IIS服务器目录安全 iis目录安全性在哪

如何来配置iis服务器加强安全

随着校园网络建设和应用的逐步深入，越来越多的学校建立了自己的Web服务器。IIS(Internet Information Server)作为目前最为流行的Web服务器平台，在校园网中发挥着巨大的作用。因此，了解如何加强IIS的安全机制，建立一个高安全性能的Web服务器就显得尤为重要。

站在用户的角度思考问题，与客户深入沟通，找到石龙网站设计与石龙网站推广的解决方案，凭借多年的经验，让设计与互联网技术结合，创造个性化、用户体验好的作品，建站类型包括：成都网站建设、做网站、企业官网、英文网站、手机端网站、网站推广、域名注册、网站空间、企业邮箱。业务覆盖石龙地区。

保证系统的安全性

因为IIS是建立在Windows NT/2000操作系统下，安全性也应该建立在系统安全性的基础上，因此，保证系统的安全性是IIS安全性的基础，为此，我们要做以下事情。

1、使用NTFS文件系统

在NT系统中应该使用NTFS系统，NTFS可以对文件和目录进行管理，而FAT文件系统只能提供共享级的安全，而且在默认情况下，每建立一个新的共享，所有的用户就都能看到，这样不利于系统的安全性。和FAT文件系统不同，在NTFS文件下，建立新共享后可以通过修改权限保证系统安全。

2、关闭默认共享

在Windows 2000中，有一个“默认共享”，这是在安装服务器的时候，把系统安装分区自动进行共享，虽然对其访问还需要超级用户的密码，但这是潜在的安全隐患，从服务器的安全考虑，最好关闭这个“默认共享”，以保证系统安全。方法是：单击“开始/运行”，在运行窗口中输入“Regedit”，打开注册表编辑器，展开“HKEY_ LOCAL_MACHINESYSTEMCurrentControlSetanmanworkstationparameters”，在右侧窗口中创建一个名为“AutoShare-

Wks”的双字节值，将其值设置为0，这样就可以彻底关闭“默认共享”。

3、设置用户密码

用户一定要设置密码，用户的密码尽量使用数字与字母大小混排的口令，还需要经常修改密码，封锁失败的登录尝试，并且设定严格的账户生存时间。应避免设置简单的密码，且用户的密码尽可能不要和用户名有任何关联。

保证IIS自身的安全性

在保证系统具有较高安全性的情况下，还要保证IIS的安全性，主要请注意以下事情：

1、要尽量避免把IIS安装在网络中的主域控制器上。因为在安装完IIS后，会在所安装的计算机上生成IUSR_Computername的匿名账户。这个账户会被添加到域用户组中，从而把应用于域用户组的访问权限提供给访问Web服务器的每个匿名用户，这样不仅不能保证IIS的安全性，而且会威胁到主域控制器。

2、限制网站的目录权限。目前有很多的脚本都有可能导致安全隐患，因此在设定IIS中网站的目录权限时，要严格限制执行、写入等权限。

3、经常到微软的站点下载IIS的补丁程序，保证IIS最新版本。

只要提高安全意识，经常注意系统和IIS的设置情况，IIS就会是一个比较安全的服务器平台，能为我们提供安全稳定的服务。

如何在win2k3上为IIS服务器配置SSL服务！

分类: 电脑/网络 操作系统/系统故障

问题描述:

想在win2k3上为IIS服务器配置SSL服务，求教配置的过程 有追加奖励！！

解析:

随着Windows Server 2003操作系统的推出，Windows平台的安全性和易用性大大增强，然而，在默认情况下，IIS使用HTTP协议以明文形式传输数据，没有采取任何加密措施，用户的重要数据很容易被窃取，如何才能保护局域网中的这些重要数据呢?下面笔者就介绍一下如何使用SSL增强IIS服务器的通信安全。

一、什么是SSL

SSL（Security Socket Layer）全称是加密套接字协议层，它位于HTTP协议层和TCP协议层之间，用于建立用户与服务器之间的加密通信，确保所传递信息的安全性，同时SSL安全机制是依靠数字证书来实现的。

SSL基于公用密钥和私人密钥，用户使用公用密钥来加密数据，但解密数据必须使用相应的私人密钥。使用SSL安全机制的通信过程如下：用户与IIS服务器建立连接后，服务器会把数字证书与公用密钥发送给用户，用户端生成会话密钥，并用公共密钥对会话密钥进行加密，然后传递给服务器，服务器端用私人密钥进行解密，这样，用户端和服务器端就建立了一条安全通道，只有SSL允许的用户才能与IIS服务器进行通信。

