iis加固1

1、IIS加固以及ASP木馬防護(hù)運(yùn)行環(huán)境：windowsserver2003IIS版本：IIS6.0IIS安全主要還是對權(quán)限的設(shè)置，防止黑客將ASP木馬等寫入系統(tǒng)。首先先要了解到IISWEB服務(wù)器的權(quán)限設(shè)置有兩個(gè)地方：一個(gè)是NTFS文件系統(tǒng)本身的權(quán)限設(shè)置，另一個(gè)是IIS下網(wǎng)站—站點(diǎn)—屬性—主目錄（或站點(diǎn)下目錄—屬性—目錄）面板上。這兩個(gè)地方時(shí)密切相關(guān)的。IIS下網(wǎng)站站點(diǎn)屬性主目錄（或站點(diǎn)下目錄屬性目錄）面板上有：腳本資源訪問、讀取、寫入、瀏

2、覽、記錄訪問、索引資源6個(gè)選項(xiàng)。這6個(gè)選項(xiàng)中，“記錄訪問”和“索引資源”跟安全性關(guān)系不大，一般都設(shè)置。但是如果前面四個(gè)權(quán)限都沒有設(shè)置的話，這兩個(gè)權(quán)限也沒有必要設(shè)置。另外在這6個(gè)選項(xiàng)下面的執(zhí)行權(quán)限下拉列表中還有：無、純腳本、純腳本和可執(zhí)行程序、3個(gè)選項(xiàng)。而網(wǎng)站目錄如果在NTFS分區(qū)（推薦用這種）的話，還需要對NTFS分區(qū)上的這個(gè)目錄設(shè)置相應(yīng)權(quán)限，許多地方都介紹設(shè)置everyone的權(quán)限，實(shí)際上這是不好的，其實(shí)只要設(shè)置好Inter來賓帳號（

3、IUSR_xxxxxxx）或IIS_WPG組的帳號權(quán)限就可以了。如果是設(shè)置ASP、PHP程序的目錄權(quán)限，那么設(shè)置Inter來賓帳號的權(quán)限，而對于程序，則需要設(shè)置IIS_WPG組的帳號權(quán)限。在后面提到NTFS權(quán)限設(shè)置時(shí)會(huì)明確指出，沒有明確指出的都是指設(shè)置IIS屬性面板上的權(quán)限。ASP、PHP、程序所在目錄的權(quán)限設(shè)置如果這些程序是要執(zhí)行的，那么需要設(shè)置“讀取”權(quán)限，并且設(shè)置執(zhí)行權(quán)限為“純腳本”。不要設(shè)置“寫入”和“腳本資源訪問”，更不要設(shè)置

4、執(zhí)行權(quán)限為“純腳本和可執(zhí)行程序”。NTFS權(quán)限中不要給IIS_WPG用戶組和Inter來賓帳號設(shè)置寫和修改權(quán)限。如果有一些特殊的配置文件（而且配置文件本身也是ASP、PHP程序），則需要給這些特定的文件配置NTFS權(quán)限中的Inter來賓帳號（程序是IIS_WPG組）的寫權(quán)限，而不要配置IIS屬性面面的屬性可以運(yùn)行腳本的.我們應(yīng)該將這些目錄從新設(shè)置一下屬性.將(純腳本)改成(無)。對于ACCESS的保護(hù)許多IIS用戶常常采用將Access

5、數(shù)據(jù)庫改名（改為asp或者aspx后綴等）或者放在發(fā)布目錄之外的方法來避免瀏覽者下載它們的Access數(shù)據(jù)庫。而實(shí)際上，這是不必要的。其實(shí)只需要將Access所在目錄（或者該文件）的“讀取”、“寫入”權(quán)限都去掉就可以防止被人下載或篡改了(IIS屬性面板上)。你不必?fù)?dān)心這樣你的程序會(huì)無法讀取和寫入你的Access數(shù)據(jù)庫。你的程序需要的是NTFS上Inter來賓帳號或IIS_WPG組帳號的權(quán)限，你只要將這些用戶的權(quán)限設(shè)置為可讀可寫就完全可以

6、保證你的程序能夠正確運(yùn)行了?？偨Y(jié):Inter來賓帳號或IIS_WPG組帳號的權(quán)限可讀可寫.那么Access所在目錄（或者該文件）的“讀取”、“寫入”權(quán)限都去掉就可以防止被人下載或篡改了。其他目錄的修改：還有類似純圖片目錄、純html模版目錄、純客戶端js文件目錄或者樣式表目錄等，這些目錄只需要設(shè)置“讀取”權(quán)限即可，執(zhí)行權(quán)限設(shè)成“無”即可。其它權(quán)限一概不需要設(shè)置。ASP木馬的防護(hù)：1、建議通過ftp來上傳、維護(hù)網(wǎng)頁，盡量不安裝asp的上傳