当前位置: 首页 > 图文教程 > 网络编程 > ASP > Microsoft IIS 真的如此「不安全」吗?(2)

ASP
提高SQL的执行效率的ASP的五种做法
asp的offset的一个go to page
asp中command的在单条记录时,有些字段显示为空的问题
asp,php一句话木马整理方便查找木马
asp 合并记录集并删除的sql语句
asp下循环一行多少个
asp循环行数输出函数
asp access重新开始编号
ASP生成数字相加求和的BMP图片验证码
静态页面利用JS读取cookies记住用户信息
比较详细的Asp伪静态化方法及Asp静态化探讨
asp Response.flush 实时显示进度
Asp高级故障解决以及相关代码
asp智能脏话过滤系统v1.0
ASP文件中的安全问题
Access数据库中“所有记录中均未找到搜索关键字”的解决方法
asp两组字符串数据比较合并相同数据
asp MYSQL出现问号乱码的解决方法
asp文章中随机插入网站版权文字的实现代码
ASP利用XMLHTTP实现表单提交以及cookies的发送的代码

ASP 中的 Microsoft IIS 真的如此「不安全」吗?(2)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-03   浏览: 48 ::
收藏到网摘: n/a

      
  很多公司使用以下这两个步骤为它们基于 Windows 2000 的网络服务器来做组态:(1)安装 IIS 5.0、(2)不再理它。如果仅只于此的话,何不来个第三步骤:祈祷。
  
  对于 IIS 5.0,Microsoft 针对安全性和可存取性/可用性(accessibility/usability)两方面做了很好的折衷,一般认为更倾向于后者。Data Return Corporation 的高级信息安全工程师 Alexandra Nosratinia 说,与诸如Apache 等服务器相比,IIS 的图形使用者接口(GUI)使管理和解决问题变得容易了,网站架设也非常快速。有了 IIS 的图形使用者接口,甚至可以不再需要专家的帮助。但要了解的是,容易用的系统并不代表是安全的系统。
  
  如果选择 IIS 的预设组态(default configuration),你就是在自找麻烦。加强安全性虽然是你的责任,不过Microsoft 为此提供了充足的信息来帮助你。
  
  从 Microsoft 的IIS 5.0 安全性检查清单开始吧!它收录了许多简单易懂的步骤,帮助保护 Windows 2000 系列的网站服务器免受绝大多数的攻击。在这个清单中能够找到的信息包括以下实用的主题:
  
  在入侵者突破了防火墙的情况下配置 IPSec 策略。
  通过限制来隔绝那些可以存取 Telnet 服务器的用户以达到保护服务器的目的。
  为服务器的虚拟目录设置适当的存取控制。
  进行日志记录,并在日志文件(log files)中设置适当的权限。
  如果合适的话,为 IP 地址和 DNS 地址做权限。
  更新网络服务器上的 Root CA 证书。
  移除 IIS 中所有的示范应用程序。
  移除所有不必要的 COM 组件,例如 File System Object。
  从 IIS 4.0 升级以后,移除 IISADMPWD 虚拟目录。
  移除无用的应用程序对应(script mappings),例如 IDC 或 HTR。
  在 ASP 程序代码中检查窗体输入,以防止恶意输入。
  在 IIS 5.0 中禁用 Parent Paths 选项。
  禁用 Content-Location 文件的表头信息,以免泄露地址。
  如果你熟悉为 IIS 4.0 提供的类似检查清单,你会注意到 IIS 5.0 的版本简短了许多。这是因为 Microsoft 把很多 IIS 4.0 清单中的配置(setting)移到了为 Windows 2000 准备的新的Hisecweb.inf 安全模板中。下载该模板并用在你的服务器上。另外,也有很多在IIS 4.0 清单中属于建议的配置,现在已成了 IIS 5.0 中预设的配置。