IIS安全设置

IIS安全设置（精选11篇）

IIS安全设置 第1篇

什么是IIS

IIS即因特网信息服务，作为当今流行的Web服务器之一，它提供了强大的Internet和Intranet服务功能，因此，现在采用IIS作为Web服务器软件的单位还是很多的。默认情况下，这些服务器必须允许公众访问其资源。但我们发现，许多单位在防御攻击上的时间花费甚至远远多于维护和提供Web服务的时间。

IIS安全

不过，这里的攻击静悄悄。除非你单位的Web站点成为毁灭性攻击的受害者，或者受到某种恶意代码的注入，一般来说， 会以一种不易觉察的方式攻入你的服务器，这是由于服务器可能收到的绝对通信量造成的。不过，你绝对不会无动于衷的，只要稍作设置，就可以为 的损害制造点儿麻烦，使其无法隐藏其罪恶，而且对你自己来说，也易于发现其行径。本文要介绍的方法会给你的Web服务器日志文件增加点儿安全性。

如果一个 攻击你的Web服务器，或者即使你只是想检查一下其安全状态，那么Web日志将成为你查找信息的首选。默认情况下，你可以在%SYSTEMROOT%/System32/logfiles处找到这些日志文件。

不过，这个位置众所周知，已成众矢之的，因此你应该将日志文件移到一个非系统驱动器上，这个驱动器并没有保存、维护你的Web站点。要改变日志文件的位置，你需要先以管理员身份登录到Web服务器上，你可以遵循如下的步骤：

1. 单击“开始”，找到“我的电脑”，右击，选择“资源管理器”。

2. 找到你想重新放置日志文件的驱动器和文件夹。

3. 也可以在右侧的窗口窗格中右击，选择“新建文件夹”，

4. 为此新文件夹起一个名字(例如，zclIISlogs)，并按下回车键。

5. 单击“开始”/“控制面板”，单击“管理工具”，单击“Internet信息服务(IIS)管理器”。

6. 在你的web站点上右击，选择“属性”。

7. 在“网站”选项卡上，单击“活动日志格式”后的“属性”按钮，弹出“日志记录属性”窗口。在“日志文件目录”下，找到并单击“浏览”按钮，找到刚才创建的用于存储IIS日志文件的文件夹。

8. 单击三次“确定”。

如果用户有多个站点，就需要为每一个站点重复这些步骤。不过，不要忘了你需要手动将以前的日志文件从原来的位置移动到新的文件夹。

既然日志文件已经有了新的位置，你需要为这个目录分配恰当的许可权限。请遵循下面的步骤：

1. 在刚才创建的文件夹上右击，选择“属性”。

2. 单击“安全”选项卡，单击“高级”按钮，弹出新的对话框。

3. 取消选择“允许父项的继承权限传播到该对象和所有子对象。”

4. 这时候会弹出一个警告窗口，单击“清除”。

5. 单击“添加”按钮，单击“高级”按钮，选择“administrators”系统管理员账户，单击“确定”。

6. 单击“administrators”，将其设置为“完全控制”，单击“确定”即可。

结束语

日志文件可以成为我们研究那些试图捣毁Web服务器事件的唯一途径。我们应该改变其位置，对其进行监视，并且能够每天将其传输到一个远离站点的新位置。

IIS安全设置 第2篇

解决IIS4以及之前的版本受到D.O.S攻击会停止服务。 运行Regedit32.exe 在：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesw3svcparameters 增加一个值： Value Name: MaxClientRequestBuffer Data Type: REG_DWORD 设置为十进制 具体数值设置为你想设定的IIS允许接受的URL最大长度。CNNS的设置为256。

2）删除HTR脚本映射。

3）将IIS web server下的 /_vti_bin 目录设置成禁止远程访问。

4）在IIS管理控制台中，点 web站点，属性，选择主目录，配置（起始点），应用程序映射，将htw与webhits.dll的映射删除，

5）如果安装的系统是2K的话，安装Q256888_W2K_SP1_x86_en.EXE。

6）删除:c:Program FilesCommon FilesSystemMsadcmsadcs.dll。

7）如果不需要使用Index Server，禁止或卸载该服务。 如果你使用了Index Server，请将包含敏感信息的目录的“Index this resource”的选项禁止。

利用IIS设置Web服务器 第3篇

1 IIS5.0提供的主要服务

1.1 WWW服务

WWW服务是指在网上发布可以通过浏览器观看的用HTML标识语言编写的图形化页面的服务,即网页服务。IIS5.0运行速度快,安全性高,允许在一台服务器上生成多个虚拟Web站点。

1.2 FTP服务

FTP即文件传输协议。主要用文件上传和下载,它最大的特点是传输速度快且支持断点续传。IIS5.0允许用户设定数目不限的虚拟FTP站点,但每一个虚拟FTP站点必须拥有唯一的IP地址。

1.3 SMTP服务

IIS5.0支持简单邮件传输协议(SMTP)。它允许基于Web的应用程序传送和接收邮件,实现邮件的中继,但如果使网站具有服务器的功能,还要另行安装邮件应用程序(如Exchange 2000 Server等)。SMTP服务需要使用NTFS文件系统。

