.关闭并删除默认站点默认FTP站点
默认Web站点
管理Web站点
2.建立自己的站点，与系统不在一个分区如：D:\wwwroot3．建立 E:\Logfiles 目录，以后建立站点时的日志文件均位于此目录，确保此目录
上的访问控制权限是： Administrators（完全控制）System（完全控制）
3.删除IIS的部分目录IISHelp C:\winnt\help\iishelp
IISAdmin C:\system32\inetsrv\iisadmin
MSADC C:\Program Files\Common Files\System\msadc\
删除 C:\\inetpub
4.删除不必要的IIS映射和扩展IIS 被预先配置为支持常用的文件名扩展如 .asp 和 .shtm 文件。IIS 接收到这些类型 的文件
请求时，该调用由 DLL 处理。如果您不使用其中的某些扩展或功能，则应删除该映射，步骤如下：
打开 Internet 服务管理器：
选择计算机名，点鼠标右键，选择属性：
然后选择编辑
然后选择主目录， 点击配置
选择扩展名 \".htw\", \".htr\",\".idc\",\".ida\",\".idq\"和，点击删除
如果不使用server side include，则删除\".shtm\" \".stm\" 和 \".shtml\"
5.禁用父路径 （有可能导致某些使用相对路径的子页面不能打开）“父路径”选项允许您在对诸如 MapPath 函数调用中使用“..”。在默认情况下，该选项
处于启用状态，应该禁用它。
禁用该选项的步骤如下：
右键单击该 Web 站点的根，然后从上下文菜单中选择“属性”。
单击“主目录”选项卡。
单击“配置”。
单击“应用程序选项”选项卡。
取消选择“启用父路径”复选框。
6.在虚拟目录上设置访问控制权限在iis里把所有的目录,不包括asp等文件的目录 ,比如img,image,pic,upload等等这些目录,里面一般是没有asp文件的目录的执行许可设置为无,这样就算你用的程序被发现了新的漏洞,传了马上来了,它也执行不了,不过要看仔细了,有些目录里也是有asp,asa文件的!
主页使用的文件按照文件类型应使用不同的访问控制列表：
CGI (.exe, .dll, .cmd, .pl)
Everyone (X)
Administrators（完全控制）
System（完全控制）
脚本文件 (.asp)
Everyone (X)
Administrators（完全控制）
System（完全控制）
include文件 (.inc, .shtm, .shtml)
Everyone (X)
Administrators（完全控制）
System（完全控制）
静态内容 (.txt, .gif, .jpg, .html)
Everyone (R)
Administrators（完全控制）
System（完全控制）
在创建Web站点时，没有必要在每个文件上设置访问控制权限，应该为每个文件类型创建一个
新目录，然后在每个目录上设置访问控制权限、允许访问控制权限传给各个文件。
例如，目录结构可为以下形式：
D:\wwwroot\myserver\static (.html)
D:\wwwroot\myserver\include (.inc)
D:\wwwroot\myserver \script (.asp)
D:\wwwroot\myserver \executable (.dll)
D:\wwwroot\myserver \images (.gif, .jpeg)
7.启用日志记录1）日志的审核配置
确定服务器是否被攻击时，日志记录是极其重要的。
应使用 W3C 扩展日志记录格式，步骤如下：
打开 Internet 服务管理器：
右键单击站点，然后从上下文菜单中选择“属性”。
单击“Web 站点”选项卡。
选中“启用日志记录”复选框。
从“活动日志格式”下拉列表中选择“W3C 扩展日志文件格式”。
单击“属性”。
单击“扩展属性”选项卡，然后设置以下属性：
* 客户 IP 地址
* 用户名
* 方法
* URI 资源
* HTTP 状态
* Win32 状态
* 用户代理
* 服务器 IP 地址
* 服务器端口
2）日志的安全管理
1、启用操作系统组策略中的审核功能，对关键事件进行审核记录；
2、启用IIS、FTP服务器等服务本身的日志功能；并对所有日志存放的默认位置进行更改同时作好文件夹权限设置！
3、安装Portreport对所有网络访问操作进行监视（可选，可能增大服务器负荷）；
4、安装自动备份工具，定时对上述日志进行异地备份，起码是在其他分区的隐蔽位置进行备份，并对备份目录设置好权限（仅管理员可访问）。
5、准备一款日志分析工具，以便随时可用。
