Win2000+IIS5安全配置规范(2)

　　■． 关闭并删除默认站点：
　　默认FTP站点
　　默认Web站点
　　管理Web站点
　　■． 建立自己的站点，与系统不在一个分区，如
　　D:\wwwroot3． 建立 E:\Logfiles 目录，以后建立站点时的日志文件均位于此目录，确保此目录上的访问控制权限是： Administrators（完全控制）System（完全控制）
　　■． 删除IIS的部分目录：
　　IISHelp C:\winnt\help\iishelp
　　IISAdmin C:\system32\inetsrv\iisadmin
　　MSADC C:\Program Files\Common Files\System\msadc\
　　删除 C:\\inetpub
　　■. 删除不必要的IIS映射和扩展：
　　IIS 被预先配置为支持常用的文件名扩展如 .asp 和 .shtm 文件。IIS 接收到这些类型的文件请求时，该调用由 DLL 处理。如果您不使用其中的某些扩展或功能，则应删除该
　　映射，步骤如下：
　　打开 Internet 服务管理器：
　　选择计算机名，点鼠标右键，选择属性：
　　然后选择编辑
　　然后选择主目录， 点击配置
　　选择扩展名 \".htw\",\".htr\",\".idc\",\".ida\",\".idq\"和\".printer\"，点击删除
　　如果不使用server side include，则删除\".shtm\" \".stm\" 和 \".shtml\"
　　■. 禁用父路径 :
　　“父路径”选项允许您在对诸如 MapPath 函数调用中使用“..”。在默认情况下，该选项
　　处于启用状态，应该禁用它。
　　禁用该选项的步骤如下：
　　右键单击该 Web 站点的根，然后从上下文菜单中选择“属性”。
　　单击“主目录”选项卡。
　　单击“配置”。
　　单击“应用程序选项”选项卡。
　　取消选择“启用父路径”复选框。
　　■. 在虚拟目录上设置访问控制权限
　　主页使用的文件按照文件类型应使用不同的访问控制列表：
　　CGI (.exe, .dll, .cmd, .pl)
　　Everyone (X)
　　Administrators（完全控制）
　　System（完全控制）
　　脚本文件 (.asp)
　　Everyone (X)
　　Administrators（完全控制）
　　System（完全控制）
　　include 文件 (.inc, .shtm, .shtml)
　　Everyone (X)
　　Administrators（完全控制）
　　System（完全控制）
　　静态内容 (.txt, .gif, .jpg, .html)
　　Everyone (R)
　　Administrators（完全控制）
　　System（完全控制）
　　在创建Web站点时，没有必要在每个文件上设置访问控制权限，应该为每个文件类型创建一个新目录，然后在每个目录上设置访问控制权限、允许访问控制权限传给各个文件。
　　例如，目录结构可为以下形式：
　　D:\wwwroot\myserver\static (.html)
　　D:\wwwroot\myserver\include (.inc)
　　D:\wwwroot\myserver \script (.asp)
　　D:\wwwroot\myserver \executable (.dll)
　　D:\wwwroot\myserver\images (.gif, .jpeg)
　　■. 启用日志记录
　　确定服务器是否被攻击时，日志记录是极其重要的。
　　应使用 W3C 扩展日志记录格式，步骤如下：
　　打开 Internet 服务管理器：
　　右键单击站点，然后从上下文菜单中选择“属性”。
　　单击“Web 站点”选项卡。
　　选中“启用日志记录”复选框。
　　从“活动日志格式”下拉列表中选择“W3C 扩展日志文件格式”。
　　单击“属性”。
　　单击“扩展属性”选项卡，然后设置以下属性：
　　* 客户 IP 地址
　　* 用户名
　　* 方法
　　* URI 资源
　　* HTTP 状态
　　* Win32 状态
　　* 用户代理
　　* 服务器 IP 地址
　　* 服务器端口

IIS安全配置精华