△ |
安裝Windows 2000 Server前先將要用到的修正程式(例如:Service
pack最新版,安全彙總套件w2kSP2SRP1.EXE)備妥,並將網路線拔掉,以免安裝過程中網路已能連線,安全修正程式還未安裝,受到攻擊造成安全問題. |
△ |
裝好
IIS第一件要做的事,就是把有安全問題的項目從預設
WEB
站台移除,要移除的有五個虛擬目錄,分別是
Scripts、MSADC、
IISAdmin、
printers、IISSamples
目錄.,刪除方式如下:
2.例如要先刪MSADC目錄,先該MSADC上按右鍵,選[刪除].其餘的比照辦理即可刪除 |
△ |
在「應用程式選項」中將「啟用上層路徑」關閉,以限制使用者的
ASP
僅能讀取和執行自己目錄下的檔案,避免使用者取得
Administrator
的管理權限。操作方式如下: |
△ |
關閉兩個有漏洞導致站台不安全的指令引擎,這兩個引擎分別為
ism.dll(相關檔案類型為
.htr) 及
idq.dll(相關檔案類型為
.ida .idq),操作方式如下:在[預設的Web站台]上按滑鼠右鍵,選[內容]/[主目錄]/[設定][應用程式對應],選ism.dll,選[編輯],將[指令引擎]取消.再點選idq.dll將副檔名是.ida
.idq 的[指令引擎]取消. |
△ |
將[應用程式偵錯]的[指令錯誤訊息],改設[將文字錯誤訊息傳送給用戶端],以避免在程式錯誤發生時,瀏覽網頁的人看到詳細的原始程式碼,或得知
MsSQL 資料庫密碼。 |
△ |
因為*.mdb、*.dbf檔、*.INI…等檔案,使用者只要猜到檔名,就可以在瀏覽器輸入這些檔案網址與檔名,即可下載這些檔案,如*.mdb的資料庫是密碼檔且未經編碼保護,只要下載後用Access開啟,立即可看到密碼,形成嚴重的安全問題。要防止這些檔案被下載的設定程序如下(以設定eweb |
△ | Index Service 主要是提供網站的索引服務,Index Service
搜尋網站所在目錄裡的所有檔案,擷取關鍵字建立屬性快取,如沒有特別的限制,會搜尋包含所有的子目錄及檔案。有些檔案是屬於二進位檔,這類檔案會用檔案屬性來索引,其餘文字檔案則會搜尋內文中的關鍵字詞作為索引。微軟把這種不同索引方式,稱為篩選器,預設有純文字檔、Word、Excel、PowerPoint、HTML和二進位檔等五種篩選器,而ASP
程式卻被視為純文字檔,程式內容被擷取製成索引,導致使用者鍵入 ASP 當關鍵字來索引,就可以看到原始程式碼,造成系統安全危害,因此,如沒有用到Index
Service,請將其移除. |