IIS相关设置: 　　删除默认建立站点虚拟目录停止默认web站点删除对应文件目录c:inetpub配置所有站点公共设置设置好相关连接数限制 带宽设置以及性能设置等其他设置配置应用映射删除所有不必要应用扩展只保留aspphpcgiplaspx应用扩展对于php和cgi推荐使用isapi方式解析用exe解析对安全和性能有所影响用户调试设置发送文本信息给客户对于数据库尽量采用mdb后缀不需要更改为asp可在IIS中设置个mdb扩展映射将这个映射使用个无关dll文件如C:WINNTsystem32inetsrvssinc.dll来防止数据库被下载设置IIS日志保存目录调整日志记录信息设置为发送文本信息修改403页面将其转向到其他页可防止些扫描器探测另外为隐藏系统信息防止telnet到80端口所泄露系统版本信息可修改IISbanner信息可以使用winhex手工修改或者使用相关软件Software如banneredit修改

　　对于用户站点所在目录在此介绍说明下用户FTP根目录下对应 3个文件佳wwwrootdatabaselogfiles分别存放站点文件数据库备份和该站点日志如果旦发生入侵事件可对该用户站点所在目录设置具体权限图片所在目录只给予列目录权限所在目录如果不需要生成文件(如生成html)不给予写入权限是虚拟主机平常对脚本安全没办法做到细致入微地步

　　思路方法

　　用户从脚本提升权限:

　　ASP安全设置:

　　设置过权限和服务的后防范asp木马还需要做以下工作在cmd窗口运行以下命令:

　　regsvr32/u C:WINNT32wshom.ocx

　　del C:WINNT32wshom.ocx

　　regsvr32/u C:WINNTsystem32shell32.dll

　　del C:WINNTsystem32shell32.dll

　　即可将WScript.Shell, Shell.application, WScript.Network组件卸载可有效防止asp木马通过　　wscript或shell.application执行命令以及使用木马查看些系统敏感信息另法:可取消以上文件users用户权限重新启动IIS即可生效但不推荐该思路方法

　　另外对于FSO由于用户需要使用服务器上可以不注销掉该组件这里只提下FSO防范但并不需要在自动开通空间虚拟商服务器上使用只适合于手工开通站点可以针对需要FSO和不需要FSO站点设置两个组对于需要FSO用户组给予c:winntsystem32scrrun.dll文件执行权限不需要不给权限重新启动服务器即可生效

　　对于这样设置结合上面权限设置你会发现海阳木马已经在这里失去了作用！

　　PHP安全设置:

　　默认安装php需要有以下几个注意问题:

　　C:winntphp.ini只给予users读权限即可在php.ini里需要做如下设置:

　　Safe_mode=on

　　register_globals = Off

　　allow_url_fopen = Off

　　display_errors = Off

　　magic_quotes_gpc = _disibledevent=“本地安全策略”查看目前使用IP安全策略是否发生更改

　　9．检查目录权限

　　重点查看系统目录和重要应用权限是否被更改需要查看目录有c:;c:winnt;

　　C:winntsystem32;c:winntsystem32inetsrv;c:winntsystem32inetsrvdata;c:documents and

　　Settings;然后再检查serv-u安装目录查看这些目录权限是否做过变动检查system32下些重要文件是否更改过权限包括:cmdnetftptftpcacls等文件

　　10．检查启动项

　　主要检查当前开机自启动可以使用AReporter来检查开机自启动

　　发现入侵时应对措施

　　对于即时发现入侵事件以下情况针对系统已遭受到破坏情况下处理系统未遭受到破坏或暂时无法察觉到破坏先按照上述检查步骤检查遍后再酌情考虑以下措施系统遭受到破坏后应立即采取以下措施:

　　视情况严重决定处理方式是通过远程处理还是通过实地处理如情况严重建议采用实地处理如采用实地处理在发现入侵第时间通知机房关闭服务器待处理人员赶到机房时断开网线再进入系统进行检查如采用远程处理如情况严重第时间停止所有应用服务更改IP策略为只允许远程管理端口进行连接然后重新启动服务器重新启动的后再远程连接上去进行处理重启前先用AReporter检查开机自启动然后再进行安全检查

　　以下处理措施针对用户站点被入侵但未危及系统情况如果用户要求加强自己站点安全性可按如下方式加固用户站点安全:

　　站点根目录----只给administrator读取权限权限继承下去

　　wwwroot ------给web用户读取、写入权限高级里面有删除子文件夹和文件权限

　　logfiles------给system写入权限

　　database------给web用户读取、写入权限高级里面没有删除子文件夹和文件权限

　　如需要进步修改可针对用户站点特性对于普通文件存放目录如html、js、图片文件夹只给读取权限对asp等脚本文件给予上表中权限另外查看该用户站点对应安全日志找出漏洞原因协助用户修补漏洞

　　1.2 数据备份和数据恢复

　　数据备份工作大致如下:

