不少(shǎo)Web服務器(qì)都是架設在Windows 2003服務器(qì)系統環境中的，但(dàn)是在默認狀态下該服務器(qì)系統存在不少(shǎo)安全漏洞，許多(duō)黑(hēi)客或者非法攻擊者往往會(huì)充分利用這些(xiē)漏洞，來(lái)攻擊架設在該系統中的Web網站(zhàn)。為(wèi)了提高(gāo)Web服務器(qì)的運行(xíng)安全性，我們有(yǒu)必要及時(shí)采取措施，防範Web服務器(qì)中的各式腳本攻擊；下面，本文就為(wèi)各位貢獻幾則讓Web服務器(qì)遠離腳本攻擊的設置巧招，希望這些(xiē)內(nèi)容能幫助各位安全維護好服務器(qì)系統！

　　從訪問權限下手，防範腳本攻擊

　　網站(zhàn)訪問者在訪問Web服務器(qì)中的內(nèi)容時(shí)，一般是通(tōng)過“IUSR_SERVERNAME”用戶帳号實現訪問操作(zuò)的，普通(tōng)訪問者對Web服務器(qì)所能執行(xíng)的權限，就是由“IUSR_SERVERNAME”用戶帳号的權限來(lái)決定的。默認狀态下，“IUSR_SERVERNAME”用戶帳号是Windows 2003服務器(qì)系統在創建IIS的過程中自動創建的，該用戶帳号常常是為(wèi)那(nà)些(xiē)不需要進行(xíng)身份驗證就能輕松訪問網站(zhàn)數(shù)據庫內(nèi)容的匿名用戶自動開(kāi)設的。為(wèi)了防止這些(xiē)普通(tōng)的匿名用戶随意執行(xíng)Web服務器(qì)中的腳本程序，導緻服務器(qì)存在各種安全隐患，我們有(yǒu)必要對“IUSR_SERVERNAME”用戶帳号的權限進行(xíng)一些(xiē)合适的設置，下面就是具體(tǐ)的訪問權限設置步驟：

　　首先以超級管理(lǐ)員權限帳号登錄進Windows 2003服務器(qì)系統中，在該系統桌面中依次單擊“開(kāi)始”/“程序”/“附件”/“Windows資源管理(lǐ)器(qì)”命令，在彈出的系統資源管理(lǐ)器(qì)窗口中，找到Web服務器(qì)主目錄所在的文件夾，并用鼠标右鍵單擊主目錄圖标，從彈出的右鍵菜單中執行(xíng)“屬性”命令，打開(kāi)網站(zhàn)主目錄的屬性設置窗口，在該窗口中我們需要将“everyone”帳号對服務器(qì)系統中的所有(yǒu)磁盤分區(qū)訪問權限删除掉，以防止任意一位普通(tōng)用戶可(kě)能對服務器(qì)帶來(lái)潛在的安全攻擊。

　　考慮到“everyone”帳号是任意一個(gè)用戶或組權限設置的父對象，因此在将“everyone”帳号的訪問權限删除掉之前，我們必須先将子對象對父對象權限繼承關系删除掉；在删除這種權限繼承關系時(shí)，我們可(kě)以單擊網站(zhàn)主目錄屬性設置窗口中的“安全”标簽，打開(kāi)如圖1所示的安全标簽頁面， 單擊該标簽頁面中的“高(gāo)級”按鈕，進入到主目錄的高(gāo)級安全設置窗口，檢查一下該設置窗口中的“允許父項的繼承權限傳播到該對象和(hé)所有(yǒu)子對象。包括那(nà)些(xiē)在此明(míng)确定義的項目”項目是否處于選中狀态，要是發現該選項已經選中的話(huà)，我們必須及時(shí)将它的選中狀态取消，随後系統會(huì)自動彈出如圖2所示的提示窗口， 詢問我們是否将父對象的訪問權限拷貝給子對象，此時(shí)我們可(kě)以單擊“複制(zhì)”按鈕，這樣的話(huà)我們日後就不需要對管理(lǐ)員用戶的權限進行(xíng)重新設置了。

圖1

　　接下來(lái)我們就能對“IUSR_SERVERNAME”用戶帳号權限進行(xíng)有(yǒu)針對性設置了。在設置“IUSR_SERVERNAME”用戶帳号權限時(shí)，我們先從圖1所示的“組或用戶名稱”列表框中選中“IUSR_SERVERNAME”用戶帳号，然後在對應該帳号下面的權限列表框中将“列出文件夾目錄”、“寫入”、“讀取”等權限全部設置為(wèi)“允許”，而不要将“完全控制(zhì)”、“讀取和(hé)運行(xíng)”等權限設置為(wèi)允許；此外，對于那(nà)些(xiē)不需要通(tōng)過Web進行(xíng)寫入操作(zuò)的文件夾，我們隻需要将“列出文件夾目錄”、“讀取”等權限賦予給“IUSR_SERVERNAME”用戶帳号就可(kě)以了。到了這裏，作(zuò)為(wèi)網站(zhàn)普通(tōng)訪問者的“IUSR_SERVERNAME”用戶帳号就沒有(yǒu)執行(xíng)腳本的權利，那(nà)麽這些(xiē)普通(tōng)來(lái)賓用戶自然就無法對Web服務器(qì)進行(xíng)各種形式的腳本攻擊了，這樣的話(huà)Web服務器(qì)的安全性就能在一定程度上(shàng)得(de)到保證了。

