iis的安全设置

IIS安全权限设置-电脑资料系统用户情况为：administrators 超级管理员(组)system 系统用户(内置安全主体)guests 来宾帐号(组)iusr_服务器名匿名访问web用户iwam_服务器名启动iis进程用户www_cnnsc_org 自己添加的用户、添加后删除Users(组)、删除后添加到guests来宾帐号(组)为加强系统安全、(guest)用户及(iusr_服务器名)用户均被禁用将访问web目录的全部账户设为guests组、去除其他的组■盘符安全访问权限△C:\盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限△D:\盘(如果用户网站内容放置在这个分区中)、administrators(组) 完全控制权限△E:\盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限△f:\盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限△如有其他盘符类推下去.■目录安全访问权限▲c:\windows\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限▲c:\windows\system32\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、iwam_服务器名(用户) 读取+运行权限▲c:\windows\temp\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、guests(组) 完全控制权限▲C:\WINDOWS\system32\config\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限▲c:\Program Files\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限▲C:\Program Files\Common Files\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、guests(组) 读取+运行权限▲c:\Documents and Settings\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限▲C:\Documents and Settings\All Users\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限▲C:\Documents and Settings\All Users\Application Data\△administrator s(组) 完全控制权限、system(内置安全主体) 完全控制权限▲C:\Documents and Settings\All Users\Application Data\Microsoft\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限▲C:\Documents and Settings\All Users\Application Data\Microsoft\HTML Help\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限■禁止系统盘下的EXE文件：net.exe、cmd.exe、tftp.exe、netstat.exe、regedit.exe、regedt32.exe、at.exe、attrib.exe、cacls.exe△些文件都设置成 administrators 完全控制权限■新建WWW(网站)根目录【administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限】▲根目录里新建wwwroot目录▲网站根目录、网页请上传到这个目录△administrators(组) 完全控制权限△www_cnnsc_org(用户)完全控制权限▲根目录里新建logfiles目录▲网站访问日志文件、本目录不占用您的空间△administrators(组) 完全控制权限▲根目录里新建database目录▲数据库目录、用来存放ACCESS数据库△administrators(组) 完全控制权限▲根目录里新建others目录▲用于存放您的其它文件、该类文件不会出现在网站上△administrators(组) 完全控制权限△www_cnn sc_org(用户)完全控制权限▲在FTP(登陆消息文件里填)IIS日志说明：〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓欢迎您使用本虚拟主机.请使用CUTEFTP或者LEAFTP等软件上传您的网页.注意、如果上传不了、请把FTP软件的PASV模式关掉再试.您登陆进去的根目录为FTP根目录\--wwwroot网站根目录、网页请上传到这个目录.\--logfiles 网站访问日志文件、本目录不占用您的空间.\--database 数据库目录、用来存放ACCESS数据库.\--others 用于存放您的其它文件，该类文件不会出现在网站上.为了保证服务器高速稳定运行、请勿上传江湖游戏、广告交换、类网站、大型论坛、软件下载等耗费系统资源的程序.IIS日志说明\--Date 动作发生时的日期\--Time 动作发生时的时间\--s-sitename 客户所访问的Internet服务于以及实例号\--s-computername 产生日志条目的服务器的名字\--s-ip 产生日志条目的服务器的IP地址\--cs-method客户端企图执行的动作(例如GET方法)\--cs-uri-stem被访问的资源、例如Default.asp\--cs-uri-query 客户所执行的查询\--s-port 客户端连接的端口号\--cs-username通过身份验证访问服务器的用户名、不包括匿名用户\--c-ip 访问服务器的客户端IP地址\--cs(User-Agent) 客户所用的浏览器\--sc-status用HTTP或者FTP术语所描述的动作状态\--sc-win32-status用Microsoft Windows的术语所描述的动作状态〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓■禁止下载Access数据库△Internet 信息服务(IIS)管理器→网站→属性→主目录→配置→添加△可执行文件：C:\WINDOWS\twain_32.dll△扩展名：.mdb▲如果你还想禁止下载其它的东东△Internet 信息服务(IIS)管理器→网站→属性→主目录→配置→添加△可执行文件：C:\WINDOWS\twain_32.dll△扩展名：.(改成你要禁止的文件名)▲然后删除扩展名：shtml stm shtm cdx idc cer■防止列出用户组和系统进程:△开始→程序→管理工具→服务△找到 Workstation 停止它、禁用它■卸载最不安全的组件：△开始→运行→cmd→回车键▲cmd里输入：△regsvr32/u C:\WINDOWS\system32\wshom.ocx△del C:\WINDOWS\system32\wshom.ocx△regsvr32/u C:\WINDOWS\system32\shell32.dll△del C:\WINDOWS\system32\shell32.dll△也可以设置为禁止guests用户组访问■解除FSO上传程序小于200k限制：△在服务里关闭IIS admin service服务△打开 C:\WINDOWS\system32\inetsrv\MetaBase.xml△找到ASPMaxRequestEntityAllowed△将其修改为需要的值、默认为204800、即200K、把它修改为51200000(50M)、然后重启IIS admin service服务■禁用IPC连接△开始→运行→regedit△找到如下组建(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Ls a)中的(restrictanonymous)子键△将其值改为1即■清空远程可访问的注册表路径：△开始→运行→gpedit.msc△依次展开“计算机配置→Windows 设置→安全设置→本地策略→安全选项”△在右侧窗口中找到“网络访问：可远程访问的注册表路径”△然后在打开的窗口中、将可远程访问的注册表路径和子路径内容全部设置为空即■关闭不必要的服务△开始→程序→管理工具→服务△Telnet、TCP\IP NetBIOS Helper■解决终端服务许可证过期的办法△如果你服务器上已经开着终端服务、那就在添加删除程序里删除终端服务和终端授权服务△我的电脑--右键属性--远程---远程桌面、打勾、应用△重启服务器、OK了、再也不会提示过期了■取消关机原因提示△开始→运行→gpedit.msc△打开组策略编辑器、依次展开△计算机配置→管理模板→系统△双击右侧窗口出现的(显示“关闭事件跟踪程序”)△将(未配置)改为(已禁用)即可。

