现在不少企业网站被入侵,其原因并不是因为自身网站的Web程序存在漏洞,而是黑客入侵了与其在同一个服务器的网站,并利用服务器安全设置上的缺陷,最终通过各种方法获得目标网站的读写权限,这种攻击手法被称为旁注入侵法。目前防范这种入侵方式的方法大致有两种,一种是通过禁止和修改FSO 组件来禁止ASP木马的运行,另一种是通过巧妙的绑定域名,来防止入侵者对whois的查询,但这两种方法并不能很有效的防范旁注入侵。本文将向网管朋友们介绍另一种更为有效的防范旁注入侵的方法,如果结合上面的那两种方法,WEB服务器将会更加的安全。下面以一个WEB服务器上的两个WEB站点为例,进行设置。
1、依次打开“开始”-〉“程序”-〉“管理工具”-〉“计算机管理”-〉“本地用户和组”,在“用户”上点鼠标右键,点击“新用户”,然后输入用户名、密码、密码确认,并取消“用户下次登陆时须更改密码”、勾选“用户不能更改密码”和“密码永不过期”,如图1。再点击“创建”,建立帐号A,按照相同的方法再建一个帐号B。
图1
2、鼠标单击“本地用户和组”下的“组”,再双击右侧的“Users”组,删除刚才建立的两个帐号,确定后,再双击“Guests”,加上刚才建立的两个帐号,如图2。
图2
3、依次打开“开始”-〉“程序”-〉“管理工具”-〉“Internet服务管理器”,鼠标右键单击欲配置的“Web站点名称”之一站点A,单击“资源管理器”,在“资源管理器文件”右侧显示文件的空白处点鼠标右键,选择“属性”-〉“安全”-〉取消“允许将来自父系的可继承权限传播给对象”,如图3,并“删除everyone”,然后添加刚才建立的帐号A,保持默认权限设置不变,添加管理员组为完全控制,再找到并鼠标右键单击该网站的数据库文件,选择“属性”-〉“安全”,为帐号A添加“修改”权限,如图4。如法炮制找到“Web站点名称”站点B的主目录,设置帐号B和管理员组对该目录的控制权限。
图3
图4
通过上面的几个步骤,A站点和B站点之间就不会互相干扰了,即使某个站点存在WEB脚本漏洞,也不会影响到其他站点的安全,入侵者的旁注入侵方法也就无用武之地了。以上方法在Windows 2000 Server+IIS5.0测试通过。
文章如转载,请注明转载自【网管小王的独立博客】:http://www.5iadmin.com/