圖2

　　從腳本權限下手，防範腳本攻擊

　　從網站(zhàn)存放文件的類型來(lái)看，保存在Web服務器(qì)中的文件類型主要分為(wèi)兩大(dà)類，一類就是各種形式的腳本文件，另外一類就是非腳本文件，這包括普通(tōng)的網頁文件、數(shù)據庫文件以及各種格式的圖象文件等。所以，為(wèi)了保護Web服務器(qì)的安全，我們有(yǒu)必要對不同類型文件的執行(xíng)權限進行(xíng)有(yǒu)針對性地設置，确保Web服務器(qì)中的各種腳本文件能夠被安全、穩定地執行(xíng)，而避免非腳本文件被随意執行(xíng)。

　　在設置腳本文件的執行(xíng)權限時(shí)，我們可(kě)以先依次單擊“開(kāi)始”/“程序”/“管理(lǐ)工具”/“Internet信息服務管理(lǐ)器(qì)”命令，在彈出的IIS控制(zhì)台窗口中，找到存放各類腳本文件的指定文件夾，并用鼠标右鍵該文件夾所對應的圖标，從随後彈出的快捷菜單中執行(xíng)“屬性”命令，打開(kāi)對應文件夾的屬性設置窗口。

　　單擊該設置窗口中的“目錄”标簽，打開(kāi)如圖3所示的标簽頁面， 在該頁面的“應用程序設置”處，單擊“執行(xíng)權限:”右側的下拉按鈕，從随後彈出的下拉列表中選中“純腳本”選項，并單擊“确定”按鈕，那(nà)樣的話(huà)指定目錄中的腳本文件才能被網站(zhàn)服務器(qì)執行(xíng)，而對于那(nà)些(xiē)不屬于腳本類型的文件都不會(huì)被執行(xíng)。按照相同的操作(zuò)方法，我們打開(kāi)網站(zhàn)中其他目錄的屬性設置界面，并在該界面中将其他目錄的應用程序執行(xíng)權限設置為(wèi)“無”，那(nà)樣一來(lái)其他目錄中的腳本或者普通(tōng)文件都不會(huì)被網站(zhàn)服務器(qì)系統執行(xíng)的。

　　從站(zhàn)點配置下手，防範腳本攻擊
　

　　一旦按照上(shàng)面的方法将數(shù)據庫文件下面的ASP腳本拒絕執行(xíng)的話(huà)，許多(duō)人(rén)會(huì)認為(wèi)他們将無法繼續使用ASP腳本執行(xíng)錯誤的方法來(lái)避免網站(zhàn)數(shù)據庫文件被惡意下載了；事實上(shàng)，我們隻要對目标網站(zhàn)的應用程序配置參數(shù)進行(xíng)合适修改，同樣能夠有(yǒu)效地保護網站(zhàn)數(shù)據庫文件被惡意下載。下面，本文就以保護ACCESS類型的數(shù)據庫為(wèi)操作(zuò)藍(lán)本，向各位朋友(yǒu)介紹一下如何從站(zhàn)點配置下手，來(lái)保護網站(zhàn)數(shù)據庫文件被惡意下載的具體(tǐ)設置操作(zuò)：

　　首先以超級管理(lǐ)員權限登錄到IIS服務器(qì)所在的計(jì)算(suàn)機系統，然後在該系統桌面中依次執行(xíng)“開(kāi)始”/“程序”/“管理(lǐ)工具”/“Internet信息服務管理(lǐ)器(qì)”命令，打開(kāi)服務器(qì)系統的IIS控制(zhì)台窗口，并從該窗口的左側列表區(qū)域找到目标網站(zhàn)選項，再用鼠标右鍵單擊該網站(zhàn)選項，從彈出的右鍵菜單中執行(xíng)“屬性”命令，進入到該目标網站(zhàn)的屬性配置窗口.

　　單擊該配置窗口中的“主目錄”标簽，并在對應的标簽頁面中單擊“配置”按鈕，打開(kāi)如圖4所示的應用程序配置界面； 在該配置界面中單擊“添加”按鈕，進入到如圖5所示的添加對話(huà)框； 在其中的“擴展名”文本框中輸入“.mdb”，在“可(kě)執行(xíng)文件”文本框中随意輸入一個(gè)EXE格式的文件，其餘參數(shù)都使用默認數(shù)值，最後單擊“确定”按鈕就能完成相關設置操作(zuò)了。之後，當我們再次嘗試從IE浏覽器(qì)中訪問目标網站(zhàn)的數(shù)據庫文件內(nèi)容時(shí)，IE浏覽器(qì)就會(huì)彈出無法找到對應頁面的錯誤提示了，那(nà)樣一來(lái)目标網站(zhàn)的數(shù)據庫就不會(huì)受到惡意用戶的非法攻擊了，這樣的話(huà)Web服務器(qì)的安全性也會(huì)得(de)到一定程度的保障！

                                                                                                                                圖4

　　總結：   
    
　　當然，保護Web服務器(qì)安全運行(xíng)的方法還(hái)有(yǒu)很(hěn)多(duō)，有(yǒu)一種非常有(yǒu)效而且我們需要定期使用的方法就是及時(shí)給服務器(qì)系統安裝好各種安全補丁程序，這種方法可(kě)以說是保護Web服務器(qì)安全運行(xíng)的根本！