2 IIS的安装条件

第一,TCP/IP协议。互联网上传输数据的根本协议。

第二,静态IP地址。想利用IIS在Internet上发布内容,IP地址则必须设为静态。

第三,域名。设置域名可以无需记忆IP地址的数字,直接输入域名即可访问Web服务器。

第四,NTFS。利用NTFS可以确保系统更安全。

第五,MicrosoftFrontPage。利用FrontPage可以为Web站点创建编辑HTML页。

3 安装IIS

IIS服务器是windows2000自带的服务。Windows2000 Server在安装时,缺省安装就会把IIS服务器装上。Professional版在安装时,IIS并不是缺省选项,需要手工选择。如果用户主机还没有安装IIS,那么就可以通过“控制面板”中的添加/删除程序->添加删除windows组件来安装IIS服务。

4 建立Web服务器

成功安装IIS后,可使用Web服务功能。Web服务提供了创建与维护网站、回复用户使用浏览器连接互联网请求的服务。在Internet上发布的信息都要通过这种服务器来完成。IIS支持多个Web站点,它有一个默认的Web站点,用户可以配置默认Web站点,或利用“Web站点创建向导”创建一个新站点,分别进行不同主题信息发布。每一个Web站点在内容上都有自己的主题,以便访问者根据不同主题快速进行信息查找。

4.1 建立第一个Web站点

如本机IP地址为210.31.179.60,自己的网页放在“E:目录”目录下,网页的首页文件名为“人物整体.htm”,现在想根据这些建Web服务器。对于此Web站点,用现有的“默认Web站点”来做相应的修改后,就可轻松实现。先在“默认Web站点”单击右键,选“属性”,进入名为“默认Web站点属性”设置界面。

第一,修改绑定IP地址。转到“Web站点”窗口,在“IP地址”后的下拉菜单中选择本机IP地址“210.31.179.60”。

第二,修改主目录。转到“主目录”窗口,在“本地路径”输入自己网页所在的“E:目录”目录。

第三,添加首页文件名。转到“文档”窗口,输入网页的首页文件名“index.htm”。

第四,添加虚拟目录。如主目录在“E:目录”下,而你想输入“210.31.179.60/test”的格式就可调出“E:All”中的网页文件,这里面的“test”就是虚拟目录。请在“默认Web站点”上单击右键,选“新建→虚拟目录”,依次在“别名”处输入“test”,在“目录”处输入“E:All”后再按提示操作即可添加成功。

虚拟目录是指除了主目录以外的其他站点发布目录。用户要想主目录以外的目录发布信息,必须创建虚拟目录。

第五,效果测试。打开I E浏览器,在地址栏输入“210.31.179.60”之后再按回车键,此时能够调出网页的首页,则说明设置成功。

4.2 添加更多的Web站点

4.2.1 多个IP对应多个Web站点

如果本机已绑定多个IP地址,想利用不同IP地址进入不同Web页面,则只需在“默认Web站点”处单击右键,选“新建→站点”,然后根据提示在“说明”处输入任意用于说明它的内容,在“输入Web站点使用的IP地址”的下拉菜单处选中需给它绑定的IP地址即可。当建立好此Web站点之后,再按上步的方法进行相应设置。

4.2.2 一个IP地址对应多个Web站点

当按上述方法建好Web站点后,对于做虚拟主机,可通过给各Web站点设不同端口号来实现,如给一个Web站点设为80,一个设为81,一个设为82……,对于端口号是80的Web站点,访问格式仍然直接是IP地址就可以,而对于绑定其他端口号的Web站点,访问时必须在IP地址后加上相应端口号。显然,改端口号之后使用起来就麻烦些。如果采用在DNS服务器中将所有需要的域名映射到惟一的IP地址,设不同“主机头名”的方法,就可直接用域名来完成对不同Web站点的访问。如本机只有一个IP地址为210.31.179.60,已经建立(或设置)好了两个Web站点,一个是“默认Web站点”,一个是“第二个Web站点”,用户想输入“www.people.com”可直接访问前者,输入“www.works.com”可直接访问后者。其操作步骤如下。

第一,确保DNS服务器中将这两个域名都已映射到IP地址上;并确保所有的Web站点的端口号均保持为80。

第二,依次选“默认Web站点→右键→属性→Web站点”,单击“IP地址”右侧的“高级”按钮,在“此站点有多个标识下”单击IP地址后再按“编辑”按钮,然后在“主机头名”下输入“www.people.com”->“确定”,保存退出。

第三,按上述方法为“第二个Web站点”设新的主机头名为“www.works.com”即可。

最后,打开IE浏览器,在地址栏输入不同的网址,就可显示不同Web站点的内容。

4.3 多个域名对应同一个Web站点

先将某个IP地址绑定到Web站点上,再在DNS服务器中,将所需域名全部映射向这个IP地址,则在浏览器中输入任何一个域名,都会直接得到所设置好的那个网站的内容。

5 用IIS发布网页

右键单击“默认Web站点”,选择“属性”出现“默认Web服务”属性界面,选择“主目录”页面。在这个页面可以看到“本地路径”的输入框。该输入框是用做指定已制作好的网页所在位置的。将目录指定好后,如果网站首页是index.htm,那么就可以在内部网的主机上用I E浏览到发布的网站了,方法是在IE地址栏中输入IIS主机的IP地址。

6 配置Web服务器扩展属性

服务器扩展站点的最大优点是它不但允许其他用户访问该站点的内容,而且还允许其他用户在站点中创建Web页,这增强了站点的灵活性和交互性。要创建服务器扩展站点,步骤如下。

