服务器安全防范大全

　　一、安装 Win 200x 安全概览

　　　1.硬盘分区的文件系统选择

　　　　①使用多分区分别管理不同内容

　　　　对提供服务的机器，可按如下设置分区:
　　　　　分区1：系统分区，安装系统和重要日志文件。
　　　　　分区2：提供给IIS使用。
　　　　　分区3：提供给FTP使用。
　　　　　分区4：放置其他一些资料文件。（以上为示例，可灵活把握）

　　　　②采用NTFS文件系统

　　　　　所有磁盘分区必须采用 NTFS 文件系统，而不要使用 FAT32！

　　　　　特别注意：一定要在系统安装时，通过安装程序将系统盘格式化为NTFS，而不要先以 FAT32 格式安装系统，然后再用 Convert 转换！因为转换后的磁盘根目录的默认权限过高！

　　　　③使用文件加密系统EFS

　　　　Windows2000 强大的加密系统能够给磁盘，文件夹，文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。记住要给文件夹也使用EFS,而不仅仅是单个的文件。 有关EFS的具体信息可以查看http://www.microsoft.com/windows2000/techinfo/howitworks/security/encrypt.asp

　　　　注意：建议加密temp文件夹！因为一些应用程序在安装和升级的时候，会把一些东西拷贝到temp文件夹，但是当程序升级完毕或关闭的时候，它们并不会自己清除temp文件夹的内容。所以，给temp文件夹加密可以给你的文件多一层保护。
　　　2.组件的定制

　　　　不要按Win 2000的默认安装组件，根据安全原则“最少的服务+最小的权限=最大的安全”，只选择确实需要的服务安装即可。

　　　　典型Web服务器需要的最小组件是：公用文件、Internet 服务管理器、WWW服务器。

　　　3.接入网络时间

　　　　在安装完成Win 2000X作系统时，不要立即把服务器接入网络，因为这时的服务器还没有打上各种补丁，存在各种漏洞，非常容易感染病毒和被入侵。

　　　　补丁的安装应该在所有应用程序安装完之后，因为补丁程序往往要替换或修改某些系统文件，如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。IIS的HotFix要求每次更改IIS的配置时都需要重新安装。

　　　4．建议只安装一种操作系统

　　　　因为安装两种以上操作系统，会给黑客以可乘之机，利用攻击使系统重启到另外一个没有安全设置的操作系统（或者他熟悉的操作系统），进而进行破坏。

　　　5.卸载无用的组件模块

　　　　将\\Winnt\\inf 下的sysoc.inf 文件中的所有hide用替换法删除；然后在控制面板的添加删除程序中就可以卸载所有不需要的组件。

　　二、基本系统设置

　　　1.安装各种补丁

　　　　安装Service Pack 和最新的hotfix；安装SQL和IIS系列补丁。

　　　　如果从本地备份中安装，则随后必须立即通过在线更新功能查验是否有遗漏的补丁没有安装。

　　　　建议启用系统自动更新功能，并设置为有更新时自动下载安装。

　　　　注意：建议记得安装最新的MDAC（http://www.microsoft.com/data/download.htm）

　　　　MDAC为数据访问部件，通常程序对数据库的访问都通过它，但它也是黑客攻击的目标，且MDAC一般不以补丁形式发放的，比较容易漏更新。为防止以前版本的漏洞可能会被带入升级后的版本，建议卸载后安装最新的版本。注意：在安装最新版本前最好先做一下测试，因为有的数据访问方式或许在新版本中不再被支持，这种情况下可以通过修改注册表来档漏洞，详见漏洞测试文档。

　　　2.分区内容规划

　　　　1）操作系统、Web主目录、日志分别安装在不同的分区。
　　　　2）关闭任何分区的自动运行特性：
　　　　　可以使用 TweakUI 等工具进行修改。以防万一有人放入Autorun程序实现恶意代码自动加载。

　　　3.协议管理

　　　　卸载不需要的协议，比如IPX/SPX, NetBIOS；在连接属性对话框的TCP)/IP属性的高级选项卡中，选择“WINS”，选定“禁用TCP/IP上的NETBIOS”。

