如何保护IIS网站日志的安全

日志是系统安全策略的一个重要环节，确保日志的安全能有效提高系统整体安全性。

1.修改IIS服务器日志的存放路径

默认情况下，IIS服务器的日志存放在%Windir%System32LogFiles，黑客当然非常清楚，所以最好修改一下其存放路径。

在“Internet服务管理器”中，右击网站目录，选择“属性”，在网站目录属性对话框的“Web站点”页面中，在选中“启用日志记录”的情况下，点击旁边的[属性]按钮，在“常规属性”页面，点击[浏览]按钮或者直接在输入框中输入日志存放路径即可。如图11-39所示。

2.修改日志访问权限，设置只有管理员才能访问。如图11-40所示。

如果要做虚拟主机服务，请选择一个好的虚拟主机管理系统（像郑州景安网络），能够对IIS服务器站点管理权限进行方便的设置和对各个IIS服务器站点进行实时监控，还能还原到你所指定时间点时的网站程序。通过以上的这些安全设置，相信你的Web服务器安全性会得到较大改善。

随着校园网络建设和应用的逐步深入，越来越多的学校建立了自己的Web服务器。IIS(Internet Information Server)作为目前最为流行的Web服务器平台，在校园网中发挥着巨大的作用。因此，了解如何加强IIS的安全机制，建立一个高安全性能的Web服务器就显得尤为重要。

保证系统的安全性

因为IIS是建立在Windows NT/2000操作系统下，安全性也应该建立在系统安全性的基础上，因此，保证系统的安全性是IIS安全性的基础，为此，我们要做以下事情。

1、使用NTFS文件系统

在NT系统中应该使用NTFS系统，NTFS可以对文件和目录进行管理，而FAT文件系统只能提供共享级的安全，而且在默认情况下，每建立一个新的共享，所有的用户就都能看到，这样不利于系统的安全性。和FAT文件系统不同，在NTFS文件下，建立新共享后可以通过修改权限保证系统安全。

2、关闭默认共享

在Windows 2000中，有一个“默认共享”，这是在安装服务器的时候，把系统安装分区自动进行共享，虽然对其访问还需要超级用户的密码，但这是潜在的安全隐患，从服务器的安全考虑，最好关闭这个“默认共享”，以保证系统安全。方法是：单击“开始/运行”，在运行窗口中输入“Regedit”，打开注册表编辑器，展开“HKEY_ LOCAL_MACHINESYSTEMCurrentControlSetanmanworkstationparameters”，在右侧窗口中创建一个名为“AutoShare-

Wks”的双字节值，将其值设置为0，这样就可以彻底关闭“默认共享”。

3、设置用户密码

用户一定要设置密码，用户的密码尽量使用数字与字母大小混排的口令，还需要经常修改密码，封锁失败的登录尝试，并且设定严格的账户生存时间。应避免设置简单的密码，且用户的密码尽可能不要和用户名有任何关联。

保证IIS自身的安全性

在保证系统具有较高安全性的情况下，还要保证IIS的安全性，主要请注意以下事情：

1、要尽量避免把IIS安装在网络中的主域控制器上。因为在安装完IIS后，会在所安装的计算机上生成IUSR_Computername的匿名账户。这个账户会被添加到域用户组中，从而把应用于域用户组的访问权限提供给访问Web服务器的每个匿名用户，这样不仅不能保证IIS的安全性，而且会威胁到主域控制器。

2、限制网站的目录权限。目前有很多的脚本都有可能导致安全隐患，因此在设定IIS中网站的目录权限时，要严格限制执行、写入等权限。

3、经常到微软的站点下载IIS的补丁程序，保证IIS最新版本。

只要提高安全意识，经常注意系统和IIS的设置情况，IIS就会是一个比较安全的服务器平台，能为我们提供安全稳定的服务。

IIS的安全：

(不启用日志记录，主目录的记录访问和索引资源不勾，执行权限选纯脚本（点旁边的配置，启用父路径）)

1.删掉c:/inetpub目录，删除iis不必要的映射 ,web 服务扩展：保留acitve server pages，其他都禁止 网站属性:去掉扩展名中不用得，仅保留

asp,asa,等常用.

>>IIS (Internet信息服务器管理器) 在"主目录"选项设置以下

读 允许

写 不允许

脚本源访问 不允许

目录浏览 不允许

记录访问 不允许

索引资源 不允许

执行权限 推荐选择 “纯脚本”

2.更改C:\WINDOWS\Help\iisHelp\common\404b.htm内容改为"xxxxx"，出错了自动转到首页.

3.提高IIS 网站服务器的执行效率的八种方法

以下是提高IIS 网站服务器的执行效率的八种方法：

1. 启用HTTP的持续作用可以改善15~20%的执行效率。

2. 不启用记录可以改善5~8%的执行效率。

3. 使用 [独立] 的处理程序会损失20%的执行效率。

4. 增加快取记忆体的保存档案数量，可提高Active Server Pages之效能。

5. 勿使用CGI程式。

6. 增加IIS 电脑CPU数量。

7. 勿启用ASP侦错功能。

8. 静态网页采用HTTP 压缩，大约可以减少20%的传输量。

4.优化IIS应用程序池

1、取消“在空闲此段时间后关闭工作进程（分钟）”

2、勾选“回收工作进程（请求数目）”

3、取消“快速失败保护”

一般建议1个站点一个应用程序池，应用程序池对于一般站点可以采用默认设置.

应用程序池可以适当设置下"内存回收"：这里的最大虚拟内存为：1000M，最大使用的物理内存为256M，这样的设置几乎是没限制这个站点的性能的。

5.解决SERVER 2003不能上传大附件的问题

在“服务”里关闭 iis admin service 服务。

找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。

找到 ASPMaxRequestEntityAllowed 把它修改为需要的值（可修改为20M即：20480000）

存盘，然后重启 iis admin service 服务。

>>解决SERVER 2003无法下载超过4M的附件问题

在“服务”里关闭 iis admin service 服务。

找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。

找到 AspBufferingLimit 把它修改为需要的值（可修改为20M即：20480000）

存盘，然后重启 iis admin service 服务。

6.超时问题

解决大附件上传容易超时失败的问题

在IIS中调大一些脚本超时时间，操作方法是： 在IIS的“站点或虚拟目录”的“主目录”下点击“配置”按钮，

设置脚本超时时间为：300秒 (注意：不是Session超时时间)

解决通过WebMail写信时间较长后，按下发信按钮就会回到系统登录界面的问题

适当增加会话时间(Session)为 60分钟。在IIS站点或虚拟目录属性的“主目录”下点击“配置-->选项”，

就可以进行设置了(Windows 2003默认为20分钟)

---