Windows Xp下如何配置IIS

Windows Xp下如何配置IIS
 在Windows xp、Windows 2000作業系統下如果需要調試Asp程式，首先需要判斷您所安裝的系統是否具備調試Asp的環境，IIS（Internet資訊服務）是微軟公司為開發人員提供的一個簡單的運行平台，下面就IIS的安裝過程作以下介紹：

    一、首先您需要判斷自己的作業系統是否安裝IIS，方法如所示：
   1、右擊“我的電腦”後單擊“管理”
   2、然後單擊“服務和應用程式”
   3、檢查是否安裝“Internet資訊服務”如果沒有安裝，則服務和應用程式下面沒有Internet資訊服務。
　 4、如果系統已安裝“Internet資訊服務”，則可跳過第二步的安裝過程。直接參考第三步的調試過程。

    第二步：安裝IIS，步驟如下：
    3.1、插入Windows xp光碟片,單擊“安裝可選的windows組件”，選中“Internet資訊服務（IIS）”後單擊“下一步”完成安裝。

    三、最後調試好IIS運行環境，步驟如下：
    首先請操作第一大點提到的相關步驟後再進行下面的操作；
    5、用滑鼠選中“預設網站”，然後點擊右鍵找到“建立”->“虛擬目錄”，在取別名時輸入任意你想要的名稱，這裡我們假設輸入的是“web”。
    6.再往下一步是選擇“網站內容目錄”，用“瀏覽”選中你所希望的網站儲存位置。
    7.再下一步是設定存取權限。如果你沒有特別需要，保留系統預設值，進入下一步，設定虛擬目錄的存取權限，選擇讀取和運行指令碼即可，後面三項不要選擇。最後點“完成”。

    至此，虛擬目錄就設定完成了。單擊“瀏覽”，檢查是否能運行asp程式（如果右側視窗能正常顯示網頁側表明安裝成功）。或者在E瀏覽器地址欄內輸入“http://localhost/web/index.htm”，也可以輸入“http://127.0.0.1/index.htm如果正常的話，你的首頁就將顯示出來了。
    注意：其中，“web”是建立“虛擬目錄”時建立的“別名”；index.htm是你的首頁檔案；當然了，你也可以用其它的檔案（如index.asp）來代替index.htm這個檔案。
    至此，IIS就可以在你的機器上為你服務了！感受一下成功建站的喜悅吧!

