电子商务网站管理与维护-第8章-Web站点的安全技术课件

第八章web站点的安全技术

8.1WindowsSever2003的安全方案8.2IIS的安全配置8.3数据库安全第八章web站点的安全技术8.1WindowsS8.1WindowsSever2003的安全方案WindowsServer2003操作系统；Internet信息服务(IIS)6.0；Web应用程序；IP安全策略(IPSec)；远程管理与监视；SQLServer；用户与密码。此处我们主要讲解WindowsServer2003、Internet信息服务(IIS)6.0、IP安全策略(IPSec)的安全配置，对于其他方面将在以后的课程逐步讲解。8.1WindowsSever2003的安全方案Wi8.1.1安装安全1.硬盘分区为NTFS分区；（1）NTFS比FAT分区多了安全控制功能（2）建议最好一次性全部安装成NTFS分区（3）安装NTFS分区的潜在危险2.只安装一种操作系统3.安装成独立的域控制器（StandAlone）,选择工作组成员，不选择域

主域控制器（PDC）是局域网中队多台联网机器管理的一种方式，用于网站服务器包含着安全隐患，使黑客有可能利用域方式的漏洞攻击站点服务器。8.1.1安装安全1.硬盘分区为NTFS分区；4.将操作系统文件所在分区与Web数据包括其他应用程序所在的分区分开，并在安装时最好不要使用系统默认的目录，如将\WINNT改为其他目录；5.Windows程序，都要重新安装一次补丁程序，windows2000下更需要这样做。（1）最新的补丁程序，表示系统以前有重大漏洞，非补不可了（2）安装windows2000的SP4有一个潜在威胁（3）安装ServicePack前应先在测试机器上安装一次，以防因为例外原因导致机器死机，同时做好数据备份。6.尽量不安装与Web站点服务无关的软件；4.将操作系统文件所在分区与Web数据包括其他应用程序所在的8.1.2设置安全1.帐号策略（1）帐号尽可能少，且尽可能少用来登录；（2）除过Administrator外，有必要再增加一个属于管理员组的帐号（3）所有帐号权限需严格控制，轻易不要给帐号以特殊权限（4）将Administrator重命名，改为一个不易猜的名字。（5）将Guest帐号禁用，（6）给所有用户帐号一个复杂的口令（7）口令必须定期更改（8）在帐号属性中设立锁定次数8.1.2设置安全1.帐号策略2.解除NetBios与TCP/IP协议的绑定

NetBois在局域网内是不可缺少的功能，在网站服务器上却成了黑客扫描工具的首选目标。方法：控制面版——网络和拨号连接——本地网络——属性——TCP/IP——属性——高级——WINS——禁用TCP/IP上的NETBIOS。

3.系统启动的等待时间设置为0秒2.解除NetBios与TCP/IP协议的绑定4.改NTFS的安全权限NTFS下所有文件默认情况下对所有人（EveryOne）为完全控制权限，这使黑客有可能使用一般用户身份对文件做增加、删除、执行等操作，建议对一般用户只给予读取权限，而只给管理员和System以完全控制权限，但这样做有可能使某些正常的脚本程序不能执行，或者某些需要写的操作不能完成，这时需要对这些文件所在的文件夹权限进行更改，建议在做更改前先在测试机器上作测试，然后慎重更改。4.改NTFS的安全权限E-mail：51god@163.com5.只开放必要的端口，关闭其余端口

现将一些常用端口列表如下E-mail：51god@163.com5.只开放必要的端口6.只保留TCP/IP协议，删除NETBEUI、IPX/SPX协议网站需要的通讯协议只有TCP/IP，而NETBEUI是一个只能用于局域网的协议，IPX/SPX是面临淘汰的协议，放在网站上没有任何用处，反而会被某些黑客工具利用。6.只保留TCP/IP协议，删除NETBEUI、IPX/SP7.停掉没有用的服务，只保留与网站有关的服务和服务器某些必须的服务。有些服务比如RAS服务、Spooler服务等会给黑客带来可乘之机，如果确实没有用处建议禁止掉，同时也能节约一些系统资源。但要注意有些服务是操作系统必须的服务，建议在停掉前查阅帮助文档并首先在测试服务器上做一下测试。电子商务网站管理与维护-第8章-Web站点的安全技术课件8.合理修改注册表（1）隐藏重要文件/目录可以修改注册表实现完全隐藏（2）防止SYN洪水攻击（3）禁止响应ICMP路由通告报文（4）防止ICMP重定向报文的攻击（5）不支持IGMP协议（6）修改终端服务端口（7）禁止IPC空连接（8）更改TTL值（9）禁止建立空连接（10）删除默认共享8.合理修改注册表9.安装最新的MDACMDAC为数据访问部件，通常程序对数据库的访问都通过它，但它也是黑客攻击的目标，为防止以前版本的漏洞可能会被带入升级后的版本，建议卸载后安装最新的版本。注意：在安装最新版本前最好先做一下测试，因为有的数据访问方式或许在新版本中不再被支持，这种情况下可以通过修改注册表来修补漏洞，详情可以参考微软公布的漏洞测试文档。9.安装最新的MDAC10.加强日志审核

