隨著Microsoft Visual Studio 開發(fā)環(huán)境的普及，基于Asp .Net壞境的網(wǎng)站越來越多。因此Asp .net服務(wù)器的安全問題自然而然的成為了人們關(guān)心的問題。本文以Windows2003為例，架設(shè)一臺(tái)安全的Asp .Net的服務(wù)器。

實(shí)驗(yàn)壞境：
操作系統(tǒng)：Microsoft Windows Server 2003 Enterprise Edition Service Pack 2
iis版本：6.0

架設(shè)Asp .Net的基本平臺(tái)：
1. 安裝Windows Server 2003:
　Windows Server 2003的具體安裝方法這么不再講述，但需要注意三點(diǎn)：
 　①.一定要在斷開網(wǎng)絡(luò)的前提下安裝Windows Server 2003。
 　②.安裝Windows Server 2003系統(tǒng)至少要有兩個(gè)分區(qū)，而且分區(qū)的格式均必須為NTFS文件格式(C盤為系統(tǒng)盤，D盤為網(wǎng)站數(shù)據(jù)盤)。
 　③.安裝好Windows Server 2003后必須及時(shí)打上安全補(bǔ)丁。

2. 安裝IIS和Asp .Net：
　按下面步驟操作，安裝IIS和IIS的Asp .Net支持：
   ①.將Windows2003 sp2原版安裝盤放入光驅(qū)。
   ②."開始"->"程序"->"管理工具"->"管理您的服務(wù)器"。
   ③."添加刪除角色"->"配置您的服務(wù)器向?qū)?->"下一步"->"應(yīng)用服務(wù)器（IIS、ASP.Net）"->勾選"啟用 ASP .NET "->"下一步"->"下一步"直到安裝完成。

3. 安裝Microsoft .Net Framework。
　安裝Microsoft .Net Framework，版本根據(jù)網(wǎng)站開發(fā)時(shí)基于的.Net版本而定，一般為2.0或者3.0。

設(shè)置系統(tǒng)賬號(hào)
1. 更改默認(rèn)系統(tǒng)管理員賬號(hào)：
　 更改賬戶名：右擊"我的電腦"->"管理"->"本地用戶和組"->"用戶"->右擊"administrator"->"重命名"->重命名為一個(gè)新的名字，如"WebSVRAdmin"。
　 更改密碼：右擊"WebSVRAdmin"->"設(shè)置密碼"->"繼續(xù)"->輸入一個(gè)復(fù)雜的密碼，最好為長度大于14個(gè)字符的"數(shù)字+大小寫字母+特殊字符"。
2. 新建一個(gè)權(quán)限極小的administrator的陷阱賬號(hào)：
　新建賬戶：右擊"我的電腦"->"管理"->"本地用戶和組"->右擊"用戶"->"新用戶"->用戶名中輸
"administrator",密碼輸入跟WebSVRAdmin同樣復(fù)雜但不相同的密碼->"確定"。

3. 禁用"guest"賬號(hào)。
4. 設(shè)置本地安全策略：
　"開始"->"運(yùn)行"->輸入"gpedit.msc"->"計(jì)算機(jī)配置"->"安全設(shè)置"->"本地策略"->"用戶權(quán)利指派"->雙擊"從網(wǎng)絡(luò)訪問此計(jì)算機(jī)"->只保留"internet 來賓賬號(hào)"、"啟動(dòng)iis進(jìn)程賬號(hào)"、"Asp .Net賬號(hào)"。

磁盤權(quán)限設(shè)置：
1.右擊"C盤"->"屬性"->"安全"->刪除"administrator"、"Creator Owner"、"EveryOne",添加"WebSVRAdmin"，并設(shè)置成完全控制->"確定"。
2.用同樣的方法設(shè)置"c:\windows"、"c:\windows\system32"。
3.右擊"d盤"->"屬性"->"安全"->刪除"administrator"、"Creator Owner"、"EveryOne"、"Users",添加"WebSVR Admin" ，并設(shè)置成完全控制->"確定"。