1、访问控制列表 (ACL) 指示哪些用户或组有访问或修改特定文件的权限。不是在每个文件上设置 ACL，而是为每种文件类型创建新目录，在每个目录上设置 ACL，然后允许文件从它们所在的目录中继承这些权限。单击“开始”，右键单击“我的电脑”，然后单击“资源管理器”。 浏览至包含网站内容的文件，然后单击网站内容的最上层的文件夹。在“文件”菜单中，单击“新建”，然后单击“文件夹”，以便在网站的内容目录中创建一个新文件夹。为文件夹命名，然后按 Enter 键。按 Ctrl 键，然后选择您想要保护的每个网页。右键单击这些网页，然后单击“复制”。 右键单击新文件夹，然后单击“粘贴”。( 注意： 如果您已经创建了到这些网页的链接，则必须更新这些链接以便反映站点内容的新位置。)
4、禁用 FileSystemObject 组件，ASP、Windows 脚本主机和其他编写脚本的应用程序使用 FileSystemObject (FSO) 组件来创建、删除、获取信息以及操纵驱动器、文件夹和文件。可考虑禁用 FSO 组件，但要注意，这也将删除字典对象。另外，验证是否没有其他程序需要这个组件：单击“开始”，单击“运行”，在“打开”框中键入 cmd，然后单击“确定”。 切换到 C:\Windows\system32 目录。在命令提示符处，键入 regsvr32 scrrun.dll /u ，然后按 Enter 键。出现：DllUnregisterServer in scrrun.dll succeeded，再确定。
五、保护网站和虚拟目录，将 Web 根目录和虚拟目录重新定位到非系统分区，以帮助防御目录遍历攻击。这些攻击允许攻击者执行操作系统程序和工具。由于这种攻击不能遍历所有驱动器，因此，将网站内容重新定位到另一个驱动器可以增强对这些攻击的防护。

基本验证
有效的机器或网络使 用者帐户並具备「登 入本机」的权利 需Active Directory 环境下使用 IIS 5需设定可回复 的密码 有效的机器或网络使 用者帐户
沒有限制，适用各 种浏览器 IE 5 以上的浏览器
摘要式验证
整合的 Windows 验证
IE 浏览器
採用挑战/回应演算法验证， 高安全性
IIS安全配置 IIS安全配置
IIS 网站安全性管理策略与技术
网页应用程序安全
•应用程序锁定原则 •程序员定期资安教育 •应用程序隔离原则
资源存取控制
• • • • IP 地址/网域名称 地址/ 网页权限 NTFS权限 NTFS权限 身份验证
网页传输安全 监控
•稽核记录 •存取记录 •漏洞稽核
网站安全性 管理
.html)
设定网页目录与文件权限
身份验证 验证方法 IIS 身份验证方法
匿名验证 基本验证 摘要式验证 整合的 Windows 验证 凭证验证
使用IIS验证方法
预设启用匿名及整合的 Windows 验证。 只有在下列情况下，Web 服务器才可使用「基本」、「摘要式」 或整合的 Windows 验证方法： [匿名存取] 并没有被选取。 匿名存取失败或文件及目录的存取受到 NTFS 权限的限制。 摘要式及整合的 Windows 验证不能用于 FTP 站台 如果 .NET passport被选中，则无法使用其它验证方法 验证方法的使用优先级： 匿名 整合的 Windows 验证 摘要式验证 基本验证
备份Metabase与网页应用程序 IIS 记录与稽核 使用虚拟目录取代真实目录 利用群组原则控制IIS的安装 选择安全性的远程管理工具与方式
备份 IIS Metabase