　　　4.关闭所有以下不需要的服务

　　　　以下仅供参考，具体还要看服务器上运行的应用来确定！要特别注意各服务之间的储存关系，个性为当可能导致某些功能的异常，甚至服务器不能工作！建议每次只个性两三个项目，重启测试无误后再设置其他项目：

　　　　* Alerter (disable)
　　　　* ClipBook Server (disable)
　　　　* Computer Browser (disable)
　　　　* DHCP Client (disable)
　　　　* Directory Replicator (disable)
　　　　* FTP publishing service (disable)
　　　　* License Logging Service (disable)
　　　　* Messenger (disable)
　　　　* Netlogon (disable)
　　　　* Network DDE (disable)
　　　　* Network DDE DSDM (disable)
　　　　* Network Monitor (disable)
　　　　**** Plug and Play (disable after all hardware configuration)****
　　　　* Remote Access Server (disable)
　　　　* Remote Procedure Call (RPC) locater (disable)
　　　　* Schedule (disable)
　　　　* Server (disable)
　　　　* Simple Services (disable)
　　　　* Spooler (disable)
　　　　* TCP/IP Netbios Helper (disable)
　　　　* ***Telephone Service (disable)****

　　　　在必要时禁止如下服务：

　　　　* SNMP service (optional)
　　　　* SNMP trap (optional)
　　　　* UPS (optional

　　　　设置如下服务为自动启动：

　　　　* Eventlog ( required )
　　　　* NT LM Security Provider (required)
　　　　* RPC service (required)
　　　　* WWW (required)
　　　　* Workstation (leave service on: will be disabled later in the document．
　　　　* MSDTC (required)
　　　　* Protected Storage (required)

　　　5.删除 OS/2 和 POSIX 子系统:

　　　　删除如下目录的任何键：

　　　　HKEY_LOCAL_MACHINE\\SOFTWARE \\Microsoft\\OS/2 Subsystem for NT

　　　　删除如下的键：

　　　　HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Session Manager\\Environment\\Os2LibPath

　　　　删除如下的键：

　　　　HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Session Manager\\SubSystems\\Optional
　　　　HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Session Manager\\SubSystems\\Posix
　　　　HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Session Manager\\SubSystems\\Os2

　　　　删除如下目录：c:\\winnt\\system32\\os2 但会出现文件保护的提示，建议不删除，修改注册表就可以了

　　　6.帐号和密码策略

　　　　http://www.microsoft.com/china/technet/security/topics/serversecurity/administratoraccounts/aapgch04.mspx

　　　　1. 所有帐号权限需严格控制，轻易不要给帐号以特殊权限；将Administrator重命名，改为一个不易猜的名字。其他一般帐号也应尊循这一原则（说明：这样可以为黑客攻击增加一层障碍）。

　　　　2.除Administrator外，有必要再增加一个属于管理员组的帐号（说明：两个管理员组的帐号，一方面防止管理员一旦忘记一个帐号的口令还有一个备用帐号；另方面，一旦黑客攻破一个帐号并更改口令，我们还有有机会重新在短期内取得控制权）。

　　　　3.将Guest帐号禁用，并将它从Guest组删掉（说明：有的黑客工具正是利用了guest 的弱点，可以将帐号从一般用户提升到管理员组）。

　　　　4.给所有用户帐号一个复杂的口令，长度最少在8位以上， 且必须同时包含字母、数字、特殊字符。同时不要使用大家熟悉的单词（如microsoft）、熟悉的键盘顺序（如qwert）、熟悉的数字（如2000）等(说明：口令是黑客攻击的重点，口令一旦被突破也就无任何系统安全可言了)。

　　　　5.口令必须定期更改（建议至少两周该一次），且最好记在心里，除此以外不要在任何地方做记录；另外，如果在日志审核中发现某个帐号被连续尝试，则必须立刻更改此帐号（包括用户名和口令）(说明：在帐号属性中设立锁定次数，比如改帐号失败登录次数超过5次即锁定改帐号。这样可以防止某些大规模的登录尝试，同时也使管理员对该帐号提高警惕)。