禁用不需要的服務(wù)：
1. 禁用C$、D$等默認(rèn)共享：
　在"開始"菜單的"運(yùn)行"中鍵入"regedit",打開注冊(cè)表編輯器。依次展開 "HKEY_LOCAL_MATCHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters" 鍵，在右邊的窗口中新建一個(gè)Dword值，名稱設(shè)置為AutoShareServer,值為0。
2. 解除NetBIOS與TCP/IP的綁定：
　右擊"本地連接"->"屬性"->雙擊"Internet 協(xié)議"->"高級(jí)"->"WINS"->禁用"TCP/IP上的NetBIOS"。
3. 關(guān)閉不要的服務(wù)：
　ComputerBrowser: 維護(hù)網(wǎng)絡(luò)計(jì)算機(jī)更新，禁用；
　DistributedFileSystem: 局域網(wǎng)管理共享文件，禁用；
　Distributedlinktrackingclient: 用于局域網(wǎng)共享連接信息，禁用；
　Errorreportingservice: 禁止發(fā)送錯(cuò)誤報(bào)告，禁用；
　MicrosoftSerch: 提供文本搜索，不需要時(shí)禁用；
　NTLMSecuritysupportovide: Telnet服務(wù)和MicrosoftSerch用的，不需要時(shí)禁用。
　PrintSpooler: 如果沒有打印機(jī)，則禁用；
　RemoteRegistry: 用于遠(yuǎn)程修改注冊(cè)表，禁用；
　RemoteDesktopHelpSessionManager: 用于遠(yuǎn)程協(xié)助，禁用；
4. 關(guān)閉不需要的端口：
　右擊"本地連接"->"屬性"->"Internet協(xié)議（TCP/IP）"->"高級(jí)"->"選項(xiàng)"->"TCP/IP篩選"->"屬性"->選擇TCP端口的"只允許"選項(xiàng)，添加"80"端口->確定。

配置IIS
　1. 刪除默認(rèn)Web站點(diǎn)。
　2. 刪除安裝IIS創(chuàng)建的"C:\Inetpub"目錄。

建立ASP.NET站點(diǎn)：
1. 建立站點(diǎn)用戶：
　建立兩個(gè)站點(diǎn)專用用戶aiezu與aiezu_wpg，其中aiezu隸屬于Guests組，aiezu_wpg隸屬于iis_wpg組(asp.net專用用戶)。
　①.新建aiezu賬戶："本地用戶和組"->右擊"用戶"->"新用戶"->用戶名中輸
"aiezu",輸入一個(gè)復(fù)雜的密碼->"確定"。
　②.設(shè)置aiezu所屬的組："本地用戶和組"->右擊"aiezu"->"屬性"->"隸屬于"->刪除"users"組，添加"guest"組->"確定"。
　③.新建aiezu_wpg賬戶："本地用戶和組"->右擊"用戶"->"新用戶"->用戶名中輸
"aiezu_wpg",輸入一個(gè)復(fù)雜的密碼->"確定"。
　④.設(shè)置aiezu_wpg所屬的組："本地用戶和組"->右擊"aiezu"->"屬性"->"隸屬于"->刪除"users"組，添加"iis_wpg"組->"確定"。
2. 建立站點(diǎn)根目錄：
　①.建立站點(diǎn)根目錄文件夾d:\wwwroot\aiezu.com
　②.右擊"aiezu.com"文件夾->"屬性"->"安全"->添加"aiezu"、"aiezu_wpg"用戶，并給予"修改、讀取和運(yùn)行、讀取、寫入"權(quán)限->應(yīng)用。
3. 建立站點(diǎn)應(yīng)用程序池：
　"Internet信息服務(wù)（iis）管理器"->右擊"應(yīng)用程序池"->"新建"->"應(yīng)用程序池"->在"ID"中輸入"aiezu.com"->"確定"。
　右擊"aiezu.com"應(yīng)用程序集->"屬性"->"標(biāo)識(shí)"-選中"配置"，輸入用戶名"aiezu_wpg"和密碼->"確定"->"確定"。
4. 建立Web站點(diǎn)：
　"Internet信息服務(wù)（iis）管理器"->右擊"網(wǎng)站"->"新建"->"網(wǎng)站"->"下一步"->描敘中輸入"aiezu.com"->"下一步"->輸入網(wǎng)站"IP地址"和"端口",主機(jī)頭為"www.aiezu.com"->"下一步"->選中網(wǎng)站目錄"d:\wwwroot\aiezu.com"->"下一步"->勾選"讀取、運(yùn)行腳本 如(asp)"->"下一步"->"完成"。
5. 設(shè)置站點(diǎn)賬號(hào)：
　右擊"aiezu.com"站點(diǎn)->"屬性"->"目錄安全性"->"編輯"->輸入用戶名"aiezu"和密碼->"確定"。
6. 配置"aiezu.com"站點(diǎn)的應(yīng)用程序池：
　右擊"aiezu.com"站點(diǎn)->"屬性"->"主目錄"->應(yīng)用程序池中選"aiezu.com"->"確定"。
7.保存配置：
　"Internet信息服務(wù)（iis）管理器"->右擊"本地計(jì)算機(jī)"->"所有任務(wù)"->"將配置保存到磁盤"。

關(guān)健詞：Asp.net