IIS介绍
IIS是一种Web(网页)服务组件,其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器,分别用于网页浏览、文件传输、新闻服务和邮件发送等方面
1、删除默认站点
IIS安装完成之后会存在一个默认站点,安全性配置较低,可直接删除。
2、禁用不必要的Web服务拓展
ISAPI(InterNET服务器应用程序编程接口)拓展或CGI(通用网关接口)拓展。如果允许未知的ISAPI和CGI拓展在Web服务器上运行,则服务器更容易遭受攻击。
Active Server Pages扩展支持ASP页面功能,假设网站是静态网站,此拓展不必开启。
ASP.Net V1.1 V2.0支持ASP.NET技术开发的aspx动态页面,假设网站是asp,此拓展不必开启。
FrontPage Server Extensions 2002支持管理,创建以及浏览FrontPage扩展的网站,不需要此扩展可以禁用。
WebDAV(Web Distributed Authoring and Versioning)WebDAV扩展了HTTP.1.1通信协议的功能,让具备适当权限的用户,可以直接通过浏览器、网上邻居来管理服务器上的webDAV文件夹内的文件。如无必要,应当禁止WebDAV。
3、IIS访问权限配置
如果IIS中有多个网站,建议为每个网站配置不同的匿名访问账户。
方法:
a. 新建一个账号,加入Guests组
b. “网站属性”--->“目录安全性”--->“身份验证和访问控制”,把“启用匿名访问”处,用刚新建的账户代替默认账户,下图所示。
