爱E族

　　随着Microsoft Visual Studio 开发环境的普及，基于Asp .Net坏境的网站越来越多。因此Asp .net服务器的安全问题自然而然的成为了人们关心的问题。本文以Windows2003为例，架设一台安全的Asp .Net的服务器。

实验坏境：
操作系统：Microsoft Windows Server 2003 Enterprise Edition Service Pack 2
iis版本：6.0

架设Asp .Net的基本平台：
1. 安装Windows Server 2003:
　Windows Server 2003的具体安装方法这么不再讲述，但需要注意三点：
 　①.一定要在断开网络的前提下安装Windows Server 2003。
 　②.安装Windows Server 2003系统至少要有两个分区，而且分区的格式均必须为NTFS文件格式(C盘为系统盘，D盘为网站数据盘)。
 　③.安装好Windows Server 2003后必须及时打上安全补丁。

2. 安装IIS和Asp .Net：
　按下面步骤操作，安装IIS和IIS的Asp .Net支持：
   ①.将Windows2003 sp2原版安装盘放入光驱。
   ②."开始"->"程序"->"管理工具"->"管理您的服务器"。
   ③."添加删除角色"->"配置您的服务器向导"->"下一步"->"应用服务器（IIS、ASP.Net）"->勾选"启用 ASP .NET "->"下一步"->"下一步"直到安装完成。

3. 安装Microsoft .Net Framework。
　安装Microsoft .Net Framework，版本根据网站开发时基于的.Net版本而定，一般为2.0或者3.0。

设置系统账号
1. 更改默认系统管理员账号：
　 更改账户名：右击"我的电脑"->"管理"->"本地用户和组"->"用户"->右击"administrator"->"重命名"->重命名为一个新的名字，如"WebSVRAdmin"。
　 更改密码：右击"WebSVRAdmin"->"设置密码"->"继续"->输入一个复杂的密码，最好为长度大于14个字符的"数字+大小写字母+特殊字符"。
2. 新建一个权限极小的administrator的陷阱账号：
　新建账户：右击"我的电脑"->"管理"->"本地用户和组"->右击"用户"->"新用户"->用户名中输
"administrator",密码输入跟WebSVRAdmin同样复杂但不相同的密码->"确定"。

3. 禁用"guest"账号。
4. 设置本地安全策略：
　"开始"->"运行"->输入"gpedit.msc"->"计算机配置"->"安全设置"->"本地策略"->"用户权利指派"->双击"从网络访问此计算机"->只保留"internet 来宾账号"、"启动iis进程账号"、"Asp .Net账号"。

磁盘权限设置：
1.右击"C盘"->"属性"->"安全"->删除"administrator"、"Creator Owner"、"EveryOne",添加"WebSVRAdmin"，并设置成完全控制->"确定"。
2.用同样的方法设置"c:\windows"、"c:\windows\system32"。
3.右击"d盘"->"属性"->"安全"->删除"administrator"、"Creator Owner"、"EveryOne"、"Users",添加"WebSVR Admin" ，并设置成完全控制->"确定"。

禁用不需要的服务：
1. 禁用C$、D$等默认共享：
　在"开始"菜单的"运行"中键入"regedit",打开注册表编辑器。依次展开 "HKEY_LOCAL_MATCHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters" 键，在右边的窗口中新建一个Dword值，名称设置为AutoShareServer,值为0。
2. 解除NetBIOS与TCP/IP的绑定：
　右击"本地连接"->"属性"->双击"Internet 协议"->"高级"->"WINS"->禁用"TCP/IP上的NetBIOS"。
3. 关闭不要的服务：
　ComputerBrowser: 维护网络计算机更新，禁用；
　DistributedFileSystem: 局域网管理共享文件，禁用；
　Distributedlinktrackingclient: 用于局域网共享连接信息，禁用；
　Errorreportingservice: 禁止发送错误报告，禁用；
　MicrosoftSerch: 提供文本搜索，不需要时禁用；
　NTLMSecuritysupportovide: Telnet服务和MicrosoftSerch用的，不需要时禁用。
　PrintSpooler: 如果没有打印机，则禁用；
　RemoteRegistry: 用于远程修改注册表，禁用；
　RemoteDesktopHelpSessionManager: 用于远程协助，禁用；
4. 关闭不需要的端口：
　右击"本地连接"->"属性"->"Internet协议（TCP/IP）"->"高级"->"选项"->"TCP/IP筛选"->"属性"->选择TCP端口的"只允许"选项，添加"80"端口->确定。

