為虛擬目錄設(shè)置適當(dāng)?shù)脑L問權(quán)限
正確設(shè)置虛擬目錄的訪問權(quán)限，將會很大程度地影響其中文件的安全可靠性。建議考慮以下幾個(gè)方面的設(shè)置原則：
文件類型 建議的訪問權(quán)限
CGI 程序(.exe, .dll, .cmd, .pl) Everyone (X)
Administrators (Full Control)
System (Full Control)
腳本文件(.asp) Everyone (X)
Administrators (Full Control)
System (Full Control)
包含文件(.inc, .shtm, .shtml) Everyone (X)
Administrators (Full Control)
System (Full Control)
靜態(tài)文件 (.txt, .gif, .jpg, .html) Everyone (R)
Administrators (Full Control)
System (Full Control)

為不同類型的文件創(chuàng)建不同的目錄
如果一個(gè)虛擬目錄下面有多種類型的文件，按照上面的原則為每一種文件設(shè)置訪問權(quán)限，無疑是非常煩瑣的事情。因此，我們可以采取為不同類型文件創(chuàng)建不同目錄的方式，然后再按照上面的原則為每一個(gè)目錄設(shè)置相應(yīng)的訪問權(quán)限。比如，我們可以創(chuàng)建如下的目錄結(jié)構(gòu)：
C:\inetpub\wwwroot\myserver\static：存放靜態(tài)文本文件(.html)
C:\inetpub\wwwroot\myserver\include：存放包含文件(.inc)
C:\inetpub\wwwroot\myserver\script：存放腳本文件(.asp)
C:\inetpub\wwwroot\myserver\executable：存放可執(zhí)行文件(.exe,.dll, .cmd, .pl)
C:\inetpub\wwwroot\myserver\images：存放圖形文件(.gif,.jpeg)

另外，請注意以下2個(gè)特殊的目錄：

C:\inetpub\ftproot：FTP服務(wù)所在目錄
C:\inetpub\mailroot：SMTP服務(wù)所在目錄

這2個(gè)目錄的訪問權(quán)限是Everyone 完全控制(Full Control)，每個(gè)用戶都具有向其中添加數(shù)據(jù)的權(quán)限。這樣，就有可能造成目錄所在磁盤的空間耗盡。因此，我們建議：

將這2個(gè)目錄放置到另外的磁盤卷中，與其他的IIS服務(wù)程序分開。
使用windows 2000 磁盤配額功能限制添加到這2個(gè)目錄的數(shù)據(jù)量。

為IIS日志文件設(shè)置適合的訪問權(quán)限
IIS日志文件記錄了所有訪問IIS服務(wù)程序的信息，它對于系統(tǒng)管理員檢測故障非常重要。攻擊者為了銷毀他們的侵入痕跡，總是要想方設(shè)法刪除掉日志文件。因此，我們建議對這些日志文件進(jìn)行重點(diǎn)保護(hù)，設(shè)置如下的訪問權(quán)限：

Administrators (Full Control)
System (Full Control)
Everyone (RWC)

IIS日志文件一般位于如下路徑：%systemroot%\system32\LogFiles。

使用日志文件
日志文件對于檢查服務(wù)器是否被攻擊是極為重要的。日志文件有多種，我們建議使用"W3C擴(kuò)充日志文件格式"，步驟如下：

啟動"Internet服務(wù)管理器"
點(diǎn)擊鼠標(biāo)右鍵選擇要設(shè)置的站點(diǎn)，在從彈出菜單中選擇"屬性"
點(diǎn)擊"Web站點(diǎn)"選項(xiàng)卡
點(diǎn)擊選中"啟用日志記錄"復(fù)選框
從"活動日志格式"下拉選擇框中選擇"W3C 擴(kuò)充日志文件格式"
點(diǎn)擊"屬性"
點(diǎn)擊"擴(kuò)充的屬性"選項(xiàng)卡，然后依次選中如下屬性：
客戶IP地址
用戶名
方法
URI資源
HTTP狀態(tài)
Win32狀態(tài)
用戶代理
服務(wù)器IP地址
服務(wù)器端口

點(diǎn)擊小圖放大

以上最后2個(gè)屬性只當(dāng)一個(gè)計(jì)算機(jī)充當(dāng)多個(gè)Web服務(wù)器時(shí)有意義，也就是所謂的虛擬主機(jī)。屬性"Win32狀態(tài)"對于調(diào)試非常有用，當(dāng)它的數(shù)值等于5時(shí)，表示禁止訪問（access denied）。我們可以在命令行執(zhí)行如下命令得到其他的"Win32狀態(tài)碼"所表示的含義：
net helpmsg err
其中err表示W(wǎng)in32狀態(tài)碼。

禁止或者刪除所有的例子程序
默認(rèn)安裝選項(xiàng)中，例子程序不會被安裝到機(jī)器中。對于一個(gè)正式應(yīng)用的服務(wù)器，我們不應(yīng)該在其中安裝任何例子程序。如果已經(jīng)安裝了某些例子程序，建議將它們完整刪除掉。為了查找方便，以下我們列出一些例子程序的默認(rèn)安裝路徑：
例子程序類別 所在虛擬目錄 默認(rèn)安裝路徑
IIS例子程序 \IISSamples c:\inetpub\iissamples
IIS文檔 \IISHelp c:\winnt\help\iishelp
Data Access \MSADC c:\program files\common files\system\msadc