IIS配置网站访问权限和安全网站需要IIS配置的地方有很多，比如IIS配置端口、域名、主目录、默认文档等。

今天小编要跟大家分享的是IIS配置网站访问权限和安全。

默认状态下，允许所有的用户匿名连接 IIS 网站，即访问时不需要使用用户名和密码登录。

不过，如果对网站的安全性要求高，或网站中有机密信息，需要对用户限制，禁止匿名访问，而只允许特殊的用户账户才能进行访问。

1．IIS配置禁用匿名访问第一步,在 IIS 管理器中，选择欲设置身份验证的 Web 站点，如图8-18 所示。

第二步，在站点主页窗口中，选择“身份验证”，双击，显示“身份验证”窗口。

默认情况下，“匿名身份验证”为“启用”状态，如图 8-19 所示。

第三步，右击“匿名身份验证”，单击快捷菜单中的“禁用”命令，即可禁用匿名用户访问。

2．IIS配置使用身份验证在IIS 7.0 的身份验证方式中，还提供基本验证、Windows 身份验证和摘要身份验证。

需要注意的是，一般在禁止匿名访问时，才使用其他验证方法。

不过，在默认安装方式下，这些身份验证方法并没有安装。

可在安装过程中或者安装完成后手动选择。

第一步，在“服务器管理器”窗口中，展开“角色”节点，选择“Web 服务器(IIS)”，单击“添加角色服务”，显示如图8-20 所示的“选择角色服务”窗口。

在“安全性”选项区域中，可选择欲安装的身份验证方式。

第二步，安装完成后，打开 IIS 管理器，再打开“身份验证”窗口，所经安装的身份验证方式显示在列表中，并且默认均为禁用状态，如图 8-21 所示。

可安装的身份验证方式共有三种，区别如下。

①基本身份验证：该验证会“模仿”为一个本地用户（即实际登录到服务器的用户），在访问 Web 服务器时登录。

因此，若欲以基本验证方式确认用户身份，用于基本验证的Windows 用户必须具有“本地登录”用户权限。

默认情况下，Windows 主域控制器（PDC）中的用户账户不授予“本地登录”用户的权限。

iis服务器的安全设置删掉c:/inetpub目录，删除iis不必要的映射首先是每一个web站点使用单独的iis用户，譬如这里，新建立了一个名为，权限为guest的。

在iis里的站点属性里"目录安全性"---"身份验证和访问控制"里设置匿名访问使用下列windows 用户帐户"的用户名密码都使用这个用户的信息.在这个站点相对应的web目录文件，默认的只给iis用户的读取和写入权限（后面有更bt的设置要介绍）。

在"应用程序配置"里，我们给必要的几种脚本执行权限：asp.aspx,php，asp，aspx默认都提供映射支持了的，对于php，需要新添加响应的映射脚本，然后在web服务扩展将asp，aspx都设置为允许，对于 php以及cgi的支持，需要新建web服务扩展，在扩展名(x)：下输入 php ，再在要求的文件(e)：里添加地址c:/php/sapi/php4isapi.dll ，并勾选设置状态为允许(s)。

然后点击确定，这样iis就支持php了。

支持cgi同样也是如此。

要支持aspx，还需要给web根目录给上users用户的默认权限，才能使aspx能执行。

另外在应用程序配置里，设置调试为向客户端发送自定义的文本信息，这样能对于有asp注入漏洞的站点，可以不反馈程序报错的信息，能够避免一定程度的攻击。

在自定义http错误选项里，有必要定义下譬如404,500等错误，不过有有时候为了调试程序，好知道程序出错在什么地方，建议只设置404就可以了。

iis6.0由于运行机制的不同，出现了应用程序池的概念。

一般建议10个左右的站点共用一个应用程序池，应用程序池对于一般站点可以采用默认设置，可以在每天凌晨的时候回收一下工作进程。

新建立一个站，采用默认向导，在设置中注意以下在应用程序设置里：执行权限为默认的纯脚本，应用程序池使用独立的名为：的程序池。

IIS服务器安全配置的三个要领1.基本配置打好补丁删除共享个人站长通常运用Windows服务器，但是我们通过租用或托管的服务器往往不会有专门的技能人员来实行安全配置，所以就导致了一些常见的基本漏洞仍然存在。