　　1． 每月备份次系统数据

　　2． 备份系统后两周单独备份次应用数据主要包括IIS、serv-u、数据库等数据

　　3． 确保备份数据安全并分类放置这些数据备份因基本上采用都是全备份思路方法对于数据保留周期可以只保留该次备份和上次备份数据两份即可

　　数据恢复工作:

　　1．系统崩溃或遇到其他不可恢复系统正常状态情况时先对上次系统备份后发生些更改事件如应用、安全策略等设置做好备份恢复完系统后再恢复这些更改

　　2．应用等出错采用最近次备份数据恢复相关内容

　　第 3部分　服务器性能优化　　3.1 服务器性能优化

　　系统性能优化

　　整理系统空间: 删除系统备份文件删除驱动备份刪除不用輸入法刪除系统帮助文件卸载不常用组件最小化C盘文件

　　性能优化:删除多余开机自动运行；减少预读取减少进度条等待时间；让系统自动关闭停止响应；禁用报告,但在发生严重时通知；关闭自动更新,改为手动更新计算机；

　　启用硬件和DirectX加速；禁用关机事件跟踪；禁用配置服务器向导； 减少开机磁盘扫描等待时间；将处理器计划和内存使用都调到应用上；调整虚拟内存；内存优化；修改cpu 2级缓存Cache；修改磁盘缓存Cache

　　IIS性能优化

　　1、调整IIS高速缓存Cache

　　HKEY_LOCAL_MACHINE CurrentControlSetServicesInetInfoParametersMemoryCacheSize

　　MemoryCacheSize范围是从0道4GB缺省值为3072000(3MB)般来说此值最小应设为服务器内存10%IIS通过高速缓存Cache系统句柄、目录列表以及其他常用数据值来提高系统性能这个参数指明了分配给高速缓存Cache内存大小如果该值为0那就意味着“不进行任何高速缓存Cache”在这种情况下系统性能可能会降低如果你服务器网络通讯繁忙并且有足够内存空间可以考虑增大该值必须注意是修改注册表后需要重新启动才能使新值生效

　　2．不要关闭系统服务: “Protected Storage”

　　3．对访问流量进行限制

　　A.对站点访问人数进行限制

　　B.站点带宽限制保持HTTP连接

　　C.进程限制, 输入CPU耗用百分比

　　4．提高IIS处理效率

　　应用设置”处“应用保护”下拉按钮从弹出下拉列表中选中“低(IIS进程)”选项,IIS服务器处理效率可以提高20%左右但此设置会带来严重安全问题不值得推荐

　　5．将IIS服务器设置为独立服务器

　　A.提高硬件配置来优化IIS性能

　　硬盘:硬盘空间被NT和IIS服务以如下两种方式使用:种是简单地存储数据；另种是作为虚拟内存使用如果使用Ultra2SCSI硬盘可以显著提高IIS性能

　　B.可以把NT服务器页交换文件分布到多个物理磁盘上注意是多个“物理磁盘”分布在多个分区上是无效另外不要将页交换文件放在和WIndows NT引导区相同分区中

　　C.使用磁盘镜像或磁盘带区集可以提高磁盘读取性能

　　D.最好把所有数据都储存在个单独分区里然后定期运行磁盘碎片整理以保证在存储Web服务器数据分区中没有碎片使用NTFS有助于减少碎片推荐使用NortonSpeeddisk可以很快整理NTFS分区

　　6．起用HTTP压缩

　　HTTP压缩是在Web服务器和浏览器间传输压缩文本内容思路方法HTTP压缩采用通用压缩算法如gzip等压缩HTML、JavaScript或CSS文件可使用pipeboost进行设置

　　7．起用资源回收

　　使用IIS5Recycle定时回收进程资源

　　3.2 服务器常见故障排除

　　1．ASP“请求资源正在使用中”解决办法:

　　该问题般和杀毒软件Software有关在服务器上安装个人版杀毒软件Software所致出现这种可以通过卸载杀毒软件Software解决也可尝试重新注册vbscript.dll和jscript.dll来解决在命令行下运行:regsvr32 vbscript.dll 和regsvr32 jscript.dll即可

　　2．ASP500解决办法:

　　首先确定该问题是否是单站点存在还是所有站点存在如果是单站点存在该问题则是网站WebSite问题可打开该站点提示把IE“显示友好HTTP”信息取消查看具体信息然后对应修改相关如是所有站点存在该问题并且HTML页面没有出现该问题相关日志出现“服务器无法加载应用‘/LM/W3SVC/1/ROOT‘是 ‘不支持此接口‘”那十有 8 9是服务器系统中ASP相关组件出现了问题重新启动IIS服务尝试是否可以解决该问题无法解决重新启动系统尝试是否可解决该问题如无法解决可重新修复下ASP组件:首先删除com组件中有关IIS 3个东西需要先将属性里高级中“禁止删除”勾选取消