提示：SSL网站不同于一般的Web站点，它使用的是“HTTPS”协议，而不是普通的“HTTP”协议。因此它的URL（统一资源定位器）格式为“网站域名”。

二、安装证书服务

要想使用SSL安全机制功能，首先必须为Windows Server 2003系统安装证书服务。

进入“控制面板”，运行“添加或删除程序”，接着进入“Windows组件向导”对话框，勾选“证书服务”选项，点击“下一步”按钮，接着选择CA类型。这里选择“独立根CA”，点击“下一步”按钮，为自己的CA服务器取个名字，设置证书的有效期限，最后指定证书数据库和证书数据库日志的位置，就可完成证书服务的安装。

三、配置SSL网站

1.创建请求证书文件

完成了证书服务的安装后，就可以为要使用SSL安全机制的网站创建请求证书文件。点击“控制面板→管理工具”，运行“Inter 信息服务-IIS 管理器”，在管理器窗口中展开“网站”目录，右键点击要使用SSL的网站，选择“属性”选项，在网站属性对话框中切换到“目录安全性”标签页（图1），然后点击“服务器证书”按钮。在“IIS证书向导”对话框中选择“新建证书”，点击“下一步”按钮，选择“现在准备证书请求，但稍后发送”。在“名称”输入框中为该证书取名，然后在“位长”下拉列表中选择密钥的位长。接着设置证书的单位、部门、站点公用名称和地理信息，最后指定请求证书文件的保存位置。这样就完成了请求证书文件的创建。

2.申请服务器证书

完成上述设置后，还要把创建的请求证书文件提交给证书服务器。在服务器端的IE浏览器地址栏中输入“/CertSrv/default”。在“Microsoft 证书服务”欢迎窗口中点击“申请一个证书”链接，接下来在证书申请类型中点击“高级证书申请”链接，然后在高级证书申请窗口中点击“使用BASE64编码的CMC或PKCS#10....”链接，再打开刚刚生成的“certreq.txt”文件，将其中的内容复制到“保存的申请”输入框后点击“提交”按钮即可。

3.颁发服务器证书

点击“控制面板→管理工具”，运行“证书颁发机构”。在主窗口中展开树状目录，点击“挂起的申请”项（图2），找到刚才申请的证书，然后右键点击该项，选择“所有任务→颁发”。颁发成功后，点击树状目录中的“颁发的证书”项，双击刚才颁发的证书，在弹出的“证书”对话框的“详细信息”标签页中，点击“复制到文件”按钮，弹出证书导出向导，连续点击“下一步”按钮，并在“要导出的文件”对话框中指定文件名，最后点击“完成”。

4.安装服务器证书

重新进入IIS管理器的“目录安全性”标签页，点击“服务器证书”按钮，弹出“挂起的证书请求”对话框，选择“处理挂起的请求并安装证书”选项，点击“下一步”按钮，指定刚才导出的服务器证书文件的位置，接着设置SSL端口，使用默认的“443”即可，最后点击“完成”按钮。

可以参照WIN2K来设置:

下面，我就介绍一下如何在Windows2000server/.NET中开启CA服务。

1、首先请确认您的服务器已经安装配置了Active Directory服务，这样您就可以给域中的用户颁发数字证书。当然AD服务不是安装CA服务的必要条件，如果仅仅左测试使用，您可以不安装AD服务；

2、确保在您的Windows2000server/.NET中开启IIS服务，并且支持ASP，这样您的CA服务可以通过WEB在INTERNET/INTRANET发布；

3、开始--设置--控制面板--添加/删除程序--添加/删除Windows组件--选中证书服务；

4、然后选择合适的CA类型，这里我们选择独立的根CA；

5、如果你要改变微软的默认密钥设置，你可以选中高级选项；一般，我们直接进入下一步；

6、在这里输入您这个CA的详细信息；

7、然后指定存储配置数据、数据库和日志的位置；

8、完成安装向导，系统开始安装CA服务；

然后，您可以通过如下方式访问认证服务器：

安装认证服务器IP地址/certsrv

在这里，您可以申请一张证书，查看证书请求状态还有下载根证书。

当您完成证书申请之后，您可以通过打开IE--工具--INTERNET选项--内容--证书--个人查看您个人证书。

当然你也可以通过把证书服务加入到MMC来进行证书服务管理，方法如下：

开始--运行--mmc--文件--添加/删除插件--添加--证书

）。单击"下一步"。

8.在名字和安全设置对话框中，接受缺省选项。单击"下一步"。

9.在下一个页面上， 输入您的信息，单击"下一步"。

10.在"通用名"文本框中输入您的服务器名字。它可以是DNS名、NetBIOS名称或LOCALHOST。输入您的选择，单击"下一步"。

11.在下一个页面上，输入您的信息，单击"下一步"。

12.如果在域里面已经有了企业CA，并且您可以从那里申请到Web服务器证书，那么您将可以看到它列在那里。

（如果没有CA，如果CA没有配置成可以发布Web服务器证书，或如果您没有权限申请一个Web服务器证书，列表将会是空的。您必须有一个CA来完成这个部分。）选择您要使用的CA，单击"下一步"。