第一,在控制台目录树中,展开服务器节点。右键单击“默认Web站点”或者其他新建Web站点节点,从弹出的快捷菜单中选择“新建”→“服务器扩展站点”命令,弹出“新建子站点向导”对话框。

第二,单击“下一步”按钮,弹出“子站点名称”对话框,在“目录名称”文本框中输入子站点的目录名称,在“标题”文本框中为子站点输入一个标题。

第三,单击“下一步”按钮,弹出“访问控制”对话框。要使用与父站点相同的管理员,就选择“使用与父站点相同的管理员”按钮,否则选择“对此站点使用另一个管理员”按钮。

第四,单击“下一步”按钮,弹出“完成新建子站点向导”对话框。单击“完成”按钮,即可完成新子站点的创建。

IIS功能强大,创建Web服务器简单方便,它使得用户在网络(包括互联网和局域网)上发布信息成为一件很容易的事,并且还可以让互联网上的用户浏览到自己计算机上的主页。因此,学会利用IIS创建Web站点大有益处。

摘要：Internet网资源丰富,相应的Web服务器也是多种多样。Microsoft推出的Internet信息服务IIS(Internet Information Server),此组件可以很容易将信息和业务应用程序发布到Web,是当今使用最广泛的Web服务器之一。IIS功能强大,具有与操作系统集成并采用Microsoft产品的用户界面,而且开发方法简单。本文主要介绍如何利用IIS将PC机设置成一个Web服务器。

关键词：IIS,Web服务器,Web站点

参考文献

[1]资讯教育小组编(北大宏博改编).IIS5.0中文版网站规划与架设实务[M].北京大学出版社,2001.

[2]精锐创作组.Windows 2000 Server&IIS5.0架站解决方案[M].人民邮电出版社,2001.

安全密码的设置 第4篇

一、选择可靠的加密方式

信息在本地存储的安全性要远远高于网络存储，因此秘密信息应采用本地存储，并选择可靠的加密方式进行保护。可靠是指：

1.加密算法安全

使用那些采用强加密算法的软件进行加密，使其无法被暴力破解，如RAR3.0，7z压缩，而office2007之前的版本则不安全。

2.程序安全

程序自身没有安全漏洞，攻击者不能采用绕过密码等方式读取或破译文件，如windows系统，就能够通过外接方式绕过登录密码直接读取文件。

二、密码设置避免弱口令

1.密码口令的位数应在8～12位

如果攻击者使用暴力破解方式，以现在的计算速度，8位以下的密码都是不安全的，破解的时间会非常短，单机在几天甚至几分钟即可完成破解。

2.使用字母、数字、符号混合方式组合密码

密码口令不能由单一字母或数字组成，在程序允许的范围内应尽量使用混合组合的方式，如id*jo20I（DJO2K6^A，就是强度很高的密码，可以大幅提高暴力猜解的难度。

3.避免使用有规律的字母和数字组合

类似APPle20111221这样的密码，由于使用了“单词+年份”的组合方式，虽然对穷举式暴力破解的安全性较高，但极有可能被一些破解字典收录。

4.密码设置不要与个人信息明显关联

不要使用本人及家人的姓名、车牌号、手机号、身份证号、工号、生日等易获取的常用信息组合密码，攻击者会通过收集这些信息以后生成字典攻击。

三、密码设置要方便使用

1.组合方式要方便输入

如果把密码弄得很复杂，虽然一定程度提高了安全性，但是自己平时输入就很不方便，如频繁切换大小写、数字、符号的组合会更为安全，但这样会给输入密码带来很大的麻烦。事实上，真正需要经常用到密码口令的人只有用户自己，如果不设计得更加合理，符合个人操作习惯，只会增加使用者负担。

2.密码设计要方便用户记忆

从安全角度出发，使用毫无规律的随机组合作为密码可以完全避免字典攻击，类似于前面所提到的那个密码id*jo20I（DJ02K6^A，这样的口令组合确实安全性很高，但这种随意的组合的方式也会让使用者本人难于记忆，一个使用者无法记住的密码是没有任何意义的。

3.平衡密码安全和使用方便

既要密码安全，又要使用方便，那么在设计密码时，就要尽量含有各种组合，同时不要频繁切换，英文字母可以用有意义的汉语拼音首字母来辅助记忆，如这样一组密码hlj407@MMPJ704，含有大小写和特殊字符、数字共14位，从暴力破解和字典角度看都是强密码，使用时可以根据黑龙江拼音首字母，407房间，密码破解拼音首字母辅助记忆。

四、按需求分组使用密码

从安全角度，不同应用要设置不同密码，但在实际使用中，特别是互联网上我们要使用大量的密码，如果每一组密码都不同，想要记得住是不现实的，因此最有效的办法，是在安全方便的原则下，按照应用的环境将密码分组使用，同组使用相同密码。如可分极强、强、中、弱、极弱五个等级。极强密码只在本地使用，保护特别重要信息；强密码可以用来保护支付宝等安全性很高的应用，中等密码保护QQ等重要应用，弱密码日常论坛使用，极弱密码作为临时注册账户等非重要应用。