刪除虛擬目錄IISADMPWD
這個(gè)虛擬目錄的作用是允許用戶重新設(shè)置他們在Windows NT或者windows 2000操作系統(tǒng)上的帳號口令，應(yīng)用環(huán)境主要針對企業(yè)內(nèi)部網(wǎng)Intranet。IIS5的安裝中沒有包含這一項(xiàng)，但是如果是從IIS4升級到IIS5，就會存在這個(gè)虛擬目錄。建議如果不是Intranet環(huán)境，就將之刪除。

刪除不使用的應(yīng)用程序映射關(guān)聯(lián)
IIS默認(rèn)情況下可以解釋如.asp、.htr、.shtm等應(yīng)用程序文件，當(dāng)這些文件被IIS接收后，將交由一個(gè)DLL文件處理。如果使用不到其中某類文件，我們建議將刪除那個(gè)類型在IIS中的映射關(guān)系。步驟如下：

啟動"Internet服務(wù)管理器"
點(diǎn)擊鼠標(biāo)右鍵選擇要處理的服務(wù)器，再選擇"屬性"

點(diǎn)擊小圖放大

選擇"WWW服務(wù)"，點(diǎn)擊"編輯"

點(diǎn)擊小圖放大

點(diǎn)擊"主目錄"

點(diǎn)擊小圖放大

點(diǎn)擊"配置"，顯示出當(dāng)前"應(yīng)用程序映射"列表

點(diǎn)擊小圖放大

然后參照下表刪除相關(guān)類別：
如果不使用下列應(yīng)用 就刪除掉以下項(xiàng)目
基于Web的口令修改 .htr
Internet數(shù)據(jù)庫連接器 (注意：所有的IIS5　Web服務(wù)器將使用ADO等相似技術(shù)代替數(shù)據(jù)庫連接器) .idc
服務(wù)器端包含文件（Server-side Includes） .stm, .shtm, and .shtml
Internet打印 .printer
索引服務(wù)（Index Server） .htw, .ida and .idq

關(guān)于Internet打印服務(wù)，我們再說明一點(diǎn)。Internet打印可以通過Internet服務(wù)管理器進(jìn)行配置，也可以通過組策略進(jìn)行配置。當(dāng)兩者的配置間發(fā)生沖突時(shí)，以組策略的配置信息優(yōu)先。如果在Internet服務(wù)管理器中刪除了Internet打印，請記住不要再在本地或者域組策略中激活它。默認(rèn)的組策略配置中，既不激活也不禁止Internet打印。在組策略中配置Internet打印的方法是：在MMC的組策略管理單元中，點(diǎn)擊"計(jì)算機(jī)配置"，點(diǎn)擊"管理模板"，點(diǎn)擊"打印機(jī)"，最后點(diǎn)擊"基于Web的打印"：

點(diǎn)擊小圖放大

設(shè)置IP地址或者DNS域名地址的訪問限制
如果Web站點(diǎn)只對特殊IP地址的客戶服務(wù)，我們建議對Web站點(diǎn)執(zhí)行IP地址限制的設(shè)置。如果設(shè)置是DNS域名信息，請注意，這會導(dǎo)致IIS執(zhí)行DNS搜索工作，耗費(fèi)一定的時(shí)間。

確認(rèn)可執(zhí)行文件的安全性
在訪問網(wǎng)站內(nèi)容時(shí)，IIS經(jīng)常要執(zhí)行一些.DLL文件。DLL文件屬于可執(zhí)行文件，可能會讀寫硬盤文件內(nèi)容，所以最好確保其安全性。但是，如何判斷DLL文件的安全性，卻不是個(gè)簡單的事情。這里介紹一個(gè)叫做DumpBin程序，它可以判斷出可執(zhí)行文件是否調(diào)用了某個(gè)API函數(shù)。比如說，我們使用下面的命令判斷文件MyISAPI.dll是否調(diào)用了RevertToSelf:
dumpbin /imports MyISAPI.dll | find "RevertToSelf"
命令執(zhí)行后，如果屏幕上沒有任何輸出信息，就表明MyISAPI.dll沒有直接調(diào)用RevertToSelf。

更新IIS服務(wù)器上的根權(quán)威認(rèn)證機(jī)構(gòu)發(fā)放的證書（Root CA Certificates）
要完成更新工作，需要2個(gè)步驟：

首先，添加一個(gè)我們信任的新根權(quán)威認(rèn)證機(jī)構(gòu)發(fā)放的證書，特別是通過Microsoft認(rèn)證服務(wù)2.0創(chuàng)建的新根權(quán)威認(rèn)證機(jī)構(gòu)證書。
然后，刪除所有不被我們信任的根權(quán)威認(rèn)證機(jī)構(gòu)發(fā)放的證書。一般情況下，不被信任的機(jī)構(gòu)就是指我們還不認(rèn)識的機(jī)構(gòu)。