其实，只要通过基本的安装服务器补丁，就能防止大部分的漏洞入侵攻击。

在服务器安装好操作系统后，正式启用之前，就应该完成各种补丁的安装。

服务器的补丁安装要领与我们运用的xp 系统类似，这里就不再赘述。

做好了基本的补丁安装，更主要的就是配置可访问的端口了，通常服务器只须要开放提供Web服务的必需端口，其他不必要的端口都可以禁止。

不过须要留心的是，千万不要把管理服务器的远程端口3389也禁止了。

删除默认共享也是必须做的一项步骤，服务器开启共享后很有可能被病毒或黑客入侵，从而进一步提权或者删除文件，因此我们要尽量关闭文件共享。

删除默认共享可以采用多种方式，例如运用net share c$ /delete命令，就可以把c盘的默认共享功能关闭(图1)。

2.权限分配防止病毒木马入侵好的服务器权限配置可以将危害减少到最低，如果每个IIS站点的权限配置都不同，黑客就很难通过旁注攻击等方式入侵整个服务器。

这里就基本介绍一下权限配置的要领。

在系统中权限是按照用户的方式来划分的，要管理用户，可以在服务器中依次打开“开始→程序→管理工具→计算机管理→本地用户和组”，就可以看到管理服务器中所有的系统用户和用户组了(图2)。

在为服务器分区的时候须要把所有的硬盘都分为NTFS分区，然后就可以配置每个分区对每个用户或组开放的权限。

要领是在须要配置权限的文件夹上点击右键，选择“属性→安全”，即可配置文件或文件夹的权限了。

对于站点来说，须要为每个站点分配一个IIS匿名用户，这样当用户访问你的站点文件的时候，所具有的权限最多只有该站点目录，可以很好地防止其他站点被入侵。

3.组件管理让不安全组件通通消散服务器默认支持很多组件，但是这些组件也会成为危害，最危险的组件是wsh和shell，因为它们可以运行服务器硬盘里的exe程序，比如它们可以运行提权程序来提升Serv-u权限甚至用Serv-u来运行更高权限的系统程序。

实验1 操作系统安全技术（2）-IIS的安全性设置1. 实验目的通过实验了解Windows操作系统中Web服务器、FTP服务器的安全漏洞及其防范措施，实现Web服务器和FTP服务器的安全配置。

2. 实验原理IIS（Internet Information Server）是Windows系统中的Internet信息和应用程序服务器。

利用IIS可以配置Windows平台方便地提供并且和Windows系统管理功能完美的融合在一起，使系统管理人员获得和Windows系统完全一致的管理。

IIS4.0和IIS5.0的应用非常广，但由于这两个版本的IIS存在很多安全漏洞，它的使用也带来了很多安全隐患。

IIS常见漏洞包括idc&ida漏洞、.htr漏洞、NT Site ServerAdsamples 漏洞、.printer漏洞、Unicode解析错误漏洞、Webdav漏洞等。

因此，了解如何加强Web服务器、FTP服务器酌安全性，防范由IIS漏洞造成的入侵就显得尤为重要。

在下面的实验中通过对Web服务器和FTP服务器的安全配置，了解其防范方法。

我们可以手动进行IIS的安全配置，包括Web服务器、FTP服务器和SMTP服务器，也可以利用一些安全工具来进行。

IISlockdown是由微软开发的IIS安全配置工具，它按照模板的安全配置选项，通过关闭IIS服务器上的某些不必要的特性和服务，从而减少受攻击的威胁。

此工具还与URLscan等协同工作，提供了多层次的防御和保护。

3. 实验环境Windows2000/XP系统，完全安装IIS服务。

4. 实验内容（1）用IIS建立高安全性的Web服务器1）删除不必要的虚拟目录。

打开\wwwroot文件夹，删除安装IIS时自动建立的多余目录。

最好将网站发布目录建立在系统分区以外，至少不能与wwwroot等同。

2）停止默认Web站点。

3）分类Web文件。

将文件按类保存在相应的目录中，设置每一目录的权限。

IS服务器之Web服务安全设置IIS服务器之Web服务安全设置，一般安装IIS用windows server 家族，现在一般用windows server 2003 或以上版本，而windows server 2000已经退出市场，windows server 2003 里面的IIS 6.0 功能强大，在安全性方面很好，就IIS 6.0 服务安全设置举例，如下：>一.删除默认共享.关闭139.445端口选择“ 计算机管理” 程序，选择“ 共享文件夹” ，在相应的共享文件夹上按右键，选择“ 停止” 共享即可。

