iis网站服务器基本安全设置步骤（IIS安全设置）

今天给各位分享iis网站服务器基本安全设置步骤的知识，其中也会对IIS安全设置进行解释，如果能碰巧解决你现在面临的问题，别忘了关注本站，现在开始吧！

本文目录一览：

• 1、如何设置Windows服务器安全设置
• 2、iis的安装及web服务器配置
• 3、window7系统下配置IIS搭建web服务器的步骤简介
• 4、web服务器安全设置

如何设置Windows服务器安全设置

如何设置Windows服务器安全设置

一、取消文件夹隐藏共享在默认状态下，Windows 2000/XP会开启所有分区的隐藏共享，从“控制面板/管理工具/计算机管理”窗口下选择“系统工具/共享文件夹/共享”，就可以看到硬盘上的每个分区名后面都加了一个“$”。但是只要键入“计算机名或者IPC$”，系统就会询问用户名和密码，遗憾的是，大多数个人用户系统Administrator的密码都为空，入侵者可以轻易看到C盘的内容，这就给网络安全带来了极大的隐患。

怎么来消除默认共享呢?方法很简单，打开注册表编辑器，进入“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSevicesLanmanworkstationparameters”，新建一个名为“AutoShareWKs”的双字节值，并将其值设为“0”，然后重新启动电脑，这样共享就取消了。关闭“文件和打印共享”文件和打印共享应该是一个非常有用的功能，但在不需要它的时候，也是黑客入侵的很好的安全漏洞。所以在没有必要“文件和打印共享”的情况下，我们可以将它关闭。用鼠标右击“网络邻居”，选择“属性”，然后单击“文件和打印共享”按钮，将弹出的“文件和打印共享”对话框中的两个复选框中的钩去掉即可。二、禁止建立空连接打开注册表编辑器，进入“HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsa”，将DWORD值“RestrictAnonymous”的键值改为“1”即可。三、删掉不必要的.协议对于服务器来说，只安装TCP/IP协议就够了。鼠标右击“网络邻居”，选择“属性”，再鼠标右击“本地连接”，选择“属性”，卸载不必要的协议。其中NETBIOS是很多安全缺陷的根源，对于不需要提供文件和打印共享的主机，还可以将绑定在TCP/IP协议的NETBIOS关闭，避免针对NETBIOS的攻击。选择“TCP/IP协议/属性/高级”，进入“高级TCP/IP设置”对话框，选择“WINS”标签，勾选“禁用TCP/IP上的NETBIOS”一项，关闭NETBIOS。四、禁用不必要的服务:Automatic Updates(自动更新下载)Computer BrowserDHCP ClientDNS ClientMessengerPrint SpoolerRemote Registry(远程修改注册表)Server(文件共享)Task Scheduler(计划任务)TCP/IP NetBIOS HelperThemes(桌面主题)Windows AudioWindows TimeWorkstation五、更换管理员帐户

Administrator帐户拥有最高的系统权限，一旦该帐户被人利用，后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码，所以我们要重新配置Administrator帐号。

首先是为Administrator帐户设置一个强大复杂的密码(个人建议至少12位)，然后我们重命名Administrator帐户，再创建一个没有管理员权限的Administrator帐户欺骗入侵者。这样一来，入侵者就很难搞清哪个帐户真正拥有管理员权限，也就在一定程度上减少了危险性六、把Guest及其它不用的账号禁用有很多入侵都是通过这个账号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具，那还是禁止的好。打开控制面板，双击“用户和密码”，单击“高级”选项卡，再单击“高级”按钮，弹出本地用户和组窗口。在Guest账号上面点击右键，选择属性，在“常规”页中选中“账户已停用”。另外，将Administrator账号改名可以防止黑客知道自己的管理员账号，这会在很大程度上保证计算机安全。七、防范木马程序

木马程序会窃取所植入电脑中的有用信息，因此我们也要防止被黑客植入木马程序，常用的办法有：

● 在下载文件时先放到自己新建的文件夹里，再用杀毒软件来检测，起到提前预防的作用。

● 在“开始”→“程序”→“启动”或“开始”→“程序”→“Startup”选项里看是否有不明的运行项目，如果有，删除即可。

● 将注册表里 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下的所有以“Run”为前缀的可疑程序全部删除即可。八、如果开放了Web服务，还需要对IIS服务进行安全配置：