日志任何包括事件查看器中的应用、系统、安全日志，IIS中的WWW、SMTP、FTP日志、SQLSERVER日志等，从中可以看出某些攻击迹象，因此每天查看日志是保证系统安全的必不可少的环节。安全日志缺省是不记录，帐号审核可以从域用户管理器——规则——审核中选择指标；NTFS中对文件的审核从资源管理器中选取。要注意的一点是，只需选取你真正关心的指标就可以了，如果全选，则记录数目太大，反而不利于分析；另外太多对系统资源也是一种浪费。

10.加强日志审核8.1.3关闭服务器端口关闭服务器端口的有三种方法：通过修改注册表关闭相关端口；通过停止并禁用相关系统服务；通过配置本地IP安全策略实现端口的关闭。这里着重讲解通过配置IP安全策略关闭端口的方法。8.1.3关闭服务器端口关闭服务器端口的有三种方法：通过修1.通过停止并禁用相关系统服务关闭端口（1）关闭79等端口：关闭SimpleTCP/IPService，支持以下

TCP/IP服务：CharacterGenerator,Daytime,Discard,Echo,以及

QuoteoftheDay。

（2）关掉25端口：关闭SimpleMailTransportProtocol（SMTP)服务，它提供的功能是跨网传送电子邮件。（3）关掉21端口：关闭FTPPublishingService,它提供的服务是通过

Internet信息服务的管理单元提供

FTP连接和管理。（4）关掉23端口：关闭Telnet服务，它允许远程用户登录到系统并且使用命令行运行控制台程序。（5）关闭server服务，此服务提供

RPC支持、文件、打印以及命名管道共享。关掉它就关掉了windows的默认共享，比如ipc$、c$、admin$等等，此服务关闭不影响您的共他操作。1.通过停止并禁用相关系统服务关闭端口（1）关闭79等端口：2.配置IP安全策略关闭端口本部分内容在实践课中进行讲解和练习。2.配置IP安全策略关闭端口本部分内容在实践课中进行讲解和练8.2IIS的安全配置8.2IIS的安全配置8.2.1加强IIS安全的基本设置1.关闭并删除默认站点2.建立自己的站点，与系统不在同一分区3.删除IIS的部分目录:IISHelp，C:\winnt\help\iishelp；

IISAdmin，C:\system32\inetsrv\iisadminMSADC，C:\ProgramFiles\CommonFiles\System\msadc\C:\inetpub4.删除不必要的IIS映射和扩展5.禁用父路径（有可能导致某些使用相对路径的子页面不能打开）8.2.1加强IIS安全的基本设置1.关闭并删除默认站点6.在虚拟目录上设置访问控制权限7.启用日志记录8.备份IIS配置9.修改IIS标志10.重定义错误信息

防止数据库不被下载的方法有很多,众多方法中只要记住一点.不要改成asp就可以了,不然黑客给你放一个简单的木马都会让你陷入极大的麻烦,然后在IIS中将HTTP404、500等ObjectNotFound出错页面通过URL重定向到一个定制HTML文件,这样大多数的暴库得到的都是你设置好的文件,自然就掩饰了数据库的地址，还能防止一些sql注入。6.在虚拟目录上设置访问控制权限电子商务网站管理与为维护E-mail：51god@163.com8.2.2服务器硬盘的权限设置为了提高系统安全性，我们对系统的一些重要文件夹进行正确的权限设置，这样可以大大提高系统安全性和可用性。电子商务网站管理与为维护E-mail：51god@163.c电子商务网站管理与为维护E-mail：51god@163.com服务器硬盘权限设置表文件用户权限

