我正在Windows 2008上设置面向Internet的ASP.NET MVC应用程序。它使用SQL Server 2008作为其数据库。我正在寻找保护它的最佳实践。
我找到了this article,但现在有点过时了。有多少建议仍然有价值?
一些背景 - 它是一个个人网站,位于我的家庭NAT /防火墙盒后面;我只会将端口80和443转发给它。 IIS服务器本身是在HyperV上运行的Windows 2008主机(我只有一个备用的物理盒)。
该文章中提到的一个有用的东西(已经发生在我身上)是IIS框不应该是域的成员,因此入侵者不能轻易地开箱即用。我马上将其从域中删除:))
我应该记住哪些其他提示(以及任何部署到更大环境的人)?
我知道这不是一个与编程相关的问题(它里面没有源代码!),但我想大多数程序员在部署建议时都不得不涉足操作方面。
答案 0 :(得分:1)
我不知道从域中删除它,但我肯定会disable LanMan hashes,保持系统完全修补,并使用良好的密码安全性。确保在IIS中运行的任何进程都从最低权限的帐户运行,即不要在本地管理员的ID下运行工作进程。
答案 1 :(得分:1)
您可以看看这两个工具: Best Practices Analyzer for ASP.NET
SQL Server 2005 Best Practices Analyzer (even though you are using 2008, still might be of help)
答案 2 :(得分:1)