********************************************************************************

win2003,如何配置iis
正確設定磁碟的安全性,具體如下(虛擬機器的安全設定，我們以asp程式為例子)重點：
1、系統硬碟使用權限設定
C:分區部分：
c:\
administrators 全部(該檔案夾，子檔案夾及檔案)
CREATOR OWNER 全部(只有子檔案來及檔案)
system 全部(該檔案夾，子檔案夾及檔案)
IIS_WPG 建立檔案/寫入資料(只有該檔案夾)
IIS_WPG(該檔案夾，子檔案夾及檔案)
遍曆檔案夾/運行檔案
列出檔案夾/讀取資料
讀取屬性
建立檔案夾/附加資料
讀取許可權
c:\Documents and Settings
administrators 全部(該檔案夾，子檔案夾及檔案)
Power Users (該檔案夾，子檔案夾及檔案)
讀取和運行
列出檔案夾目錄
讀取
SYSTEM全部(該檔案夾，子檔案夾及檔案)
C:\Program Files
administrators 全部(該檔案夾，子檔案夾及檔案)
CREATOR OWNER全部(只有子檔案來及檔案)
IIS_WPG (該檔案夾，子檔案夾及檔案)
讀取和運行
列出檔案夾目錄
讀取
Power Users(該檔案夾，子檔案夾及檔案)
修改許可權
SYSTEM全部(該檔案夾，子檔案夾及檔案)
TERMINAL SERVER USER (該檔案夾，子檔案夾及檔案)
修改許可權
2、網站及虛擬機器權限設定(比如網站在E盤)
說明：我們假設網站全部在E盤wwwsite目錄下，並且為每一個虛擬機器建立了一個guest使用者，使用者名稱為vhost1...vhostn並且建立了一個webuser組，把所有的vhost使用者全部加入這個webuser組裡面方便管理
E:\
Administrators全部(該檔案夾，子檔案夾及檔案)
E:\wwwsite
Administrators全部(該檔案夾，子檔案夾及檔案)
system全部(該檔案夾，子檔案夾及檔案)
service全部(該檔案夾，子檔案夾及檔案)
E:\wwwsite\vhost1
Administrators全部(該檔案夾，子檔案夾及檔案)
system全部(該檔案夾，子檔案夾及檔案)
vhost1全部(該檔案夾，子檔案夾及檔案)
3、資料備份盤
資料備份盤最好只指定一個特定的使用者對它有完全操作的許可權
比如F盤為資料備份盤，我們只指定一個管理員對它有完全操作的許可權
4、其它地方的使用權限設定
請找到c盤的這些檔案，把安全性設定只有特定的管理員有完全操作許可權
下列這些檔案只允許administrators訪問
net.exe
net1.exet
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
5.刪除c:\inetpub目錄，刪除iis不必要的映射，建立陷阱帳號，更改描述
第三招：禁用不必要的服務，提高安全性和系統效率
Computer Browser 維護網路上電腦的最新列表以及提供這個列表
Task scheduler 允許程式在指定時間運行
Routing and Remote Access 在區域網路以及廣域網路環境中為企業提供路由服務
Removable storage 管理抽取式媒體、驅動程式和庫
Remote Registry Service 允許遠端登錄操作
Print Spooler 將檔案載入到記憶體中以便以後列印。要用印表機的朋友不能禁用這項
IPSEC Policy Agent 管理IP安全性原則以及啟動ISAKMP/OakleyIKE)和IP安全驅動程式
Distributed Link Tracking Client 當檔案在網路域的NTFS卷中移動時發送通知
Com+ Event System 提供事件的自動發布到訂閱COM組件
Alerter 通知選定的使用者和電腦管理警報
Error Reporting Service 收集、儲存和向 Microsoft 報告異常應用程式
Messenger 傳輸用戶端和伺服器之間的 NET SEND 和 警報器服務訊息
Telnet 允許遠端使用者登入到此電腦並運行程式
第四招:修改註冊表，讓系統更強壯
1、隱藏重要檔案/目錄可以修改註冊表實現完全隱藏：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，滑鼠右擊 “CheckedValue”，選擇修改，把數值由1改為0
2、啟動系統內建的Internet串連_blank">防火牆，在設定服務選項中勾選Web伺服器。
3、防止SYN洪水攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
建立DWORD值，名為SynAttackProtect，值為2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
4. 禁止響應ICMP路由通告報文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
建立DWORD值，名為PerformRouterDiscovery 值為0
5. 防止ICMP重新導向報文的攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
將EnableICMPRedirects 值設為0
6. 不支援IGMP協議
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
建立DWORD值，名為IGMPLevel 值為0
7.修改終端服務連接埠