不过在系统重新启动后， IPC$ 和printer$ 会再次共享。

IPC$ 和 printer$工作的端口是139和445.咱们来手工关闭.查询共享端口命令:开始>>运行>>输入cmd进入DOS命令模式>>输入netstat-an>>敲击回车显示结果!关闭445端口的方法：(445端口是文件共享.打印机共享通讯端口.默认是开放的.)运行-regedit修改注册表，添加一个键值Hive:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters 添加DWORD值:SMBDeviceEnabled右键单击“SMBDeviceEnabled”值，选择“修改”在出现的“编辑DWORD值”对话框中，在“数值数据”下，输入“0”，单击“确定”按钮，完成设置。

从启电脑.即可关闭445端口关闭139端口的方法:(139端口开启都是由于NetBIOS这个网络协议在使用它,Netbios网络基本输入输出系统。

是1983年IBM开发的一套网络标准，微软在这基础上继续开发。

微软的客户机／服务器网络系统都是基于NetBIOS的。

在构建的网络系统中，对每一台主机的唯一标识信息是它的NetBIOS名。

IIS服务器的安全性是不言而喻的，如果黑客通过这个软件的设置漏洞进入你的服务器，那你的服务器就成了砧板上的美味烧鸡了，别人想怎么吃就是人家的问题了，你就等着收拾残局吧。

为了尽量躲避这种风险，小编就知道的几种设置方法给大家分享一二，献丑了。

工具/原料∙IIS服务器∙相关检测工具（工具很多，百度一下即可，不再一一列举）步骤/方法1.使用安全配置向导(Security Configuration Wizard)来决定web服务器所需的最小功能，然后禁止其他不需要的功能：禁止不需要的服务；堵住不用的端口；至于打开的端口，对可以访问的地址和其他安全做进一步的限制；如果可行，禁止不需要的IIS的web扩展；减小对SMB，LAN Manager，和LDAP协议的显露；定义一个高信噪比的对策。

2.把网站文件放在一个非系统分区(partition)上，防止directorytraversal的缺陷，对内容进行NTFS权限稽查(Audit)。

3.对自己的系统定期做安全扫描和稽查，在别人发现问题前尽早先发现自己的薄弱处。

4.定期做日志分析，寻找多次失败的登陆尝试，反复出现的404，401，403错误，不是针对你的网站的请求记录等。

5.如果使用IIS 6的话，使用Host Headers ，URL扫描，实现自动网站内容和IIS Metabase的Replication，对IUSR_servername帐号户使用标准的名称等。

6.总的web架构的设计思路：别把你的外网web服务器放在内网的活动目录(Active Directory)里，别用活动目录帐号运行IIS匿名认证，考虑实时监测，认真设置应用池设置，争取对任何活动做日志记录，禁止在服务器上使用Internet Explorer等。

注意事项∙最好请专业的技术人员帮你全方位诊断一下，防范未然。

∙注意设置的时候配置设和自己的，有些不是用的功能尽量屏蔽掉，不能屏蔽的时常检查一下，防止出错。

课程编写内容称IIS的安全设置要求了解iis基本的设置分有那几块，以及一些基本的设置虚拟PC）操操作系统类型：windows 2003，网络接口：本地连接连接要求PC 网络接口，本地连接与实验网络直连述1、学生机要求安装java环境2、vpc安装Windows 2003系统境描述1、学生机与实验室网络直连;2、VPC1与实验室网络直连;3、学生机与VPC1物理链路连通；internet information services（iis），是由微软公司提供的基于运行microsoft windows的因特网windows nt版本的可选包，随后捆绑在windows 2000、windows xp professional和windows server 得注意的是，在普遍使用的windows xp home版本上并没有iis。

目前最新版本iis6.0（构建于windows server 2003）包括ftp、nntp、和http/https等服务。

服务本身并不能提供直接的服务器端的处理，如它不能将这台pc的用户名提供给互联网；从本质上讲的图形界面表现。

微软将因特网上的很多服务都集中在iis上，其中包括asp和。

iis的部分服台实现，如网页发布，php和jsp也完全胜任。

兼容性iis是在视窗操作系统平台下开发的，这也限制了它只能在这种操作系统下运行。

在windows xp pro 一些功能做出了限制，与windows server 2003 有所区别。

安全性iis的发展一直伴随着安全漏洞，而随着iis6.0的发布，这种情况有所好转。

在低于6.0的版本中，而在iis6.0中，引入了网络服务帐户，这是一个限制用户。

这样，即使服务遭到了破坏，也不会造成系对手apache是其在因特网服务软件中的主要竞争者。

solaris operating environment/j2ee也是其在企业级对手。

网站(website)是指在因特网上，根据一定的规则，使用html等工具制作的用于展示特定内容的相关说，网站是一种通讯工具，就像布告栏一样，人们可以通过网站来发布自己想要公开的资讯，或者利用网络服务。

