我們從裸機說起——首先,拔掉網線,按需求分區之後將所有盤格式化為NTFS,在D糟安裝系統。系統裝完之後立刻做一個裸系統的ghost備份,以防後面配置的過程中出意外。
先把驅動都裝上是必要的。之後先裝防火牆,選擇一款好的防火牆是很重要的。能買硬體防火牆最好,推薦的選擇:cisco pix系列、天融信 NGFW系列、冰之眼(入侵檢測系統)。沒有硬體防火牆的情況下,使用軟體防火牆,推薦:Blackice(我個人的最愛)、Checkpoint(以色列國家級防火牆)、ZoneAlarm(不太熟悉,但口碑不錯),雖然比較喜歡天網防火牆,但是不推薦伺服器用天網。裝完防火牆裝防毒軟體,推薦:KV江民防毒軟體(好東西)、諾頓(雖然好,但比較霸道)、卡巴斯基(聽說比較耗記憶體,但對病毒療效狂好)。開始安裝各種需要的軟體,如果是2003系統,別忘了裝IIS。以上所有軟體都裝在一個非系統盤的指定盤裡。
基本介紹
- 中文名:ASP安全配置
- 性質:配置
- 屬性:ASP安全
- 推薦:Blackice
打補丁,設定許可權,
打補丁
下面開始給系統打補丁,首先用手頭有的光碟給2k打上SP4或給2003打上SP1。在本地操作的情況下將能打系統和軟體的補丁都打上。之後,在確認防火牆和防毒軟體都設定好的情況下插上網線,開始window update,並升級防毒軟體至最新病毒庫。打完所有的系統和軟體的補丁之後,將網線拔掉,把所有臨時檔案和系統補丁留下的卸載檔案全部刪除,如果覺得占用空間太多還可以把%systemroot%\System32\dllcache\下的所有檔案刪除(系統備份檔案),這將使最後的ghost備份檔案體積比較小。然後再次用ghost備份系統。
之後刪除不安全的組件,需要將WScript.Shell, WScript.Network, Shell.application刪除掉。在cmd下分別輸入(以2k為例,2003路經為D:\windows):
regsvr32/u D:\WINNT\System32\wshom.ocx
del D:\WINNT\System32\wshom.ocx
重新啟動,就OK了。另外入侵者可以利用getobject("WINNT")獲得用戶和進程的列表,可以將Workstation服務禁用作為防範措施。
設定許可權
設定許可權是必要的。首先,確定IIS里要建立幾個站點,之後為每個站點建立一個用戶。在IIS站點的目錄安全性里選擇讓這個用戶作為匿名訪問的帳戶。再設定所有分區都禁止這個用戶訪問,而在站點對應的資料夾設定允許此用戶訪問。這樣即使站點被入侵,入侵者也拿不到伺服器的shell。