五、养成良好的密码使用习惯

1.不使用任何形式的保存密码

很多浏览器和软件提供保存密码服务，他们将密码以各种形式保存在本地硬盘，的确可以方便用户使用，却是极不安全的。

2.按时升级杀毒软件和防火墙

无论你密码设计得多么安全，如果感染了木马和病毒，攻击者都可以轻易地将其窃取。

3.不在公共计算机使用强密码

网吧等公共计算机的安全性是没有保障的，为避免损失，不要在公共计算机登录使用强密码保护的任何应用。

4.定期更换密码

密码应按照强度和使用情况定期更换，中等强度密码一年左右为宜，极弱密码可以长时间不换。

IIS安全设置 第5篇

IIS6与IIS5有着很多不同之处，不一一列举，也不是我一个脑袋可以装下的东西。都在资料上！

IIS6有一个非常不方便的东西，就是他限制了在线上传不得大于200K，如何修改，请看： 首先停用IIS服务，> 服务 > iis admin service > 停用

C:windowssystem32inetsrv metabase.xml 文件 用记事本打开它

找到 ASPMaxRequestEntityAllowed 处。默认为 204800 即 204800字节(200K)修改为想要的数字如： 2048000 [2M] 保存，重启IIS服务即可！设置基本参数

打开IIS管理器 > 网站 > 属性 > 网站 > 启动日志记录 > 关闭

主目录 > 配置 > 应用程序扩展 > 只保留 asp,asa 主目录 > 配置 > 选项 > 启用父目录

主目录 > 配置 > 调试 > 向客户端发送文本错误消息

网站 > 自定义错误 > 全部改成默认值 [上一章已经删除IIS使用的错误信息页面] IIS管理器 > WEB服务扩展 > 启用 Active Server Pages 注：停用IIS默认站点，切勿删除，有可能会造成IIS的不稳定。站点的建立将在第四节中详细介绍。IIS支持PHP的配置

http:// 默认安装至 D:w3JMail4_35434fnald [同样，复杂的目录名]

安装完成后只需单一设置 jmail.dll 权限，加入IIS用户组默认权限即可！SQL Server 2000 的安装与配置

目前SQL Server 2000 SP4 在我看来已算比较安全，已没有SP3等版本会因为 sqlstp.log, sqlsp.log而泄露

安装信息的问题。当然也建议在安全后 检查 :Program FilesMicrosoft SQL ServerMSSQLInstall

IIS安全设置 第6篇

而且有些域名在国外，转发更是用不了，也只能进行301永久重定向了，不然搜索引擎是把不带www的站和带www的站分开对待的，只是我们习惯于用带www的域名罢了。

在网络上看了些教程，再根据自己的实践，也终于搞定了IIS服务器上的301永久重定向设置问题。实现方法如下：

1.新建一个站点，对应目录如E:wwwroot301web。该目录下只需要1个文件，即index.html或者加个404.htm。绑定要跳转的域名，

2.在IIS中选中刚才我们建立的站点，右键，属性，主目录，选择重定向到，输入网址如：www.xxxx.com，同时注意选中下面的资源的永久重定向选项。如下图：

3.到此，我们已经完成了将xxxx.com这个域名301重定向到www.xxxx.com的工作。

注意问题：

“上面输入准确的 URL(X)”这个选项建议不要选。

不选的结果是：

当输入xxxx.com转到了www.xxxx.com，

当输入xxxx.com/sanwen/suibi/时，转到了www.xxxx.com/sanwen/suibi/，

选上的结果是：

当你输入xxxx.com或者xxxx.com/sanwen/suibi/都会转到www.xxxx.com。

好了，如果只是想把不带www的转到带www的或者其他没有用过的域名转到正在使用的域名，这样就可以了。但是如果你要的域名已经做过网站，想要把权重传递给新网站，可以参考下面这个方法：

第一步同上，主要是第二步，如图：

注意红色字体的部分，在重定向到地址的后面多了$S$Q字符，即写成了www.xxxx.com$S$Q。“上面输入准确的 URL(X)”这个选项也打了勾。

对于$S$Q字符，这里解释一下：

$S 将请求的URL 的后缀传递给新的URL。后缀是用重定向的URL 代替之后，初始URL 中所保留的部分。

如果未设置 EXACT_DESTINATION 标志，则结果目标URL 的名称将具有所请求文件的名称(作为文件夹名称)以及文件名本身。

$Q 将初始URL 中的参数(如 querystring 参数)传递至新的 URL，包括问号(?)。

如果不加上$S$Q字符的话，内页的301都会跳转到首页，加上$S$Q字符的目的就是内页也能准确的跳转到新域名的对应内页。

好了，这样就完成了301永久重定向的设置，设置好之后最好能测试下是否返回的是301值，

IIS安全设置 第7篇

第一：也是网站安全的第一步。我们选定一个盘符专门用户放网站。我们首先吧这个盘的权限设置下。比如说是D盘.我们右击“D盘”—“属性”如图：

我们只要上面两个用户的权限一个是”administrator””和”system”这两个用户其他的都删除掉。然后“确定“这一步骤可以说成一个盘符的整体权限设置吧，然后我们在D盘里面建立一个目录命名为”web” 然后我们在WEB里面建立一个目录名字为“HTIDC-phpMyAdmin”。

目录我们是建立好了。下面我们来说下用户的建立。首先我们建立一个用户组。作用是把我们的网站用户全部添加到这个组里面。方便我们对网站用户的管理，建立方法。右击“我的电脑”---“管理”---“本地用户和组”---“组”如下图

然后我们右击右边空白处---然后“新建组“如下图：

打开后出现建立组对话框如下图：

在组名里面我们输入“iisuser”描述里面写入“网站用户组”然后点击“添加”然后“创建”这样我们网站用户组就建立好了。下面我们来建立网站用户; 右击“我的电脑”---“管理”---“本地用户和组”---“用户”如下图

