iis服务器安全设置（IIS安全配置）

今天给各位分享iis服务器安全设置的知识，其中也会对IIS安全配置进行解释，如果能碰巧解决你现在面临的问题，别忘了关注本站，现在开始吧！

本文目录一览：

• 1、web服务器安全设置
• 2、怎样维护IIS安全和服务器安全
• 3、服务器有哪些安全设置？
• 4、如何来配置iis服务器加强安全
• 5、IIS高能性服务器安全设置的重要性是什么？

web服务器安全设置

Web服务器攻击常利用Web服务器软件和配置中的漏洞，web服务器安全也是我们现在很多人关注的一点，那么你知道web服务器安全设置吗?下面是我整理的一些关于web服务器安全设置的相关资料，供你参考。

web服务器安全设置一、IIS的相关设置

删除默认建立的站点的虚拟目录，停止默认web站点，删除对应的文件目录c:inetpub，配置所有站点的公共设置，设置好相关的连接数限制， 带宽设置以及性能设置等其他设置。配置应用程序映射，删除所有不必要的应用程序扩展，只保留asp，php，cgi，pl，aspx应用程序扩展。对于php和cgi，推荐使用isapi方式解析，用exe解析对安全和性能有所影响。用户程序调试设置发送文本错误信息给客户。

对于数据库，尽量采用mdb后缀，不需要更改为asp，可在IIS中设置一个mdb的扩展映射，将这个映射使用一个无关的dll文件如C:WINNTsystem32inetsrvssinc.dll来防止数据库被下载。设置IIS的日志保存目录，调整日志记录信息。设置为发送文本错误信息。修改403错误页面，将其转向到其他页，可防止一些扫描器的探测。另外为隐藏系统信息，防止telnet到80端口所泄露的系统版本信息可修改IIS的banner信息，可以使用winhex手工修改或者使用相关软件如banneredit修改。

对于用户站点所在的目录，在此说明一下，用户的FTP根目录下对应三个文件佳，wwwroot，database，logfiles，分别存放站点文件，数据库备份和该站点的日志。如果一旦发生入侵事件可对该用户站点所在目录设置具体的权限，图片所在的目录只给予列目录的权限，程序所在目录如果不需要生成文件(如生成html的程序)不给予写入权限。因为是虚拟主机平常对脚本安全没办法做到细致入微的地步。

方法

用户从脚本提升权限：

web服务器安全设置二、ASP的安全设置

设置过权限和服务之后，防范asp木马还需要做以下工作，在cmd窗口运行以下命令：

regsvr32/u C:\WINNT\System32\wshom.ocx

del C:\WINNT\System32\wshom.ocx

regsvr32/u C:\WINNT\system32\shell32.dll

del C:\WINNT\system32\shell32.dll

即可将WScript.Shell, Shell.application, WScript.Network组件卸载，可有效防止asp木马通过wscript或shell.application执行命令以及使用木马查看一些系统敏感信息。另法：可取消以上文件的users用户的权限，重新启动IIS即可生效。但不推荐该方法。

另外，对于FSO由于用户程序需要使用，服务器上可以不注销掉该组件，这里只提一下FSO的防范，但并不需要在自动开通空间的虚拟商服务器上使用，只适合于手工开通的站点。可以针对需要FSO和不需要FSO的站点设置两个组，对于需要FSO的用户组给予c:winntsystem32scrrun.dll文件的执行权限，不需要的不给权限。重新启动服务器即可生效。

对于这样的设置结合上面的权限设置，你会发现海阳木马已经在这里失去了作用!