配置IIS
　1. 删除默认Web站点。
　2. 删除安装IIS创建的"C:\Inetpub"目录。

建立ASP.NET站点：
1. 建立站点用户：
　建立两个站点专用用户aiezu与aiezu_wpg，其中aiezu隶属于Guests组，aiezu_wpg隶属于iis_wpg组(asp.net专用用户)。
　①.新建aiezu账户："本地用户和组"->右击"用户"->"新用户"->用户名中输
"aiezu",输入一个复杂的密码->"确定"。
　②.设置aiezu所属的组："本地用户和组"->右击"aiezu"->"属性"->"隶属于"->删除"users"组，添加"guest"组->"确定"。
　③.新建aiezu_wpg账户："本地用户和组"->右击"用户"->"新用户"->用户名中输
"aiezu_wpg",输入一个复杂的密码->"确定"。
　④.设置aiezu_wpg所属的组："本地用户和组"->右击"aiezu"->"属性"->"隶属于"->删除"users"组，添加"iis_wpg"组->"确定"。
2. 建立站点根目录：
　①.建立站点根目录文件夹d:\wwwroot\aiezu.com
　②.右击"aiezu.com"文件夹->"属性"->"安全"->添加"aiezu"、"aiezu_wpg"用户，并给予"修改、读取和运行、读取、写入"权限->应用。
3. 建立站点应用程序池：
　"Internet信息服务（iis）管理器"->右击"应用程序池"->"新建"->"应用程序池"->在"ID"中输入"aiezu.com"->"确定"。
　右击"aiezu.com"应用程序集->"属性"->"标识"-选中"配置"，输入用户名"aiezu_wpg"和密码->"确定"->"确定"。
4. 建立Web站点：
　"Internet信息服务（iis）管理器"->右击"网站"->"新建"->"网站"->"下一步"->描叙中输入"aiezu.com"->"下一步"->输入网站"IP地址"和"端口",主机头为"www.aiezu.com"->"下一步"->选中网站目录"d:\wwwroot\aiezu.com"->"下一步"->勾选"读取、运行脚本 如(asp)"->"下一步"->"完成"。
5. 设置站点账号：
　右击"aiezu.com"站点->"属性"->"目录安全性"->"编辑"->输入用户名"aiezu"和密码->"确定"。
6. 配置"aiezu.com"站点的应用程序池：
　右击"aiezu.com"站点->"属性"->"主目录"->应用程序池中选"aiezu.com"->"确定"。
7.保存配置：
　"Internet信息服务（iis）管理器"->右击"本地计算机"->"所有任务"->"将配置保存到磁盘"。

<%@LANGUAGE="VBSCRIPT" CODEPAGE="65001"%>  
<%  
Set xml=Server.CreateObject("Microsoft.XMLDOM")  
xml.Async=False 
xml.ValidateOnParse=False 
xml.LoadXml(server.MapPath("xml.xml"))  
If xml.ReadyState>2 Then 
    ContentStr="" 
    Set item=xml.getElementsByTagName("item")  
    For i=0 To (item.Length-1)  
        set pic_url=item.Item(i).getElementsByTagName("pic_url")  
        Set title=item.Item(i).getElementsByTagName("title")  
        ContentStr=ContentStr&"<img src='"&pic_url.Item(0).Text&"' alt='"&title.item(0).Text&"' />" 
Next 
end if  
response.Write contentstr  
%>  

下面是通过Web方式修改域用户密码的核心代码：

<%@LANGUAGE="VBSCRIPT" CODEPAGE="65001"%>  
<%  
On Error resume next  
const df_domain_name="test.com" 
dim domain, acct, posbs, posat, username, pUser, root  
dim upn_name  
 
acct=Request("acct")  
 
upn_name = "" 
domain = df_domain_name  
 
'检查账号名的格式是否为xx@test.com、test.com\xx  
'尝试从账号里面提取域名  
posbs = Instr(1,acct,"\" )  
posat = Instr(1,acct,"@" )  
if posbs > 0 then  
    domain = Left(acct,posbs-1)  
    username = Right(acct,len(acct) - posbs)  
elseif posat > 0 then  
    upn_name = acct  
    domain = Right(upn_name, len(upn_name) - posat)  
    username = Left(upn_name, posat-1)  
else      
    username = acct  
    set nw = Server.CreateObject("WScript.Network")  
    domain = nw.Computername  
end if   
 
'检查账户名是否包含无效字符  
if IsInvalidUsername(username) = true then  
    Response.Write("域账号无效！")  
    Response.End 
end if  
 