C:/administrators全部权限iis_wpg只有该文件夹；列出文件夹/读数据；读属性；读扩展属性；读取权限电子商务网站管理与为维护E-mail：51god@163.c电子商务网站管理与为维护E-mail：51god@163.com提高FSO的安全性1FSO简介FSO是FileSystemObject的简称。FSO组件可以用来处理驱动器、文件夹以及文件。该组件为ASP提供了强大的文件系统访问能力，可以对服务器硬盘上的任何文件进行读、写、复制、删除、改名等操作，这就给网站的安全带来巨大的威胁。电子商务网站管理与为维护E-mail：51god@163.c电子商务网站管理与为维护E-mail：51god@163.com提高FSO的安全性很多服务器都遭受过FSO木马的侵扰。但是如果禁用FSO组件，那么所有利用这个组件的ASP程序都将无法正常运行，无法满足客户的需求。如何既允许FSO组件，又不影响服务器的安全性呢？电子商务网站管理与为维护E-mail：51god@163.c电子商务网站管理与为维护E-mail：51god@163.com2FSO的安全设置(1)在服务器上打开资源管理器，用鼠标右键点击各个硬盘分区或卷的盘符，属性安全，就可以看到有哪些帐号可以访问这个分区（卷）及访问权限。默认的是“Everyone”具有完全控制的权限。(2)点“添加”，将“Administrators”、“BackupOperators”、“PowerUsers”、“Users”等几个组添加进去，并给予“完全控制”或相应的权限，注意，不要给“Guests”组、“IUSR_机器名”这几个帐号任何权限。电子商务网站管理与为维护E-mail：51god@163.c电子商务网站管理与为维护E-mail：51god@163.com2FSO的安全设置(3)将“Everyone”组从列表中删除，这样，就只有授权的组和用户才能访问此硬盘分区了，而ASP执行时，是以“IUSR_机器名”的身份访问硬盘的，这里没给该用户帐号权限，ASP也就不能读写硬盘上的文件了。电子商务网站管理与为维护E-mail：51god@163.c电子商务网站管理与为维护E-mail：51god@163.com2FSO的安全设置下面要做的就是给每个用户设置一个单独的用户帐号，然后再给每个帐号分配一个允许其完全控制的目录。(1)打开“计算机管理”→“本地用户和组”→“用户”，在右栏中点击鼠标右键，在弹出的菜单中选择“新用户”：电子商务网站管理与为维护E-mail：51god@163.c电子商务网站管理与为维护E-mail：51god@163.com电子商务网站管理与为维护E-mail：51god@163.c电子商务网站管理与为维护E-mail：51god@163.com2FSO的安全设置(2)在“新用户”对话框中输入“用户名”、“密码”、“确认密码”，并将“用户下次登录时须更改密码”前的对号去掉，选中“用户不能更改密码”和“密码永不过期”。本例是给第一虚拟主机的用户建立一个匿名访问Internet信息服务的内置帐号“IUSR_VHOST1”，即：所有客户端使用http://xxx.xxx.xxxx/（表示该网站的网址）访问此网站时，都是以这个身份来访问的。输入完成后点“创建”即可。可以根据实际需要，创建多个用户，创建完毕后点“关闭”。电子商务网站管理与为维护E-mail：51god@163.c电子商务网站管理与为维护E-mail：51god@163.com2FSO的安全设置(3)现在新建立的用户已经出现在帐号列表中了，在列表中双击该帐号，以便进一步进行设置电子商务网站管理与为维护E-mail：51god@163.c电子商务网站管理与为维护E-mail：51god@163.com2FSO的安全设置(4)在弹出的“IUSR_VHOST1”（即刚才创建的新帐号）属性对话框中点“隶属于”选项卡，刚建立的帐号默认是属于“Users”组，选中该组，点“删除”。电子商务网站管理与为维护E-mail：51god@163.c电子商务网站管理与为维护E-mail：51god@163.com2FSO的安全设置(5)现在出现的是如下图所示，此时再点“添加”:电子商务网站管理与为维护E-mail：51god@163.c电子商务网站管理与为维护E-mail：51god@163.com2FSO的安全设置(6)在弹出的“选择组”对话框中找到“Guests”，点“添加”，此组就会出现在下方的文本框中，然后点“确定”：电子商务网站管理与为维护E-mail：51god@163.c电子商务网站管理与为维护E-mail：51god@163.com2FSO的安全设置(7)打开“Internet信息服务”，开始对虚拟主机进行设置，本例中的以对“第一虚拟主机”设置为例进行说明，右击该主机名，选择“属性”：电子商务网站管理与为维护E-mail：51god@163.c电子商务网站管理与为维护E-mail：51god@163.com2FSO的安全设置(8)弹出一个“第一虚拟主机属性”的对话框，从对话框中可以看到该虚拟主机用户的使用的是“F:\VHOST1”这个文件夹：电子商务网站管理与为维护E-mail：51god@163.c电子商务网站管理与为维护E-mail：51god@163.com2FSO的安全设置(9)暂时先不管的“第一虚拟主机属性”对话框，切换到“资源管理器”，找到“F:\VHOST1”这个文件夹，右击，选“属性”→“安全”选项卡，此时可以看到该文件夹的默认安全设置是“Everyone”完全控制（视不同情况显示的内容不完全一样），首先将“允许将来自父系的可继承权限传播给该对象”前面的对号去掉：电子商务网站管理与为维护E-mail：51god@163.c电子商务网站管理与为维护E-mail：51god@163.com2FSO的安全设置电子商务网站管理与为维护E-mail：51god@163.c电子商务网站管理与为维护E-mail：51god@163.com2FSO的安全设置(10)点“删除”安全选项卡中的所有组和用户都将被清空然后点“添加”。电子商务网站管理与为维护E-mail：51god@163.c电子商务网站管理与为维护E-mail：51god@163.com2FSO的安全设置(11)将如图中所示的“Administrator”及在前面所创建的新帐号“IUSR_VHOST1”添加进来，将给予完全控制的权限，还可以根据实际需要添加其他组或用户，但一定要将“Guests”组、“IUSR_机器名”这些匿名访问的帐号添加上去。电子商务网站管理与为维护E-mail：51god@163.c电子商务网站管理与为维护E-mail：51god@163.com2FSO的安全设置(12)切换到前面打开的"第一虚拟主机属性"的对话框，打开"目录安全性"选项卡，点匿名访问和验证控制的"编辑"：电子商务网站管理与为维护E-mail：51god@163.c电子商务网站管理与为维护E-mail：51god@163.com2FSO的安全设置(13)在弹出的"验证方法"对方框（如下图所示），点"编辑"，弹出了"匿名用户帐号"，默认的就是"IUSR_机器名"，点"浏览"，在"选择用户"对话框中找到前面创建的新帐号"IUSR_VHOST1"，双击，此时匿名用户名就改过来了，在密码框中输入前面创建时，为该帐号设置的密码：再确定一遍密码：