web服务器安全设置三、PHP的安全设置

默认安装的php需要有以下几个注意的问题：

C:\winnt\php.ini只给予users读权限即可。在php.ini里需要做如下设置：

Safe_mode=on

register_globals = Off

allow_url_fopen = Off

display_errors = Off

magic_quotes_gpc = On [默认是on，但需检查一遍]

open_basedir =web目录

disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod

默认设置com.allow_dcom = true修改为false[修改前要取消掉前面的;]

web服务器安全设置四、MySQL安全设置

如果服务器上启用MySQL数据库，MySQL数据库需要注意的安全设置为：

删除mysql中的所有默认用户，只保留本地root帐户，为root用户加上一个复杂的密码。赋予普通用户updatedeletealertcreatedrop权限的时候，并限定到特定的数据库，尤其要避免普通客户拥有对mysql数据库操作的权限。检查mysql.user表，取消不必要用户的shutdown_priv,reload_priv,process_priv和File_priv权限，这些权限可能泄漏更多的服务器信息包括非mysql的 其它 信息出去。可以为mysql设置一个启动用户，该用户只对mysql目录有权限。设置安装目录的data数据库的权限(此目录存放了mysql数据库的数据信息)。对于mysql安装目录给users加上读取、列目录和执行权限。

Serv-u安全问题：

安装程序尽量采用最新版本，避免采用默认安装目录，设置好serv-u目录所在的权限，设置一个复杂的管理员密码。修改serv-u的banner信息，设置被动模式端口范围(4001—4003)在本地服务器中设置中做好相关安全设置：包括检查匿名密码，禁用反超时调度，拦截“FTP bounce”攻击和FXP，对于在30秒内连接超过3次的用户拦截10分钟。域中的设置为：要求复杂密码，目录只使用小写字母，高级中设置取消允许使用MDTM命令更改文件的日期。

更改serv-u的启动用户：在系统中新建一个用户，设置一个复杂点的密码，不属于任何组。将servu的安装目录给予该用户完全控制权限。建立一个FTP根目录，需要给予这个用户该目录完全控制权限，因为所有的ftp用户上传，删除，更改文件都是继承了该用户的权限，否则无法操 作文 件。另外需要给该目录以上的上级目录给该用户的读取权限，否则会在连接的时候出现530 Not logged in, home directory does not exist。比如在测试的时候ftp根目录为d:soft，必须给d盘该用户的读取权限，为了安全取消d盘其他文件夹的继承权限。而一般的使用默认的system启动就没有这些问题，因为system一般都拥有这些权限的。

web服务器安全设置五、数据库服务器的安全设置

对于专用的MSSQL数据库服务器，按照上文所讲的设置TCP/IP筛选和IP策略，对外只开放1433和5631端口。对于MSSQL首先需要为sa设置一个强壮的密码，使用混合身份验证,加强数据库日志的记录,审核数据库登陆事件的”成功和失败”.删除一些不需要的和危险的OLE自动存储过程(会造成 企业管理 器中部分功能不能使用),这些过程包括如下:

Sp_OAcreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty

Sp_OAMethod Sp_OASetProperty Sp_OAStop

去掉不需要的注册表访问过程,包括有:

Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue

Xp_regenumvalues Xp_regread Xp_regremovemultistring

Xp_regwrite

去掉其他系统存储过程，如果认为还有威胁，当然要小心drop这些过程，可以在测试机器上测试，保证正常的系统能完成工作，这些过程包括：

xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember

xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin

sp_addextendedproc

在实例属性中选择TCP/IP协议的属性。选择隐藏 SQL Server 实例可防止对1434端口的探测,可修改默认使用的1433端口。除去数据库的guest账户把未经认可的使用者据之在外。 例外情况是master和 tempdb 数据库,因为对他们guest帐户是必需的。另外注意设置好各个数据库用户的权限，对于这些用户只给予所在数据库的一些权限。在程序中不要用sa用户去连接任何数据库。网络上有建议大家使用协议加密的，千万不要这么做，否则你只能重装MSSQL了。

怎样维护IIS安全和服务器安全

IIS的安全：

(不启用日志记录，主目录的记录访问和索引资源不勾，执行权限选纯脚本（点旁边的配置，启用父路径）)

1.删掉c:/inetpub目录，删除iis不必要的映射 ,web 服务扩展：保留acitve server pages，其他都禁止 网站属性:去掉扩展名中不用得，仅保留

asp,asa,等常用.

IIS (Internet信息服务器管理器) 在"主目录"选项设置以下

读 允许

写 不允许

脚本源访问 不允许

目录浏览 不允许

记录访问 不允许

索引资源 不允许

执行权限 推荐选择 “纯脚本”

2.更改C:\WINDOWS\Help\iisHelp\common\404b.htm内容改为"xxxxx"，出错了自动转到首页.

