搭建一个安全的ADP.NET网站
网络通信
现在利用微软的ASP.NET建立网站的朋友是越来越多了,由于ASP.NET 1.1本身的原因和编写、配置服务器的不完善等因素,利用ASP.NET搭建的网站出现了一些安全的问题,下面我就如何建立一个安全的ASP.NET技术的网站和大家交流一下自己的经验和看法。
一般来说,大家建立微软技术的网站(ASP、ASP.NET)都是通过IIS, 包括有些空间提供商给你的空间,也是使用IIS来做服务的。如何配置一个安全的IIS就成为了一个重要的问题。
1.尽快安装 Microsoft站点上列出的所有公用安全性修补程序,以确保拥有最新的防御能力。安装最新的 Service Pack和修补程序是一种非常有效的安全方案。
2.在建立Web站点的时候,尽量不要把目录和文件放到常规的c:\inetpub\目录下,一旦被攻击者得手的话,他将很容易知道我们这个盘的结构。
3.尽量使用低权限的默认本地服务账户(ASPNET账户)运行 ASP.NET 代码(如图)。
4.设置你的站点所在目录的权限,这里推荐把站点放到NTFS格式的盘上。我们可以为ASPNET账户配置访问此目录的相应权限。
5.使用免费资源IIS Lockdown Tool。它是一个很出色的资源,可以通过它来配置和锁定诸如:将ASPNET 账户添加到 IIS 锁定工具创建的本地“Web 应用程序组”这样的操作,来提高系统的安全性。
下载地址是: http://www.microsoft.com/downloads/details.aspx?FamilyID=dde9efc0-bb30-47eb-9a61-fd755d23cdec&displaylang=en