IIS5安全策略设计概要

作者佚名技术来源服务器技术浏览发布时间 2012-05-25

mmc，点击"确定"，启动Microsoft管理控制台，即MMC
从"控制台"菜单中选择"添加/删除管理单元"，点击"添加"
选择"证书"，点击"添加"
点击"计算机帐户"选项
点击"下一步"
选择要访问的机器
点击"完成"
点击"关闭"，点击"确定"
扩展"证书"节点
扩展"受信任的根证书颁发机构"
选择"证书"
点击小图放大这时，在右边窗口格中显示出当前所有的受信任的根证书颁发机构发放证书的资料。我们可以根据实际情况，删除不需要的证书。但是请格外注意，不要删除Microsoft公司或Verisign公司的相关证书，因为它们被操作系统广泛地使用。禁止或删除不需要的COM组件
对于大多数应用程序不需要的COM组件，我们就应该考虑将其删除，比如说"文件系统对象"（File System Object）组件。请注意，如果删除了"文件系统对象"组件，"目录对象"（Dictionary object）组件也将被删除。但是提醒一点，有些程序可能需要禁止的组件，比如说，Site服务器3.0就使用到"文件系统对象"组件。删除"文件系统对象"组件的命令是： regsvr32 scrrun.dll /u。重点检查ASP代码中的

输入内容和查询输入内容
许多站点都使用来自用户的输入信息去调用其他代码或者直接创建SQL命令。换言之，输入内容被假设为格式正确和语法正确。但是我们千万不能这么掉以轻心！许多攻击者就是在输入内容中填写非法代码从而巧妙偷窥服务器的内容，甚至造成数据的毁坏。因此，我们要特别重视检查来自的输入内容或者查询字符串信息，只有其符合安全要求，才能进一步传递给下一个程序进行处理。
我们可以使用Jscript版本5和VBScript版本5的常规表达式功能检查文本信息的合法性。来看看几个例子。
下面的代码是除去字符串中所有非字母、非数字以及非_的字符：
Set reg = New RegExp
reg.Pattern = "\W+"
strUnTainted = reg.Replace(strTainted,"")
下面的代码是除去|操作符后的所有文本：
Set reg = New RegExp
reg.Pattern = "^(.+)\|(.+)"Anycharacter from the start of
'' the string to a | character.
strUnTainted = reg.Replace(strTainted,"$1") 另外，当使用"文件系统对象"组件打开或创建文件时，如果文件名取自用户的输入内容，那么很可能被攻击者利用去试图打开一个计算机的串口或者打印机设备。为了防止这个问题发生，我们可以使用下面的Jscript代码除去非法文件名：
var strOut = strIn.replace(/(AUX|PRN|NUL|COM\d|LPT\d)+\s*$/i,"");
从以上几个简单的实例，我们可以看到脚本引擎版本5处理字符串的强大功能。微软站点有关于脚本应用的详细文档与例程，地址如下：
文档：http://msdn.microsoft.com/scripting/default.htm
例程：http://msdn.microsoft.com/workshop/languages/clinic/scripting051099.asp 禁止父路径（Parent Paths）表达法
默认情况下，可以在函数中使用父路径".."。但是为了安全考虑，我们应该禁止这个功能，步骤如下：在"Internet服务管理器"中右键点击要处理服务器的"默认Web站点"，从弹出菜单中选择"属性 "
点击"主目录"选项卡
点击"配置"
点击"应用程序选项"选项卡
去除"启用父路径"复选框关键词：IIS

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!

上一页 1 2 3

分享到：更多

你可能对下面的文章感兴趣

上一篇: WIN2003下Web服务器配置(2)下一篇: 用Windows Server 2003搭建安全文件服务器(3)

关于IIS5安全策略设计概要的所有评论

昵称评论内容

随机推荐