架設基于windows2003的安全Asp.net服務器
隨著Microsoft Visual Studio 開發環境的普及,基于Asp .Net壞境的網站越來越多。因此Asp .net服務器的安全問題自然而然的成為了人們關心的問題。本文以Windows2003為例,架設一臺安全的Asp .Net的服務器。
實驗壞境:
操作系統:Microsoft Windows Server 2003 Enterprise Edition Service Pack 2
iis版本:6.0
架設Asp .Net的基本平臺:
1. 安裝Windows Server 2003:
Windows Server 2003的具體安裝方法這么不再講述,但需要注意三點:
①.一定要在斷開網絡的前提下安裝Windows Server 2003。
②.安裝Windows Server 2003系統至少要有兩個分區,而且分區的格式均必須為NTFS文件格式(C盤為系統盤,D盤為網站數據盤)。
③.安裝好Windows Server 2003后必須及時打上安全補丁。
2. 安裝IIS和Asp .Net:
按下面步驟操作,安裝IIS和IIS的Asp .Net支持:
①.將Windows2003 sp2原版安裝盤放入光驅。
②."開始"->"程序"->"管理工具"->"管理您的服務器"。
③."添加刪除角色"->"配置您的服務器向導"->"下一步"->"應用服務器(IIS、ASP.Net)"->勾選"啟用 ASP .NET "->"下一步"->"下一步"直到安裝完成。
3. 安裝Microsoft .Net Framework。
安裝Microsoft .Net Framework,版本根據網站開發時基于的.Net版本而定,一般為2.0或者3.0。
設置系統賬號
1. 更改默認系統管理員賬號:
更改賬戶名:右擊"我的電腦"->"管理"->"本地用戶和組"->"用戶"->右擊"administrator"->"重命名"->重命名為一個新的名字,如"WebSVRAdmin"。
更改密碼:右擊"WebSVRAdmin"->"設置密碼"->"繼續"->輸入一個復雜的密碼,最好為長度大于14個字符的"數字+大小寫字母+特殊字符"。
2. 新建一個權限極小的administrator的陷阱賬號:
新建賬戶:右擊"我的電腦"->"管理"->"本地用戶和組"->右擊"用戶"->"新用戶"->用戶名中輸
"administrator",密碼輸入跟WebSVRAdmin同樣復雜但不相同的密碼->"確定"。
3. 禁用"guest"賬號。
4. 設置本地安全策略:
"開始"->"運行"->輸入"gpedit.msc"->"計算機配置"->"安全設置"->"本地策略"->"用戶權利指派"->雙擊"從網絡訪問此計算機"->只保留"internet 來賓賬號"、"啟動iis進程賬號"、"Asp .Net賬號"。
磁盤權限設置:
1.右擊"C盤"->"屬性"->"安全"->刪除"administrator"、"Creator Owner"、"EveryOne",添加"WebSVRAdmin",并設置成完全控制->"確定"。
2.用同樣的方法設置"c:\windows"、"c:\windows\system32"。
3.右擊"d盤"->"屬性"->"安全"->刪除"administrator"、"Creator Owner"、"EveryOne"、"Users",添加"WebSVR Admin" ,并設置成完全控制->"確定"。
禁用不需要的服務:
1. 禁用C$、D$等默認共享:
在"開始"菜單的"運行"中鍵入"regedit",打開注冊表編輯器。依次展開 "HKEY_LOCAL_MATCHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters" 鍵,在右邊的窗口中新建一個Dword值,名稱設置為AutoShareServer,值為0。
2. 解除NetBIOS與TCP/IP的綁定:
右擊"本地連接"->"屬性"->雙擊"Internet 協議"->"高級"->"WINS"->禁用"TCP/IP上的NetBIOS"。
3. 關閉不要的服務:
ComputerBrowser: 維護網絡計算機更新,禁用;
DistributedFileSystem: 局域網管理共享文件,禁用;
Distributedlinktrackingclient: 用于局域網共享連接信息,禁用;