　　　　6.账户安全管理

　　　　通过本地安全策略中的账户策略：

　　　　　1）密码唯一性：记录上次的 6 个密码
　　　　 2） 最短密码期限：2
　　　　　3） 密码最长期限：42
　　　　　4） 最短密码长度：8
　　　　　5） 密码复杂化(passfilt.dll)：启用
　　　　　6） 用户必须登录方能更改密码：启用
　　　　　7） 帐号失败登录锁定的门限：6
　　　　　8）锁定后重新启用的时间间隔：720分钟

　　　　7. 本地安全策略：

　　　　　设置“本地安全策略→本地策略→选项”中的RestrictAnonymous（匿名连接的额外限制）为“不容许枚举SAM账号和共享”。

　　　　　在安全选项中，不显示上次登录用户名、重命名管理员账号名称（某些情况下可能导致个别程序运行异常！）；在用户权力指派中，限制更改系统时间、关闭系统的权力仅管理员。

　　　7.设置文件和目录权限

　　　　将C:\\winnt, C:\\winnt\\config, C:\\winnt\\system32, C:\\winnt\\system等目录的访问权限做限制，限制everyone的写权限，限制users组的读写权限；

　　　　将各分区的根目录的everyone从权限列表中删除!然后分别添加Administrators、PowerUsers、Users、IUSR_***以不同的权限。不要给Guests任何权限。

　　　　运行Sfc /enable 启动文件保护机制。

　　　8.注册表一些条目的修改

　　　　1）去除logon对话框中的shutdown按钮

　　　　HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\ 中 ShutdownWithoutLogon REG_SZ 值设为0

　　　　2）去除logon信息的cashing功能 \ / 什么是cashing功能？？

　　　　将HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\Current Version\\Winlogon\\ 中 CachedLogonsCount REG_SZ 值设为0

　　　　3）隐藏上次登陆的用户名

　　　　将HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\Current Version\\Winlogon\\ 中 DontDisplayLastUserName REG_SZ 值设为1

　　　　4）限制LSA匿名访问 \ /

　　　　将HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\LSA 中 RestricAnonymous REG_DWORD 值设为1

　　　　5）去除所有网络共享

　　　　将HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanManServer\\Parameters\\ 中 AutoShareServer REG_DWORD 值设为0, 再创建一个AutoShareWks双字节值，设置为0（注意大小写）。

　　　　6）禁止建立空连接 \ /

　　　　默认情况下，任何用户可通过空连接连上服务器，枚举账号并猜测密码。可以通过以下两种方法禁止建立空连接。

　　　　Local_Machine\\System\\CurrentControlSet\\Control\\LSA\\RestrictAnonymous 的值改成1

　　　　7）修改终端服务的默认端口 \ /

　　　　终端服务的默认端口为3389，可考虑修改为别的端口。修改方法为：

　　　　打开注册表，在“HKLM\\SYSTEM\\Current ControlSet\\Control\\Terminal Server\\Win Stations”处, 找到类似RDP-TCP的子键，修改PortNumber值。

　　　9.启用TCP/IP过滤

　　　　只允许TCP端口80和443（如果使用SSL）以及其他可能要用的端口；

　　　　不允许UDP端口；

　　　　只允许IP Protocol 6 (TCP)。

　　　　web服务器就可以，其他如域服务器不行，该规范主要针对WEB服务器。

　　　10.移动部分重要文件并加访问控制

　　　　创建一个只有系统管理员能够访问的目录，将system32目录下的一些重要文件移动到此目录（注意同时处理System32\\Dllcache目录中的同名文件！）。但有时会因系统文件保护功能被启用而无法实现顺利删除。