然后我们右击右边空白处。右击后效果图：

点击“新建用户”出现新建用户对话框如下图：

在用户名处我们输入密码，在用户不能更改密码和密码永不过期“前面打勾，然后点击创建。

下面为我们刚建立的用户添加到开始我们建立的iisuser组里面。如下图：

右击我们刚建立的用户：然后点击“属性“打开用户属性对话框如下图：

首先我们需要先吧USERS这个组给删除，

然后“确定“然后在点击”添加“打开添加组对话框如下图;

点击高级出现如下图：

点击“立即查找”然后找到我们刚才建立的组名字“iisuser”然后点击”确定“--”确定“--”确定“在这里需要点击三次确定。就可以把用户luyouqiwo.com添加到iisuser组里面了。

下面我们吧我们刚才建立的用户添加到我们网站里面。网站的建立我们在这里就不多说了。不懂的朋友请参看iis网站发布图文教程以及设置(秒杀菜鸟)

下面我们直接设置网站的权限。我们打开IIS资源管理器如下图：

右击我们建立的网站然后选择“权限”打开网站权限这只对话框：

然后点击“添加”打开添加权限对话框;

然后点击高级如下图：

点击“立即查找”然后选择我们刚才建立的用户名。然后点击“确定“在点击一次确定出现如下图：

选择“列出文件夹目录”“读取”“写入”然后确定。这几个权限需要根据网站的需要来设置的。有的站设置的权限可能更大一些。需要添加上修改的权限。看情况而定了。

我们来进行下一步操作。在IIS管理器里面右击我们的站点然后选择“属性打开属性对话框如下图：

打开网站属性对话框如下图：

在这里选择“目录安全性“标签然后点击”编辑“打开身份验证对话框如下图：

然后我们点击浏览如下图

点击“高级”如下图：

选定我们刚才建立的用户然后“确定”然后在“确定”一次出现如下图：

我慢看到了。用户名已经变成我们刚才选定的用户了。。我们只需要在密码框中输入这个用户的密码然后点击“确定”这时候会弹出来让我们在输入一次密码。然后我们在”确定“两次就可以了如下图：

强化IIS8.0安全性 第8篇

IIS信息服务器在网络上应用的很广泛, 很多网站都是基于其管理和发布的, 正因为如此, IIS服务器也成了黑客重点攻击的目标。因此, 提高IIS服务器的安全性, 是保证网站安全运行的基本条件。对于Windows Server 2012中提供的IIS 8.0来说, 其拥有多层次的安全体系结构。例如, 但客户端访问Web网站时, 客户端将访问请求发送给服务器, 服务器将处理结果发送回客户端, 完成客户端和服务器的交互过程。实际上, 对于该过程, 从安全控制角度来看, 可以划分为不同的层级。

例如, 从IP层面来说, 可以设置是否允许客户端访问Web网站。当某客户端在规定的时间内连续访问服务器, 就会被服务器视为可疑用户, 通过将其放置到黑名单中, 该用户就无法继续访问服务器。从HTTP以及HTTPS层面来说, IIS就可以通过设置特定的HTTP/HTTPS协议的特性, 对用户的访问进行管控。例如, 可以限制用户使用Get, Post, Put等方式提交数据, 来有效保护服务器安全。从IIS层面来说, 可以设置相关的身份验证协议, 来检测客户端是否是合法的用户。从业务程序层面来说, 同样可以限制用户的访问权限。例如当用户访问网站上的开设的论坛时, 就会按照身份的不同, 被划分到管理员预设的不同的账户组中, 用户只能在规定的权限内, 对资源进行访问。

当然, 要提高IIS的安全性, 必须保证安装好启用了对应的功能。在WindowsServer 2012中打开服务器管理器, 点击“添加角色和功能”项, 在向导界面中的“角色”列表中打开“Web服务器 (IIS) ”→“Web服务器”→“安全性”分支, 在其中选择所有的功能项 (如图1) 。点击安装按钮, 执行安装操作。

打开IIS管理器, 在其中可以针对服务器级别或者具体的网站, 执行所需的安全设置。例如, 选择某个网站, 从IP层面设置其安全属性的话, 在窗口中部双击“IP地址和域限制”项, 在右侧点击“编辑功能设置”链接, 在弹出窗口中可以看到, 在默认情况下, 没有指定的限制条件的客户端都是可以访问该网站的。点击“添加拒绝条目”链接, 在弹出窗口中可以设置特定的IP地址或者地址段。这样, 这些IP客户端将无法访问服务器。

点击“编辑动态限制设置”链接, 在弹出窗口中选择“基于并发请求数量拒绝IP地址”项, 在其下可以设置并发连接的数量。当客户端在特定的时间内并发访问次数超过该值后, IIS就会视为恶意的请求并对其进行拦截, 选择“基于一段时间内的请求数量拒绝IP地址”项, 在其下可以设置特定的时间段以及最大的请求数量。如果客户端违法了该设置, 同样会被IIS视为恶意请求。

从HTTP/HTTPS层面来说, 可以在窗口中部的“IIS”栏中双击“请求筛选”项, 在“文件扩展名”面板右侧点击“拒绝文件扩展名”链接, 在弹出窗口中输入特定的扩展名 (例如“.asa”) , 这样当客户端试图在浏览器地址栏访问该类型的文件 (例如“http://www.xxx.com/form/1.asa”等) , IIS就会返回“HTTP错误404.7-Not Found”之类的错误信息, 拒绝用户访问这类文件。