所有被IIS使用的根權(quán)威認(rèn)證機(jī)構(gòu)證書都存儲在計(jì)算機(jī)中，我們可以按照下列步驟訪問它們：

在"開始/運(yùn)行"中輸入mmc，點(diǎn)擊"確定"，啟動Microsoft管理控制臺，即MMC
從"控制臺"菜單中選擇"添加/刪除管理單元"，點(diǎn)擊"添加"
選擇"證書"，點(diǎn)擊"添加"
點(diǎn)擊"計(jì)算機(jī)帳戶"選項(xiàng)
點(diǎn)擊"下一步"
選擇要訪問的機(jī)器
點(diǎn)擊"完成"
點(diǎn)擊"關(guān)閉"，點(diǎn)擊"確定"
擴(kuò)展"證書"節(jié)點(diǎn)
擴(kuò)展"受信任的根證書頒發(fā)機(jī)構(gòu)"
選擇"證書"

點(diǎn)擊小圖放大

這時(shí)，在右邊窗口格中顯示出當(dāng)前所有的受信任的根證書頒發(fā)機(jī)構(gòu)發(fā)放證書的資料。我們可以根據(jù)實(shí)際情況，刪除不需要的證書。但是請格外注意，不要刪除Microsoft公司或Verisign公司的相關(guān)證書，因?yàn)樗鼈儽徊僮飨到y(tǒng)廣泛地使用。

禁止或刪除不需要的COM組件
對于大多數(shù)應(yīng)用程序不需要的COM組件，我們就應(yīng)該考慮將其刪除，比如說"文件系統(tǒng)對象"（File System Object）組件。請注意，如果刪除了"文件系統(tǒng)對象"組件，"目錄對象"（Dictionary object）組件也將被刪除。但是提醒一點(diǎn)，有些程序可能需要禁止的組件，比如說，Site服務(wù)器3.0就使用到"文件系統(tǒng)對象"組件。刪除"文件系統(tǒng)對象"組件的命令是： regsvr32 scrrun.dll /u。

重點(diǎn)檢查ASP代碼中的<FORM>輸入內(nèi)容和查詢輸入內(nèi)容
許多站點(diǎn)都使用來自用戶的輸入信息去調(diào)用其他代碼或者直接創(chuàng)建SQL命令。換言之，輸入內(nèi)容被假設(shè)為格式正確和語法正確。但是我們千萬不能這么掉以輕心！許多攻擊者就是在輸入內(nèi)容中填寫非法代碼從而巧妙偷窺服務(wù)器的內(nèi)容，甚至造成數(shù)據(jù)的毀壞。因此，我們要特別重視檢查來自<FORM>的輸入內(nèi)容或者查詢字符串信息，只有其符合安全要求，才能進(jìn)一步傳遞給下一個(gè)程序進(jìn)行處理。
我們可以使用Jscript版本5和VBScript版本5的常規(guī)表達(dá)式功能檢查文本信息的合法性。來看看幾個(gè)例子。
下面的代碼是除去字符串中所有非字母、非數(shù)字以及非_的字符：
Set reg = New RegExp
reg.Pattern = "\W+"
strUnTainted = reg.Replace(strTainted,"")
下面的代碼是除去|操作符后的所有文本：
Set reg = New RegExp
reg.Pattern = "^(.+)\|(.+)"Anycharacter from the start of
' the string to a | character.
strUnTainted = reg.Replace(strTainted,"$1")

另外，當(dāng)使用"文件系統(tǒng)對象"組件打開或創(chuàng)建文件時(shí)，如果文件名取自用戶的輸入內(nèi)容，那么很可能被攻擊者利用去試圖打開一個(gè)計(jì)算機(jī)的串口或者打印機(jī)設(shè)備。為了防止這個(gè)問題發(fā)生，我們可以使用下面的Jscript代碼除去非法文件名：
var strOut = strIn.replace(/(AUX|PRN|NUL|COM\d|LPT\d)+\s*$/i,"");
從以上幾個(gè)簡單的實(shí)例，我們可以看到腳本引擎版本5處理字符串的強(qiáng)大功能。微軟站點(diǎn)有關(guān)于腳本應(yīng)用的詳細(xì)文檔與例程，地址如下：
文檔：http://msdn.microsoft.com/scripting/default.htm
例程：http://msdn.microsoft.com/workshop/languages/clinic/scripting051099.asp

禁止父路徑（Parent Paths）表達(dá)法
默認(rèn)情況下，可以在函數(shù)中使用父路徑".."。但是為了安全考慮，我們應(yīng)該禁止這個(gè)功能，步驟如下：

在"Internet服務(wù)管理器"中右鍵點(diǎn)擊要處理服務(wù)器的"默認(rèn)Web站點(diǎn)"，從彈出菜單中選擇"屬性 "
點(diǎn)擊"主目錄"選項(xiàng)卡
點(diǎn)擊"配置"
點(diǎn)擊"應(yīng)用程序選項(xiàng)"選項(xiàng)卡
去除"啟用父路徑"復(fù)選框