13.就会出现证书请求提交页面。单击"下一步"。

14.单击"完成"。现在服务器就有了一个WEB服务器证书。

15.您将注意到在"安全通信"下面的"编辑"可以使用了，单击"编辑"。

16.进入安全通信对话框，在需要安全通道（SSL）前打上勾。

17.如果你希望以后客户端浏览器和WEB通信的时候需要128位对称加密，那么你就在需要128位加密前打上勾。

18.在客户端证书中有三种选择：忽略客户证书、接收客户证书和申请客户证书。选择第一第二种仅仅是开启SSL单向认证，选择第三种着开启SSL双向认证。

19.选择"接受客户端证书"，"接受客户端证书"设置需要在客户端证书和浏览器之间进行协商。您也必须选中"申请安全通道（SSL）"选项框。如果失败了，它不允许退回到另一个验证方法。需要安全通道意味着Web站点将不能通过HTTP协议进行访问，只可以通过HTTPS协议进行访问。单击"确定"。单击"应用"并且单击"确定"。

20.单击确定，好了，您的SSL通道开启了。

以后你就可以通过访问WEB服务了。

怎样维护IIS安全和服务器安全

IIS的安全：

(不启用日志记录，主目录的记录访问和索引资源不勾，执行权限选纯脚本（点旁边的配置，启用父路径）)

1.删掉c:/inetpub目录，删除iis不必要的映射 ,web 服务扩展：保留acitve server pages，其他都禁止 网站属性:去掉扩展名中不用得，仅保留

asp,asa,等常用.

IIS (Internet信息服务器管理器) 在"主目录"选项设置以下

读 允许

写 不允许

脚本源访问 不允许

目录浏览 不允许

记录访问 不允许

索引资源 不允许

执行权限 推荐选择 “纯脚本”

2.更改C:\WINDOWS\Help\iisHelp\common\404b.htm内容改为"xxxxx"，出错了自动转到首页.

3.提高IIS 网站服务器的执行效率的八种方法

以下是提高IIS 网站服务器的执行效率的八种方法：

1. 启用HTTP的持续作用可以改善15~20%的执行效率。

2. 不启用记录可以改善5~8%的执行效率。

3. 使用 [独立] 的处理程序会损失20%的执行效率。

4. 增加快取记忆体的保存档案数量，可提高Active Server Pages之效能。

5. 勿使用CGI程式。

6. 增加IIS 电脑CPU数量。

7. 勿启用ASP侦错功能。

8. 静态网页采用HTTP 压缩，大约可以减少20%的传输量。

4.优化IIS应用程序池

1、取消“在空闲此段时间后关闭工作进程（分钟）”

2、勾选“回收工作进程（请求数目）”

3、取消“快速失败保护”

一般建议1个站点一个应用程序池，应用程序池对于一般站点可以采用默认设置.

应用程序池可以适当设置下"内存回收"：这里的最大虚拟内存为：1000M，最大使用的物理内存为256M，这样的设置几乎是没限制这个站点的性能的。

5.解决SERVER 2003不能上传大附件的问题

在“服务”里关闭 iis admin service 服务。

找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。

找到 ASPMaxRequestEntityAllowed 把它修改为需要的值（可修改为20M即：20480000）

存盘，然后重启 iis admin service 服务。

解决SERVER 2003无法下载超过4M的附件问题

在“服务”里关闭 iis admin service 服务。

找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。

找到 AspBufferingLimit 把它修改为需要的值（可修改为20M即：20480000）

存盘，然后重启 iis admin service 服务。

6.超时问题

解决大附件上传容易超时失败的问题

在IIS中调大一些脚本超时时间，操作方法是： 在IIS的“站点或虚拟目录”的“主目录”下点击“配置”按钮，

设置脚本超时时间为：300秒 (注意：不是Session超时时间)

解决通过WebMail写信时间较长后，按下发信按钮就会回到系统登录界面的问题

适当增加会话时间(Session)为 60分钟。在IIS站点或虚拟目录属性的“主目录”下点击“配置--选项”，

就可以进行设置了(Windows 2003默认为20分钟)