4、目录的安全设置
包括系统盘在内的所有磁盘只给Administrators和SYSTEM的完全控制权限。
C:\ Documents and Settings 目录只给Administrators和SYSTEM的完全控制权限。
C:\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限。C: \Inetpub 目录及下面所有目录、文件只给 Administrators 组和 SYSTEM 的完全控制权限。C:\Windows目录除了给Administrators和SYSTEM的完全控制权限之外,还需要给CREATOR OWNER用一个“特别的权限”,Power Users用户组除了完全控制之外的所有权限,Users用户组“读取和运行”,“列出文件夹目录”,“读取”的权限。C:\Windows目录的这些权限设置是非常重要的,如果除了Administrators和SYSTEM的完全控制权限之外的那些权限没有设置,那么系统重启后,很多系统服务都不能正常使用。
C: \Windows\System32\cacls.exe、cmd.exe、net.exe,、net1.exe 文件只给 Administrators 组和 SYSTEM 的完全控制权限。
5、IIS控制帐号的权限分配
现在黑客的入侵技术当中,有一种技术叫网站旁注入侵,这种技术方式上面黑客入侵技术环节已经讲过了,是通过服务器里面一个有漏洞网站的来实施入侵,成功获取权限之后转而控制其它网站。那大家就想知道这个问题是由于什么原因导致的。原来IIS对于远程的普通用户访问是设置了一个专用的“IUSR_机器名”的帐号。那么正因为IIS用“IUSR_机器名”的帐号来管理所有网站访问权限,因此黑客就可以用到这种旁注入侵技术了。那么我们怎么来解决这个问题?很简单,我们给每个网站分别设置一个单独的IIS控制帐号,IIS控制帐号的权限设为GUESTS组就可以。这样即使黑客通过服务器的一个网站拿到权限,那他也只有这个网站的权限,服务器其它网站他都没有权限可以访问,黑客对服务器破坏的风险降低了,那么安全就相对提高了。
6、注入漏洞的修补以及上传文件类型的限制
这两个部分是各位网站程序员所必须关注的,黑客对网站实施入侵的过程中,80%会用到网站的注入点和上传漏洞来实施入侵。注入漏洞的修补可以使用网上一些现成的修补代码,如ASP通用防注入组件,防注入代码完美版等,但是我们还是建议网站程序员稍微花点时间自己来写防注入代码,这样会比较安全可靠。上传文件类型的限制这个写起来也不难,只允许用户上传你们网站所要用到的文件类型,限制好文件类型,特别不要让ASP,ASA等扩展名的文件上传上来,然后对文件的头文件进行一个检查,发现有ASP木马特征的就限制上传。当然,现在的黑客越来越聪明,ASP木马大部分都使用一句话木马,然后还会对代码进行各种各样的变形处理来逃过网站的限制以及杀毒软件的查杀。对于这些免杀技术的木马用ASP代码的方式很难防范,最好使用安全产品来进行防御。