Errorreportingservice: 禁止發送錯誤報告,禁用;
MicrosoftSerch: 提供文本搜索,不需要時禁用;
NTLMSecuritysupportovide: Telnet服務和MicrosoftSerch用的,不需要時禁用。
PrintSpooler: 如果沒有打印機,則禁用;
RemoteRegistry: 用于遠程修改注冊表,禁用;
RemoteDesktopHelpSessionManager: 用于遠程協助,禁用;
4. 關閉不需要的端口:
右擊"本地連接"->"屬性"->"Internet協議(TCP/IP)"->"高級"->"選項"->"TCP/IP篩選"->"屬性"->選擇TCP端口的"只允許"選項,添加"80"端口->確定。
配置IIS
1. 刪除默認Web站點。
2. 刪除安裝IIS創建的"C:\Inetpub"目錄。
建立ASP.NET站點:
1. 建立站點用戶:
建立兩個站點專用用戶aiezu與aiezu_wpg,其中aiezu隸屬于Guests組,aiezu_wpg隸屬于iis_wpg組(asp.net專用用戶)。
①.新建aiezu賬戶:"本地用戶和組"->右擊"用戶"->"新用戶"->用戶名中輸
"aiezu",輸入一個復雜的密碼->"確定"。
②.設置aiezu所屬的組:"本地用戶和組"->右擊"aiezu"->"屬性"->"隸屬于"->刪除"users"組,添加"guest"組->"確定"。
③.新建aiezu_wpg賬戶:"本地用戶和組"->右擊"用戶"->"新用戶"->用戶名中輸
"aiezu_wpg",輸入一個復雜的密碼->"確定"。
④.設置aiezu_wpg所屬的組:"本地用戶和組"->右擊"aiezu"->"屬性"->"隸屬于"->刪除"users"組,添加"iis_wpg"組->"確定"。
2. 建立站點根目錄:
①.建立站點根目錄文件夾d:\wwwroot\aiezu.com
②.右擊"aiezu.com"文件夾->"屬性"->"安全"->添加"aiezu"、"aiezu_wpg"用戶,并給予"修改、讀取和運行、讀取、寫入"權限->應用。
3. 建立站點應用程序池:
"Internet信息服務(iis)管理器"->右擊"應用程序池"->"新建"->"應用程序池"->在"ID"中輸入"aiezu.com"->"確定"。
右擊"aiezu.com"應用程序集->"屬性"->"標識"-選中"配置",輸入用戶名"aiezu_wpg"和密碼->"確定"->"確定"。
4. 建立Web站點:
"Internet信息服務(iis)管理器"->右擊"網站"->"新建"->"網站"->"下一步"->描敘中輸入"aiezu.com"->"下一步"->輸入網站"IP地址"和"端口",主機頭為"www.aiezu.com"->"下一步"->選中網站目錄"d:\wwwroot\aiezu.com"->"下一步"->勾選"讀取、運行腳本 如(asp)"->"下一步"->"完成"。
5. 設置站點賬號:
右擊"aiezu.com"站點->"屬性"->"目錄安全性"->"編輯"->輸入用戶名"aiezu"和密碼->"確定"。
6. 配置"aiezu.com"站點的應用程序池:
右擊"aiezu.com"站點->"屬性"->"主目錄"->應用程序池中選"aiezu.com"->"確定"。
7.保存配置:
"Internet信息服務(iis)管理器"->右擊"本地計算機"->"所有任務"->"將配置保存到磁盤"。
關健詞:Asp.net
新文章:
- CentOS7下圖形配置網絡的方法
- CentOS 7如何添加刪除用戶
- 如何解決centos7雙系統后丟失windows啟動項
- CentOS單網卡如何批量添加不同IP段
- CentOS下iconv命令的介紹
- Centos7 SSH密鑰登陸及密碼密鑰雙重驗證詳解
- CentOS 7.1添加刪除用戶的方法
- CentOS查找/掃描局域網打印機IP講解
- CentOS7使用hostapd實現無AP模式的詳解
- su命令不能切換root的解決方法
- 解決VMware下CentOS7網絡重啟出錯
- 解決Centos7雙系統后丟失windows啟動項
- CentOS下如何避免文件覆蓋
- CentOS7和CentOS6系統有什么不同呢
- Centos 6.6默認iptable規則詳解