3.提高IIS 网站服务器的执行效率的八种方法

以下是提高IIS 网站服务器的执行效率的八种方法：

1. 启用HTTP的持续作用可以改善15~20%的执行效率。

2. 不启用记录可以改善5~8%的执行效率。

3. 使用 [独立] 的处理程序会损失20%的执行效率。

4. 增加快取记忆体的保存档案数量，可提高Active Server Pages之效能。

5. 勿使用CGI程式。

6. 增加IIS 电脑CPU数量。

7. 勿启用ASP侦错功能。

8. 静态网页采用HTTP 压缩，大约可以减少20%的传输量。

4.优化IIS应用程序池

1、取消“在空闲此段时间后关闭工作进程（分钟）”

2、勾选“回收工作进程（请求数目）”

3、取消“快速失败保护”

一般建议1个站点一个应用程序池，应用程序池对于一般站点可以采用默认设置.

应用程序池可以适当设置下"内存回收"：这里的最大虚拟内存为：1000M，最大使用的物理内存为256M，这样的设置几乎是没限制这个站点的性能的。

5.解决SERVER 2003不能上传大附件的问题

在“服务”里关闭 iis admin service 服务。

找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。

找到 ASPMaxRequestEntityAllowed 把它修改为需要的值（可修改为20M即：20480000）

存盘，然后重启 iis admin service 服务。

解决SERVER 2003无法下载超过4M的附件问题

在“服务”里关闭 iis admin service 服务。

找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。

找到 AspBufferingLimit 把它修改为需要的值（可修改为20M即：20480000）

存盘，然后重启 iis admin service 服务。

6.超时问题

解决大附件上传容易超时失败的问题

在IIS中调大一些脚本超时时间，操作方法是： 在IIS的“站点或虚拟目录”的“主目录”下点击“配置”按钮，

设置脚本超时时间为：300秒 (注意：不是Session超时时间)

解决通过WebMail写信时间较长后，按下发信按钮就会回到系统登录界面的问题

适当增加会话时间(Session)为 60分钟。在IIS站点或虚拟目录属性的“主目录”下点击“配置--选项”，

就可以进行设置了(Windows 2003默认为20分钟)

服务器有哪些安全设置？

1)、系统安全基本设置

1.安装说明：系统全部NTFS格式化，重新安装系统（采用原版win2003）,安装杀毒软件(Mcafee)，并将杀毒软件更新，安装sp2补钉，安装IIS（只安装必须的组件）,安装SQL2000，安装.net2.0,开启防火墙。并将服务器打上最新的补钉。

2)、关闭不需要的服务

Computer Browser:维护网络计算机更新，禁用

Distributed File System: 局域网管理共享文件，不需要禁用

Distributed linktracking client：用于局域网更新连接信息，不需要禁用

Error reporting service：禁止发送错误报告

Microsoft Serch：提供快速的单词搜索，不需要可禁用

NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要禁用

PrintSpooler：如果没有打印机可禁用

Remote Registry：禁止远程修改注册表

Remote Desktop Help Session Manager：禁止远程协助 其他服务有待核查

3)、设置和管理账户

1、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码

2、系统管理员账户最好少建，更改默认的管理员帐户名(Administrator)和描述，密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于10位

3、新建一个名为Administrator的陷阱帐号，为其设置最小的权限，然后随便输入组合的最好不低于20位的密码

4、计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效 时间为30分钟

5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用

6、 在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户,Aspnet账户

7、创建一个User账户，运行系统，如果要运行特权命令使用Runas命令。

4）、打开相应的审核策略

审核策略更改:成功

审核登录事件:成功,失败

审核对象访问:失败

审核对象追踪:成功,失败

审核目录服务访问:失败

审核特权使用:失败

审核系统事件:成功,失败

审核账户登录事件:成功,失败

审核账户管理:成功,失败

5）、 其它安全相关设置

1、禁止C$、D$、ADMIN$一类的缺省共享

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters，在右边的 窗口中新建Dword值，名称设为AutoShareServer值设为0