　　　　变通办法是选中这些文件，然后禁止任何人访问。

　　　　为稳妥起见，应当事先将这些文件存放到其他比较安全的位置供管理员自己使用。

　　　　xcopy.exe, wscript.exe, cscript.exe, net.exe, ftp.exe, telnet.exe,arp.exe,

　　　　edlin.exe,ping.exe,route.exe,at.exe,finger.exe,posix.exe,rsh.exe,atsvc.exe,

　　　　qbasic.exe,runonce.exe,syskey.exe,cacls.exe, ipconfig.exe, rcp.exe,

　　　　secfixup.exe, nbtstat.exe, rdisk.exe, debug.exe, regedt32.exe, regedit.exe,

　　　　edit.com, netstat.exe, tracert.exe, nslookup.exe, rexec.exe, cmd.exe

　　　11.下载Hisecweb.inf安全模板来配置系统

　　　　Http://download.microsoft.com/downl...US/hisecweb.exe

　　　　该模板配置基本的 Windows 2000 系统安全策略。

　　　　将该模板复制到 %windir%\\security\\templates 目录。

　　　　打开“安全模板”工具，查看这些设置。打开“安全配置和分析”工具，然后装载该模板。右键单击“安全配置和分析”工具，然后从上下文菜单中选择“立即分析计算机”。等候操作完成。查看结果，如有必要就更新该模板。右键单击“安全配置和分析”工具，然后从上下文菜单中选择“立即配置计算机”。

　　　12. 服务器上其他工具程序的替代

　　　　浏览器建议使用FireFox，以免最新的针对IE的漏洞造成的危害。平时尽量不在服务器上上网。

　　　13.设置陷阱脚本

　　　　既要防范被人启用Telnet服务，又要考虑万一被入侵后的对策。

　　　　除Telnet服务外，对System32目录下的Telsrv.exe等文件设置访问权限；关闭相关服务；然后再编辑System32\\login.cmd文件，在其中添加脚本，目的是导致对方登录后出现异常，无法正常连接和工作。脚本的内容可以自由发挥，以阻断对方操作为准。

　　　14.取消部分危险文件扩展名

　　　　如reg VBS VBE JS等。

　　　15.关闭445端口 ？？？

　　　　445端口惹出了不少问题 关闭方法 修改注册表，添加一个键值

　　　　Hive: HKEY_LOCAL_MACHINE
　　　　Key: System\\CurrentControlSet\\Services\\NetBT\\Parameters
　　　　Name: SMBDeviceEnabled
　　　　Type: REG_DWORD
　　　　value: 0

　　　　修改完后重启机器，运行“netstat -an”，445端口已经不再Listening了。

　　　16.关闭 DirectDraw 、/

　　　　这是C2级安全标准对视频卡和内存的要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响（比如游戏，在服务器上玩星际争霸？我晕..$%$^%^&??），但是对于绝大多数的商业站点都应该是没有影响的。 修改注册表 HKLM\\SYSTEM\\CurrentControlSet\\Control\\GraphicsDrivers\\DCI 的Timeout(REG_DWORD)为 0 即可。

　　　17.禁止dump file的产生和自动清除掉页面文件 、/

　　　　dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料(不然我就照字面意思翻译成垃圾文件了)。然而，它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。要禁止它，打开 控制面板>系统属性>高级>启动和故障恢复 把 写入调试信息 改成无。要用的时候，可以再重新打开它。

　　　　关机时清除掉页面文件：

　　　　页面文件也就是调度文件，是win2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中，页面文件中也可能含有另外一些敏感的资料。 要在关机的时候清楚页面文件，可以编辑注册表

　　　　HKLM\\SYSTEM\\CurrentControlSet\\Control\\Session Manager\\Memory Management 把ClearPageFileAtShutdown的值设置成1。

　　　18.禁止从软盘和CD Rom启动系统

　　　　一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高，可以考虑使用可移动软盘和光驱。把机箱锁起来仍不失为一个好方法。

　　　19.锁住注册表的访问权限

　　　　在windows2000中，只有administrators和Backup Operators才有从网络上访问注册表的权限。如果你觉得还不够的话，可以进一步设定注册表访问权限，详细信息请参考：

　　　　http://support.microsoft.com/support/kb/articles/Q153/1/83.asp

　　　20.考虑使用IPSec增强IP数据包的安全性

　　　　正如其名字的含义，IPSec 提供 IP 数据包的安全性。IPSec 提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据，而接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的安全性能大大增强。有关IPSes的详细信息可以参考： http://www.microsoft.com/china/technet/security/ipsecloc.asp

　　　21.考虑使用智能卡来代替密码

　　　　对于密码，总是使安全管理员进退两难，容易受到 10phtcrack 等工具的攻击，如果密码太复杂，用户把为了记住密码，会把密码到处乱写。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。