课程编写内容称IIS的安全设置求IIS平台上的安全配置虚拟PC）操作系统类型：windows 网络接口：本地连接连接要求PC 网络接口，本地连接与实验网络直连述1、学生机要求安装java环境2、vpc安装windwos 2003 系统境描述1、学生机与实验室网络直连;2、VPC1与实验室网络直连;3、学生机与VPC1物理链路连通；了解iis基本的设置分为那几块，以及一些基本的设置。

IIS平台上的安全配置学生登录实验场景的操作1、学生单击“网络拓扑”进入实验场景，单击windows2003中的“打开控制台”按钮，进入目标主2、学生输入账号administrator ,密码123456，登录到实验场景中的目标主机。

如图所示:3、确认所有的分区都是NTFS的。

右击“我的电脑”——“管理”——“磁盘管理”如图：4、不要安装不必要的协议，比如ipx/spx/netbios建议不要安装过多的系统，软件等，关闭所有不需要的服务。

由于没开一个服务，该服务所对应得端口务器端关闭不需要的服务，为服务器的安全加固。

删除IIS上不用的服务，如ftp等停掉默认的。

如图：5、IIS上网站的搭建。

如图;6、进入网站创建向导。

如图：7、在描述上可以写上对网站内容或类型的一个描述。

如图：8、在ip这里填写本机的ip，默认端口80，然后点击“下一步”如图：9、单击“浏览”可以选择网站的主目录，勾选上“允许匿名”如图：10、对于用户访问权限的设置，下面两项必须勾选上。

如图：11、点击“完成”。

网站建立完成。

如图：12、IIS上的安全设置。

对网站的主目录设置system。

和Administrator设置为完全控制。

右击“website”——“权限”如图：选择“website”——“权限”——“高级”——“权限”。

根据你自己的需要，可以删除不必要的映射13、启用日志记录，“website”——“属性”——“网站”。

如图：14、可以点击属性-“浏览”，选择log的安装路径。

IIS的安全配置策略2009-06-01 11:03因为IIS(即Internet Information Server)的方便性和易用性，使它成为最受欢迎的Web服务器软件之一。

但是，IIS的安全性却一直令人担忧。

如何利用IIS建立一个安全的Web 服务器，是很多人关心的话题。

构造一个安全系统：要创建一个安全可靠的Web服务器，必须要实现Windows 2000和IIS的双重安全，因为IIS 的用户同时也是Windows 2000的用户，并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制，所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全：1. 使用NTFS文件系统，以便对文件和目录进行管理。

2. 关闭默认共享打开注册表编辑器，展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters”项，添加键值AutoShareServer，类型为REG_DWORD，值为0。

这样就可以彻底关闭“默认共享”。

3. 修改共享权限建立新的共享后立即修改Everyone的缺省权限，不让Web服务器访问者得到不必要的权限。

4. 为系统管理员账号更名，避免非法用户攻击。

鼠标右击[我的电脑]→[管理]→启动“计算机管理”程序，在“本地用户和组”中，鼠标右击“管理员账号(Administrator)”→选择“重命名”，将管理员账号修改为一个很普通的用户名。

5. 禁用TCP/IP 上的NetBIOS鼠标右击桌面上[网络邻居] →[属性] →[本地连接] →[属性]，打开“本地连接属性”对话框。

选择[Internet协议(TCP/IP)]→[属性]→[高级]→[WINS]，选中下侧的“禁用TCP/IP 上的NetBIOS”一项即可解除TCP/IP上的NetBIOS。

