IIS系统的安全设置

因为Windows是使用最普遍的系统，所以也是被攻击最多的系统。尤其是我们在使用IIS的时候。怎么才能让IIS更加安装方法如下：

IIS服务安全配置

l       禁用或删除所有的示例应用程序

    

      示例只是示例；在默认情况下，并不安装它们，且从不在生产服务器上安装。
请注意一些示例安装，它们只可从 [url]http://localhost[/url] 或 127.0.0.1 访问；但是，它们仍应被删除。下面 列出一些示例的默认位置。

 

     示例             虚拟目录              位置

IIS 示例       IISSamples     c :inetpubiissamples

IIS 文档       IISHelp           c:winnthelpiishelp

数据访问     MSADC         c:program filescommon filessystemmsadc

l       启用或删除不需要的 COM 组件

     某些 COM 组件不是多数应用程序所必需的，应加以删除。特别是，应考虑禁用文件系统对象组件，但要注意这将也会删除 Dictionary 对象。
切记某些程序可能需要您禁用的组件。如Site Server 3.0 使用 File System Object。以下命令将禁用 File System Object：

      regsvr32 scrrun.dll /u

l       删除 IISADMPWD 虚拟目录

     该目录可用于重置 Windows NT 和 Windows 2000 密码。它主要用于 Intranet 情况下，并不作为 IIS 5 的一部分安装，但是 IIS 4 服务器升级到 IIS 5 时，它并不删除。如果您不使用 Intranet 或如果将服务器连接到Web 上，则应将其删除。

l       删除无用的脚本映射

     IIS 被预先配置为支持常用的文件名扩展如 .asp 和 .shtm 文件。IIS 接收到这些类型的文件请求时，该调用由 DLL 处理。如果您不使用其中的某些扩展或功能，则应删除该映射，步骤如下：

 打开 Internet 服务管理器。 

 右键单击 Web 服务器，然后从上下文菜单中选择“属性”。 

  主目录 | 配置 | 

删除无用的.htr .ida .idq .printer .idc .stm .shtml等 

l       禁用父路径

     “父路径”选项允许在对诸如 MapPath 函数调用中使用“..”。禁用该选项的步骤如下：

右键单击该 Web 站点的根，然后从上下文菜单中选择“属性”。 

单击“主目录”选项卡。 

单击“配置”。 

单击“应用程序选项”选项卡。 

取消选择“启用父路径”复选框。 

l       禁用-内容位置中的 IP 地址

      IIS4里的“内容-位置”标头可暴露通常在网络地址转换 (NAT) 防火墙或代理服务器后面隐藏或屏蔽的内部 IP 地址。

l       设置适当的 IIS 日志文件 ACL

     确保 IIS 日志文件 (%systemroot%system32LogFiles) 上的 ACL 是

Administrators（完全控制） 

System（完全控制） 

Everyone (RWC) 

     这有助于防止恶意用户为隐藏他们的踪迹而删除文件。

l       设置适当的 虚拟目录的权限

          确保 IIS 虚拟目录如scripts等权限设置是否最小化，删除不需要目录。

l       将IIS目录重新定向

             更改系统默认路径，自定义WEB主目录路径并作相应的权限设置。

l       使用专门的安全工具

         微软的IIS安全设置工具：IIS Lock Tool；是针对IIS的漏洞设计的，可以有效设置IIS安全属性。