2、解除NetBios与TCP/IP协议的绑定

右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的 NETBIOS

3、隐藏重要文件/目录

可以修改注册表实现完全隐藏： “HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFol derHi-ddenSHOWALL”，鼠标右击“CheckedValue”，选择修改，把数值由1改为0

4、防止SYN洪水攻击

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD 值，名为SynAttackProtect，值为2

5、 禁止响应ICMP路由通告报文

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface 新建DWORD值，名为PerformRouterDiscovery 值为0

6. 防止ICMP重定向报文的攻击

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 将EnableICMPRedirects 值设为0

7、 不支持IGMP协议

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD 值，名为IGMPLevel 值为0

8、禁用DCOM：运行中输入 Dcomcnfg.exe。 回车， 单击“控制台根节点”下的“组件服务”。 打开“计算机”子 文件夹。

对于本地计算机，请以右键单击“我的电脑”，然后选择“属 性”。选择“默认属性”选项卡。清除“在这台计算机上启用分布式 COM”复选框。

9、终端服务的默认端口为3389，可考虑修改为别的端口。

修改方法为： 服务器端：打开注册表，在“HKLM\SYSTEM\Current ControlSet\Control\Terminal Server\Win Stations” 处找到类似RDP-TCP的子键，修改PortNumber值。 客户端：按正常步骤建一个客户端连接，选中这个连接，在“文件”菜单中选择导出，在指定位置会 生成一个后缀为.cns的文件。打开该文件，修改“Server Port”值为与服务器端的PortNumber对应的 值。然后再导入该文件（方法：菜单→文件→导入），这样客户端就修改了端口。

6）、配置 IIS 服务

1、不使用默认的Web站点，如果使用也要将 将IIS目录与系统磁盘分开。

2、删除IIS默认创建的Inetpub目录（在安装系统的盘上）。

3、删除系统盘下的虚拟目录，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、 MSADC。

4、删除不必要的IIS扩展名映射。 右键单击“默认Web站点→属性→主目录→配置”，打开应用程序窗口，去掉不必要的应用程序映 射。主要为.shtml, .shtm, .stm

5、更改IIS日志的路径 右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性

6、如果使用的是2000可以使用iislockdown来保护IIS，在2003运行的IE6.0的版本不需要。

7、使用UrlScan

UrlScan是一个ISAPI筛选器，它对传入的HTTP数据包进行分析并可以拒绝任何可疑的通信量。 目前最新的版本是2.5，如果是2000Server需要先安装1.0或2.0的版本。 如果没有特殊的要求采用UrlScan默认配置就可以了。 但如果你在服务器运行ASP.NET程序，并要进行调试你需打开要 %WINDIR%System32InetsrvURLscan，文件夹中的URLScan.ini 文件，然后在UserAllowVerbs节添 加debug谓词，注意此节是区分大小写的。 如果你的网页是.asp网页你需要在DenyExtensions删除.asp相关的内容。 如果你的网页使用了非ASCII代码，你需要在Option节中将AllowHighBitCharacters的值设为1 在对URLScan.ini 文件做了更改后，你需要重启IIS服务才能生效，快速方法运行中输入iisreset 如果你在配置后出现什么问题，你可以通过添加/删除程序删除UrlScan。

8、利用WIS (Web Injection Scanner)工具对整个网站进行SQL Injection 脆弱性扫描.

7）、配置Sql服务器

1、System Administrators 角色最好不要超过两个

3、不要使用Sa账户，为其配置一个超级复杂的密码

4、删除以下的扩展存储过程格式为：

use master sp_dropextendedproc '扩展存储过程名'

xp_cmdshell：是进入操作系统的最佳捷径，删除 访问注册表的存储过程，

删除

Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regread Xp_regwrite Xp_regremovemultistring

OLE自动存储过程，不需要删除

Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop

5、隐藏 SQL Server、更改默认的1433端口

右击实例选属性-常规-网络配置中选择TCP/IP协议的属性，选择隐藏 SQL Server 实例，并改原默 认的1433端口。

8）、修改系统日志保存地址 默认位置为 应用程序日志、安全日志、系统日志、DNS日志默认位置：%systemroot%\system32\config，默认 文件大小512KB，管理员都会改变这个默认大小。

