随着Microsoft Visual Studio 2008（以下简称VS2008）的普及，现在基于VS2008平台的asp.net网站越来越多，而支持VS2008的asp.net的服务器安全问题也日益引起人们的关注。本文以Windows2003为例，说明如何正确安全的架设一台支持VS2008的asp.net服务器。
一、架设asp.net基本平台
（一）安装windows server 2003
windows server 2003的具体安装方法，在这里就不再赘述，但仍然需要强调两个问题：
1、一定要在断开网络的情况下安装系统。
2、安装windows server 2003系统至少要有2个分区，而且分区格式都采用NTFS分区。
本例假设服务器计算机名称为：Web，其中硬盘为两个分区，C区为系统盘，存放系统文件，D区为数据盘，存放网站文件。
（二）配置服务器角色
1、从"开始"菜单中，单击"管理您的服务器"；在"管理您的服务器"窗口中，单击"添加或删除角色"。
2、在"配置您的服务器向导"中，单击"下一步"，并在"服务器角色"对话框中，选中"应用程序服务器 (IIS、ASP.NET)"，然后单击"下一步"。
3、在"应用程序服务器选项"对话框中，选中"启用 ASP.NET"复选框，单击"下一步"，然后再单击"下一步"。
4、如有必要，请将 Windows Server 2003 安装 CD 插入 CD-ROM 驱动器，然后单击"下一步"。
5、当安装完成时，单击"完成"。
（三）安装FTP服务
1、单击“开始-控制面板-添加或删除程序”，在“添加或删除程序”窗口中，单击“添加/删除windows组件”。
2、在“windows组件”窗口中，双击“应用程序服务器”。
3、在“应用程序服务器”双击“Internet信息服务（IIS）”。
4、在“Internet信息服务（IIS）”窗口，勾选文件传输协议（FTP）服务，单击“确定”。
5、在“应用程序服务器”窗口，单击“确定”。
6、如有必要，请将 Windows Server 2003 安装 CD 插入 CD-ROM 驱动器，然后在“windows组件”窗口中，单击“下一步”。
7、当安装完成时，单击"完成"。
（三）安装Microsoft .Net Framework 3.5
Microsoft .Net Framework 3.5的的具体安装方法，在这里就不再赘述。
二、设置和管理帐户
（一）更改默认的管理员帐户（Administrator）
从我的电脑的右键菜单中选择“管理”，打开“计算机管理”，从“本地用户的组”中选择“用户”，然后从右侧列表窗口中选择“Administrator”，右键，重命名为“urlWebAdmin”（读者应根据自己实际设置）密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于14位。
（二）新建Administrator陷井帐号
从我的电脑的右键菜单中选择“管理”，打开“计算机管理”，从“本地用户的组”中选择“用户”，然后从右侧列表窗口中右键菜单中选择“新用户”，用户名称为“Administrator”，设置一个复杂的密码，并勾选“用户不能更改密码”和“密码永不过期”，然后单击“确定”。并为“Administrator”帐户设置最小权限。
（三）禁用Guest帐号
（四）设置本地安全策略
安全设置-本地策略-用户权利分配中将“从网络中访问此计算机”中只保留Internet来宾帐户、启动IIS进程帐户、ASP.net帐户。
三、权限设置
（一）打开C盘属性窗口，选择“安全”项，删除掉“Administrator”“Creator Owner”“EveryOne”三个用户及组，添加用户名“urlWebAdmin”，并设置成完全控制，确定后会出现权限及访问问题的提示，选择“是”即可（以下均同）。
（二）打开C:\Windows目录属性窗口，选择“安全”项，删除掉“Administrator”“Power Users”，添加用户名“urlWebAdmin”，并设置成完全控制。
（三）打开C:\Windows\System32目录属性窗口，选择“安全”项，删除掉“Administrator”“Creator Owner”，添加用户名“urlWebAdmin”，并设置成完全控制。
4、打开D盘属性窗口，选择“安全”项，删除掉“Administrator”“Creator Owner”“EveryOne”“Users”四个用户及组，添加用户名“urlWebAdmin”，并设置成完全控制。
四、网络服务安全管理
（一）禁用C$、D$等缺省共享
在开始菜单的运行中，键入regedit，打开注册表编辑器。依次找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver \parameters键值，在右边的窗口中新建Dword值，名称设为AutoShareServer，值设为0。
（二）解除NetBios与TCP/IP协议的绑定
右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS
（三）关闭不需的服务
ComputerBrowser:维护网络计算机更新，禁用
DistributedFileSystem:局域网管理共享文件，不需要禁用
Distributedlinktrackingclient：用于局域网更新连接信息，不需要禁用
Errorreportingservice：禁止发送错误报告
MicrosoftSerch：提供快速的单词搜索，不需要可禁用