电子商务网站管理与为维护E-mail：51god@163.c电子商务网站管理与为维护E-mail：51god@163.com2FSO的安全设置至此针对FSO的安全设置完成了，点确定关闭这些对话框。经此设置后，"第一虚拟主机"的用户，使用ASP的FileSystemObject组件也只能访问自己的目录：F:\VHOST1下的内容，当试图访问其他内容时，会出现诸如"没有权限"、"硬盘未准备好"、"500服务器内部错误"等出错提示了。电子商务网站管理与为维护E-mail：51god@163.c安装最新的服务包使用Microsoft基线安全性分析器（MBSA）来评估服务器的安全性使用Windows身份验证模式隔离您的服务器，并定期备份分配一个强健的sa密码限制SQLServer服务的权限在防火墙上禁用SQLServer端口使用更加安全的文件系统删除或保护旧的安装文件

8.3数据库安全安装最新的服务包8.3数据库安全审核指向SQLServer的连接修改SQLSERVER内置存储过程

电子商务网站管理与维护-第8章-Web站点的安全技术课件本章结束ThankYou!本章结束ThankYou!第八章web站点的安全技术

8.1WindowsSever2003的安全方案8.2IIS的安全配置8.3数据库安全第八章web站点的安全技术8.1WindowsS8.1WindowsSever2003的安全方案WindowsServer2003操作系统；Internet信息服务(IIS)6.0；Web应用程序；IP安全策略(IPSec)；远程管理与监视；SQLServer；用户与密码。此处我们主要讲解WindowsServer2003、Internet信息服务(IIS)6.0、IP安全策略(IPSec)的安全配置，对于其他方面将在以后的课程逐步讲解。8.1WindowsSever2003的安全方案Wi8.1.1安装安全1.硬盘分区为NTFS分区；（1）NTFS比FAT分区多了安全控制功能（2）建议最好一次性全部安装成NTFS分区（3）安装NTFS分区的潜在危险2.只安装一种操作系统3.安装成独立的域控制器（StandAlone）,选择工作组成员，不选择域