6、要特别关注任何服务的重启、访问敏感的扩展存储过程等事件。
8.备份IIS配置可使用IIS的备份功能，将设定好的IIS配置全部备份下来，这样就可以随时恢复
9.修改IIS标志1）使用工具程序修改IIS标志
修改IIS标志Banner的方法：
下载一个修改IIS Banner显示信息的软件——IIS/PWS Banner Edit。利用它我们可以很轻松地修改IIS的Banner。但要注意在修改之前我们首先要将IIS停止（最好是在服务中将World Wide Web Publishing停止）,并要将DLLcache下的文件全部清除。否则你会发现即使修改了一点改变也没有。
IIS/PWS Banner Edit其实是个傻瓜级的软件，我们只要直接在New Banner中输入想要的Banner信息，再点击Save to file就修改成功了。用IIS/PWS Banner Edit简单地修改，对菜鸟黑客来说他可能已被假的信息迷惑了，可是对一些高手来说这并没有给他们造成什么麻烦。为此我们必须亲自修改IIS的Banner信息，这样才能做到万无一失。
高版本Windows的文件路径为 C:\WINDOWS\system32\inetsrv\w3svc.dll,可以直接用Ultraedit打开W3SVC.DLL，然后以“Server：”为关键字查找。利用编辑器将原来的内容替换成我们想要的信息，比如改成Apache的显示信息，这样入侵者就无法判断我们的主机类型，也就无从选择溢出工具了。
2）修改IIS的默认出错提示信息等。
10.重定义错误信息很多文章讲了怎样防止数据库不被下载都不错的,只要记住一点 .不要改成asp就可以了,不然给你放一个一句话木马让你死的很难看,再着在IIS中将HTTP404.500等 Object Not Found出错页面通过URL重定向到一个定制HTM文件,这样大多数的暴库得到的都是你设置好的文件,自然就掩饰了数据库的地址还能防止一些菜鸟sql注射。
对于服务器管理员，既然你不可能挨个检查每个网站是否存在SQL注入漏洞，那么就来个一个绝招。这个绝招能有效防止SQL注入入侵而且"省心又省力，效果真好！"SQL注入入侵是根据IIS给出的ASP错误提示信息来入侵的，如果你把IIS设置成不管出什么样的ASP错误，只给出一种错误提示信息，即http 500错误，那么人家就没办法入侵了。具体设置请参看图2。主要把500:100这个错误的默认提示页面 C:\WINDOWS\Help\iisHelp\common\500-100.asp改成
C:\WINDOWS\Help\iisHelp\common\500.htm即可，这时，无论ASP运行中出什么错，服务器都只提示HTTP　500错误。
还可更改C:\WINDOWS\Help\iisHelp\common\404b.htm内容改为<META HTTP-EQUIV=REFRESH C>这样，出错了自动转到首页。
　
Win 2003中提高FSO的安全性ASP提供了强大的文件系统访问能力，可以对服务器硬盘上的任何文件进行读、写、复制、删除、改名等操作，这给学校网站的安全带来巨大的威胁。现在很多校园主机都遭受过FSO木马的侵扰。但是禁用FSO组件后，引起的后果就是所有利用这个组件的ASP程序将无法运行，无法满足客户的需求。如何既允许FileSystemObject组件，又不影响服务器的安全性呢（即：不同虚拟主机用户之间不能使用该组件读写别人的文件）？以下是笔者多年来摸索出来的经验：
　　第一步是有别于Windows 2000设置的关键：右击C盘，点击“共享与安全”，在出现在对话框中选择“安全”选项卡，将Everyone、Users组删除，删除后如果你的网站连ASP程序都不能运行，请添加IIS_WPG组（图1），并重启计算机。
经过这样设计后，FSO木马就已经不能运行了。如果你要进行更安全级别的设置，请分别对各个磁盘分区进行如上设置，并为各个站点设置不同匿名访问用户。下面以实例来介绍（假设你的主机上E盘Abc文件夹下设Abc.com站点）：
　　1. 打开“计算机管理→本地用户和组→用户”，创建Abc用户，并设置密码，并将“用户下次登录时须更改密码”前的对号去掉，选中“用户不能更改密码”和“密码永不过期”，并把用户设置为隶属于Guests组。
　　2. 右击E:\Abc，选择“属性→安全”选项卡，此时可以看到该文件夹的默认安全设置是“Everyone”完全控制（视不同情况显示的内容不完全一样），删除Everyone的完全控制（如果不能删除，请点击[高级]按钮，将“允许父项的继承权限传播”前面的对号去掉，并删除所有），添加Administrators及Abc用户对本网站目录的所有安全权限。
