对IIS的一些默认设置,推荐做以下修改,以资安全:
加固项目
|
加固方法
|
1、目录浏览
|
一般应禁用目录浏览
|
2、身份验证
|
只保留匿名用户,禁用其他的 (但如果导致网站使用异常,则还原)
|
3、日志
|
默认日志文件放在系统盘,容易耗尽C盘空间。建议改到D:\网站日志
|
4、配置urlscan
|
加固IIS、隐藏IIS版本号,参见《配置URLScan保护网站》
|
5、设置IP黑名单
|
360主机卫士拦截到的CC攻击,IP屏蔽后有时仍会导致IIS宕机,需要在IIS中直接设置黑名单!
|
设置方法:
打开IIS,点击根节点进行整个站群的设置(如果只对某个站点进行下列设置,则直接选择对应站点),找到右边的IIS下属设置,找到目录浏览、日志、身份验证:
目录浏览:点击右边的“禁用”
身份验证:只保留匿名身份验证,其他都可禁用。
日志:1、日志文件格式多勾选2个属性(如下图橙色框);2、日志文件存放位置改为D盘。
关于IIS限制导致网站报错问题详见:
IIS最大进程数设置: wpcms.zdsoft.net/newsInfo.aspx?pkId=178(IIS应用程序池设置实用技能)
IIS进程关闭超时设置: wpcms.zdsoft.net/newsInfo.aspx?pkId=290(IIS进程关闭超时报错处理办法)