主域控制器（PDC）是局域网中队多台联网机器管理的一种方式，用于网站服务器包含着安全隐患，使黑客有可能利用域方式的漏洞攻击站点服务器。8.1.1安装安全1.硬盘分区为NTFS分区；4.将操作系统文件所在分区与Web数据包括其他应用程序所在的分区分开，并在安装时最好不要使用系统默认的目录，如将\WINNT改为其他目录；5.Windows程序，都要重新安装一次补丁程序，windows2000下更需要这样做。（1）最新的补丁程序，表示系统以前有重大漏洞，非补不可了（2）安装windows2000的SP4有一个潜在威胁（3）安装ServicePack前应先在测试机器上安装一次，以防因为例外原因导致机器死机，同时做好数据备份。6.尽量不安装与Web站点服务无关的软件；4.将操作系统文件所在分区与Web数据包括其他应用程序所在的8.1.2设置安全1.帐号策略（1）帐号尽可能少，且尽可能少用来登录；（2）除过Administrator外，有必要再增加一个属于管理员组的帐号（3）所有帐号权限需严格控制，轻易不要给帐号以特殊权限（4）将Administrator重命名，改为一个不易猜的名字。（5）将Guest帐号禁用，（6）给所有用户帐号一个复杂的口令（7）口令必须定期更改（8）在帐号属性中设立锁定次数8.1.2设置安全1.帐号策略2.解除NetBios与TCP/IP协议的绑定

NetBois在局域网内是不可缺少的功能，在网站服务器上却成了黑客扫描工具的首选目标。方法：控制面版——网络和拨号连接——本地网络——属性——TCP/IP——属性——高级——WINS——禁用TCP/IP上的NETBIOS。

3.系统启动的等待时间设置为0秒2.解除NetBios与TCP/IP协议的绑定4.改NTFS的安全权限NTFS下所有文件默认情况下对所有人（EveryOne）为完全控制权限，这使黑客有可能使用一般用户身份对文件做增加、删除、执行等操作，建议对一般用户只给予读取权限，而只给管理员和System以完全控制权限，但这样做有可能使某些正常的脚本程序不能执行，或者某些需要写的操作不能完成，这时需要对这些文件所在的文件夹权限进行更改，建议在做更改前先在测试机器上作测试，然后慎重更改。4.改NTFS的安全权限E-mail：51god@163.com5.只开放必要的端口，关闭其余端口

现将一些常用端口列表如下E-mail：51god@163.com5.只开放必要的端口6.只保留TCP/IP协议，删除NETBEUI、IPX/SPX协议网站需要的通讯协议只有TCP/IP，而NETBEUI是一个只能用于局域网的协议，IPX/SPX是面临淘汰的协议，放在网站上没有任何用处，反而会被某些黑客工具利用。6.只保留TCP/IP协议，删除NETBEUI、IPX/SP7.停掉没有用的服务，只保留与网站有关的服务和服务器某些必须的服务。有些服务比如RAS服务、Spooler服务等会给黑客带来可乘之机，如果确实没有用处建议禁止掉，同时也能节约一些系统资源。但要注意有些服务是操作系统必须的服务，建议在停掉前查阅帮助文档并首先在测试服务器上做一下测试。电子商务网站管理与维护-第8章-Web站点的安全技术课件8.合理修改注册表（1）隐藏重要文件/目录可以修改注册表实现完全隐藏（2）防止SYN洪水攻击（3）禁止响应ICMP路由通告报文（4）防止ICMP重定向报文的攻击（5）不支持IGMP协议（6）修改终端服务端口（7）禁止IPC空连接（8）更改TTL值（9）禁止建立空连接（10）删除默认共享8.合理修改注册表9.安装最新的MDACMDAC为数据访问部件，通常程序对数据库的访问都通过它，但它也是黑客攻击的目标，为防止以前版本的漏洞可能会被带入升级后的版本，建议卸载后安装最新的版本。注意：在安装最新版本前最好先做一下测试，因为有的数据访问方式或许在新版本中不再被支持，这种情况下可以通过修改注册表来修补漏洞，详情可以参考微软公布的漏洞测试文档。9.安装最新的MDAC10.加强日志审核

