iis-web服务器完美解决方案.docxVIP

一、选择您的服务器操作系统和IIS版本在选择您的服务器操用系统时应该考虚三个问题：1、是否足够安全，正确的可以安全更新的序列号 2、能否满足你的服务需要2、能否进行负载均衡(对要求较高的用户)在选择您的WEB服务器的IIS版本一般都由IIS5.0向IIS6.0过渡,现在IIS7.0已进入了测试阶段，真是期待中啊相关的介绍请上微软的官方网站上查看。暂时的我选择的是windows2003企业版＋IIS6.0二、安装操用系统和IIS6.0windows2003企业版我们就不说了(什么，不会，那就再去找资料吧)，但是注意的是所有的磁盘必须采用NTFS格式，最好分为四个盘符以方便权限管理和数据资源的存储。默认安装的windows2003企业版出于最大安全化考虑是没有安装IIS6.0的服务的，需要手动安装。或者在您安装 windows2003企业版时可以选择你需要的IIS6.0的组件。这样就免去了等一下再需要windows2003企业版安装盘的步骤。对于IIS6.0需要提醒的是一定要安装web服务，其他的如FTP、Frontpage等按需要选择，如果不需要尽量不要安装，原则是“最小的服务＋最小的权限＝最大的安全化。”安装完后千万记得打补丁，包括新出SP1,否则你无法谈安全。三、IISWEB配置解决方案了。1.为　　我的设置如下：每一个虚拟主机创建一个匿名访问的计算机用户如,并为其设置一个较为复杂的密码，用以控制该虚拟主机的主目录，及IIS匿名访问的用户计算机用户的组是GUESTS组。2.为每个IIS的虚拟主机创建一个独立的应用进程池。每个进程池可以设置相关的用户和CUP、连接资源等，也可以采用默认的设置。这里采用默认的设置如。3.创建一个主目录(磁盘可以选择D:\Inetpub等非系统盘)如D:\Inetpub\，该目录的访问权限除了继承父权限外，还必须加上第一步中建立的计算机名用户，并付予完全控制的权限，这个计算用户和等一下创建的虚拟主机站点里的匿名用户是同一帐号，并助密码也必须和创建计算机名时的一样。4.创建一个的虚拟站点，并对该站点进行一些设置：站点选创建一个⑴⑴目录安全性下的“身份验证和访问权限”进行编辑，并选择创建好的计算机用户名，设置与访计算机名一至的密码。⑵选择主目录：应用程序池选择第二步创建的创建单独应用进程池，执行权限为纯脚本。　　补充说明：以上是每个虚拟站点的全局设置，对单个虚拟主机不同的配置要求做相应的设置。对于还有索引等的全局设置可以在IIS的网站－属性中设置如日志是否需要，及存放的目录路径，索引文件的先后，及文件的读取权限和其他的错误页面等。我们把这个具体的内容放在安全栏中讲述。四、系统安全、全局设置1. 最小权限设置：1）选取整个系统盘：System：完全控制Administrator：完全控制（允许将来自父系的可继承性权限传播给对象）2） C:\Program Files\Common Files：及C:\Program Files　　　Everyone：读取及运行列出文件目录读取　（允许将来自父系的可继承性权限传播给对象）　　3)数据盘\Inetpub\：(按FSO处理)　　　　　只需要system和administrator权限　因为下面的每个目录都有单独的计算　　　　　机用户对其自己的目录进行完成控制，不需要系统提供的来宾帐号访问（允许将来自父系的可继承性权限传播给对象）　　4) \Winnt\system32：　　　　　选择除Inetsrv和Centsrv以外的所有目录，去除“允许将来自父系的可继承　　　　　性权限传播给对象”选框，复制。2. 系统管理员权限设置:1). 修改管理员帐号和创建陷阱帐号：微软一直在强调最好重命名Administrator账号并禁用Guest账号，　　　从而实现更高的安全。在Windows Server 2003中，Guest 账号是缺省禁　　　用的，但是重命名Administrator账号仍然是必要的，因为黑客往往会从　　　　　　Administrator账号入手开始进攻。方法是：打开“本地安全设置”对话框，　　　　依次展开“本地策略”→“安全选项”，在右边窗格中有一个“账户：重命　　　　　名系统管理员账户”的策略，双击打开它，给Administrator重新设置一个　　　　　平淡的用户名。然后新建一个名称为Administrator的陷阱帐号“受限制用　　　　　户”，把它的权限设置成最低。　　　　2) 除修改过的Administrator外，有必要再增加一个属于管理员组的帐号；　　　　　说明：两个管理员组的帐号，一方面防止管理员一旦忘记一个帐号的　　　　　　口令还有一个备用帐号；另方面，一旦黑客攻破一个帐号并更改　　　　　　口令，我们还有有机会重新在短期内取得控制权以防