(1) 更改Web服务主目录。右键单击“默认Web站点→属性→主目录→本地路径”，将“本地路径”指向其他目录。

(2) 删除原默认安装的Inetpub目录。(或者更改文件名)

(3) 删除以下虚拟目录: _vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。九、打开审核策略Windows默认安装没有打开任何安全审核，所以需要进入[我的电脑]→[控制面板]→[管理工具]→[本地安全策略]→[审核策略]中打开相应的审核。系统提供了九类可以审核的事件，对于每一类都可以指明是审核成功事件、失败事件，还是两者都审核策略更改：成功或失败登录事件：成功和失败对象访问：失败事件过程追踪：根据需要选用目录服务访问：失败事件特权使用：失败事件系统事件：成功和失败账户登录事件：成功和失败账户管理：成功和失败十、安装必要的安全软件

我们还应在电脑中安装并使用必要的防黑软件，杀毒软件和防火墙都是必备的。在上网时打开它们，这样即便有黑客进攻我们的安全也是有保证的。当然我们也不应安装一些没必要的软件,比如:QQ一些聊天工具,这样尽可能给黑客提供少的后门.最后建议大家给自己的系统打上补丁，微软那些没完没了的补丁还是很有用的。

iis的安装及web服务器配置

服务器端所使用的软件则主要是Windows平台上的IIS以及主要应用在Linux平台上的Apache。

IIS(Internet Information Services)，Internet信息服务，是Windows Server系统中提供的一个服务组件，可以统一提供www、ftp、smtp服务。

Windows Server 2008 R2中的IIS版本为7.5，相比以前版本的IIS在安全性方面有了很大的改善。

下面我们新建一台名为web的虚拟机来作为web服务器，为其分配IP地址192.168.1.5，将计算机名改为web，激活系统并加入到域，最后再创建快照。

首先仍是需要在【服务器管理器】中安装“web服务器(IIS)”角色。

IIS 7.5被分割成了40多个不同功能的模块，管理员可以根据需要定制安装相应的功能模块，这样可以使Web网站的受攻击面减少，安全性和性能大大提高。所以，在“选择角色服务”的步骤中我们采用默认设置，只安装最基本的功能模块。

安装完成后，可以通过【管理工具】中的【Internet信息服务(IIS)管理器】来管理IIS网站，可以看到其中已经建好了一个名为“Default Web Site”的站点。

在客户端计算机client1上打开IE浏览器，在地址栏输入web服务器的IP地址即可以访问这个默认网站。

我们还可以在DNS服务器中为web服务器添加一条主机记录，这样就可以通过域名访问默认网站了。

其实只要对这个默认网站稍作修改，就可以作为一个真实的网站来使用了。

在【IIS管理器】中，点击默认站点右侧【操作】窗口中的“基本设置”，可以看到默认站点的物理路这个路径对应的就是站点的主目录。

主目录就是网站的根目录，保存着web网站的网页、图片等数据，是用来存放Web网站的文件夹，当客户端访问该网站时，Web服务器自动将该文件夹中的默认网页显示给客户端用户。

打开这个主目录，可以看到里面已经有一个名为iisstart.htm的网页文件以及一张图片，这也就是我们刚才所看到的默认网站所显示的网页。

如果我们已经制作好了一个网站，那么只要将网站的所有文件上传到这个主目录中即可。一个网站中的网页文件非常多，必须得挑选其中的一个网页作为网站的首页，也就是用户在输入网站域名后所直接打开的网页文件。

网站首页在IIS中被称为“默认文档”，在【IIS管理器】默认站点的主窗口中，打开“默认文档”可以对其进行设置。

可以看到系统自带有5种默认文档：Default.htm、Default.asp、Index.htm、Index.html、iisstar.htm。

其优先级依次从高到低。作为网站首页的Web文件必须使用上述5个名字中的一种，如果是使用的其它名字，则必须将其添加到文档列表中。

下面在默认网站的主目录中，用记事本任意编辑一个名为Default.htm(注意D要大写)的网页文件，并随意输入一些内容。然后在客户端上访问该网站，发现可以成功打开我们设置的首页。

window7系统下配置IIS搭建web服务器的步骤简介

window7系统下配置IIS搭建web服务器的步骤简介

window7系统下配置IIS搭建web服务器的步骤

IIS全名Internet Information Services(IIS，互联网信息服务),在之前的在Windows 2000、Windows XP Professional和Windows Server 2003 都可以配置，现在我们在使用win7系统，由于特定的需要，我们要在win7系统下配置IIS可以吗?没问题windows7同样的也包含了IIS，只需要我们去启用并配置它。

