IIS6安全配置大全及服务器无法访问解决方案总结20100515

IWindowsServer2003IIS6.0安全配置草稿目录1.安装IIS6.0................................................................................................................21.1安装Internet信息服务...............................................................................................21.2配置匿名身份验证..............................................................................................................22.基本WEB站点配置................................................................................................33.让IIS以最小的NTFS权限运行............................................................................34.防范WSCRIPT.SHELL组件的方法............................................................................45.防范SHELL.APPLICATION组件的方法.....................................................................46.硬盘文件夹权限详细配置.......................................................................................47.卸载最不安全的组件...............................................................................................58.禁用TCP/IP上的NETBIOS....................................................................................69.TCP/IP上对进站连接进行控制..............................................................................69.1方法一利用TCP/IP筛选..............................................................................................69.2方法二利用IP安全策略..............................................................................................610.防范拒绝服务攻击................................................................................................611.为IIS中的文件分类设置权限.............................................................................712.删除不必要的应用程序映射................................................................................713.保护日志安全........................................................................................................813.1方法一:修改IIS日志的存放路径..............................................................................813.2方法二:修改日志访问权限..........................................................................................82WindowsServer2003IIS6.0安全配置1.安装IIS6.01.1安装Internet信息服务MicrosoftInternet信息服务(IIS)是与WindowsServer2003集成的Web服务。要安装IIS、添加可选组件或删除可选组件，请按以下步骤操作：1.单击开始，指向控制面板，然后单击“添加或删除程序”。“添加或删除程序”工具就会启动。2.单击添加/删除Windows组件。显示“Windows组件向导”。3.在Windows组件列表中，单击Web应用程序服务器。4.单击详细信息，然后单击Internet信息服务(IIS)。5.单击详细信息，以查看IIS可选组件列表。6.选择您要安装的可选组件。默认情况下，下列组件是选中的：---公用文件---FrontPage2002ServerExtentions---Internet信息服务管理单元---Internet信息服务管理器---NNTP服务---SMTP服务---WorldWideWeb服务7.单击“WorldWideWeb服务”，然后单击详细信息，以查看IIS可选子组件（如ActiveServerPages组件和“远程管理(HTML)工具”）的列表。选择您要安装的可选子组件。默认情况下，下列组件是选中的：---WorldWideWeb服务8.单击确定，直到返回“Windows组件向导”。9.单击下一步，然后完成“Windows组件向导”。1.2配置匿名身份验证要配置匿名身份验证，请按以下步骤操作：1.单击开始，指向管理工具，然后单击Internet信息服务(IIS)。2.展开“*服务器名称”（其中服务器名称为该服务器的名称），右键单击Web站点，然后单击属性。3.在Web站点属性对话框中，单击目录安全性选项卡。4.在“身份验证和访问控制”下，单击编辑。5.单击“启用匿名访问”复选框，将其选中。备注：“用户名”框中的用户帐户只用于通过WindowsGuest帐户进行匿名访问。默认情况下，服务器会创建并使用帐户IUSR_computername。匿名用户帐户密码仅在Windows中使用；匿名用户不使用用户名和密码登录。36.在“已验证身份的访问”下，单击“集成的Windows身份验证”复选框，将其选中。7.单击确定两次。2.基本Web站点配置1.单击开始，指向管理工具，然后单击Internet信息服务(IIS)。2.展开“*服务器名称”（其中服务器名称为该服务器的名称），然后展开Web站点。3.右键单击默认Web站点，然后单击属性。4.单击Web站点选项卡。如果您已为计算机分配了多个IP地址，则请在IP地址框中单击您要指定给此Web站点的IP地址。5.单击性能选项卡。使用Web站点属性-性能对话框可设置影响内存、带宽使用和Web连接数量的属性。通过配置某个特定站点上的网络带宽，您可以更好地控制该站点的通信量。例如，通过在低优先级的Web站点上限制带宽，您可以放宽对他站点的访问量的限制。同样，当您指定到某个Web站点的连接数量时，您就可以为其他站点释放资源。设置是站点专用的，应根据网络通信量和使用变化情况进行调整。---单击“限制可用于此Web站点的带宽”复选框，将其选中，可配置IIS将网络带宽调节到选定的最大带宽量，以千字节每秒(KB/S)为单位。---单击Web服务连接复选框，将其选中，可选择特定数目或者不限定数目的Web服务连接。限制连接可使计算机资源能够用于其他进程。备注：每个浏览Web站点的客户机通常都使用大约三个连接。6.单击主目录选项卡。---如果您想使用存储在本地计算机上的Web内容，则单击“此计算机上的目录”然后在本地路径框中键入您想要的路径。例如，默认路径为C:\Inetpub\。3.让IIS以最小的NTFS权限运行依次做下面的工作:a.选取整个硬盘：system：完全控制administrator：完全控制(允许将来自父系的可继承性权限传播给对象)b.\programfiles\commonfiles：everyone：读取及运行，列出文件目录，读取(允许将来自父系的可继承性权限传播给对象)c.\inetpub\：iusr_machinename：读取及运行，列出文件目录，读取(允许将来自父系的可继承性权限传播给对象)d.\windows\system32：选择除inetsrv和centsrv以外的所有目录，去除“允许将来自父系的可继承性权限传播给对象”选框，复制。e.\windows：选择除了downloaded、programfiles、help、iistemporarycompressedfiles、offlinewebpages、system32、tasks、temp、web以外的所有目录去除“允许将来自父系的可继承性权限传播给对象”选框，复制。f.\windows：everyone：读取及运行，列出文件目录，读取(允许将来自父系的可继承性4权限传播给对象)g.\windows\temp：（允许访问数据库并显示在asp页面上）everyone：修改(允许将来自父系的可继承性权限传播给对象)再单独对cmd.exe、net.exe、net1.exe、ping.exe、netstat.exe、ftp.exe、tftp.exe、telnet.exe、regedit.exe、at.exe、attrib.exe、format.exe设置为只允许administrators组访问，这样就可以防范通过Serv-U的本地提升权限漏洞来运行这些关键的程序了，再删除cacls.exe这个程序，防止有人通过命令行来修改权限还比较有威胁的组件就是Shell.Application和Wscript.Shell这两个组件了，Shell.Application可以对文件进行一些操作，还可以执行程序，但不能带参数，而Wscript.Shell可以操作注册表和执行DOS命令。4.防范Wscript.Shell组件的方法可以通过修改注册表，将此组件改名。HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\改名为其它的名字，如：改为WScript.Shell_ChangeName或WScript.Shell.1_ChangeName自己以后调用的时候使用这个就可以正常调用此组件。同时也要将clsid值也改一下HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值也可以将其删除，来防止此类木马的危害。5.防范Shell.Application组件的方法可以通过修改注册表，将此组件改名。HKEY_CLASSES_ROOT\Shell.Application\及HKEY_CLASSES_ROOT\Shell.Application.1\改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.App