IIS网站服务器的安全配置技巧

（一）操作系统的安装

   格式化硬盘时候，必须格式化为NTFS的，绝对不要使用FAT32类型。系统安装过程中一定本着最小服务原则，无用的服务一概不选择，达到系统的最小安装，在安装IIS的过程中，只安装最基本必要的功能，那些不必要的危险服务千万不要安装，

 C盘为操作系统盘，D盘放常用软件，E盘网站，格式化完成后立刻设置磁盘权限，C盘默认，D盘的安全设置为Administrator和System完全控制，其他用户删除，E盘放网站，如果只有一个网站，就设置Administrator和System完全控制，Everyone读取，如果网站上某段代码必须完成写操作，这时再单独对那个文件所在的文件夹权限进行更改。

（二）进行安全配置

1.打开IIS信息服务管理器，在“网站”选项下选择需要设置的网站目录--属性，将网站目录data数据库文件及upload更新文件设置为不可写入,执行权限设置为无。

 2.将IIS网站主目录中的"脚本资源访问"、"写入"、"目录浏览"以及记录访问等选项设置勾选去除，右键网站目录---属性进入界面。

 3.将网站所有目录文件的"执行权限"设置为纯脚本（除data及upload文件外）。

 4.网络安全最基本的是端口设置，在“本地连接属性”，点“Internet协议（TCP/IP）”，点“高级”，再点“选项”-“TCP/IP筛选”。仅打开网站服务所需要使用的端口，配置界面如下图

 进行如下设置后，从你的服务器将不能使用域名解析，因此上网，但是外部的访问是正常的。这个设置主要为了防止一般规模的DDOS攻击。

（三）（一）ASP木马的预防

 在IIS系统上，大部分木马都是ASP写的，因此，ASP组件的安全是非常重要的。

ASP木马实际上大部分通过调用Shell.Application、WScript.Shell、WScript.Network、FSO、Adodb.Stream组件来实现其功能，除了FSO之外，其他的大多可以直接禁用。

WScript.Shell组件使用这个命令删除：regsvr32 WSHom.ocx /u

 WScript.Network组件使用这个命令删除：regsvr32 wshom.ocx /u

 Shell.Application可以使用禁止Guest用户使用shell32.dll来防止调用此组件。使用命令：cacls C：\WINNT\system32\shell32.dll /e /d guests

 禁止guests用户执行cmd.exe的命令是： cacls C：\WINNT\system32\Cmd.exe /e /d guests

 FSO组件的禁用比较麻烦，如果网站本身不需要用这个组件，那么就通过RegSrv32 scrrun.dll /u命令来禁用吧。