　　　22.将服务器隐藏起来

　　　　为了防止黑客或其他非法攻击者轻易搜索到局域网服务器的名字，你可以巧妙使用“net config”命令，将服务器的名称暂时隐藏起来。如此一来局域网中的非法用户，即使通过网上邻居窗口，也无法找到服务器的“身影”了，服务器遭受外来攻击的危险性将会大大下降。

　　　　要用命令隐藏服务器的名称时，可以直接在DOS命令行中输入“net config server /hidden:yes”（其中server是服务器的计算机名称），回车后，服务器的计算机名称就会从网上邻居窗口中自动消失，这样黑客就无法知道服务器的名称是什么了，更不要谈如何去攻击它了。

　　windows 2003中提高FSO的安全性

　　ASP提供了强大的文件系统访问能力，可以对服务器硬盘上的任何文件进行读、写、复制、删除、改名等操作，这给学校网站的安全带来巨大的威胁。现在很多校园主机都遭受过FSO木马的侵扰。但是禁用FSO组件后，引起的后果就是所有利用这个组件的ASP程序将无法运行，无法满足客户的需求。如何既允许FileSystemObject组件，又不影响服务器的安全性呢（即：不同虚拟主机用户之间不能使用该组件读写别人的文件）？以下是笔者多年来摸索出来的经验：

　　第一步是有别于Windows 2000设置的关键：右击C盘，点击“共享与安全”，在出现在对话框中选择“安全”选项卡，将Everyone、Users组删除，删除后如果你的网站连ASP程序都不能运行，请添加IIS_WPG组（图1），并重启计算机。

　　经过这样设计后，FSO木马就已经不能运行了。如果你要进行更安全级别的设置，请分别对各个磁盘分区进行如上设置，并为各个站点设置不同匿名访问用户。下面以实例来介绍（假设你的主机上E盘Abc文件夹下设Abc.com站点）：

　　1. 打开“计算机管理→本地用户和组→用户”，创建Abc用户，并设置密码，并将“用户下次登录时须更改密码”前的对号去掉，选中“用户不能更改密码”和“密码永不过期”，并把用户设置为隶属于Guests组。

　　2. 右击E:\\Abc，选择“属性→安全”选项卡，此时可以看到该文件夹的默认安全设置是“Everyone”完全控制（视不同情况显示的内容不完全一样），删除Everyone的完全控制（如果不能删除，请点击[高级]按钮，将“允许父项的继承权限传播”前面的对号去掉，并删除所有），添加Administrators及Abc用户对本网站目录的所有安全权限。

　　3. 打开IIS管理器，右击Abc.com主机名，在弹出的菜单中选择“属性→目录安全性”选项卡，点击身份验证和访问控制的[编辑]，弹出图2所示对话框，匿名访问用户默认的就是“IUSR_机器名”，点击[浏览]，在“选择用户”对话框中找到前面创建的Abc账户，确定后重复输入密码。

　　经过这样设置，访问网站的用户就以Abc账户匿名身份访问E:\\Abc文件夹的站点，因为Abc账户只对此文件夹有安全权限，所以他只能在本文件夹下使用FSO。

　　常见问题：

　　如何解除FSO上传程序小于200k限制？

　　先在服务里关闭IIS admin service服务，找到Windows＼System32＼Inesrv目录下的Metabase．xml并打开，找到ASPMaxRequestEntityAllowed，将其修改为需要的值。默认为204800，即200K，把它修改为51200000（50M），然后重启IIS admin service服务。

　　ASP提供了强大的文件系统访问能力，可以对服务器硬盘上的任何文件进行读、写、复制、删除、改名等操作，这给学校网站的安全带来巨大的威胁。现在很多校园主机都遭受过FSO木马的侵扰。但是禁用FSO组件后，引起的后果就是所有利用这个组件的ASP程序将无法运行，无法满足客户的需求。如何既允许FileSystemObject组件，又不影响服务器的安全性呢（即：不同虚拟主机用户之间不能使用该组件读写别人的文件）？以下是笔者多年来摸索出来的经验：

　　第一步是有别于Windows 2000设置的关键：右击C盘，点击“共享与安全”，在出现在对话框中选择“安全”选项卡，将Everyone、Users组删除，删除后如果你的网站连ASP程序都不能运行，请添加IIS_WPG组（图1），并重启计算机。

