這篇文章提供給大家，教你如何保護(hù)好你的IIS Web服務(wù)器，下面提供了十個(gè)步驟給大家參考，希望跟各位一起分享學(xué)習(xí)。

IIS（Internet Information Services，Internet 信息服務(wù)）是黑客們喜歡攻擊的對(duì)象。因此，對(duì)那些管理 IIS Web 服務(wù)器的來說，鎖定IIS是非常關(guān)鍵的。IIS 4.0 和IIS 5.0 的默認(rèn)設(shè)置存在很多漏洞。

通過下面 10 步來保護(hù) IIS：

1、為IIS 應(yīng)用程序和數(shù)據(jù)專門安裝一個(gè)NTFS 設(shè)備。如果有可能，不要允許IUSER（或其它任何匿名用戶名）去訪問任何其它設(shè)備。如果應(yīng)用程序因?yàn)槟涿�用戶無法訪問其它設(shè)備上的程序而出了問題，馬上使用Sysinternals 的FileMon檢測出哪個(gè)文件無法訪問，并吧這個(gè)程序轉(zhuǎn)移到IIS 設(shè)備上。如果無法做到這些，就允許IUSER 訪問且只能訪問這個(gè)文件。

2、在設(shè)備上設(shè)置NTFS 權(quán)限：

Developers = Full（所有權(quán)限）

IUSER = Read and execute only（讀和執(zhí)行權(quán)限）

System and admin = Full（所有權(quán)限）

3、使用一個(gè)軟件防火墻，確認(rèn)沒有終端用戶能夠訪問 IIS 計(jì)算機(jī)上的除了 80 端口之外的其它端口。

4、使用Microsoft 工具鎖定計(jì)算機(jī)：IIS Lockdown和UrlScan.

5、啟用IIS 事件日志。除了使用IIS

事件日志之外，如果有可能的話，盡量也對(duì)防火墻啟用事件日志。

6、把日志文件從默認(rèn)的存儲(chǔ)位置移走，并保證對(duì)它們的備份。為日志文件建立一個(gè)重復(fù)的拷貝，以確保這個(gè)放在第二位置的拷貝是可用的。

7、在計(jì)算機(jī)上啟用Windows 審核，因?yàn)楫?dāng)我們?cè)噲D去追蹤那些攻擊者的行為的時(shí)候，我們總是缺少足夠的數(shù)據(jù)。通過使用審核日志，甚至有可能擁有一個(gè)腳本來進(jìn)行可疑行為的審核，這個(gè)腳本隨后會(huì)向管理員發(fā)送一個(gè)報(bào)告。這聽起來好像有點(diǎn)走極端了，不過如果對(duì)你的組織來說安全性非常重要的話，這樣做是最好的選擇。建立審核制度來報(bào)告任何失敗帳戶登錄行為。另外，同IIS日志文件一樣，把它的默認(rèn)存儲(chǔ)位置(c:\winnt\system32\config\secevent.log)改到另外一個(gè)地方，并確保它有一個(gè)備份和一個(gè)重復(fù)的拷貝。

8、一般來說，盡你所能的查找安全方面的文章（從不同的地方），并按照它們進(jìn)行實(shí)踐。在IIS和安全實(shí)踐方面，它們說的通常被你懂得的要好一些，而且不要只信服其他人（比如說我）告訴你的東西。

9、訂閱一份IIS 缺陷列表郵件，并堅(jiān)持按時(shí)對(duì)它進(jìn)行閱讀。其中一個(gè)列表是Internet Security Systems（Internet　安全系統(tǒng)）的X-Force Alerts and Advisories

10、最后，確保你定期的對(duì)Windows 進(jìn)行了更新，并檢驗(yàn)補(bǔ)丁是否被成功的安裝了。

通過這些精選的文章完成下面的步驟

TechRepublic

用最優(yōu)的 IIS 日志來跟蹤用戶行為

感受安全工具為 IIS 帶來的好處

保護(hù) IIS Web 服務(wù)器安全的十五個(gè)技巧（TechProGuild 成員資格必需）

使用工具加強(qiáng) IIS 安全性（TechProGuild 成員資格必需）

Microsoft

加固 IIS 服務(wù)器

其它

IIS 5.0 安全配置和管理指南

IIS 安全檢驗(yàn)表

加固 IIS 4.0 Web 服務(wù)器