日志任何包括事件查看器中的应用、系统、安全日志，IIS中的WWW、SMTP、FTP日志、SQLSERVER日志等，从中可以看出某些攻击迹象，因此每天查看日志是保证系统安全的必不可少的环节。安全日志缺省是不记录，帐号审核可以从域用户管理器——规则——审核中选择指标；NTFS中对文件的审核从资源管理器中选取。要注意的一点是，只需选取你真正关心的指标就可以了，如果全选，则记录数目太大，反而不利于分析；另外太多对系统资源也是一种浪费。

10.加强日志审核8.1.3关闭服务器端口关闭服务器端口的有三种方法：通过修改注册表关闭相关端口；通过停止并禁用相关系统服务；通过配置本地IP安全策略实现端口的关闭。这里着重讲解通过配置IP安全策略关闭端口的方法。8.1.3关闭服务器端口关闭服务器端口的有三种方法：通过修1.通过停止并禁用相关系统服务关闭端口（1）关闭79等端口：关闭SimpleTCP/IPService，支持以下

TCP/IP服务：CharacterGenerator,Daytime,Discard,Echo,以及

QuoteoftheDay。

（2）关掉25端口：关闭SimpleMailTransportProtocol（SMTP)服务，它提供的功能是跨网传送电子邮件。（3）关掉21端口：关闭FTPPublishingService,它提供的服务是通过

Internet信息服务的管理单元提供

FTP连接和管理。（4）关掉23端口：关闭Telnet服务，它允许远程用户登录到系统并且使用命令行运行控制台程序。（5）关闭server服务，此服务提供

RPC支持、文件、打印以及命名管道共享。关掉它就关掉了windows的默认共享，比如ipc$、c$、admin$等等，此服务关闭不影响您的共他操作。1.通过停止并禁用相关系统服务关闭端口（1）关闭79等端口：2.配置IP安全策略关闭端口本部分内容在实践课中进行讲解和练习。2.配置IP安全策略关闭端口本部分内容在实践课中进行讲解和练8.2IIS的安全配置8.2IIS的安全配置8.2.1加强IIS安全的基本设置1.关闭并删除默认站点2.建立自己的站点，与系统不在同一分区3.删除IIS的部分目录:IISHelp，C:\winnt\help\iishelp；

IISAdmin，C:\system32\inetsrv\iisadminMSADC，C:\ProgramFiles\CommonFiles\System\msadc\C:\inetpub4.删除不必要的IIS映射和扩展5.禁用父路径（有可能导致某些使用相对路径的子页面不能打开）8.2.1加强IIS安全的基本设置1.关闭并删除默认站点6.在虚拟目录上设置访问控制权限7.启用日志记录8.备份IIS配置9.修改IIS标志10.重定义错误信息

防止数据库不被下载的方法有很多,众多方法中只要记住一点.不要改成asp就可以了,不然黑客给你放一个简单的木马都会让你陷入极大的麻烦,然后在IIS中将HTTP404、500等ObjectNotFound出错页面通过URL重定向到一个定制HTML文件,这样大多数的暴库得到的都是你设置好的文件,自然就掩饰了数据库的地址，还能防止一些sql注入。6.在虚拟目录上设置访问控制权限电子商务网站管理与为维护E-mail：51god@163.com8.2.2服务器硬盘的权限设置为了提高系统安全性，我们对系统的一些重要文件夹进行正确的权限设置，这样可以大大提高系统安全性和可用性。电子商务网站管理与为维护E-mail：51god@163.c电子商务网站管理与为维护E-mail：51god@163.com服务器硬盘权限设置表文件用户权限

