣式表目錄等,這些目錄只需要設置“讀取”權限即可,執行權限設成“無”即可。其它權限一概不需要設置。
三、刪除必要的擴展名映射,如asp.net的網站就可以把asp的后綴刪除,php的就可以把.aspx,.asp的刪除