　　经过这样设计后，FSO木马就已经不能运行了。如果你要进行更安全级别的设置，请分别对各个磁盘分区进行如上设置，并为各个站点设置不同匿名访问用户。下面以实例来介绍（假设你的主机上E盘Abc文件夹下设Abc.com站点）：

　　1. 打开“计算机管理→本地用户和组→用户”，创建Abc用户，并设置密码，并将“用户下次登录时须更改密码”前的对号去掉，选中“用户不能更改密码”和“密码永不过期”，并把用户设置为隶属于Guests组。

　　2. 右击E:\\Abc，选择“属性→安全”选项卡，此时可以看到该文件夹的默认安全设置是“Everyone”完全控制（视不同情况显示的内容不完全一样），删除Everyone的完全控制（如果不能删除，请点击[高级]按钮，将“允许父项的继承权限传播”前面的对号去掉，并删除所有），添加Administrators及Abc用户对本网站目录的所有安全权限。

　　3. 打开IIS管理器，右击Abc.com主机名，在弹出的菜单中选择“属性→目录安全性”选项卡，点击身份验证和访问控制的[编辑]，弹出图2所示对话框，匿名访问用户默认的就是“IUSR_机器名”，点击[浏览]，在“选择用户”对话框中找到前面创建的Abc账户，确定后重复输入密码。

　　经过这样设置，访问网站的用户就以Abc账户匿名身份访问E:\\Abc文件夹的站点，因为Abc账户只对此文件夹有安全权限，所以他只能在本文件夹下使用FSO。

　　常见问题：

　　如何解除FSO上传程序小于200k限制？

　　先在服务里关闭IIS admin service服务，找到Windows＼System32＼Inesrv目录下的Metabase．xml并打开，找到ASPMaxRequestEntityAllowed，将其修改为需要的值。默认为204800，即200K，把它修改为51200000（50M），然后重启IIS admin service服务。
　
　　三、IIS 安全设置

　　　1.关闭并删除默认站点

　　　　默认FTP站点

　　　　默认Web站点

　　　　管理Web站点

　　　2.建立自己的站点，与系统不在一个分区

　　　　如：D:\\wwwroot3．建立 E:\\Logfiles 目录，以后建立站点时的日志文件均位于此目录，确保此目录上的访问控制权限是： Administrators（完全控制）System（完全控制）

　　　3.删除IIS的部分目录 ？？？

　　　　IISHelp C:\\winnt\\help\\iishelp

　　　　IISAdmin C:\\system32\\inetsrv\\iisadmin

　　　　MSADC C:\\Program Files\\Common Files\\System\\msadc\\

　　　　删除 C:\\\\inetpub

　　　4.删除不必要的IIS映射和扩展 、IIS 被预先配置为支持常用的文件名扩展如 .asp 和 .shtm 文件。IIS 接收到这些类型的文件请求时，该调用由 DLL 处理。如果您不使用其中的某些扩展或功能，则应删除该映射，步骤如下：

　　　　打开 Internet 服务管理器：

　　　　选择WEB网站，点鼠标右键，选择属性：然后选择编辑，然后选择主目录， 点击配置

　　　　选择扩展名 \\".htw\\", \\".htr\\",\\".idc\\",\\".ida\\",\\".idq\\"和，点击删除

　　　　如果不使用server side include，则删除\\".shtm\\" \\".stm\\" 和 \\".shtml\\"

　　　5.禁用父路径 （有可能导致某些使用相对路径的子页面不能打开）

　　　　“父路径”选项允许您在对诸如 MapPath 函数调用中使用“..”。在默认情况下，该选项处于启用状态，应该禁用它。

　　　　禁用该选项的步骤如下：

　　　　右键单击该 Web 站点的根，然后从上下文菜单中选择“属性”。

　　　　单击“主目录”选项卡。单击“配置”。单击“应用程序选项”选项卡。取消选择“启用父路径”复选框。

　　　6.在虚拟目录上设置访问控制权限

　　　　在iis里把所有的目录,不包括asp等文件的目录 ,比如img,image,pic,upload等等这些目录,里面一般是没有asp文件的目录的执行许可设置为无,这样就算你用的程序被发现了新的漏洞,传了马上来了,它也执行不了,不过要看仔细了,有些目录里也是有asp,asa文件的!