C:/administrators全部权限iis_wpg只有该文件夹；列出文件夹/读数据；读属性；读扩展属性；读取权限电子商务网站管理与为维护E-mail：51god@163.c电子商务网站管理与为维护E-mail：51god@163.com提高FSO的安全性1FSO简介FSO是FileSystemObject的简称。FSO组件可以用来处理驱动器、文件夹以及文件。该组件为ASP提供了强大的文件系统访问能力，可以对服务器硬盘上的任何文件进行读、写、复制、删除、改名等操作，这就给网站的安全带来巨大的威胁。电子商务网站管理与为维护E-mail：51god@163.c电子商务网站管理与为维护E-mail：51god@163.com提高FSO的安全性很多服务器都遭受过FSO木马的侵扰。但是如果禁用FSO组件，那么所有利用这个组件的ASP程序都将无法正常运行，无法满足客户的需求。如何既允许FSO组件，又不影响服务器的安全性呢？电子商务网站管理与为维护E-mail：51god@163.c电子商务网站管理与为维护E-mail：51god@163.com2FSO的安全设置(1)在服务器上打开资源管理器，用鼠标右键点击各个硬盘分区或卷的盘符，属性安全，就可以看到有哪些帐号可以访问这个分区（卷）及访问权限。默认的是“Everyone”具有完全控制的权限。(2)点“添加”，将“Administrators”、“BackupOperators”、“PowerUsers”、“Users”等几个组添加进去，并给予“完全控制”或相应的权限，注意，不要给“Guests”组、“IUSR_机器名”这几个帐号任何权限。电子商务网站管理与为维护E-mail：51god@163.c电子商务网站管理与为维护E-mail：51god@163.com2FSO的安全设置(3)将“Everyone”组从列表中删除，这样，就只有授权的组和用户才能访问此硬盘分区了，而ASP执行时，是以“IUSR_机器名”的身份访问硬盘的，这里没给该用户帐号权限，ASP也就不能读写硬盘上的文件了。电子商务网站管理与为维护E-mail：51god@163.c电子商务网站管理与为维护E-mail：51god@163.com2FSO的安全设置下面要做的就是给每个用户设置一个单独的用户帐号，然后再给每个帐号分配一个允许其完全控制的目录。(1)打开“计算机管理”→“本地用户和组”→“用户”，在右栏中点击鼠标右键，在弹出的菜单中选择“新用户”：电子商务网站管理与为维护E-mail：51god@163.c电子商务网站管理与为维护E-mail：51god@163.com电子商务网站管理与为维护E-mail：51god@163.c电子商务网站管理与为维护E-mail：51god@163.com2FSO的安全设置(2)在“新用户”对话框中输入“用户名”、“密码”、“确认密码”，并将“用户下次登录时须更改密码”前的对号去掉，选中“用户不能更改密码”和“密码永不过期”。本例是给第一虚拟主机的用户建立一个匿名访问Internet信息服务的内置帐号“IUSR_VHOST1”，即：所有客户端使用http://xxx.xxx.xxxx/（表示该网站的网址）访问此网站时，都是以这个身份来访问的。输入完成后点“创建”即可。可以根据实际需要，创建多个用户，创建完毕后点“关闭”。电子商务网站管理与为维护E-mail：51god@163.c电子商务网站管理与为维护E-mail：51god@163.com2FSO的安全设置(3)现在新建立的用户已经出现在帐号列表中了，在列表中双击该帐号，以便进一步进行设置电子商务网站管理与为维护E-mail：51god@163.c电子商务网站管理与为维护E-mail：51god@163.com2FSO的安全设置(4)在弹出的“IUSR_VHOST1”（即刚才创建的新帐号）属性对话框中点“隶属于”选项卡，刚建立的帐号默认是属于“Users”组，选中该组，点“删除”。电子商务网站管理与为维护E-mail：51god@163.c电子商务网站管理与为维护E-mail：51god@163.com2FSO的安全设置(5)现在出现的是如下图所示，此时再点“添加”:电子商务网站管理与为维护E-mail：51god@163.c电子商务网站管理与为维护E-mail：51god@163.com2FSO的安全设置(6)在弹出的“选择组”对话框中找到“Guests”，点“添加”，此组就会出现在下方的文本框中，然后点“确定”：电子商务网站管理与为维护E-mail：51god@163.c电子商务网站管理与为维护E-mail：51god@163.com2FSO的安全设置(7)打开“Internet信息服务”，开始对虚拟主机进行设置，本例中的以对“第一虚拟主机”设置为例进行说明，右击该主机名，选择“属性”：电子商务网站管理与为维护E-mail：51god@163.c电子商务网站管理与为维护E-mail：51god@163.com2FSO的安全设置(8)弹出一个“第一虚拟主机属性”的对话框，从对话框中可以看到该虚拟主机用户的使用的是“F:\VHOST1”这个文件夹：电子商