6. TCP/IP上对进站连接进行控制鼠标右击桌面上[网络邻居] →[属性] →[本地连接] →[属性]，打开“本地连接属性”对话框。

IIS的安全设置没有任何系统是100%安全的，系统漏洞会不断地发现，这是因为黑客和系统管理员一样也在整天看着新闻组，收集着这方面的信息。

黑与反黑之间的战斗会永远进行下去。

如果你采用IIS的省缺设置，那你在这场较量中就已经处于下风。

Windows NT省缺下被安装为一个开放的服务器，即使是菜鸟hacker也能得手。

但只要你做下面几个简单步骤，情况就会有很大改善。

虽不敢说攻无不克，至少可以保护你的数据不象小克的拉链门一样世人皆知。

一个安全的系统要有多层保护。

一般的计算机系统有三层保护，物理层，网络层，文件系统。

物理层就是保护好计算机硬件本身，硬盘，软盘不被偷走，这就不用我多说了。

网络层是要保护与Internet和本地LAN的网络连接，主要是靠防火墙和端口的存取权限设置。

最里面的是文件系统，这也是大多数攻击的目标。

下面我们主要也就讲这方面。

省缺设置的问题NT省缺设置成一个开放系统，文件系统是几乎完全没有安全设置的，网络上的任何用户都可以读写删除其中的文件。

这主要原因是NT中大量使用了Everyone 组（更可怕是省缺给full权限），理论上，地球上任何用户都属于everyone组。

相比之下，NetWare 就设置为一个封闭的系统，安全性就好很多。

为什么Microsoft要做这种蠢事？原因可能是给最大权限可以减少许多因为权限问题带来的技术支持电话吧。

（是这样吗？）IIS同样也有很多问题。

安装IIS时，系统建立一个前缀是IWAM_（早期版本是IUSR_)的帐户，该帐户属于Guest组，能够存取Guest组和Everyone组权限下的所有文件。

在省缺安装下，90%的系统文件可以被该用户访问。

看来解决方法就是删除所有的everyone组权限了，但实际上这样做行不通。

因为IIS 不仅要存取HTML文件，还会调用Script和ActiveX控件，还涉及到DLL的执行，全部取消Everyone组权限会使系统出现这样那样的问题。

防木马权限设置IIS服务器安全配置整理Windows Server 2003 防木马、权限设置、IIS服务器安全配置整理一、系统的安装１、按照Windows2003安装光盘的提示安装，默认情况下2003没有把IIS6.0安装在系统里面。

２、IIS6.0的安装开始菜单—>操纵面板—>添加或者删除程序—>添加/删除Windows组件应用程序———（可选）|——启用网络COM+ 访问（必选）|——Internet 信息服务(IIS) |——Internet 信息服务管理器（必选）|——公用文件（必选）|——万维网服务|——Active Server pages（必选）|——Internet 数据连接器（可选）|——WebDAV 公布（可选）|——万维网服务（必选）|——在服务器端的包含文件（可选）然后点击确定—>下一步安装。

（具体见本文附件1）３、系统补丁的更新点击开始菜单—>所有程序—>Windows Update按照提示进行补丁的安装。

４、备份系统用GHOST备份系统。

５、安装常用的软件比如：杀毒软件、解压缩软件等；安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份系统。

6、先关闭不需要的端口开启防火墙导入IPSEC策略在”网络连接”里，把不需要的协议与服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要操纵带宽流量服务，额外安装了Qos数据包计划程序。

在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS（S）"。

在高级选项里，使用"Internet连接防火墙"，这是windows 2003 自带的防火墙，在2000系统里没有的功能，尽管没什么功能，但能够屏蔽端口，这样已经基本达到了一个IPSec的功能。

二、用户安全设置1、禁用Guest账号在计算机管理的用户里面把Guest账号禁用。

设置ＩＩＳ的安全机制ＩＩＳ（ＩｎｔｅｒｎｅｔＩｎｆｏｒｍａｔｉｏｎＳｅｒｖｅｒ）作为当今流行的Ｗｅｂ服务器之一，提供了强大的Ｉｎｔｅｒｎｅｔ和Ｉｎｔｒａｎｅｔ服务功能。