下面我们就开始IIS的配置：

1、进入Windows7的控制面板，[打开程序功能]，选择[打开或关闭Windows功能] ,如下图

2、在安装Windows功能的选项菜单，把interlnet信息服务的所有组件全部勾选起来，

internet 信息服务器、web 管理工具、万维网服务下的所有组件。

3、配置完成后，打开控制面板——进入系统和安全——打开管理工具——点Internet 信息服务(IIS)管理器。进行IIS配置。

4、打开IIS管理器，进入管理页面，展开右边的个人PC栏，右击网站——添加网站，

在对话框中输入自己的网站名称、物理路径(网站文件存放位置)，记得要设置网站文件夹的'安全项，添加一个Everyone用户，设置所有权限控制即可，最后点确定。

5、双击IIS7中ASP功能，父路径是没有启用的，选择True开启。

点击右边的【高级设置选项】,可以修改网站的文件夹

单击右侧的绑定，可以修改网站所用的端口，

默认文档，你还可以添加网站打开后自动读取的默认文档名的后缀

6、如果是本地访问，你可以使用127.0.0.1来访问所搭建的IIS网站，如果是外网你则需要有一个固定IP，或是通过路由器转发，当然你可以使用花生壳之类的动态域名工具来绑定动态IP。

通过widows7的IIS配置及网站的搭建，我们可以很方便的调试WEB程序，甚至我们自己可以在电脑上开设网站。

教程分享就到这里。 ;

web服务器安全设置

Web服务器攻击常利用Web服务器软件和配置中的漏洞，web服务器安全也是我们现在很多人关注的一点，那么你知道web服务器安全设置吗?下面是我整理的一些关于web服务器安全设置的相关资料，供你参考。

web服务器安全设置一、IIS的相关设置

删除默认建立的站点的虚拟目录，停止默认web站点，删除对应的文件目录c:inetpub，配置所有站点的公共设置，设置好相关的连接数限制， 带宽设置以及性能设置等其他设置。配置应用程序映射，删除所有不必要的应用程序扩展，只保留asp，php，cgi，pl，aspx应用程序扩展。对于php和cgi，推荐使用isapi方式解析，用exe解析对安全和性能有所影响。用户程序调试设置发送文本错误信息给客户。

对于数据库，尽量采用mdb后缀，不需要更改为asp，可在IIS中设置一个mdb的扩展映射，将这个映射使用一个无关的dll文件如C:WINNTsystem32inetsrvssinc.dll来防止数据库被下载。设置IIS的日志保存目录，调整日志记录信息。设置为发送文本错误信息。修改403错误页面，将其转向到其他页，可防止一些扫描器的探测。另外为隐藏系统信息，防止telnet到80端口所泄露的系统版本信息可修改IIS的banner信息，可以使用winhex手工修改或者使用相关软件如banneredit修改。

对于用户站点所在的目录，在此说明一下，用户的FTP根目录下对应三个文件佳，wwwroot，database，logfiles，分别存放站点文件，数据库备份和该站点的日志。如果一旦发生入侵事件可对该用户站点所在目录设置具体的权限，图片所在的目录只给予列目录的权限，程序所在目录如果不需要生成文件(如生成html的程序)不给予写入权限。因为是虚拟主机平常对脚本安全没办法做到细致入微的地步。

方法

用户从脚本提升权限：

web服务器安全设置二、ASP的安全设置

设置过权限和服务之后，防范asp木马还需要做以下工作，在cmd窗口运行以下命令：

regsvr32/u C:\WINNT\System32\wshom.ocx

del C:\WINNT\System32\wshom.ocx

regsvr32/u C:\WINNT\system32\shell32.dll

del C:\WINNT\system32\shell32.dll

即可将WScript.Shell, Shell.application, WScript.Network组件卸载，可有效防止asp木马通过wscript或shell.application执行命令以及使用木马查看一些系统敏感信息。另法：可取消以上文件的users用户的权限，重新启动IIS即可生效。但不推荐该方法。

另外，对于FSO由于用户程序需要使用，服务器上可以不注销掉该组件，这里只提一下FSO的防范，但并不需要在自动开通空间的虚拟商服务器上使用，只适合于手工开通的站点。可以针对需要FSO和不需要FSO的站点设置两个组，对于需要FSO的用户组给予c:winntsystem32scrrun.dll文件的执行权限，不需要的不给权限。重新启动服务器即可生效。

