Win2K Internet服務器安全構建指南(四)(IIS篇)

　　對于大多數Web站點來說，有匿名訪問或基本認證就足夠了，或者干脆只保留匿名訪問形式。在有些地方，最簡單的往往是最有效的！

　　8、為IIS5中的文件分類設置權限

　　除了在操作系統級別為IIS5的文件設置必要的權限外，還要在IIS管理器中為它們設置權限，以期做到雙保險。一般而言，對一個文件夾永遠也不應同時設置寫和執行權限，以防止攻擊者向站點上傳并執行惡意代碼。還有目錄瀏覽功能也應禁止，預防攻擊者把站點上的文件夾瀏覽個遍最后找到"不忠的壞分子"。一個好的設置策略是：為Web 站點上不同類型的文件都建立目錄，然后給它們分配適當權限。例如：

　　● Scripts目錄：包含站點的所有腳本文件，如cgi、vbs、asp等等，為這個文件夾設置"純腳本"執行許可權限。
　　● BIN目錄：包含站點上的二禁止執行文件，應該為這個文件夾設置"腳本和可執行程序" 執行許可權限。
　　● Static目錄：包括所有靜態文件，如HTM 或HTML，為這個文件夾設置"讀權限"

　　9、全力保護IIS metabase

　　IIS Metabase保存著包括口令在內的幾乎IIS配置各個方面的內容，而且這些信息都以明文形式存儲，因此保護它至關重要。建議采取如下措施：

　　● 把HTTP和FTP根文件夾從%systemroot%下移走
　　● 慎重考慮重新命名Metabase和移動Metabase位置
　　● 安全設置確定Metabase位置的注冊表關鍵字
　　● 審核所有試圖訪問并編輯Metabase的失敗日志
　　● 刪除文件%systemroot%\system32\.netserv\Iissync.exe
　　● 為Metabase文件設置以下權限：Administrators/完全控制，System/完全控制

　　完成IIS配置后對Metabase 進行備份，這時會創建文件夾%systemroot%\system32\inetserv\MetaBack，備份文件就存儲在其中。對于這個地方，要采取如下措施進行保護：

　　● 審核對\MetaBack文件夾的所有失敗訪問嘗試
　　● 為\MetaBack文件夾設置如下權限：Administrators/完全控制，System/完全控制
　　最后，要保護能夠編輯Metabase的工具，步驟是：
　　● 移走文件夾\Inetpub\Adminscripts，這里包含著IIS的所有管理腳本
　　● 將"\program file"文件下的Metaedit.exe 和Metautil.dll移到%systemroot%\system32\Inetserv文件夾下，并調整相應的開始菜單快捷方式。
　　● 審核對\Adminscripts文件夾的所有失敗訪問嘗試
　　● 對執行.VBS文件的%systemroot%\system32\csript.exe設置權限為"Administrators/完全控制"。
　　● 對\Adminscripts文件夾設置權限"Administrators/完全控制"。

原文轉自：http://www.kjueaiud.com