如何加强ＩＩＳ的安全机制，建立一个高安全性能的Ｗｅｂ服务器，已成为ＩＩＳ设置中不可忽视的重要组成部分。

（１）安装时应注意的安全问题１）避免安装在主域控制器上在安装ＩＩＳ之后，将在安装的计算机上生成ＩＵＳＲ＿Ｃｏｍｐｕｔｅｒｎａｍｅ匿名账户。

该账户被添加到域用户组中，从而把应用于域用户组的访问权限提供给访问Ｗｅｂ服务器的每个匿名用户。

这不仅给ＩＩＳ带来巨大的潜在危险，而且还可能牵连整个域资源的安全，要尽可能避免把ＩＩＳ安装在域控制器上，尤其是主域控制器上。

２）避免安装在系统分区上把ＩＩＳ安放在系统分区上，会使系统文件与ＩＩＳ同样面临非法访问，容易使非法用户侵入系统分区。

（２）用户控制的安全性１）匿名用户安装ＩＩＳ后产生的匿名用户ＩＵＳＲ＿Ｃｏｍｐｕｔｅｒｎａｍｅ给Ｗｅｂ服务器带来潜在的安全性问题，应对其权限加以控制。

如无匿名访问需要，可取消Ｗｅｂ的匿名服务。

具体方法：①启动ＩＳＭ（ＩｎｔｅｒｎｅｔＳｅｒｖｅｒＭａｎａｇｅｒ）；②启动ＷＷＷ服务属性页；③取消其匿名访问服务。

２）一般用户通过使用数字与字母（包括大小写）结合的口令，提高修改密码的频率、封锁失败的登录尝试以及设置账户的生存期等措施对一般用户账户进行管理。

（３）登录认证的安全性ＩＩＳ服务器提供对用户三种形式的身份认证：①匿名访问。

不需要与用户之间进行交互，允许任何人匿名访问站点，在这三种身份认证中的安全性是最低的。

②基本（Ｂａｓｉｃ）验证：在此方式下用户输入的用户名和口令以明文方式在网络上传输，没有任何加密，非法用户可以通过网上监听来拦截数据包，并从中获取用户名及密码，安全性能一般。

③ＷｉｎｄｏｗｓＮＴ请求／响应方式。

浏览器通过加密方式与ＩＩＳ服务器进行交流，有效地防止了窃听者，是安全性比较高的认证形式。

IIS安全设置因为IIS（即Internet Information Server）的方便性和易用性，使它成为最受欢迎的Web服务器软件之一。

但是，IIS的安全性却一直令人担忧。

如何利用IIS建立一个安全的Web服务器，是很多人关心的话题。

构造一个安全系统要创建一个安全可靠的Web服务器，必须要实现Windows 2000和IIS的双重安全，因为IIS的用户同时也是Windows 2000的用户，并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制，所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全：1. 使用NTFS文件系统，以便对文件和目录进行管理2. 关闭默认共享网上邻居属性--本地连接属性--Microsoft 网络的文件和打印机共享卸载可以完全关闭共享打开注册表编辑器，展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\ LanmanServer\Parameters”项，添加键值AutoShareServer，类型为REG_DWORD，值为0。

这样就可以彻底关闭“默认共享”。

3. 修改共享权限建立新的共享后立即修改Everyone的缺省权限，不让Web服务器访问者得到不必要的权限。

4. 为系统管理员账号更名，避免非法用户攻击。

鼠标右击［我的电脑］→［管理］→启动“计算机管理”程序，在“本地用户和组”中，鼠标右击“管理员账号（Administrator）”→选择“重命名”，将管理员账号修改为一个很普通的用户名。

5. 禁用TCP/IP 上的NetBIOS鼠标右击桌面上［网络邻居］→［属性］→［本地连接］→［属性］，打开“本地连接属性”对话框。

选择［Internet协议（TCP/IP）］→［属性］→［高级］→［WINS］，选中下侧的“禁用TCP/IP上的NetBIOS”一项即可解除TCP/IP上的NetBIOS。

IIS 安全配置一、利用操作系统自身功能加固系统(1)加强系统登录帐户和密码的安全系统设置的密码应当符合复杂性和最小长度的要求，不仅要包括常用英文字母、数字、字母大小写，最好还可以加入特殊字符(如@等)，而且密码的字符数不应该小于8位。

建议为管理员以及IIS用户帐号设置复杂密码并禁用guest账户，规范账户使用，根据不同的网站内容、功能设置不同的IIS维护账号。

2、不让系统显示上次登录的用户名默认情况下，登录对话框中会显示上次登录的用户名。

这使得别人可以很容易地得到系统的一些用户名，进而做密码猜测。

修改注册表可以不让对话框里显示上次登录的用户名。

方法为：打开注册表编辑器并找到注册表"HKLM\Software\Microsoft\WindowsT\CurrentVersion\Winlogon\Dont-Displa yLastUserName"，把REG_SZ的键值改成1。

3、开启密码策略注意应用密码策略，如启用密码复杂性要求，设置密码长度最小值为6位，设置强制密码历史为5次，时间为42天。

4、禁用危险的系统服务在Windows 系统中，一些端口与相应的系统服务是相关联的，有的服务还与系统中的特定端口相关联，例如Terminal Services服务与3389端口关联。

因此，禁用一些不需要的服务，不仅能降低系统资源消耗，而且能增强系统安全性。

在“开始”——“运行”框中输入“services.msc”，按回车后进入“服务”管理界面。

禁用以下服务：Remote Registry 远程用户能修改此计算机上的注册表设置。

TCP/IP NetBIOS Helper 远程用户能修改此计算机上的注册表设置。

TelnetServer支持此计算机通过网络的文件、打印、和命名管道共享Computer Browser 维护网络上计算机的最新列表以及提供这个列表Task scheduler 允许程序在此计算机上配置和计划自动任务Messenger 传输客户端和服务器之间的 NET SEND 和警报器服务消息Distributed File System: 局域网管理共享文件，不需要可禁用，如果这个服务被停止，用户则无法访问文件共享。