通過擴(kuò)展名為 .idc 的文件提供動(dòng)態(tài)內(nèi)容支持。如果 iis 服務(wù)器中的 web 站點(diǎn)和應(yīng)用程序都不包括 .idc 擴(kuò)展文件，請(qǐng)禁用該組件;或使用 web 服務(wù)擴(kuò)展禁用它。

遠(yuǎn)程管理 (html)

禁用

提供管理 iis 的 html 界面。改用 iis 管理器可使管理更容易，并減少了 iis 服務(wù)器的攻擊面。專用 iis 服務(wù)器不需要該功能。

遠(yuǎn)程桌面 web 連接

禁用

包括了管理終端服務(wù)客戶端連接的 microsoft activex? 控件和范例頁面。改用 iis 管理器可使管理更容易，并減少了 iis 服務(wù)器的攻擊面。專用 iis 服務(wù)器不需要該組件。

服務(wù)器端包括

禁用

提供 .shtm、.shtml 和 .stm 文件的支持。如果在 iis 服務(wù)器中運(yùn)行的 web 站點(diǎn)和應(yīng)用程序都不使用上述擴(kuò)展的包括文件，請(qǐng)禁用該組件。

webdav

禁用

webdav 擴(kuò)展了 http/1.1 協(xié)議，允許客戶端發(fā)布、鎖定和管理 web 中的資源。專用 iis 服務(wù)器禁用該組件;或使用 web 服務(wù)擴(kuò)展禁用該組件。

萬維網(wǎng)服務(wù)

啟用

為客戶端提供 web 服務(wù)、靜態(tài)和動(dòng)態(tài)內(nèi)容。專用 iis 服務(wù)器需要該組件

3. 將iis目錄&數(shù)據(jù)與系統(tǒng)磁盤分開，保存在專用磁盤空間內(nèi)。

4. 在iis管理器中刪除必須之外的任何沒有用到的映射(保留asp等必要映射即可)

5. 在iis中將http404 object not found出錯(cuò)頁面通過url重定向到一個(gè)定制htm文件

6. web站點(diǎn)權(quán)限設(shè)定(建議)

web 站點(diǎn)權(quán)限：

授予的權(quán)限：

讀 允許

寫 不允許

腳本源訪問 不允許

目錄瀏覽 建議關(guān)閉

日志訪問 建議關(guān)閉

索引資源 建議關(guān)閉

執(zhí)行 推薦選擇 '僅限于腳本'

7. 建議使用w3c擴(kuò)充日志文件格式，每天記錄客戶ip地址，用戶名，服務(wù)器端口，方法，uri字根，http狀態(tài)，用戶代理，而且每天均要審查日志。(最好不要使用缺省的目錄，建議更換一個(gè)記日志的路徑，同時(shí)設(shè)置日志的訪問權(quán)限，只允許管理員和system為full control)。

8. 程序安全:

1) 涉及用戶名與口令的程序最好封裝在服務(wù)器端，盡量少的在asp文件里出現(xiàn)，涉及到與數(shù)據(jù)庫連接地用戶名與口令應(yīng)給予最小的權(quán)限; 2) 需要經(jīng)過驗(yàn)證的asp頁面，可跟蹤上一個(gè)頁面的文件名，只有從上一頁面轉(zhuǎn)進(jìn)來的會(huì)話才能讀取這個(gè)頁面。

防止asp主頁.inc文件泄露問題;

4) 防止ue等編輯器生成some.asp.bak文件泄露問題。

安全更新

應(yīng)用所需的所有 service pack 和定期手動(dòng)更新補(bǔ)丁。

安裝和配置防病毒保護(hù)

推薦nav 8.1以上版本病毒防火墻(配置為至少每周自動(dòng)升級(jí)一次)。

安裝和配置防火墻保護(hù)

推薦最新版blackice server protection防火墻(配置簡(jiǎn)單，比較實(shí)用)

監(jiān)視解決方案

根據(jù)要求安裝和配置 mom代理或類似的監(jiān)視解決方案。

加強(qiáng)數(shù)據(jù)備份

web數(shù)據(jù)定時(shí)做備份，保證在出現(xiàn)問題后可以恢復(fù)到最近的狀態(tài)。

9. 刪除不必要的應(yīng)用程序映射

ISS中默認(rèn)存在很多種應(yīng)用程序映射，除了ASP的這個(gè)程序映射，其他的文件在網(wǎng)站上都很少用到。

在“Internet 服務(wù)管理器”中，右擊網(wǎng)站目錄，選擇“屬性”，在網(wǎng)站目錄屬性對(duì)話框的“主目錄”頁面中，點(diǎn)擊[配置]按鈕，彈出“應(yīng)用程序配置”對(duì)話框，在“應(yīng)用程序映射”頁面，刪除無用的程序映射。如果需要這一類文件時(shí)，必須安裝最新的系統(tǒng)修補(bǔ)補(bǔ)丁，并且選中相應(yīng)的程序映射，再點(diǎn)擊[編輯]按鈕，在“添加/編輯應(yīng)用程序擴(kuò)展名映射”對(duì)話框中勾選“檢查文件是否存在”選項(xiàng)。這樣當(dāng)客戶請(qǐng)求這類文件時(shí)，IIS會(huì)先檢查文件是否存在，文件存在后才會(huì)去調(diào)用程序映射中定義的動(dòng)態(tài)鏈接庫來解析。

保護(hù)日志安全

日志是系統(tǒng)安全策略的一個(gè)重要環(huán)節(jié)，確保日志的安全能有效提高系統(tǒng)整體安全性。

修改IIS日志的存放路徑

默認(rèn)情況下，IIS的日志存放在%WinDir%/System32/LogFiles，黑客當(dāng)然非常清楚，所以最好修改一下其存放路徑。在 “Internet服務(wù)管理器”中，右擊網(wǎng)站目錄，選擇“屬性”，在網(wǎng)站目錄屬性對(duì)話框的“Web站點(diǎn)”頁面中，在選中“啟用日志記錄”的情況下，點(diǎn)擊旁邊的[屬性]按鈕，在“常規(guī)屬性”頁面，點(diǎn)擊[瀏覽]按鈕或者直接在輸入框中輸入日志存放路徑即可。