運行regedit，找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp]，看到右邊的PortNumber了嗎？在十進位狀態下改成你想要的連接埠號碼吧，比如7126之類的，只要不與其它衝突即可。
2、第二處HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp，方法同上，記得改的連接埠號碼和上面改的一樣就行了。
8、禁止IPC空串連：
cracker可以利用net use命令建立空串連，進而入侵，還有net view，nbtstat這些都是基於空串連的，禁止空串連就好了。開啟註冊表，找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把這個值改成”1”即可。
9、更改TTL值
cracker可以根據ping回的TTL值來大致判斷你的作業系統，如：
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
實際上你可以自己更改的：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters：DefaultTTL REG_DWORD 0-0xff(0-255 十進位,預設值128)改成一個莫名其妙的數字如258，起碼讓那些小菜鳥暈上半天，就此放棄入侵你也不一定哦
10. 刪除預設共用
有人問過我一開機就共用所有盤，改回來以後，重啟又變成了共用是怎麼回事，這是2K為管理而設定的預設共用，必須通過修改註冊表的方式取消它：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters：AutoShareServer類型是REG_DWORD把值改為0即可
11. 禁止建立空串連
預設情況下，任何使用者通過通過空串連連上伺服器，進而枚舉出帳號，猜測密碼。我們可以通過修改註冊表來禁止建立空串連：
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可.
第五招:其它安全手段
1.禁用TCP/IP上的NetBIOS
網路位置-屬性-本地串連-屬性-Internet協議（TCP/IP）屬性-進階-WINS面板-NetBIOS設定-禁用TCP/IP上的NetBIOS。這樣cracker就無法用nbtstat命令來讀取你的NetBIOS資訊和網卡MAC地址了。
2. 賬戶安全
首先禁止一切賬戶，除了你自己，呵呵。然後把Administrator改名。我呢就順手又建了個Administrator賬戶，不過是什麼許可權都沒有的那種，然後開啟記事本，一陣亂敲，複製，粘貼到“密碼”裡去，呵呵，來破密碼吧~！破完了才發現是個低級賬戶，看你崩潰不？
建立2個管理員用帳號
雖然這點看上去和上面這點有些矛盾，但事實上是服從上面的規則的。 建立一個一般許可權帳號用來收信以及處理一些*常事物，另一個擁有Administrators 許可權的帳戶只在需要的時候使用。可以讓管理員使用 “ RunAS” 命令來執行一些需要特權才能作的一些工作，以方便管理
3.更改C:\WINDOWS\Help\iisHelp\common\404b.htm內容改為 這樣，出錯了自動轉到首頁
4. 安全日誌
我遇到過這樣的情況，一台主機被別人入侵了，系統管理員請我去追查兇手，我登入進去一看：安全日誌是空的，倒，請記住：Win2000的預設安裝是不開任何安全性稽核的！那麼請你到本地安全性原則->稽核原則中開啟相應的審核，推薦的審核是：
賬戶管理 成功 失敗
登入事件 成功 失敗
對象訪問 失敗
策略更改 成功 失敗
特權使用 失敗
系統事件 成功 失敗
目錄服務訪問 失敗
賬戶登入事件 成功 失敗
審核項目少的缺點是萬一你想看發現沒有記錄那就一點都沒轍；審核項目太多不僅會佔用系統資源而且會導致你根本沒空去看，這樣就失去了審核的意義
5. 運行防毒軟體
我見過的Win2000/Nt伺服器從來沒有見到有安裝了防毒軟體的，其實這一點非常重要。一些好的殺毒軟體不僅能殺掉一些著名的病毒，還能查殺大量木馬和後門程式。這樣的話，“駭客”們使用的那些有名的木馬就毫無用武之地了。不要忘了經常升級病毒庫,我們推薦mcafree殺毒軟體+blackice_blank">防火牆
6.sqlserver資料庫伺服器安全和serv-u ftp伺服器安全配置，更改預設連接埠，和管理密碼
7.設定ip篩選、用blackice禁止木馬常用連接埠
一般禁用以下連接埠
135 138 139 443 445 4000 4899 7626
8.本地安全性原則和組策略的設定,如果你在設定本地安全性原則時設定錯了，可以這樣恢複成它的預設值.
開啟 %SystemRoot%\Security檔案夾,建立一個 "OldSecurity"子目錄,將%SystemRoot%\Security下所有的.log檔案移到這個建立的子檔案夾中.
在%SystemRoot%\Security\database\下找到"Secedit.sdb"安全資料庫並將其改名,如改為"Secedit.old".
啟動"安全配置和分析"MMC嵌入式管理單元:"開始"->"運行"->"MMC",啟動管理主控台,"添加/刪除嵌入式管理單元",將"安全配置和分析"嵌入式管理單元添加上.
右擊"安全配置和分析"->"開啟資料庫",瀏覽"C:\WINNT\security\Database"檔案夾,輸入檔案名稱"secedit.sdb",單擊"開啟".
當系統提示輸入一個模板時,選擇"Setup Security.inf",單擊"開啟".
如果系統提示"拒絕訪問資料庫",不管他.
你會發現在"C:\WINNT\security\Database"子檔案夾中重建了新的安全資料庫,
在"C:\WINNT\security"子檔案夾下重建了log檔案.安全資料庫重建成功.