Windows 2003伺服器IIS網站安全性和穩定性

 　　今天我講更深入一些，談談網站安全性和穩定性。對於很多接觸過Linux和Windows的朋友，對比Linux的apache來說，應該很清楚IIS是很不穩定了。什麼死迴圈、堆疊溢位等問題一出現IIS就掛掉了，其他網站就受影響了。那我為什麼還要講IIS的安全性和穩定性呢?還是那句話，針對目前的市場來寫文章做分享。

　　以下是使用IIS 部署網站的建議

　　1、將IIS目錄&資料與系統磁碟分開放，如C盤放系統，D盤放資料，E盤只放網頁檔案。

　　2、網站目錄只Administrators/SYSTEM/WEB使用者/FTP使用者權限，特殊目錄除外。

　　3、啟用父級路徑

　　4、在IIS管理器中刪除必須之外的任何沒有用到的映射(保留asp、aspx等必要映射即可)，如果不懂不要刪除。

　　5、在IIS中將HTTP404等出錯頁面通過URL重新導向到一個定製HTML檔案

　　6、建議使用W3C擴充記錄檔格式，每小時記錄客戶IP地址，使用者名稱等所有記錄分類，而且每天均要審查日誌,可用日記工具閱讀。(IIS日誌不要存放在預設的C盤，建議更換一個非系統硬碟日誌的路徑，同時設定日誌的存取權限，只允許管理員和system為Full Control)。

　　7、程式安全:

　　1) 涉及使用者名稱與口令的程式最好封裝在伺服器端，盡量少的在ASP檔案裡出現，涉及到與資料庫連接地使用者名稱與口令應給予最小的許可權;

　　2) 需要經過驗證的ASP頁面，可跟蹤上一個頁面的檔案名稱，只有從上一頁面轉進來的會話才能讀取這個頁面。

　　3) 防止ASP首頁.inc檔案泄露問題;

　　4) 防止UE等編輯器產生conn.asp.bak檔案泄露問題。

　　8、設定IIS的服務恢複，減少IIS出問題時，自動重啟服務。

　　1)將IIS Admin Service的恢複 第一次失敗 設定為 重新啟動服務，第二次失敗和後續失敗 設定為 運行一個程式，重設失敗計數為 1天以後，重新服務啟動服務為0分鐘，然後在運行程式中複製以下地址 C:/WINDOWS/system32/iisreset.exe 命令列參數 /start

　　2)將World Wide Web Publishing Services 第一次失敗、第二次失敗、後續失敗 設定為 重新啟動服務，重設失敗計數為 1天以後，重新服務啟動服務為0分鐘

　　9、刪除C:/WINDOWS/system32/inetsrv目錄下的adsiis.dll的user許可權，可以禁止遍曆IIS。

　　10、Web網站許可權設定(建議)

　　讀 允許

　　寫 不允許

　　指令碼源訪問 不允許

　　瀏覽目錄 建議關閉

　　日誌訪問 建議關閉

　　索引資源 建議關閉

　　11、控制網站目錄的許可權，以下詳細介紹。

　　一、建立Web訪問使用者

　　0、右擊 我的電腦--電腦管理--本機使用者和組/使用者--右擊 建立使用者

　　1、如 使用者名稱web001、密碼:123abc!@# (如果是真實運行盡量使用32位 複雜密碼，另外用記事本儲存好)

　　2、將 使用者不能更改密碼 和 密碼永不到期 打勾。

　　二、修改Web使用者權限

　　1、右擊 web001 屬性--隸屬於--將Users刪除，添加IIS_WPG (www.111cn.net)

　　2、切換到 環境 頁面，將用戶端裝置的三個打勾 取消掉

　　3、切換到 遠端控制 頁面，將啟用遠端控制 取消打勾。

　　三、建立 應用程式集區並設定許可權

　　1、開啟 Internet 資訊服務(IIS)管理器 右擊 應用程式集區 建立--應用程式集區

　　2、填寫新應用程式集區的名稱，如web001 或者預設AppPool #1(關於網站獨立使用應用程式集區會比較好，一出現問題其他網站不會受它影響，也建議不同類型的網站不要使用同一個應用程式集區)

　　3、右擊 AppPool #1 屬性--標識--應用程式集區標識/配置--填寫剛才建立的WEB使用者：web001和密碼：123abc!@# 應用--再一次密碼輸入：123abc!@# --確定。(建議關於伺服器相關的帳號和密碼用記事本儲存好)

　　四、設定網站的應用程式集區和目錄安全性許可權

　　1、右擊 www.paipat.com網站的屬性--主目錄--應用程式集區--選擇剛才建立的AppPool #1

　　2、切換到 目錄安全性--身分識別驗證和存取控制/編輯--輸入剛才建立的使用者和密碼，點擊確定時再輸入一次密碼

　　3、進入網站目錄，如D:/wwwroot/web001，右擊web001屬性--安全--添加web001使用者--許可權只留下讀取和寫入，點擊 進階--選擇Web001--編輯--添加 刪除許可權。