在网站结构中, 存在各种目录和文件。当不希望用户查看和访问某些目录和文件时, 可以在“隐藏段”面板右侧点击“添加隐藏段”连接, 输入对应的文件和目录名称, 就可以实现上述目的。对于黑客来说, 经常使用SQL注入的方式, 对SQL数据库进行攻击。其原理是利用SQL Server数据库的一些漏洞, 通过构造和提交特定的URL地址, 来注入相关的信息, 对数据库进行渗透。为此, 可以在“URL”面板右侧点击“拒绝序列”项, 在其中窗口中输入对应的URL, 例如“/Default.aspx?jobid=1'or'1'='1”等。这样, 当黑客提交这样的URL时, 就会遭到IIS的拦截。当然, 也可以添加特定的目录和文件路径 (例如“/admin/index.asp”) , 当用户试图访问这些受限制的路径时, 服务器就会返回“HTTP错误404.5–NOT Found”之类的警告信息。

在“HTTP谓词”面板中点击“拒绝谓词”链接, 在弹出窗口中输入对应的谓词 (例如‘Post”) , 这样, 当用户在对应页面中输入所需内容, 点击“提交”按钮后, 服务器就会返回“HTTP错误404.6-Not Found”之类的警告信息。当用户访问目标网站时, 在发送的数据包中存在一些标头信息, 例如“Host”, “ACCEPT”, “C O N T E N T-T Y P E”, “SET-COOKIE”等。在对应标头后面跟随对应的数据信息, 例如在“ContentLength”标头后面跟随数据包内容的长度等。如果黑客使用专用工具拦截了数据包内容, 并对其标头信息进行了修改 (例如写入超长数据) , 之后将该数据包发送给服务器, 就很容易造成服务器发生溢出问题, 给黑客入侵带来了可乘之机。

在“标头”面板右侧点击“添加标头”链接, 在弹出窗口中的“标头”栏中输入具体的标头名 (例如“Host”) , 在“大小限制”栏中输入其数据的大小 (例如“9”) 。这样, 如果用户提交的数据包中“Host”标头的数据长度超过该值, 服务器就会返回“HTTP错误404.10-Not Found”之类的错误信息。在网站中可以设置查询栏, 允许用户查询所需的内容。为了防止用户输入提交非法数据, 可以对其进行必要的限制。在“查询字符串”面板右侧点击“拒绝查询字符串”链接, 在弹出窗口中需要拒绝的内容。这样, 当用户在网站页面中查询限制的内容时, 服务器就会返回“HTTP错误404.18-Not Found”之类的错误。

实际上, 在“规则”面板中, 可以对各种限制条件进行集成处理。在右侧点击“添加筛选规则”链接, 在弹出窗口中输入规则名称, 选择“扫描url”和“扫描查询字符串”项, 在“扫描标头”, “文件扩展名”以及“字符串”栏中输入对应的内容, 针对的特定的标头, 允许访问特定的文件扩展名, 拒绝访问特定的字符串。除了使用请求筛选保护HTTP/HTTPS访问之外, 还可以使用授权规则来强化安全性。在“IIS”栏中双击“授权规则”项, 可以看到存在默认的授权规则。点击右侧的“编辑”链接, 可以查看其属性, 了解到其允许所有的用户进行访问。

当然, 可以添加所需的拒绝访问规则。点击右侧的“添加拒绝访问”项, 在弹出窗口 (如图2) 中可以选择限制的用户类型, 包括所有用户, 所有匿名用户, 指定的角色或者用户组, 指定的用户等。例如当使用了基本身份验证模式后, 当用户访问网站时, 就需要输入账户名和密码, 通过认证后, 才可以浏览网站。例如, 当需要对用户“fwyongh”进行控制, 可以选择“指定的用户”项, 输入“fwyongh”, 选择“将此规则应用于特定谓词”项, 输入“Get”谓词。这样当该用户在网页中查询内容, 执行提交操作时, 服务器就会返回“HTTP错误401.2-Unauthorized”之类的错误信息, 说明该用户的访问收到了服务器的限制。同请求筛选相比, 授权规则可以将系统账户和HTTP/HTTPS特定的谓词进行关联, 让指定的用户只能访问允许的谓词, 来使用HTTP/HTTPS协议中相应的属性。使用授权规则和请求筛选, 可以在HTTP/HTTPS层面有力的保护IISS服务器的安全。

使用相关的身份验证协议, 可以从IIS层面上提高安全性。在“IIS”栏中双击“身份验证”项, 可以看到起提供了各种身份验证模式 (如图3) 。启用的匿名身份验证方式, 允许所有用户访问Web服务器。

当然, 您可以根据需要对其进行控制。例如点击右侧的“编辑”按钮, 可以看到与其对应的是名为“IUSR”账户。点击“设置”, 可以将其更改为别的用户。以“IUSR”账户为例, 打开网站根目录中的属性窗口, 在“安全”面板中点击“编辑”按钮, 在“组或用户名”列表中选择“IIS_IUSRS”账户, 在权限列表中的“拒绝”列中选择读取和执行, 列出文件夹内容, 读取等项目。保存配置信息后, 当以匿名方式访问网站时, 服务器就会返回“H T T P错误401.3-Unauthorized”的错【上接第132页】误提示。

