Internet标准上:包括WebDAV(Web Distributed Authoring and Versioning)、FTP重新激活、HTTP压缩等。
Active Server Pages:包括新的转向方法(Server.Transfer与Server.Execute方法)、新的错误处理功能(Server.GetLastError方法)、无指令.asp的执行速度增快、可安装组件的效能调升、Scriptlet支持、使用cookie取得浏览器信息、自动增减执行绪(executing threads)、SRC服务器端包含功能、Script Encoder编码保护等。 更具体的功能介绍请参见其它资料。
2 关闭没有用的服务和协议
"尽量少开没用到的服务",这永远是网络安全的准则。如果开启了某个服务,你就要面对不少的漏洞困扰,更重要的是你还要时时提防未来的由这个服务所引起的漏洞。 比如,你不使用ftp,那就把FTP关了,不然你就要发费大量的精力和金钱去应付那些什么DOS,缓冲区溢出之类的漏洞。NETBIOS也是windows的一大安全隐患,我想目前服务器很少需要Netbios。再如你的IIS安装了index server 服务,那你至少要面对三个以上的有关这个服务的漏洞,因此如果你没用到INDEX SERVER服务,也大可删除他. 同样的道理,我们要安装最少的协议。千万不要安装点对点通道通讯协议。此外,还必须小心地配置TCP/IP协议。在TCP/IP的属性页中选择"IP地址"项目,然后选择"高级"。在弹出来的对话框中选择"安全机制",这样你可以禁止UDP,然后开启IP端口6和TCP端口80。当然开不开这些端口主要是看你的情况了。 IIS中的应用程序映射也是个很大的安全漏洞,请在IIS中设置好扩展名和可执行路径,删除没用的扩展名。
3 设置好你的NT
NT缺省安装时,系统账号Administrator和Guest被自动设置,很多攻击者就是利用这些账号来猜密码,从而进入你的系统。虽然没有足够的耐心,很难猜中这些密码,但是为了安全起见,建议把这些账号重新命名或者删除。 NT SERVER的系统策略编辑器非常有用。按"管理工具"->"系统策略编辑器"就可以进入,然后选择"文件"->"打开注册表",并选择"本地计算机"图标,就可以认真配置了。主要设置以下几项:
NTFS 权限是 Web 服务器安全性的基础,它定义了一个或一组用户访问文件和目录的不同级别。当拥有 Windows NT 有效帐号的用户试图访问一个有权限限制的文件时,计算机将检查文件的 访问控制表 (ACL)。该表定义了不同用户和用户组 所被赋予的权限。例如,Web 服务器上的 Web 应用程序的所有者需要有"更改"权限来查看、更改和删除应用程序的 .asp 文件。但是,访问该应用程序的公共用户应仅被授予"只读"权限,以便将其限制为只能查看而不能更改应用程序的 Web 页。
5 对目录设置不同的属性,如:Read、Excute、Script
您可以通过配置您的 Web 服务器的权限来限制所有用户查看、运行和操作您的ASP 页的方式。不同于 NTFS 权限提供的控制特定用户对应用程序文件和目录的访问方式, Web 服务器权限应用于所有用户,并且不区分用户帐号的类型。 对于要运行您的 ASP 应用程序的用户,在设置 Web 服务器权限时,必须遵循下列原则: 对包含 .asp 文件的虚拟目录允许"读"或"脚本"权限。 对 .asp 文件和其他包含脚本的文件(如 .htm 文件等)所在的虚目录允许"读"和"脚本"权限。 对包含 .asp 文件和其他需要"执行"权限才能运行的文件(如 .exe 和 .dll 文件等)的虚目录允许"读"和"执行"权限。
精品推荐