服务器IIS安装配置1IIS安装
添加角色和功能
角色服务下,除了保留默认的勾选选项外,还需要勾选“.NetExtensibility4.5”、“ASP.Net4.5”、“ISAPI Extension”、“WebSocket Contract”以及应用开发下的Application。 程序初始化(注意后续配置必须安装应用程序初始化角色,以解决首次访问.NET网站速度慢的问题)。
IIS安装完毕后,打开IIS管理器,删除IIS自带的默认站点“DefaultWebSite”。
如果有多台服务器进行负载均衡,同一台服务器上不同应用程序池的预定回收时间应该错开(例如相隔10分钟),并且每台服务器上同一网站的应用程序池的回收时间应该也可以错开(例如相隔5分钟)。
同一服务器上不同应用程序池的预定回收时间应该错开(例如相隔10分钟)。 这样配置的目的是为了防止服务器同时回收所有应用程序池。 那么所有网站的第一次访问都会执行很长的时间(少则20秒,多则一两分钟),加起来会极其缓慢。
同一网站的每台服务器上的应用程序池的回收时间也应该错开(例如相隔5分钟)。 这样配置的目的是为了防止所有服务器同时回收应用程序池。 会发生什么? 从20秒到一分钟,这段时间对这个网站的请求会很慢,重复刷新也会很慢。
如果有定时任务(全文检索、网站检测)的后台服务器,则回收时间应该设置在23:30~24:00之间(因为我们的定时任务通常设置在1点到5点之间) '钟)。 这可以防止计划任务与应用程序池回收发生冲突。 应用程序池回收应在所有计划任务之前执行。 一旦应用程序池被回收,所有正在执行的计划任务都将被终止。 有些计划任务需要很长时间,例如重建索引、监视和扫描整个网站内容以查找拼写错误等、删除缓存文件夹中标记为删除的网站文件夹等。
下面以配置后台服务器回收时间为例:
配置网站程序池时,注意设置启动方式如图(配置解决首次访问网站慢的问题):应用程序池->网站对应程序池->右键,中间设置- >选择启动模式AlwaysRunning。 将固定回收间隔时间改为0,具体时间为23:50(因为0:00之后有很多定时任务正在执行,如果被回收的话,定时任务可能会被中断),这样我们就有明确的期望。 了解访问网站可能会很慢的时间点。
2 网站用户配置
IIS 是处理用户请求并与网站程序交互的中心。 其安全方面包括程序执行控制、IP和域名限制、请求过滤、身份认证、HTTPS加密等。其中,控制网站目录的权限是重中之重。 ,下面重点针对对外发布网站的目录权限进行演示:
在IIS面板中,点击站点后,点击左侧的“基本设置”按钮,将站点的路径凭据设置为“应用程序用户(通过身份验证)”,如右图所示。
在IIS中选择站点,双击打开左侧“身份验证”:
通过之前的操作,将网站的匿名用户替换为应用程序池识别账户,增加了被破解的风险。
3 网站目录权限设置
右键单击 IIS 中的网站名称,然后选择“编辑权限”。
在“安全”选项卡下,单击“高级”按钮。
在“中级安全设置”对话框中,如右图所示,设置禁用的权限继承关系,选择“将继承的权限转换为对象的显式权限”。 禁用权限继承关系后,可以进一步删除不需要的权限。 允许。
禁用权限延续关系后,可以删除Windows自带的AuthenticatedUsers、Users、CreatorOwner等用户或用户组权限,只保留System和Administrators权限。
其中AuthenticatedUsers是Windows系统中所有使用用户名和密码登录并通过身份验证的帐户。 他们在网站目录中的权限可能会导致其他帐户非法访问和更改网站目录中的文件和文件夹,因此需要删除网站目录中默认的AuthenticatedUsers权限。
同样,Users 是 Windows 中所有帐户的默认用户组。 其在网站目录中的权限也可能导致其他帐户非法访问网站目录,因此需要删除其权限。
CreatorOwner 帐户是访问控制列表 (ACL) 中的占位符。 该帐户替换总目录或文件的“所有者”帐户。 “所有者”可以修改对象的权限。 它在网站目录中的权限可能会导致目录权限被意外更改,这是所谓的“非法加壳”之一,因此也有必要将其删除。
单击“添加”按钮,在“选择主体”界面中输入“IISApppoolSiteAzure”。 “SiteAzure”表示应用程序池的帐户名称,与程序池名称相同。
设置账户主体后,点击“显示中级权限”按钮,进入更详细的权限选择界面。
网站根目录授予四种权限:枚举文件夹/读取数据、读取属性、读取扩展属性、读取权限,如右图:
bin目录授予五个权限:遍历文件夹/执行文件、列出文件夹/读取数据、读取属性、读取扩展属性、读取权限网站程序部署,如右图:
授予Upload、Content、Content.Pad、Content.Phone、View、View.Pad、View.Phone、App_Data这8个目录,用于枚举文件夹/读取数据、读取属性、读取扩展属性、创建文件/写入。 这十个权限包括数据、创建文件夹/追加数据、写入属性、写入扩展属性、删除子文件夹和文件、删除、读取权限,如右图所示:
Config目录授予七种权限:列出文件夹/读取数据、读取属性、读取扩展属性、创建文件/写入数据、写入属性、写入扩展属性、读取权限。
这里我们标记应用程序池的用户目录权限,总结如下表:
网站目录
应用程序池标记用户权限
网站根目录(/)
列出文件夹/读取数据、读取属性、读取扩展属性、读取权限
行政
应用程序代码
配置
垃圾桶
遍历文件夹/执行文件、列出文件夹/读取数据、读取属性、读取扩展属性、读取权限
应用程序数据