对于ASP.NET模拟方式来说, 会使用IIS应用程序池使用的标识信息进行验证。使用Windows身份验证, 会将访问者的账户名和密码提交给IIS服务器, 并将其密码进行加密处理。之后服务器会验证该账户身份合法性, 如果验证通过, 就可以访问服务器, 这适用于内部的或者加入域的客户端。对于基本身份验证来说, 当用户访问时, 需要输入对应的账户名和密码, 这些内容会以Base64方式进行加密, 之后将其提交给服务器。不过这种加密方式安全性很低, 为了安全起见, 需要将其和SSL加密结合起来使用, 其适用于未加入域或者外部的客户端。

怎样设置密码才安全？ 第9篇

1．最危险的密码

①用户名和密码相同；

②使用生日、身份证、英文、昵称、姓名拼音、公司名或部门名作为密码；

③使用英文单词或短信作为密码，比如superman、imissyou等：

④使用2222、bbbb这种简单的组合：

⑤单独使用数字；

⑥使用连续的数字或英文，比如654321，opqrst。

经过测试，像使用1111这类密码加密的DOC文档，瞬间就被Advanced Office PaSSWOrd Recov-ery暴力破解掉，而用2222作为密码的RAR文档，在RARKey的“暴力”面前同样不堪一击。对于superman这样的单词，只要加上适当的字典，都可以瞬间秒杀!

2．密码的设置技巧

知道了什么样的密码很差，那么我们需要注意些什么呢?

①密码越长越好，最短也要在8个字符；

②最好不要有明显含义，不要使用生日、电话、身边亲友的名字的缩写等；

③要能够记住，如果连你自己都没办法记住，也就失去了密码的意义；

④最好使用英文、数字、特殊字符交错的密码；

⑤尽量不要将密码记在纸上，可以保存到文件中，如果实在需要，可以将密码“加密”后保存；

⑥一般只使用多个密码，重要系统使用不同密码。

3．弄出好密码的小技巧

0123456789

OINMAVGTBP

oizwtfbseq

上面这些数字和下面的字母是不是很像?这样当你想用全是数字密码的时候，就可以考虑一下字母、数字混编了。而且就像是存折这类纯数字密码，如果怕忘了，记到纸上的时候只是一个单词或是字母的话，相信也没有人会去多想什么。

ABCDEFGHUKLMNOPQ…

简单的换位，就可以将将原本简单的一句话变得面目全非。而且移动的位数全由你定。比如移动四位，将F变成B，将A变成W等等。如果和上面的技巧合用的话，相信没人能看懂你记在纸上的密码了。

按照键盘上的排列规则，就可以把英文字母向上或往下移一排，就可以变成一个全新的密码了。把C变成D，把J变成M，是不是更难让人想到?

Harry Potter and the Prisoner of A zkaban

↓↓↓↓↓↓↓

H P a t P o A

HPatPoA，可和HP没什么关系，这种密码有人知道是什么吗?至于原型，就是《哈利波特3》中名字的首字母。

数字变符号，用Shift加上數字键，可以将数字键变成特殊字符，比如123! @#这样的组合密码。

IIS安全设置 第10篇

自从装了番茄花园的XP后，就发现问题一大堆，

首先是本地的几个站点不能正常运行，提示错误信息是时间格式错误。以前可以现在不行？看了一下，好象是多了一个“上午/下午”字符串。

网络上找了相关资料如下：

修改注册表

HKEY_USERS/.Default/Control Panel/International

HKEY_CURRENT_USER/Control Panel/International

iTime = 1

对应键值为HKEY_LOCAL_MACHINE“SOFTWARE”Microsoft“OLEAUT(OLEAUT有可能不存在,那就自己创建一个)

在该键下创建一个DWORD值 VarConversionLocaleSetting = 2

注：DWORD值在中文注册表编辑器里叫”双字节值“

操作完毕重新启动计算机...OK。

其他：为什么这个DWORD值为2呢?其实他有0,1,2值

0 －默认值,就是当前值。

1 －默认为HKEY_USERS”.default“Control Panel”International注册表配置单元中的系统默认设置,如果你的系统日期格式已经不标准了,那就还是相当于当前值。

2 －此格式被强制为使用系统默认的区域设置。

试过了，上面的方法都不行。不知道是不是我没有理解其中的精华。

想起自己以前用优化大师，在日期前面加了诸如“好好学习”的字样，是不是在优化大师也可以解决这个问题？

在个性设置里面删除“上午/下午”，重起。

还是不行。

但我终究还是搞定了的，不然也不会说了那么一堆的废话了。

“控制面板”- “日期、时间、语言和区域设置”- “更改数字、日期、和时间的格式” – “区域选项”- “自定义” – 时间

时间格式：HH:mm:ss (具体什么意思，上面有)

日期格式：yyyy-M-d

你可以试试换成其他的格式来看看效果，

下面一段Code用来检测格式规范与否的。

IIS时间格式检验脚本：

<%

tnow = now:oknow = cstr(tnow)

if oknow year(tnow) & “-” & month(tnow) & “-” & day(tnow) & “ ” & hour(tnow) & “:” & right(FormatNumber(minute(tnow)/100,2),2) & “:” & right(FormatNumber(second(tnow)/100,2),2) then know = oknow & “ (日期格式不规范)”