'检查域名是否包含无效字  
if IsInvalidDomainname(domain) = true then  
    Response.Write("域名无效！")  
    Response.End 
end if    
 
if upn_name = "" then  
    set pUser = GetObject("WinNT://" & domain & "/" & username & ",user")  
    if Not IsObject(pUser) then  
        set root = GetObject("WinNT:")  
        set pUser = root.OpenDSObject("WinNT://" & domain & "/" & username & ",user", username, Request("old"),1)  
        Response.Write "<!--OpenDSObject call-->" 
    end if  
 
    if Not IsObject(pUser) then  
        set pUser = Server.CreateObject("IIS.PwdChg")  
        pUser.Domain = domain  
        pUser.User = username  
    end if  
else  
    set pUser = Server.CreateObject("IIS.PwdChg")  
    if Not IsObject(pUser) then  
        set pUser = GetObject("WinNT://" & domain & "/" & username & ",user")  
        if Not IsObject(pUser) then  
            set root = GetObject("WinNT:")  
            set pUser = root.OpenDSObject("WinNT://" & domain & "/" & username & ",user", username, Request("old"),1)  
            Response.Write "<!--OpenDSObject call-->" 
        end if  
    else  
        pUser.Domain = domain  
        pUser.User = username  
        pUser.UPN = upn_name  
    end if  
end if  
 
if Not IsObject(pUser) then  
    if err.number = -2147024843 then  
        Response.Write("指定的域或帐户不存")  
    else   
        if err.description <> "" then  
            Response.Write("出错了:"& err.description)  
        else  
            Response.Write("错误号码:"& err.number)  
        end if  
    end if  
    Response.End 
end if  
 
err.Clear  
pUser.ChangePassword Request("old"), Request("new")  
 
if err.number <> 0 then  
    if err.number = -2147024810 then  
        Response.Write("您输入的用户名或密码无效，请重新输入！")   
    elseif err.number = -2147022651 then  
        Response.Write("密码太短，或不满足密码唯一性限制，不能使用以前的12次历史密码。")  
    else  
        Response.Write("错误号码：" & err.number)  
    end if  
    Response.End 
else  
    Response.Write("密码修改成功！")  
end if   
 
function IsInvalidUsername(username)  
    dim re  
    set re = new RegExp  
    re.Pattern = "[/\\""\[\]:<>\+=;,@]"  
    IsInvalidUsername =  re.Test(username)  
end function  
 
function IsInvalidDomainname(domainname)  
    dim re  
    set re = new RegExp  
    re.Pattern = "[/\\""\[\]:<>\+=;,@!#$%^&\(\)\{\}\|~]"  
    IsInvalidDomainName =  re.Test(domainname)  
end function  
%>  

HTTP状态码(HTTP Status Code)
一些常见的状态码为：

200 - 服务器成功返回网页
404 - 请求的网页不存在
503 - 服务不可用

详细分解：
1xx(临时响应)
表示临时响应并需要请求者继续执行操作的状态代码。

代码   说明
100   (继续)请求者应当继续提出请求。服务器返回此代码表示已收到请求的第一部分，正在等待其余部分。
101   (切换协议) 请求者已要求服务器切换协议，服务器已确认并准备切换。

2xx (成功)
表示成功处理了请求的状态代码。

代码   说明
200   (成功)服务器已成功处理了请求。通常，这表示服务器提供了请求的网页。
201   (已创建)请求成功并且服务器创建了新的资源。
202   (已接受)服务器已接受请求，但尚未处理。
203   (非授权信息)服务器已成功处理了请求，但返回的信息可能来自另一来源。
204   (无内容)服务器成功处理了请求，但没有返回任何内容。
205   (重置内容)服务器成功处理了请求，但没有返回任何内容。
206   (部分内容)服务器成功处理了部分 GET 请求。

3xx (重定向)
表示要完成请求，需要进一步操作。通常，这些状态代码用来重定向。

代码   说明
300   (多种选择)针对请求，服务器可执行多种操作。服务器可根据请求者 (user agent) 选择一项操作，或提供操作列表供请求者选择。
301   (永久移动)请求的网页已永久移动到新位置。服务器返回此响应(对 GET 或 HEAD 请求的响应)时，会自动将请求者转到新位置。
302   (临时移动)服务器目前从不同位置的网页响应请求，但请求者应继续使用原有位置来进行以后的请求。
303   (查看其他位置)请求者应当对不同的位置使用单独的 GET 请求来检索响应时，服务器返回此代码。
304   (未修改)自从上次请求后，请求的网页未修改过。服务器返回此响应时，不会返回网页内容。
305   (使用代理)请求者只能使用代理访问请求的网页。如果服务器返回此响应，还表示请求者应使用代理。
307   (临时重定向)服务器目前从不同位置的网页响应请求，但请求者应继续使用原有位置来进行以后的请求。