安全日志文件：%systemroot%\system32\config\SecEvent.EVT 系统日志文件：%systemroot%\system32\config\SysEvent.EVT 应用程序日志文件：%systemroot%\system32\config\AppEvent.EVT Internet信息服务FTP日志默认位置：%systemroot%\system32\logfiles\msftpsvc1\，默认每天一个日 志 Internet信息服务WWW日志默认位置：%systemroot%\system32\logfiles\w3svc1\，默认每天一个日 志 Scheduler(任务计划)服务日志默认位置：%systemroot%\schedlgu.txt 应用程序日志，安全日志，系统日志，DNS服务器日志，它们这些LOG文件在注册表中的： HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog Schedluler(任务计划)服务日志在注册表中 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent SQL 删掉或改名xplog70.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters] "AutoShareServer"=dword:00000000 "AutoShareWks"=dword:00000000 // AutoShareWks 对pro版本 // AutoShareServer 对server版本 // 0

禁止管理共享admin$,c$,d$之类默认共享 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA] "restrictanonymous"=dword:00000001 //0x1 匿名用户无法列举本机用户列表 //0x2 匿名用户无法连接本机IPC$共享(可能sql server不能够启动

9）、本地安全策略

1．只开放服务需要的端口与协议。 具体方法为：按顺序打开“网上邻居→属性→本地连接→属性→Internet 协议→属性→高级→选项→ TCP/IP筛选→属性”，添加需要的TCP、UDP端口以及IP协议即可。根据服务开设口，常用的TCP 口有：80口用于Web服务；21用于FTP服务；25口用于SMTP；23口用于Telnet服务；110口 用于POP3。常用的UDP端口有：53口－DNS域名解析服务；161口－snmp简单的网络管理协议。 8000、4000用于OICQ，服务器用8000来接收信息，客户端用4000发送信息。 封TCP端口: 21(FTP,换FTP端口)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389 可封TCP端口:1080,3128,6588,8080(以上为代理端口).25(SMTP),161(SNMP),67(引导) 封UDP端口:1434(这个就不用说了吧) 封所有ICMP,即封PING 以上是最常被扫的端口,有别的同样也封,当然因为80是做WEB用的

2、禁止建立空连接 默认情况下，任何用户可通过空连接连上服务器，枚举账号并猜测密码。空连接用的端口是139， 通过空连接，可以复制文件到远端服务器，计划执行一个任务，这就是一个漏洞。可以通过以下两 种方法禁止建立空连接：

（1） 修改注册表中 Local_Machine\System\ CurrentControlSet\Control\LSA-RestrictAnonymous 的值为1。

（2） 修改Windows 2000的本地安全策略。设置“本地安全策略→本地策略→选项”中的 RestrictAnonymous（匿名连接的额外限制）为“不容许枚举SAM账号和共享”。 首先，Windows 2000的默认安装允许任何用户通过空连接得到系统所有账号和共享列表，这本来 是为了方便局域网用户共享资源和文件的，但是，同时任何一个远程用户也可以通过同样的方法得 到您的用户列表，并可能使用暴力法破解用户密码给整个网络带来破坏。很多人都只知道更改注册 表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止空用户连接， 实际上Windows 2000的本地安全策略里（如果是域服务器就是在域服务器安全和域安全策略里） 就有RestrictAnonymous选项，其中有三个值：“0”这个值是系统默认的，没有任何限制，远程用户 可以知道您机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum)等；“1” 这个值是只允许非NULL用户存取SAM账号信息和共享信息；“2”这个值只有Windows 2000才支 持，需要注意的是，如果使用了这个值，就不能再共享资源了，所以还是推荐把数值设为“1”比较 好。

10)、防止asp木马

1、基于FileSystemObject组件的asp木马

cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 regsvr32 scrrun.dll /u /s //删除

2．基于shell.application组件的asp木马

cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 regsvr32 shell32.dll /u /s //删除

3．将图片文件夹的权限设置为不允许运行。

4.如果网站中不存在有asp的话，禁用asp

11）、防止SQL注入

1．尽量使用参数化语句

2．无法使用参数化的SQL使用过滤。

3．网站设置为不显示详细错误信息，页面出错时一律跳转到错误页面。

4.不要使用sa用户连接数据库

5、新建一个public权限数据库用户，并用这个用户访问数据库 6、[角色]去掉角色public对sysobjects与syscolumns对象的select访问权限

