----删除 IISADMPWD 虚拟目录
该目录允许您重新设置 Windows NT 和 Windows 2000 密码。这主要是为 Intranet 方案设计的,并且不作为 IIS 5 的一部分来安装,
但是在 IIS 4 服务器升级到 IIS 5 时将不会被删除。如果您不使用 Intranet 或者您将服务器连接到网站上,则应当将其删除。有关此功能的详细信息,请参考 Microsoft Knowledge Base 文章 Q184619。
----删除不使用的脚本映射
IIS 预配置为支持常见的文件扩展名,如 .asp 和 .shtm 文件。当 IIS 接收到针对其中某一类型文件的请求时,该调用由 DLL 进行处理。如果您不会用到其中某些扩展名或功能,请按照如下步骤进行删除:
1,打开 Internet 服务管理器。
2,右键单击 Web 服务器,并从上下文菜单中选择“属性”。
3,主属性
4,选择“WWW 服务”|“编辑”|“HomeDirectory”|“配置”
5,删除下列引用:
如果您不使用... 请删除项目:
基于网站的密码重置 .htr
Internet 数据库连接器(所有 IIS 5 网站应当使用 ADO 或相似技术) .idc
服务器端包含程序 .stm, .shtm 和 .shtml
Internet 打印 .printer
索引服务器 .htw, .ida and .idq
注意
: “Internet 打印”可以通过组策略和 Internet 服务管理器来配置。如果组策略设置和 Internet 管理器设置有冲突,那么组策略设置优先。如果您通过 Internet 服务管理器删除“Internet 打印”,请务必验证不能通过本地或域的组策略重新启用它。(默认组策略既不启用也不禁用“Internet 打印”)。请在 MMC 组策略管理单元中,选择“计算机配置”|“管理模板”|“打印”|“基于 Web 的打印”。
注意
: 除非出于危急任务的原因要使用 .htr 功能,否则应当删除 .htr 扩展名。
----检查 ASP 代码中的 <FORM> 和查询字符串输入
许多站点使用从用户那得到的输入来直接调用其他代码或创建 SQL 声明。换句话说,它们将该输入当作有效的、格式良好的、无恶意的输入。但为了安全起见,却不应当这样。因为实际工作中存在很多这样的攻击,其中用户输入被错误的当作有效输入,使用户能够获得服务器的访问权限或者产生损害。您应当在将其传送给另一个过程或方法调用(它们可能会使用外部资源,比如文件系统或数据库)前,
检查每个 <FORM> 输入和查询字串。您可以使用 JScript V5 和 VBScript V5 常规表达式功能来执行文本检查。下列示例代码将去掉那些只包含无效字符(不是 0-9a-zA-Z 或 _ 的字符)的字符串:
Set reg = New RegExp reg.Pattern = "\W+" ' One or more characters which ' are NOT 0-9a-zA-Z or '_' strUnTainted = reg.Replace(strTainted, "") 下列示例将去掉 | 运算符后的所有文本: Set reg = New RegExp reg.Pattern = "^(.+)\|(.+)" ' Any character from the start of ' the string to a | character. strUnTainted = reg.Replace(strTainted, "$1") 同样,使用“脚本文件系统对象”打开或创建文件时请小心。如果文件名是基于用户输入,那么用户可能企图打开一系列端口或打印机。下列 JScript 代码会去掉无效文件名: var strOut = strIn.replace(/(AUX|PRN|NUL|COM\d|LPT\d)+\s*$/i,"");版本 5 脚本引擎中的模式语法与 Perl 5.0 中的相同。
请参考位于 http://msdn.microsoft.com/scripting/default.htm 的 V5 脚本引擎文档获取详细信息,有关范例请访问 http://msdn.microsoft.com/workshop/languages/clinic/scripting051099.asp。
----禁用父路径
父路径允许您在调用诸如 MapPath 等功能时使用“..”。默认状态下,该选项是启用的,您应当禁用它。按照以下步骤禁用该选项:
1,右键单击网站的根目录,然后从上下文菜单中选择“属性”。
2,单击“主目录”选项卡。
3,单击“配置”。
4,单击“App 选项”选项卡。
5,取消选中“启用父路径”复选框。
----在“内容 – 位置”中禁用 IP 地址
“内容 – 位置”首部会暴露通常隐藏在网络地址转换 (NAT) 防火墙或代理服务器后的内部 IP 地址。有关禁用该选项的详细信息,请参阅知识库文章 Q218180。
中国教育和科研计算机网版权与免责声明
①凡本网未注明稿件来源的所有文字、图片和音视频稿件,版权均属本网所有,任何媒体、网站或个人未经本网协议授权不得转载、链接、转贴或以其他方式复制发表。已经本网协议授权的媒体、网站,在下载使用时必须注明"稿件来源:中国教育和科研计算机网",违者本网将依法追究责任。
② 本网注明稿件来源为其他媒体的文/图等稿件均为转载稿,本网转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。