本机网站架设IIS安装的正确配置方法.doc

本机网站架设IIS安装的正确配置方法 一、 正确安装Windows2000 1． 安装之前对硬盘进行重新分区、格式化，确保硬盘上没有任何数据。 2． 确保机器上只有Windows2000一套操作系统，并且没有启动菜单，如果有启动菜单的话，可以修改C:\boot.ini 将启动延时去掉。 3． 安装驱动程序时，一定只能安装硬件厂商提供的官方驱动。 4． 一定要保证用NTFS格式化所有分区，并且要一次性全部格式化成NTFS分区，不允许先格式化成FAT32再转换成NTFS。 5． 由于大多数杀毒软件都没有提供对软盘启动后NTFS分区病毒的查杀，所以平时必须作好防病毒工作。建议准备瑞星杀毒软件，这是目前唯一支持软盘启动后NTFS分区病毒的查杀毒软件。 6． 将操作系统文件所在分区与WEB数据包括其他应用程序所在分区分开，在安装时最好不要使用默认目录。例如：Windows2000默认目录为WINNT，可以改为WIN2K或更复杂如WIN_2K_A。 7． 完成网络设置和其他一些设置后，开始安装系统补丁。安装当前所有的Service Pack 和 HotFixes。安装的补丁应该直接来源于微软的 Windows Update ，绝对不允许安装从其他非官方网站下载补丁。除了补丁之外，不要随便升级Windows 组件，如IE。在Windows2000中实现了IE5.01和系统的无缝整 合，如果贸然升级可能会带来不必要的麻烦！安装了补丁之后，以后如果从Windows2000光盘上安装新的Windows程序或对Windows2000进行设置，需要Windows2000光盘，那么在设置完毕后必须重新安装补丁程序。另外，还要经常关注微软最新补丁的发布，给服务器安装最新的补丁！ 8． 作好数据备份工作。 9． 另外，在完成设置前绝对不能将服务器连入网络，特别是Internet，因为Windows2000安装时，在输入用户管理员帐号Administrator的密码后，系统会建立一个 $Admin 的共享帐号，但是没有用刚输 入的密码来保护它，这种情况一直会持续到计算机再次启动。在此期间，任何人都可以通过 $Admin进入系统，同时，安装完成，各种服务会马上自动运行，而这时的服务器还到处是漏洞，非常容易从外部侵入。 二、 IIS设置 1． 安装IIS时应该注意只安装Option Pack中必须的服务，建议不要安装Index Server、FrontPage Server Extensions、示例WWW站点等功能。 2． 关闭不必要的服务，服务开的多不是好事，将没必要的服务通通关掉，特别是连管理员都不知道的和一些危险的服务，免得给系统带来灾难，同时也能节约一些系统资源。以下服务是一定要关闭的： ??????? Schedule ??????? FTP publishing service ??????? Telnet ??????? Terminal Services ??????? RunAs Service ??????? Telphony ??????? Remote Access Server ??????? Remote Procedure Call （RPC） locater ??????? Spooler ??????? TCP/IP Netbios Helper ??????? Telphone Service 3． 打开管理工具中的Internet服务管理器，删除“默认Web站点”及其下的所有目录，并且将这些文件彻底清理出硬盘！在非系统分区建立Web根目录，假设为：D:\webroot\ 。 4． 在“管理Web站点”上单击鼠标右键，选择“新建?站点”。根据提示操作，站点说明假设为“?Web”，目录输入 D:\webroot\ ，只给读取权限。 5． 在“web”的属性“主目录”中设置执行许可为“无”，“应用程序设置”、“配置”中删除不必要的IIS扩展名映射。最好去掉 .IDC、.HTR、.STM、.IDA、.HTW应用程序映射，.shtml、.shtm等如果 无用也应去掉。如果需要ASP，那么就建立一个D:\webroot\cgi-bin目录，在“属性”“目录”里允许脚本资源访问，应用程序设置里点击“创建”，“应用程序配置”里添加对ASP的映射，所有ASP文件都放在 这个目录下，在“应用程序调试”中选取“发送文本错误消息给客户”。 注意：安装Service Pack后，IIS的应用程序映射应重新设置。安装新的Service Pack后，某写应用程序映射又会重新出现，导致出现安全漏洞。这是较易疏忽的一点。 三、 帐号策略 1． 帐号应尽可能少，且尽可能少用来登录；网站帐号一般只能用来做