通過下面 10 步來(lai)保護 IIS：

1. 為(wei)IIS 應用(yong)(yong)(yong)程(cheng)序(xu)和數(shu)據專門(men)安裝一個(ge)(ge)NTFS 設(she)備。如果(guo)有可能，不要(yao)允許(xu)IUSER(或其(qi)它任何匿名用(yong)(yong)(yong)戶名)去(qu)訪(fang)(fang)問(wen)(wen)(wen)任何其(qi)它設(she)備。如果(guo)應用(yong)(yong)(yong)程(cheng)序(xu)因為(wei)匿名用(yong)(yong)(yong)戶無法(fa)訪(fang)(fang)問(wen)(wen)(wen)其(qi)它設(she)備上(shang)(shang)的程(cheng)序(xu)而出了問(wen)(wen)(wen)題(ti)，馬上(shang)(shang)使用(yong)(yong)(yong)Sysinternals 的FileMon 檢測出哪個(ge)(ge)文(wen)件(jian)無法(fa)訪(fang)(fang)問(wen)(wen)(wen)，并吧這個(ge)(ge)程(cheng)序(xu)轉移到IIS 設(she)備上(shang)(shang)。如果(guo)無法(fa)做(zuo)到這些(xie)，就允許(xu)IUSER 訪(fang)(fang)問(wen)(wen)(wen)且只能訪(fang)(fang)問(wen)(wen)(wen)這個(ge)(ge)文(wen)件(jian)。

2.在設備上設置NTFS 權(quan)限：

Developers = Full(所有(you)權限(xian))

IUSER = Read and execute only(讀和執行權限)

System and admin = Full(所有權限)

3.使(shi)用一個(ge)軟件(jian)防火墻，確(que)認沒有終端(duan)(duan)用戶能夠(gou)訪問(wen) IIS 計(ji)算機上的除(chu)了 80 端(duan)(duan)口之外的其它端(duan)(duan)口。

4.使用Microsoft 工(gong)具鎖定(ding)計算機：IIS Lockdown和(he)UrlScan.

5.啟用IIS 事(shi)件(jian)日志。除了使(shi)用IIS 事(shi)件(jian)日志之外，如果有可(ke)能的話，盡(jin)量也對_blank">防火墻(qiang)啟用事(shi)件(jian)日志。

6.把(ba)日志文(wen)(wen)件(jian)從默認的(de)(de)(de)存儲位(wei)置移走，并(bing)保(bao)證對(dui)它們(men)的(de)(de)(de)備份。為日志文(wen)(wen)件(jian)建立一個(ge)重復的(de)(de)(de)拷貝，以確保(bao)這個(ge)放在(zai)第二位(wei)置的(de)(de)(de)拷貝是可用的(de)(de)(de)。

7. 在計算機(ji)上啟用(yong)Windows 審核，因(yin)為(wei)當我們試圖去追(zhui)蹤那(nei)些攻(gong)擊者的行為(wei)的時候，我們總是缺(que)少足(zu)夠的數據。通過使用(yong)審核日(ri)志(zhi)，甚至有(you)可能擁有(you)一(yi)(yi)(yi)個(ge)(ge)腳(jiao)本來進行可疑(yi)行為(wei)的審核，這(zhe)個(ge)(ge)腳(jiao)本隨后會向管理員(yuan)發送(song)一(yi)(yi)(yi)個(ge)(ge)報(bao)(bao)告。這(zhe)聽起來好(hao)像有(you)點走(zou)極端(duan)了，不(bu)過如果對你的組織來說安(an)全性(xing)非常重要的話，這(zhe)樣(yang)做(zuo)是最好(hao)的選(xuan)擇。建立審核制(zhi)度(du)來報(bao)(bao)告任何(he)失敗帳(zhang)戶登(deng)錄行為(wei)。另(ling)外，同IIS日(ri)志(zhi)文件一(yi)(yi)(yi)樣(yang)，把它的默(mo)認存儲位(wei)置(c:\winnt\system32\config\secevent.log)改(gai)到另(ling)外一(yi)(yi)(yi)個(ge)(ge)地方，并確保它有(you)一(yi)(yi)(yi)個(ge)(ge)備份和一(yi)(yi)(yi)個(ge)(ge)重復的拷貝。

8.一般來說，盡你(ni)所能(neng)的查找(zhao)安(an)全(quan)方(fang)(fang)面(mian)(mian)的文(wen)章(從不同的地方(fang)(fang))，并(bing)按照它(ta)們進行實踐。在IIS和安(an)全(quan)實踐方(fang)(fang)面(mian)(mian)，它(ta)們說的通常被你(ni)懂得的要(yao)好(hao)一些，而(er)且(qie)不要(yao)只信服(fu)其他人(比如說我)告訴(su)你(ni)的東西(xi)。

9.訂閱(yue)一份IIS 缺(que)陷列表郵件，并堅(jian)持按時對它進行閱(yue)讀。其中一個列表是Internet Security Systems(Internet 安全系統)的X-Force Alerts and Advisories

10.最后，確保你(ni)定(ding)期的對Windows 進(jin)行了更(geng)新，并檢(jian)驗補丁是否被成功的安裝了。