对于这样的设置结合上面的权限设置，你会发现海阳木马已经在这里失去了作用!

web服务器安全设置三、PHP的安全设置

默认安装的php需要有以下几个注意的问题：

C:\winnt\php.ini只给予users读权限即可。在php.ini里需要做如下设置：

Safe_mode=on

register_globals = Off

allow_url_fopen = Off

display_errors = Off

magic_quotes_gpc = On [默认是on，但需检查一遍]

open_basedir =web目录

disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod

默认设置com.allow_dcom = true修改为false[修改前要取消掉前面的;]

web服务器安全设置四、MySQL安全设置

如果服务器上启用MySQL数据库，MySQL数据库需要注意的安全设置为：

删除mysql中的所有默认用户，只保留本地root帐户，为root用户加上一个复杂的密码。赋予普通用户updatedeletealertcreatedrop权限的时候，并限定到特定的数据库，尤其要避免普通客户拥有对mysql数据库操作的权限。检查mysql.user表，取消不必要用户的shutdown_priv,reload_priv,process_priv和File_priv权限，这些权限可能泄漏更多的服务器信息包括非mysql的 其它 信息出去。可以为mysql设置一个启动用户，该用户只对mysql目录有权限。设置安装目录的data数据库的权限(此目录存放了mysql数据库的数据信息)。对于mysql安装目录给users加上读取、列目录和执行权限。

Serv-u安全问题：

安装程序尽量采用最新版本，避免采用默认安装目录，设置好serv-u目录所在的权限，设置一个复杂的管理员密码。修改serv-u的banner信息，设置被动模式端口范围(4001—4003)在本地服务器中设置中做好相关安全设置：包括检查匿名密码，禁用反超时调度，拦截“FTP bounce”攻击和FXP，对于在30秒内连接超过3次的用户拦截10分钟。域中的设置为：要求复杂密码，目录只使用小写字母，高级中设置取消允许使用MDTM命令更改文件的日期。

更改serv-u的启动用户：在系统中新建一个用户，设置一个复杂点的密码，不属于任何组。将servu的安装目录给予该用户完全控制权限。建立一个FTP根目录，需要给予这个用户该目录完全控制权限，因为所有的ftp用户上传，删除，更改文件都是继承了该用户的权限，否则无法操 作文 件。另外需要给该目录以上的上级目录给该用户的读取权限，否则会在连接的时候出现530 Not logged in, home directory does not exist。比如在测试的时候ftp根目录为d:soft，必须给d盘该用户的读取权限，为了安全取消d盘其他文件夹的继承权限。而一般的使用默认的system启动就没有这些问题，因为system一般都拥有这些权限的。

web服务器安全设置五、数据库服务器的安全设置

对于专用的MSSQL数据库服务器，按照上文所讲的设置TCP/IP筛选和IP策略，对外只开放1433和5631端口。对于MSSQL首先需要为sa设置一个强壮的密码，使用混合身份验证,加强数据库日志的记录,审核数据库登陆事件的”成功和失败”.删除一些不需要的和危险的OLE自动存储过程(会造成 企业管理 器中部分功能不能使用),这些过程包括如下:

Sp_OAcreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty

Sp_OAMethod Sp_OASetProperty Sp_OAStop

去掉不需要的注册表访问过程,包括有:

Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue

Xp_regenumvalues Xp_regread Xp_regremovemultistring

Xp_regwrite

去掉其他系统存储过程，如果认为还有威胁，当然要小心drop这些过程，可以在测试机器上测试，保证正常的系统能完成工作，这些过程包括：

xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember

xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin

sp_addextendedproc

在实例属性中选择TCP/IP协议的属性。选择隐藏 SQL Server 实例可防止对1434端口的探测,可修改默认使用的1433端口。除去数据库的guest账户把未经认可的使用者据之在外。 例外情况是master和 tempdb 数据库,因为对他们guest帐户是必需的。另外注意设置好各个数据库用户的权限，对于这些用户只给予所在数据库的一些权限。在程序中不要用sa用户去连接任何数据库。网络上有建议大家使用协议加密的，千万不要这么做，否则你只能重装MSSQL了。

iis网站服务器基本安全设置步骤的介绍就聊到这里吧，感谢你花时间阅读本站内容，更多关于IIS安全设置、iis网站服务器基本安全设置步骤的信息别忘了在本站进行查找喔。