Windows®Server的Internet信息服務(IIS)是一種靈活，安全且可管理的World Wide Web server，用于承載Web上的任何內容。從媒體流到Web應用程序，IIS的可擴展和開放式體系結構隨時可以處理最苛刻的任務。

服務器IIS安全加固防御的方法：

1、刪除默認站點：

IIS安裝完成之后會在建立一個默認站點，一般建立網站時不需要這個站點，一方面該站點默認占用80端口，一方面可能該站點安全性配置較低。

2、禁用不必要的Web服務拓展：

ISAPI(Internet服務器應用程序編程接口)拓展或CGI(通用網關接口)拓展。

如果允許未知的ISAPI和CGI拓展在Web服務器上運行，則服務器可能容易遭受利用這些技術的計算機病毒或蠕蟲程序的攻擊。

Active Server Pages擴展

支持asp頁面功能，假設網站是asp，此拓展不必開啟。

ASP.Net V1.1 V2.0等

支持ASP.NET技術開發的aspx動態頁面，假設網站是asp，此拓展不必開啟。

FrontPage Server Extensions 2002

支持管理,創建以及瀏覽FrontPage擴展的網站，不需要此擴展可以禁用。

WebDAV(Web Distributed Authoring and Versioning)

WebDAV擴展了HTTP.1.1通信協議的功能，讓具備適當權限的用戶，可以直接通過瀏覽器、網上鄰居來管理服務器上的webDAV文件夾內的文件。如無必要，應當禁止WebDAV。

3、IIS訪問權限配置

為每個網站配置不同的匿名訪問賬戶，這樣能有效的把網站的權限分隔開。

新建一個匿名用戶：

用戶(右鍵)->添加新用戶

站點(右鍵)->目錄安全性->身份驗證和訪問控制

4 、網站目錄權限配置

目錄有寫入權限，一定不要分配執行權限，當目錄有了寫入權限之后，如果還擁有執行權限的話，黑客上傳木馬后還能執行就會讓服務器成為肉雞。目錄有執行權限，一定不要分配寫入權限，分配執行權限的同時，要保證沒有寫入權限，原理和上述相同，網站上傳目錄和數據庫目錄一般需要分配“寫入”權限，但一定不要分配執行權限，因為網站需要通過后臺來管理數據，包括上傳圖片和文件，因此需要給數據庫和上傳目錄寫入權限。其他目錄沒有特別的權限一般只分配“讀取”和“記錄訪問”權限。

站點(右鍵)->添加->Anonymous1的權限(只允許列出文件夾目錄和讀取權限)

網站上傳點的權限

5 、刪除不必要的應用程序擴展

IIS默認支持.asp、.cdx等8種擴展名的映射，除了.asp之外其他的擴展幾乎用不到。這些拓展加重了服務器的負擔，而且我們知道，沒有限制.asa或者.cer等拓展名，攻擊者可以更改文件后綴突破上傳限制從而得到webshell。

站點(右鍵)->設置如下

配置->刪除.asa和.cer等拓展

只允許管理員控制日志文件

6 、修改IIS日志文件配置

默認的日志不會為我們搜索黑客記錄提供很大的幫助，所以我們必須擴展W3C日志記錄格式。

站點(右鍵)->網站->屬性

7 、防止信息泄露

單引號或者其他特殊字符會使asp頁面產生報錯信息，攻擊者將會獲得網站目錄等敏感信息，因此需要取消asp報錯。

配置->調試

8 、自定義IIS Banner信息

面對攻擊者的端口掃描，我們能做的就是修改banner信息來迷惑攻擊者。

輸入services.msc進入服務控制臺->關閉IIS服務同時找到w3core.dll文件