列出文件夹/读取数据、读取属性、读取扩展属性、创建文件/写入数据、创建文件夹/追加数据、写入属性、写入扩展属性、删除子文件夹和文件、删除、读取获取权限
上传
内容
内容.Pad
内容.电话
看法
视图板
查看电话
配置
列出文件夹/读取数据、读取属性、读取扩展属性、创建文件/写入数据、写入属性、写入扩展属性、读取权限
注1:bin目录是网站程序的DLL/EXE等可执行文件的存储和运行目录,需要执行权限才能促进网站的正常运行; App_Data目录是网站程序的索引、系统日志等数据文件的存储目录,需要具有写入、删除等权限,以保证网站的索引、日志等文件能够正常更新; Upload目录是上传文件的存储目录,需要有写入、删除等权限,以保证上传的文件能够正常保存和管理; 内容,内容。 Pad、Content.Phone、View、View.Pad、View.Phone目录是网站模板和样式文件的存放目录。 需要拥有写入、删除等权限,才能使模板、样式等文件在后台正常管理; Config目录是网站配置文件存放目录,需要有写权限才能正常更改网站配置信息。
注2:应用程序池标记用户的权限配置遵循以下原则:同一目录不能同时授予写权限和执行权限,保证能写的目录不能执行,不能写的目录不能被执行。可以执行不能写入。
注3:如果网站已经创建好,相关页面的模板和样式不需要不时更改,则Content、Content.Pad、Content.Phone、View、View这六个目录的编写和编写。 Pad和View.Phone可以进一步消除。 删除权限以确保网站样式、模板和其他文件不会被意外更改。 当您需要更改或管理模板或样式文件时,可以重新授予这六个目录的写入和删除权限。
4 删除任何必要的处理程序映射
handler映射下,仅保留ExtensionlessUrlHandler-Integrated-4.0、ExtensionlessUrlHandler-ISAPI-4.0_32bit、ExtensionlessUrlHandler-ISAPI-4.0_64bit、StaticFile这四项,其余删除。 通过删除任何必要的handler映射,可以有效防止黑客利用AspxSpy等木马非法获取WebShell权限,如右图所示:
5 删除任何必要的处理程序映射函数权限
不仅是网站根目录,根目录下的所有目录,handler映射的脚本和执行权限都被取消,只保留读取权限。 通过去除脚本权限,可以有效避免脚本类木马的非法操作。
由于SiteAzure产品已经通过配置文件手动取消了此类文件夹的脚本执行权限,因此这一步可以省去。 但如果是其他公司的产品网站程序部署,就必须做这一步。
6设置日志存储位置和W3C日志记录数组
1.设置日志存储位置
双击IIS下的“日志”即可打开该功能
在非系统盘上创建一个文件夹用于存放IIS日志,例如D:IIS_Log。 在日志功能配置下,选择该文件夹作为日志存储目录,以防止日志文件占用系统磁盘空间。
2. 设置W3C日志记录数组
由于网站组绑定了多个主机名(子域名),因此需要知道哪个URL属于哪个网站。 然而,在IIS的默认配置中,W3C日志记录数组中并没有勾选“Host(cs-host)”数组,因此无法通过IIS日志分析来自该站点的请求。 因此,您需要更改所有服务器的 IIS 配置并在日志中检查此阵列。
7检测并比较网站文件
重新迁移网站前,需要与东易官方同版本产品包进行比对,确保当前网站迁移文件中不存在可疑文件。
因为如果网站遭到黑客攻击,感染木马文件,手动清除往往无法彻底清除黑客植入的木马文件。 由于黑客通常会将木马文件隐藏在较深层的文件夹中,此时可以使用此方法。 文件比较工具将网站文件与东易官方默认的产品包文件进行比较,然后对不同的文件进行分析,以快速找到可疑文件并进行处理(注:SiteAzure目前没有可以生成WebShell的安全漏洞。即使将WebShell放置在SiteAzure网站,当web.config没有改变时(或者没有添加脚本文件的handler映射时),这种WebShell无法运行,SiteAzure的前端模板(视图文件)很难调用这样的socket作为文件读写,不可能通过改变视图文件来获取WebShell,因此如果SiteAzure中的Global.asax文件被改变,那么一定是黑客通过注解的方式改变了,或者获取服务器后就已经被改变了控制权)。
这里推荐一款文件比较软件BeyondCompare。 安装完成后,在界面中选择文件夹比较,如右图:
1、打开BeyondCompare程序,点击两侧的【浏览文件夹】按钮,选择现有的网站程序和同版本的东易官方产品包。 (本文使用BeyondCompare3版本,其他版本可能图标不同)
2.点击【差异】,选择“显示差异”
3. 选择比较范围。 建议选择“始终显示文件夹”
4、点击【规则】按钮,打开【比较】选项卡,勾选“比较文件夹大小”,取消勾选“比较时间戳”; 在要构建的文件的选项中,勾选“比较内容”和比较方法。 选择“二进制补码比较”,如右图:
5. 点击确认后,将手动比较文件。
该文件夹为红色,表示该文件夹中有多余文件。 双击多余的文件即可打开并查看它们。 右键单击多余的文件,进行单独的比较和检测。
6. 粉色和紫色混合颜色的文件夹表示文件夹内有不同大小的文件。 双击该文件,比较其内容,判断该文件是否被篡改。
7、如何快速检查对比是否有可疑后缀文件?
打开【名称过滤】选项卡,填写常见可疑文件类型:*.asax、*.asp、*.asa、*.php、*.axd、*.ashx、*aspx。 如果还需要比较其他类型的文件,则填写对应的文件类型。