　　3. 打开IIS管理器，右击Abc.com主机名，在弹出的菜单中选择“属性→目录安全性”选项卡，点击身份验证和访问控制的[编辑]，弹出图2所示对话框，匿名访问用户默认的就是“IUSR_机器名”，点击[浏览]，在“选择用户”对话框中找到前面创建的Abc账户，确定后重复输入密码。
经过这样设置，访问网站的用户就以Abc账户匿名身份访问E:\Abc文件夹的站点，因为Abc账户只对此文件夹有安全权限，所以他只能在本文件夹下使用FSO。
　　常见问题：
　　如何解除FSO上传程序小于200k限制？
　　先在服务里关闭IIS admin service服务，找到Windows＼System32＼Inesrv目录下的Metabase．xml并打开，找到ASPMaxRequestEntityAllowed，将其修改为需要的值。默认为204800，即200K，把它修改为51200000（50M），然后重启IIS admin service服务。
　
防止 ASP 木马在服务器上运行目前比较流行的ASP木马主要通过三种技术来进行对服务器的相关操作。
　　一、使用FileSystemObject组件
　　FileSystemObject可以对文件进行常规操作
　　可以通过修改注册表，将此组件改名，来防止此类木马的危害。
　　HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
　　改名为其它的名字，如：改为FileSystemObject_ChangeName
　　自己以后调用的时候使用这个就可以正常调用此组件了
　　也要将clsid值也改一下
　　HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
　　也可以将其删除，来防止此类木马的危害。
　　注销此组件命令：RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
　　禁止Guest用户使用scrrun.dll来防止调用此组件。
　　使用命令：cacls C:\WINNT\system32\scrrun.dll /e /d guests
　　二、使用WScript.Shell组件
　　WScript.Shell可以调用系统内核运行DOS基本命令
　　可以通过修改注册表，将此组件改名，来防止此类木马的危害。
　　HKEY_CLASSES_ROOT\WScript.Shell\
　　及
　　HKEY_CLASSES_ROOT\WScript.Shell.1\
　　改名为其它的名字，如：改为WScript.Shell_ChangeName或WScript.Shell.1_ChangeName
　　自己以后调用的时候使用这个就可以正常调用此组件了
　　也要将clsid值也改一下
　　HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
　　HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
　　也可以将其删除，来防止此类木马的危害。
　　三、使用Shell.Application组件
　　Shell.Application可以调用系统内核运行DOS基本命令
　　可以通过修改注册表，将此组件改名，来防止此类木马的危害。
　　HKEY_CLASSES_ROOT\Shell.Application\
　　及
　　HKEY_CLASSES_ROOT\Shell.Application.1\
　　改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
　　自己以后调用的时候使用这个就可以正常调用此组件了
　　也要将clsid值也改一下
　　HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
　　HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
　　也可以将其删除，来防止此类木马的危害。
　　禁止Guest用户使用shell32.dll来防止调用此组件。
　　使用命令：cacls C:\WINNT\system32\shell32.dll /e /d guests
　　注：操作均需要重新启动WEB服务后才会生效。
　　四、调用Cmd.exe
　　禁用Guests组用户调用cmd.exe
　　cacls C:\WINNT\system32\Cmd.exe /e /d guests
　　通过以上四步的设置基本可以防范目前比较流行的几种木马，但最有效的办法还是通过综合安全设置，将服务器、程序安全都达到一定标准，才可能将安全等级设置较高，防范更多非法入侵。



[ft=#FFFFFF,,]此