最后强调一下，以上设置可能会影响到有些应用服务，例如导至不能连接上远程服务器，

因此强烈建议，以上设置首先在本地机器或虚拟机(VMware Workstation)上做好设置，确定没事之后然后再在服务器上做。

如何来配置iis服务器加强安全

随着校园网络建设和应用的逐步深入，越来越多的学校建立了自己的Web服务器。IIS(Internet Information Server)作为目前最为流行的Web服务器平台，在校园网中发挥着巨大的作用。因此，了解如何加强IIS的安全机制，建立一个高安全性能的Web服务器就显得尤为重要。

保证系统的安全性

因为IIS是建立在Windows NT/2000操作系统下，安全性也应该建立在系统安全性的基础上，因此，保证系统的安全性是IIS安全性的基础，为此，我们要做以下事情。

1、使用NTFS文件系统

在NT系统中应该使用NTFS系统，NTFS可以对文件和目录进行管理，而FAT文件系统只能提供共享级的安全，而且在默认情况下，每建立一个新的共享，所有的用户就都能看到，这样不利于系统的安全性。和FAT文件系统不同，在NTFS文件下，建立新共享后可以通过修改权限保证系统安全。

2、关闭默认共享

在Windows 2000中，有一个“默认共享”，这是在安装服务器的时候，把系统安装分区自动进行共享，虽然对其访问还需要超级用户的密码，但这是潜在的安全隐患，从服务器的安全考虑，最好关闭这个“默认共享”，以保证系统安全。方法是：单击“开始/运行”，在运行窗口中输入“Regedit”，打开注册表编辑器，展开“HKEY_ LOCAL_MACHINESYSTEMCurrentControlSetanmanworkstationparameters”，在右侧窗口中创建一个名为“AutoShare-

Wks”的双字节值，将其值设置为0，这样就可以彻底关闭“默认共享”。

3、设置用户密码

用户一定要设置密码，用户的密码尽量使用数字与字母大小混排的口令，还需要经常修改密码，封锁失败的登录尝试，并且设定严格的账户生存时间。应避免设置简单的密码，且用户的密码尽可能不要和用户名有任何关联。

保证IIS自身的安全性

在保证系统具有较高安全性的情况下，还要保证IIS的安全性，主要请注意以下事情：

1、要尽量避免把IIS安装在网络中的主域控制器上。因为在安装完IIS后，会在所安装的计算机上生成IUSR_Computername的匿名账户。这个账户会被添加到域用户组中，从而把应用于域用户组的访问权限提供给访问Web服务器的每个匿名用户，这样不仅不能保证IIS的安全性，而且会威胁到主域控制器。

2、限制网站的目录权限。目前有很多的脚本都有可能导致安全隐患，因此在设定IIS中网站的目录权限时，要严格限制执行、写入等权限。

3、经常到微软的站点下载IIS的补丁程序，保证IIS最新版本。

只要提高安全意识，经常注意系统和IIS的设置情况，IIS就会是一个比较安全的服务器平台，能为我们提供安全稳定的服务。

IIS高能性服务器安全设置的重要性是什么？

1、百度搜索一下iis安全设置

2、还有服务器的安全设置

3、原则上是这样的

（1、删除不必要的端口，2、删除不必要的服务，3、删除不必要的用户组和用户，4、给每个网站配置独立的访客账户，5、给每个网站配置独立的数据库、6、给每个网站配置独立的应用程序池、7、给每个网站设置好读写权限，8、可写入的不能有执行权限。9、可执行的不能有写入权限，10、给服务器系统打好安全补丁，11、给网站系统打好安全补丁。12、给网站做好安全备份。13、给服务器做好杀毒措施，14、删除不必要的网站文件，特别是可以写入的程序文件。15、做好网站后台安全设置

关于iis服务器安全设置和IIS安全配置的介绍到此就结束了，不知道你从中找到你需要的信息了吗 ？如果你还想了解更多这方面的信息，记得收藏关注本站。