%>

服务器时间： <%=oknow%>

------------------------------------------

再次碰到此问题，经测试后，发现。上面通过在“日期、时间、语言和区域设置”里面设置是无效的。

采用上面提到的：

对应键值为HKEY_LOCAL_MACHINE“SOFTWARE”Microsoft“OLEAUT(OLEAUT有可能不存在,那就自己创建一个)

在该键下创建一个DWORD值 VarConversionLocaleSetting = 2

重启IIS，就OK了。

重启IIS:

开始 - 运行

net stop iisadmin

IIS安全设置 第11篇

完全版(full)与简化版(lite)的最大的区别在于可以让每个站点自定义url重写规则(rewrite rule)，也就是只要将写好的httpd.ini放在站点根目录，就能使用了，

安装说明:下载后可以解压出 isapi_rewrite.dll ，httpd.ini 这两个文件放到某个文件夹下面，然后在 iis 站点属性的 isapi 中加载 isapi_rewrite.dll就可以了, httpd.ini是配置文件里面有例子。如果加载不成功的话 请给 isapi_rewrite.dll安全属性为完全。

2、在“iis管理器”里选择网站，右键，属性。

3、选择“isapi”，点击“添加”。

4、填入筛选器名称，如“rewrite”。

5、可执行文件下方点击“浏览”，选择刚才解压的rewrite组件位置，rewrite.dll。

6、确认选择正确后，点击“确定”。

7、点击“确定”，完成筛选器添加。

8、重启iis。

9、重启iis后，再次选择站点，右键，属性，看到如下所示向上的绿箭头，说明 iis rewrite 成功添加并运行。

iis rewrite 规则设置

解压后的 iis rewrite 组件目录(如 c:rewrite)中，有一个 httpd.ini 文件，将相应规则写入到这个文件中即可。

1. 安装重写插件rewrite.dll

如果你的 iis 服务器加载过 rewrite.dll 则可以不用下载。

rewrite.dll文件：百度搜索关键字:rewrite.dll 下载

加载 rewrite.dll

在 iis 的 isapi 上添加筛选器

筛选器名称为：re

可执行文件选择 rewrite.dll 就可以了!

2. 配置 httpd.ini

打开你的httpd.ini,找到

[isapi_rewrite]

# 3600 = 1 hour

cacheclockrate 3600

repeatlimit 32

# protect httpd.ini and httpd.parse.errors files

# from accessing through http

rewriterule ^(.*)/archiver/([a-z0-9-]+.html)$ $1/archiver/index.php教程?$2

rewriterule ^(.*)/forum-([0-9]+)-([0-9]+).html$ $1/forumdisplay.php?fid=$2&page=$3

rewriterule ^(.*)/thread-([0-9]+)-([0-9]+)-([0-9]+).html$ $1/viewthread.php?tid=$2&extra=page%3d$4&page=$3

rewriterule ^(.*)/profile-(username|uid)-(.+?).html$ $1/viewpro.php?$2=$3

以上是 discuz!官方提供的配置代码，注意正则格式，

3. 应用

比如，将read.php?bl_id=123&bu_id=456 伪静态成 /html/123/456.html

可以这样写：

rewriterule ^(.*)/html/([0-9]+)/([0-9]+).html$ $1/read.php?bl_id=$2&bu_id=$3

要使你的iis服务器支持伪静态重写，按以下步骤来：

1. 安装重写插件rewrite.dll

如果你的 iis 服务器加载过 rewrite.dll 则可以不用下载。

加载 rewrite.dll

在 iis 的 isapi 上添加筛选器

筛选器名称为：re

可执行文件选择 rewrite.dll 就可以了!

2. 配置 httpd.ini

打开你的httpd.ini,找到

[isapi_rewrite]

# 3600 = 1 hour

cacheclockrate 3600

repeatlimit 32

# protect httpd.ini and httpd.parse.errors files

# from accessing through http

rewriterule ^(.*)/archiver/([a-z0-9-]+.html)$ $1/archiver/index.php?$2

rewriterule ^(.*)/forum-([0-9]+)-([0-9]+).html$ $1/forumdisplay.php?fid=$2&page=$3

rewriterule ^(.*)/thread-([0-9]+)-([0-9]+)-([0-9]+).html$ $1/viewthread.php?tid=$2&extra=page%3d$4&page=$3

rewriterule ^(.*)/profile-(username|uid)-(.+?).html$ $1/viewpro.php?$2=$3

以上是 discuz!官方提供的配置代码，注意正则格式。

3. 应用

比如，将read.php?bl_id=123&bu_id=456 伪静态成 /html/123/456.html

可以这样写：

rewriterule ^(.*)/html/([0-9]+)/([0-9]+).html$ $1/read.php?bl_id=$2&bu_id=$3

再例：

123.php?id=123

123/id/123

rewriterule ^123/id/([0-9][0-9][0-9])/$ /123.php?id=$1

or

rewriterule ^123/id/([0-9]+)$ /123.php?id=$1

pw的规则:[isapi_rewrite]

rewriterule ^(.*)-htm-(.*)$ $1.php?$2

rewriterule ^(.*)/simple/([a-z0-9_]+.html)$ $1/simple/index.php?$2

注：比如互动百科的伪静态，设置方法和这些都是差不多的，学会这个方法了其它的一些系统的伪静态设置都是差不多的，不同的可能就是伪静态的规则设置会不一样。

个人备注:

这里的$1, $2, $3就是前一个表达式的匹配值

比如: