安全维护 IIS ASP 站点的高级技巧(2)

4. 不要安装html的远程管理。html的远程管理在winnt 4.0还能用的上，但漏洞比较大，而且比较危险，端口号虽然是随机的，但很容易被人扫描道，从而留下隐患。事实上，我们可以通过另一台服务器上的IIS来管理他。这样比较安全。

　　5. 多余的服务也不要安了，如NNtp，如果不做新闻组。就不要安了。smtp，如果有更好的邮件服务，也不要装它了。

　　6. 索引服务器。这个索引真的是很有用，但我没有用过他。否则，你可以用他建立个整个站点的文件搜索的，但现在好像大多数的ASP网页都是一个网页，动态从数据库里查询。所以根本用不上索引服务器了，（不是索引不好，而是本身上面的那种ASP文件结构就不适合）所以可以不要安装。

三. 有目的进行安全配置

　　①、开发前的工作。

　　首先，启动IIS后，看有没有\iissamples,\IIShelp,\msadc\,这些目录，如果有，他们大多是用来作为例子，帮助安装的，删掉他们，再把脚本库也删掉，直到web目录只留下干静的新建的虚拟目录即可。如果有管理的web站点，也删掉他。没有它，我们一样可以工作的更好。 还有看看有没有printer的文件夹，他们大多数都是些通过web来访问打印机的。MS就是怪。为了表示我的功力强大，允许通过web来远程打印。相信没有哪个网络公司是通过web网来打印的把。也不可能让网友来使用你的计算机吧。那好，去掉它。

　　然后。开始详细配置各个web虚拟目录的安全。大概的策略是这样的。分类每个文件夹管理，如可以把扩展名是相同的分配到同一目录，如*.ASP的，和*.inc就尽量分开。如果是*.ASP的，则开放虚拟目录权限，但将实际目录权限授予administrator,system(完全控制)everyone (rc)即可。这样可以通过web允许读取。但实际上你可以加大安全力度，如果你认为它是比较保密的。如果是*.inc的，则开放目录权限，但不允许通过直接访问。这里又一个技巧了。比如，你可以允许实际目录被everyone访问，但在IIS中，你把改目录浏览项去掉，而包含文件只能被源文件读取，但不允许被直接读取。这样，黑客就不可能下载到你的单机数据库了，而且你的*.inc文件也不会被浏览器直接阅读。