4xx(请求错误)
这些状态代码表示请求可能出错，妨碍了服务器的处理。

代码   说明
400   (错误请求)服务器不理解请求的语法。
401   (未授权)请求要求身份验证。对于需要登录的网页，服务器可能返回此响应。
403   (禁止)服务器拒绝请求。
404   (未找到)服务器找不到请求的网页。
405   (方法禁用)禁用请求中指定的方法。
406   (不接受)无法使用请求的内容特性响应请求的网页。
407   (需要代理授权)此状态代码与401(未授权)类似，但指定请求者应当授权使用代理。
408   (请求超时)服务器等候请求时发生超时。
409   (冲突)服务器在完成请求时发生冲突。服务器必须在响应中包含有关冲突的信息。
410   (已删除)如果请求的资源已永久删除，服务器就会返回此响应。
411   (需要有效长度)服务器不接受不含有效内容长度标头字段的请求。
412   (未满足前提条件)服务器未满足请求者在请求中设置的其中一个前提条件。
413   (请求实体过大)服务器无法处理请求，因为请求实体过大，超出服务器的处理能力。
414   (请求的 URI 过长)请求的 URI(通常为网址)过长，服务器无法处理。
415   (不支持的媒体类型)请求的格式不受请求页面的支持。
416   (请求范围不符合要求)如果页面无法提供请求的范围，则服务器会返回此状态代码。
417   (未满足期望值)服务器未满足"期望"请求标头字段的要求。

5xx(服务器错误)
这些状态代码表示服务器在尝试处理请求时发生内部错误。这些错误可能是服务器本身的错误，而不是请求出错。

代码   说明
500   (服务器内部错误)服务器遇到错误，无法完成请求。
501   (尚未实施)服务器不具备完成请求的功能。例如，服务器无法识别请求方法时可能会返回此代码。
502   (错误网关)服务器作为网关或代理，从上游服务器收到无效响应。
503   (服务不可用)服务器目前无法使用(由于超载或停机维护)。通常，这只是暂时状态。
504   (网关超时)服务器作为网关或代理，但是没有及时从上游服务器收到请求。
505   (HTTP 版本不受支持)服务器不支持请求中所用的 HTTP 协议版本。

注：本文转载于http://tool.chinaz.com/pagestatus/

　　在Web2.0热潮中，Ajax是人们谈论最多的技术术语之一！其实，AJAX是Asynchronous JavaScript and XML的简写，是多种技术的综合。它使用XHTML和CSS标准化呈现，使用DOM实现动态显示和交互，使用XML和XSTL进行数据交换与处理，使用XMLHttpRequest对象进行异步数据读取，使用Javascript绑定和处理所有数据。更重要的是它打破了使用页面重载的惯例技术组合，可以说AJAX已成为Web开发的重要武器！

　　下面是一个简单的Ajax实例，其中Request.htm是数据请求和展示页面，Response.asp是后台数据处理页面。程序虽简单，麻雀虽小五脏俱全，希望能对初学者带来帮助。

Request.htm页面：

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">  
<html xmlns="http://www.w3.org/1999/xhtml">  
<head>  
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />  
<title>请求页面</title>  
<script type="text/javascript">  
 var XmlRequest=null;  
 try{  
  XmlRequest=new XMLHttpRequest();  
 }  
 catch(a){  
  try{  
   XmlRequest=new ActiveXObject("MsXml2.XMLHTTP");  
  }catch(b){  
   try{  
    XmlRequest=new ActiveXObject("Microsoft.XMLHTTP");  
   }catch(c){}  
  }  
 }  
 function Request(){  
  var id=document.getElementById("text").value;  
  XmlRequest.open("get","Response.asp?max="+id+"&r="+Math.random(),true);  
  XmlRequest.onreadystatechange=Response;  
  XmlRequest.send(null);  
 }  
 function Response(){  
  if(XmlRequest.readyState==4 && XmlRequest.status==200){  
   result.innerHTML=XmlRequest.responseText;  
  }  
 }  
</script>  
</head>  
<body>  
最大随机数：<input type="text" id="text"  value="100" maxlength="6" />  
<input type="button" value="取得随机数" onclick="Request()" /><br />  
<span style="float:left;">服务器返回：</span><div id="result" style="color:#FF0000;"></div>  
</body>  
</html>  

Response.asp页面：

<%@LANGUAGE="VBSCRIPT" CODEPAGE="65001"%>  
<%  
On Error Resume Next 
dim max  
max=clng(Request("max"))  
if err.number=0 then  
Randomize()  
Response.Write(int(rnd()*max+1))  
else  
err.clear()  
Response.Write("您输入的好像不是数字吧？")  
end if  
%>