　　　　主页使用的文件按照文件类型应使用不同的访问控制列表：

　　　　CGI (.exe, .dll, .cmd, .pl)
　　　　Everyone (X)
　　　　Administrators（完全控制）
　　　　System（完全控制）
　　　　脚本文件 (.asp)
　　　　Everyone (X)
　　　　Administrators（完全控制）
　　　　System（完全控制）
　　　　include文件 (.inc, .shtm, .shtml)
　　　　Everyone (X)
　　　　Administrators（完全控制）
　　　　System（完全控制）
　　　　静态内容 (.txt, .gif, .jpg, .html)
　　　　Everyone (R)
　　　　Administrators（完全控制）
　　　　System（完全控制）

　　　　在创建Web站点时，没有必要在每个文件上设置访问控制权限，应该为每个文件类型创建一个新目录，然后在每个目录上设置访问控制权限、允许访问控制权限传给各个文件。

　　　　例如，目录结构可为以下形式：

　　　　D:\\wwwroot\\myserver\\static (.html)
　　　　D:\\wwwroot\\myserver\\include (.inc)
　　　　D:\\wwwroot\\myserver \\script (.asp)
　　　　D:\\wwwroot\\myserver \\executable (.dll)
　　　　D:\\wwwroot\\myserver \\images (.gif, .jpeg)

　　　7.启用日志记录

　　　　1）日志的审核配置

　　　　确定服务器是否被攻击时，日志记录是极其重要的。

　　　　应使用 W3C 扩展日志记录格式，步骤如下：

　　　　打开 Internet 服务管理器：右键单击站点，然后从上下文菜单中选择“属性”。单击“Web 站点”选项卡。选中“启用日志记录”复选框。从“活动日志格式”下拉列表中选择“W3C 扩展日志文件格式”。单击“属性”。单击“扩展属性”选项卡，然后设置以下属性：

　　　　* 客户 IP 地址
　　　　* 用户名
　　　　* 方法
　　　　* URI 资源
　　　　* HTTP 状态
　　　　* Win32 状态
　　　　* 用户代理
　　　　* 服务器 IP 地址
　　　　* 服务器端口

　　　　2）日志的安全管理

　　　　1、启用操作系统组策略中的审核功能，对关键事件进行审核记录；

　　　　2、启用IIS、FTP服务器等服务本身的日志功能；并对所有日志存放的默认位置进行更改同时作好文件夹权限设置！

　　　　3、安装Portreport对所有网络访问操作进行监视（可选，可能增大服务器负荷）；

　　　　4、安装自动备份工具，定时对上述日志进行异地备份，起码是在其他分区的隐蔽位置进行备份，并对备份目录设置好权限（仅管理员可访问）。

　　　　5、准备一款日志分析工具，以便随时可用。

　　　　6、要特别关注任何服务的重启、访问敏感的扩展存储过程等事件。

　　　8.备份IIS配置

　　　　可使用IIS的备份功能，将设定好的IIS配置全部备份下来，这样就可以随时恢复

　　　9.修改IIS标志

　　　　1）使用工具程序修改IIS标志

　　　　修改IIS标志Banner的方法：

　　　　下载一个修改IIS Banner显示信息的软件——IIS/PWS Banner Edit。利用它我们可以很轻松地修改IIS的Banner。但要注意在修改之前我们首先要将IIS停止（最好是在服务中将World Wide Web Publishing停止）,并要将DLLcache下的文件全部清除。否则你会发现即使修改了一点改变也没有。

　　　　IIS/PWS Banner Edit其实是个傻瓜级的软件，我们只要直接在New Banner中输入想要的Banner信息，再点击Save to file就修改成功了。用IIS/PWS Banner Edit简单地修改，对菜鸟黑客来说他可能已被假的信息迷惑了，可是对一些高手来说这并没有给他们造成什么麻烦。为此我们必须亲自修改IIS的Banner信息，这样才能做到万无一失。

