配置（zhì）IIS服（fú）務器時需要注意5個地方，把好安全關是所有網站都必須要做好的功（gōng）課，如果服務器本身不安全，給（gěi）網站帶來的將是毀滅性（xìng）的。

　　一、操（cāo）作係統的（de）安裝

　　我（wǒ）這（zhè）裏說（shuō）的操作係統以Windows 2000為例，高版本的Windows也（yě）有類似功能。

　　格式化硬盤時候，必須格式化為NTFS的，絕（jué）對（duì）不要使用FAT32類型。

　　C盤為操作係（xì）統（tǒng）盤，D盤放常用（yòng）軟件，E盤網站，格式化完成後立刻（kè）設置磁盤（pán）權限，C盤默認（rèn），D盤的（de）安（ān）全設置為（wéi）Administrator和System完全控（kòng）製，其他（tā）用（yòng）戶刪除（chú），E盤（pán）放（fàng）網站（zhàn），如果（guǒ）隻有一個網站（zhàn），就設置（zhì）Administrator和System完全控製，Everyone讀取（qǔ），如果（guǒ）網站（zhàn）上某段（duàn）代碼必須完（wán）成寫操作，這（zhè）時再單（dān）獨對（duì）那個文件所在的（de）文件夾權限進行更改。

　　係統（tǒng）安（ān）裝過程中一定本著（zhe）最小服務原則（zé），無用的服務一概不選擇，達到（dào）係統的最小（xiǎo）安裝，在安裝IIS的過程（chéng）中，隻安裝（zhuāng）最基本（běn）必要的功能，那些不必要的危險服（fú）務千萬不要安裝，例如：FrontPage 2000服務器（qì）擴展，Internet服務管理器（HTML），FTP服務，文檔，索引（yǐn）服務（wù）等等。

　　二、網（wǎng）絡安全配（pèi）置

　　網絡安全最基本的是端口設置，在“本（běn）地連接屬性”，點“Internet協議（TCP/IP）”，點（diǎn）“高級”，再點“選項”-“TCP/IP篩選”。僅打（dǎ）開（kāi）網站服務所需要使用（yòng）的端口，配置界麵如下圖。

　　進行如下設置後（hòu），從你的服務器將（jiāng）不能使用（yòng）域（yù）名解析（xī），因此上網，但是外部的訪問是正常的。這個設置（zhì）主要為了防（fáng）止（zhǐ）一般（bān）規模的DDOS攻（gōng）擊。

　　三、安全（quán）模（mó）板設置

　　運行MMC，添（tiān）加（jiā）獨立管理單元“安全配置與（yǔ）分析”，導入模板（bǎn）basicsv.inf或者securedc.inf，然後點（diǎn）“立刻配（pèi）置計算機”，係（xì）統就會自（zì）動配（pèi）置“帳戶策略”、“本地（dì）策略”、“係（xì）統服（fú）務（wù）”等信息，一步到位，不過這些配置（zhì）可能（néng）會導致某些軟件無法運（yùn）行或者運行出（chū）錯（cuò）。

　　四（sì）、WEB服（fú）務（wù）器的設置

　　以（yǐ）IIS為例，絕（jué）對不要使用IIS默認安裝的WEB目錄，而（ér）需要在E盤新建立（lì）一個目錄。然後在IIS管理器中右擊主機->屬性->WWW服務 編輯->主目錄配（pèi）置->應用程序映（yìng）射，隻保（bǎo）留（liú）asp和asa，其餘全部（bù）刪除（chú）。

　　五、ASP的安全

　　在（zài）IIS係統上，大部分木馬都是ASP寫（xiě）的，因此，ASP組件（jiàn）的安（ān）全是非常重要的。

　　ASP木馬實際上大部分通過調用Shell.Application、WScript.Shell、WScript.Network、FSO、Adodb.Stream組件來實（shí）現其功能，除了（le）FSO之外（wài），其（qí）他的大多可以直接禁用。

　　WScript.Shell組件使用這（zhè）個命令刪除：regsvr32 WSHom.ocx /u

　　WScript.Network組件使（shǐ）用這個（gè）命令（lìng）刪除：regsvr32 wshom.ocx /u

　　Shell.Application可（kě）以（yǐ）使用禁（jìn）止Guest用戶使用shell32.dll來防（fáng）止（zhǐ）調用此組件。使（shǐ）用命令：cacls C：\WINNT\system32\shell32.dll /e /d guests

　　禁止guests用（yòng）戶執行cmd.exe的命令（lìng）是： cacls C：\WINNT\system32\Cmd.exe /e /d guests

　　FSO組件（jiàn）的禁（jìn）用比（bǐ）較麻煩，如果網站本身不需要用這個組件，那麽（me）就通過RegSrv32 scrrun.dll /u命令來禁用（yòng）吧（ba）。如果網站本身（shēn）也需（xū）要用到FSO，那麽請參看這篇（piān）文（wén）章。

　　另外，使用（yòng）微軟提（tí）供的URLScan Tool這（zhè）個（gè）過濾非法URL訪問的工（gōng）具，也可以起到一定防範作用。當然，每天（tiān）備份也是一個好習（xí）慣。