在Windows Server 2003中對于IIS的安全設(shè)置具有十分重要的意義，所以掌握IIS安全設(shè)置的六大技巧是一個網(wǎng)管員必備的基本技能。

　　下面就是對IIS的安全設(shè)置的六大技巧：

　　技巧1、安裝系統(tǒng)補(bǔ)丁安裝好操作系統(tǒng)之后，最好能在托管之前就完成補(bǔ)丁的安裝，配置好網(wǎng)絡(luò)后，如果是2000則確定安裝上了SP4，如果是Windows Server 2003 系統(tǒng)，則最好安裝上SP1，然后點擊開始→Windows Update，安裝所有的關(guān)鍵更新。

　　技巧2、設(shè)置端口保護(hù)和防火墻Windows Server 2003 系統(tǒng)的端口屏蔽可以通過自身防火墻來解決，這樣比較好，比篩選更有靈活性，桌面—>網(wǎng)上鄰居—>(右鍵)屬性—>本地連接—>(右鍵)屬性—>高級—>(選中)Internet 連接防火墻—>設(shè)置，把服務(wù)器上面要用到的服務(wù)端口選中 即可。例如：一臺WEB服務(wù)器，要提供WEB(80)、FTP(21)服務(wù)及遠(yuǎn)程桌面管理(3389)在“FTP 服務(wù)器”、“WEB服務(wù)器(HTTP)”、“遠(yuǎn)程桌面”前面打上對號如果你要提供服務(wù)的端口不在里面，你也可以點擊“添加”銨鈕來添加，具體參數(shù)可以參照系統(tǒng)里面原有的參數(shù)。然后點擊確定。注意：如果是遠(yuǎn)程管理這臺服務(wù)器，請先確定遠(yuǎn)程管理的端口是否選中或添加。

　　技巧3、合理的權(quán)限設(shè)置 需要重點設(shè)置如下三種權(quán)限：WINDOWS用戶，在WINNT系統(tǒng)中大多數(shù)時候把權(quán)限按用戶(組)來劃分。在【開始→程序→管理工具→計算機(jī)管理→本地用戶和組】管理系統(tǒng)用戶和用戶組。NTFS權(quán)限設(shè)置，請記住分區(qū)的時候把所有的硬盤都分為NTFS分區(qū)，然后我們可以確定每個分區(qū)對每個用戶開放的權(quán)限�！疚募�(夾)上右鍵→屬性→安全】在這里管理NTFS文件(夾)權(quán)限。IIS匿名用戶，每個IIS站點或者虛擬目錄，都可以設(shè)置一個匿名訪問用戶(現(xiàn)在暫且把它叫“IIS匿名用戶”)，當(dāng)用戶訪問你的網(wǎng)站的.ASP文件的時候，這個.ASP文件所具有的權(quán)限，就是這個“IIS匿名用戶”所具有的權(quán)限。設(shè)置好上述用戶和文件系統(tǒng)權(quán)限后，還要記住設(shè)置如下的磁盤權(quán)限，設(shè)置原則如下：系統(tǒng)盤及所有磁盤只給 Administrators 組和 SYSTEM 的完全控制權(quán)限系統(tǒng)盤\Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限系統(tǒng)盤\Documents and Settings\All Users 目錄只給 Administrators 組和SYSTEM 的完全控制權(quán)限系統(tǒng)盤\Inetpub 目錄及下面所有目錄、文件只給 Administrators 組和 SYSTEM 的完全控制權(quán)限系統(tǒng)盤\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 文件只給 Administrators 組和 SYSTEM 的完全控制權(quán)限。

　　技巧4、禁用不必要的服務(wù)操作路徑為：開始菜單—>管理工具—>服務(wù)Print Spooler Remote Registry TCP/IP NetBIOS Helper Server以上是在Windows Server 2003 系統(tǒng)上面默認(rèn)啟動的服務(wù)中禁用的，默認(rèn)禁用的服務(wù)如沒特別需要的話不要啟動。

　　技巧5、卸載不安全的組件最簡單的辦法是直接卸載后刪除相應(yīng)的程序文件。將下面的代碼保存為一個.BAT文件，( 以下均以WIN2000 為例，如果使用Windows Server 2003 系統(tǒng)，則系統(tǒng)文件夾應(yīng)該是 C:\WINDOWS\ )

　　regsvr32/u C:\WINNT\System32\wshom.ocx del C:\WINNT\System32\wshom.ocx regsvr32/u C:\WINNT\system32\shell32.dll del C:\WINNT\system32\shell32.dll然后運行一下，WScript.Shell, Shell.application, WScript.Network就會被卸載了�？赡軙�提示無法刪除文件，不用管它，重啟一下服務(wù)器即可。

　　技巧6、IIS服務(wù)器安全的防護(hù)原則一般情況下，黑客總是瞄準(zhǔn)論壇等程序，因為這些程序都有上傳功能，他們很容易的就可以上傳ASP木馬，即使設(shè)置了權(quán)限，木馬也可以控制當(dāng)前站點的所有文件了。另外，有了木馬就然后用木馬上傳提升工具來獲得更高的權(quán)限，我們關(guān)閉shell組件的目的很大程度上就是為了防止攻擊者運行提升工具。如果論壇管理員關(guān)閉了上傳功能，則黑客會想辦法獲得超管密碼，比如，如果你用動網(wǎng)論壇并且數(shù)據(jù)庫忘記了改名，人家就可以直接下載你的數(shù)據(jù)庫了，然后距離找到論壇管理員密碼就不遠(yuǎn)了。作為管理員，我們首先要檢查我們的ASP程序，做好必要的設(shè)置，防止網(wǎng)站被黑客進(jìn)入。另外就是防止攻擊者使用一個被黑的網(wǎng)站來控制整個服務(wù)器，因為如果你的服務(wù)器上還為朋友開了站點，你可能無法確定你的朋友會把他上傳的論壇做好安全設(shè)置。這就用到了前面所說的那一大堆東西，做了那些權(quán)限設(shè)置和防提升之后，黑客就算是進(jìn)入了一個站點，也無法破壞這個網(wǎng)站以外的東西。

本文鏈接：http://m.51huadong.com/cloundnews/11000814.html