　　　　高版本Windows的文件路径为 C:\\WINDOWS\\system32\\inetsrv\\w3svc.dll,可以直接用Ultraedit打开W3SVC.DLL，然后以“Server：”为关键字查找。利用编辑器将原来的内容替换成我们想要的信息，比如改成Apache的显示信息，这样入侵者就无法判断我们的主机类型，也就无从选择溢出工具了。

　　　　2）修改IIS的默认出错提示信息等。

　　　10.重定义错误信息

　　　　很多文章讲了怎样防止数据库不被下载都不错的,只要记住一点 .不要改成asp就可以了,不然给你放一个一句话木马让你死的很难看,再着在IIS中将HTTP404.500等 Object Not Found出错页面通过URL重定向到一个定制HTM文件,这样大多数的暴库得到的都是你设置好的文件,自然就掩饰了数据库的地址还能防止一些菜鸟sql注射。

　　　　对于服务器管理员，既然你不可能挨个检查每个网站是否存在SQL注入漏洞，那么就来个一个绝招。这个绝招能有效防止SQL注入入侵而且"省心又省力，效果真好！"SQL注入入侵是根据IIS给出的ASP错误提示信息来入侵的，如果你把IIS设置成不管出什么样的ASP错误，只给出一种错误提示信息，即http 500错误，那么人家就没办法入侵了。具体设置请参看图2。主要把500:100这个错误的默认提示页面 C:\\WINDOWS\\Help\\iisHelp\\common\\500-100.asp改成

　　　　C:\\WINDOWS\\Help\\iisHelp\\common\\500.htm即可，这时，无论ASP运行中出什么错，服务器都只提示HTTP　500错误。

　　　　还可更改C:\\WINDOWS\\Help\\iisHelp\\common\\404b.htm内容改为这样，出错了自动转到首页。

　　Win 2003中提高FSO的安全性

　　ASP提供了强大的文件系统访问能力，可以对服务器硬盘上的任何文件进行读、写、复制、删除、改名等操作，这给学校网站的安全带来巨大的威胁。现在很多校园主机都遭受过FSO木马的侵扰。但是禁用FSO组件后，引起的后果就是所有利用这个组件的ASP程序将无法运行，无法满足客户的需求。如何既允许FileSystemObject组件，又不影响服务器的安全性呢（即：不同虚拟主机用户之间不能使用该组件读写别人的文件）？以下是笔者多年来摸索出来的经验：

　　第一步是有别于Windows 2000设置的关键：右击C盘，点击“共享与安全”，在出现在对话框中选择“安全”选项卡，将Everyone、Users组删除，删除后如果你的网站连ASP程序都不能运行，请添加IIS_WPG组（图1），并重启计算机。

　　经过这样设计后，FSO木马就已经不能运行了。如果你要进行更安全级别的设置，请分别对各个磁盘分区进行如上设置，并为各个站点设置不同匿名访问用户。下面以实例来介绍（假设你的主机上E盘Abc文件夹下设Abc.com站点）：

　　1. 打开“计算机管理→本地用户和组→用户”，创建Abc用户，并设置密码，并将“用户下次登录时须更改密码”前的对号去掉，选中“用户不能更改密码”和“密码永不过期”，并把用户设置为隶属于Guests组。

　　2. 右击E:\\Abc，选择“属性→安全”选项卡，此时可以看到该文件夹的默认安全设置是“Everyone”完全控制（视不同情况显示的内容不完全一样），删除Everyone的完全控制（如果不能删除，请点击[高级]按钮，将“允许父项的继承权限传播”前面的对号去掉，并删除所有），添加Administrators及Abc用户对本网站目录的所有安全权限。

　　3. 打开IIS管理器，右击Abc.com主机名，在弹出的菜单中选择“属性→目录安全性”选项卡，点击身份验证和访问控制的[编辑]，弹出图2所示对话框，匿名访问用户默认的就是“IUSR_机器名”，点击[浏览]，在“选择用户”对话框中找到前面创建的Abc账户，确定后重复输入密码。

　　经过这样设置，访问网站的用户就以Abc账户匿名身份访问E:\\Abc文件夹的站点，因为Abc账户只对此文件夹有安全权限，所以他只能在本文件夹下使用FSO。