NTLMSecuritysupportprovide：telnet服务和MicrosoftSerch用的，不需要禁用
PrintSpooler：如果没有打印机可禁用
RemoteRegistry：禁止远程修改注册表
RemoteDesktopHelpSessionManager：禁止远程协助
（四）关闭不需要的端口
鼠标右键单击“网络邻居”，选择“属性”，进入“网络和拨号连接”，再用鼠标右键单击“本地连接”，选择“属性”，打开“本地连接 属性”页，然后双击“nternet协议(TCP/IP)”，在出现的窗口中单击“高级”按钮，会进入“高级TCP/IP设置”窗口，接下来选择“选项”标签下的“TCP/IP 筛选”项，点“属性”按钮，会来到“TCP/IP 筛选”的窗口，在该窗口的“启用TCP/IP筛选(所有适配器)”前面打上“√”，选择TCP端口“只允许”选项，然后单击“添加”按钮，输入80再单击“确定”即可，同样的方法添加21端口。
四、配置IIS服务
（一）删除默认的ftp站点
（二）删除默认web站点
（三）删除IIS默认创建的Inetpub目录（在安装系统的盘上）
（四）删除系统盘下的虚拟目录，如：_vti_bin、IISSamples等。
（五）删除不必要的扩展名映射，保留.shtml,.shtm,.stm
五、建立一个asp.net站点
（一）建立站点专用用户（新建两个站点专用用户，url.com隶属于GUESTS组，url.com_wpg一个隶属于IIS_WPG(ASP.net专用用户)
1、从我的电脑的右键菜单中选择“管理”，打开“计算机管理”，从“本地用户的组”中选择“用户”，然后从右侧列表窗口中右键菜单中选择“新用户”，用户名称为“url.com”设置一个复杂的密码，并勾选“用户不能更改密码”和“密码永不过期”，然后单击“确定”。
2、用同样的方法建立“url.com_wpg”用户。
3、在“url.com”的右键菜单中选择属性，在“隶属于”选项卡中默认的“Users”，单击“删除”；然后单击“添加”，在“选择组”对话框中的“输入对象名称来选择”中输入“guests”，单击“确定”。
4、在“url.com_wpg”的右键菜单中选择属性，在“隶属于”选项卡中默认的“Users”，单击“删除”；然后单击“添加”，在“选择组”对话框中的“输入对象名称来选择”中输入“IIS_WPG”，单击“确定”。
（二）设置站点专用文件夹属性
1、建立站点专用文件夹D:web\url.com。
2、在“url.com”的右健菜单中选择属性，然后在“url.com属性”对话框中选择“安全”选项卡。
3、单击“添加”按钮，在“输入对象名称来选择”中输入“url.com;url.com_wpg”，单击“确定”。
4、选择“url.com”用户，勾选“修改、读取和运行、列出文件夹目录、读取、写入”，单击“应用”。用同样的方法设置“url.com_wpg”用户的属性。
5、单击“确定”关闭“url.com属性”对话框。
（三）建立隔离用户的FTP站点，并建立url.com的专属虚拟目录。
1、右键单击FTP站点，选择新建-FTP站点，弹出欢迎界面，单击“下一步”继续。
2、输入站点描述“url.com”，单击“下一步”继续。
3、设置IP和端口号，如IP192.168.0.1，端口号21，单击“下一步”继续。。
4、选择隔离用户，单击“下一步”继续。
4、选择ftp主路径为D:\web，单击“下一步”继续。
5、设置FTP权限，勾选“读取”与“写入”两项，单击“下一步”继续。
6、单击“完成”即成功建立ftp站点。
7、并从右键菜单中选择“新建”“虚拟目录”，按向导进行设置即可，需要注意的是，在“虚拟目录访问权限”中一定要勾选“读取”与“写入”两项。
（四）建立站点专用应用程序池
1、在“应用程序池”的右键菜单中选择“新建——应用程序池”。
2、在“添加新应用程序池”对话框中输入应用程序池ID“url.com”，单击“确定”按钮。
3、在应用程序池“url.com”的右键菜单中选“属性”.
4、在“url.com属性”对话框中，选“标识”选项卡，选择“配置”，输入用户名“url.com_wpg”及相应密码，单击“确定”，再次输入密码后，再次单击“确定”即可。
（五）新建WEB站点
1、在“网站”的右键菜单中选择“新建——网站”，弹出欢迎界面，单击“下一步”继续。
2、站点描述：url.com，单击“下一步”继续。
3、网站IP：“192.168.0.1”，TCP端口：80，主机头：“www.url.com”，单击“下一步”继续。
4、主目录路很能选择“D:\web\url.com”，单击“下一步”继续。
5、网站访问权限一定要勾选“读取、运行脚本 如（ASP）”，单击“下一步”继续。
6、单击“完成”即成功建立站点。
7、在网站“url.com”的右键菜单中选择“属性”。
8、在“url.com属性”对话框“目录安全性”选项卡中单击“编辑”按钮。在“身份验证方法”对话框中，输入用户名“url.com”和相应的密码，单击“确定”，再次输入密码后，再次单击“确定”。
9、在“url.com属性”对话框“主目录”选项卡中，应用程序池选择“url.com”。
10、单击“确定”完成WEB站点的设置
（六）选择本地计算机，如“Web本地计算机”，右键选择“所有任务”“将配置保存到磁盘”，则会提示保存成功。
经过以上设置，服务器即可以支持VS2008的asp.net，而且安全性能大大提高，而可以保证服务器网站的正常运行。
 

文章如转载，请注明转载自：http://www.5iadmin.com/post/767.html