哪位老大有关于IIS配置的资料借来看看啊？...

想搞个网站，现有服务器和固定的IP以及域名，并且也已经连接到INTERNET，想找些资料配置一下，

IIS配置全攻略 说起当今被应用的Web服务器及FTP服务器，许多人自然会想到Microsoft公司的IIS了。虽然近期有红码、蓝码等病毒及漏洞在困扰着它，但是由于它的易用及免费的特点，它受到许多的企业的青睐。这里就详细介绍在企业内如何配置它的Web服务器、FTP服务器等服务。 在介绍各个服务之前，先向大家简述下IIS。Microsoft从IIS 4.0开始就提供了以下服务：WWW、FTP、MTS、SMTP、NNTP、索引服务和证书服务。其中我们应用最多的是WWW及FTP服务。下面就详细介绍这两种服务。以下以WINDOWS 2000为例。 在配置这些服务前，你先要安装IIS。IIS可以运行在Microsoft的任意一种视窗操作系统上，不过要想真正的提供全部服务，必须把IIS安装在服务器的操作系统上（例如NT Server、Win2000 Server）。在Win9x或工作站上，IIS只充当PWS(Peer Web Server)，它不提供全部功能。在安装IIS时，注意Windows 2000与NT安装的方式不相同。 一、WWW服务 WWW是World Wide Web的简称，它只是Internet的一个组件，它可以在网络上实现图形服务。使用它，可在你的站点上加入HTML文档和超链接内容，供客户机和浏览器查阅。 1、打开IIS管理器。如图 大家已经注意到里面已经存在了默认的Web站点了（hunter是计算机名）。你既可以修改默认的Web站点为你的新站点，也可以重新建立一个新的Web站点。 2、新建一个Web站点 （1）单击“操作”->“新建”->“Web站点”，就会出现“欢迎使用Web站点创建向导”，然后点击“下一步”。 （2）提示要输入关于Web站点的说明，我这里用“IT海洋网”描述，除此之外，还要求输入该Web站点的IP地址，我这里设置为172.19.115.79，端口默认为80，你也可以修改。点击“下一步”。 （3）要求输入Web站点的主路径，路径一般有三种选择，这里选择本地硬盘g:\itocean。点击“下一步”。 （4）点击“允许匿名访问此Web站点”，点击“下一步”。这一步非常重要。 （5）设置Web站点的访问权限。如果你初次使用IIS，请使用默认设置。 到此为止，你已经成功地建立了一个新的Web站点。 3、配置IIS 建立了一个新Web站点后，你还不能使用IIS，你还要配置它。 （1）查看“IT海洋网”属性。 修改它的Web页启动时它会启用的默认文档，一般的网页都默认为index.htm或index.html，请根据你自己的情况修改。在“文档”栏目里。此时你就可以在IE浏览器里输入172.19.115.79或计算机名就可以浏览网页了。 （2）启动Web站点 新建立了Web站点后，你会注意到这个Web站点还没有启动。如图： 启动它，然后在IE地址栏里输入172.9.115.79或者hunter就可以浏览IT海洋网内容了。到此一个中小型企业内部的小型Web服务器就配置完成了。 当然这些都是最基本的设置，你还可以配置一些关于性能和安全的设置，例如限制带宽和哪些用户可以访问此Web页等。 二、FTP服务 FTP是File Transport Protocol的简称，其作用是使连接到服务器上的客户可以在服务器和客户机间传输文件。队WWW服务外，FTP也算是使用最广泛的一种服务了。 1、新建FTP站点 在WWW服务里已经介绍过了，同WWW服务一亲，IIS默认有一个默认的FTP站，因此你可以通过修改默认FTP站点或者新建立一个FTP站点来满足你的需要。我这里以新建FTP站点为例。 （1）、点击“操作”-“新建”-“FTP站点”,出现“FTP站点创建向导”，点击下一步。 （2）、填入关于FTP站点的说明：IT海洋网。点击下一步。 （3）、配置IP地址和端口设置。IP地址为192.168.0.29，端口默认为21。当然你可以根据实际需要来配置它。点击下一步。 （4）、指定FTP内容的主目录。我这里为g:\itocean。点击下一步。 （5）、指定方目录的访问权限。一般选择读取，你也可以以后再指定访问权限，让管理员具体写入的权限，让一般文章者具有读取的权限。到此为止整个向导已经完成。 2、配置FTP站点 （1）、允许匿名连接选项一定要填上。否则用户访问此站点时需要用户名和密码。默认状态下是可以允许匿名访问的。用户名为anonymous，密码为空格。 （2）、定义用户访问FTP站点和退出站点时的信息。 （3）、可以定义哪些用户可以访问及哪些用户不可以访问。 3、调试 在MS-DOS下输入ftp 192.168.0.29，用户名为anonymous，密码为空。如图 此时FTP服务器端已经配置成功了。

晕，太全了。。。。。多谢。。。

IIS配置安全策略 Web服务器的安全设置与应用 　 WEB服务器的设置 一、这次讲的是IIS的一些设置，由于小弟中用过win2k的服务器版，其它的我就不会了，同时我管理服务器也只有两个月的时候，在此之前，从来没有接触过is之类的，连在本机调试也没有。这次由于很多的朋友问iis的设置问题，我就将这两个月来我所积累的经验写出来，希望大家不要见笑。有不足的地方能够指出一下。好了，费话不多了，下面我们就开始吧！ 二、首先我们打开审核策略 开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式（如尝试用户密码,改变帐户策略，未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道，直到系统遭到破坏。下面的这些审核是必须开启的，其他的可以根据需要增加：策略 设置 依次为 成功,失败失败 成攻,失败失败 失败 成攻,失败失败 失败 功攻,失败关闭不必要的端口 关闭端口意味着减少功能，在安全和功能上面需要你作一点决策。如果服务器安装在防火墙的后面，冒的险就会少些，但是，永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口，确定开放了哪些服务是黑客入侵你的系统的第一步。\system32\drivers\etc\services 文件中有知名端口和服务的对照表可供参考。具体方法为：网上邻居>属性>本地连接>属性>internet 协议(tcp/ip)>属性>高级>选项>tcp/ip筛选>属性 打开 tcp/ip筛选，添加需要的tcp,udp,协议即可。接着再关毕默认共亨,很多啦,像ipc等都是默认共亨的啊,你可以在计算机管理里面的共亨列表里可以查看啊,点右键关毕共亨,或者你可以在cmd下打 net share 查看共亨列表..这个东西比较麻烦啦,因为每次重启,这些共亨都自动又打开的啊..现在有一些批处理文件,但好像不能完全解决默认共亨的问题..需要在启动项里增加这个批处理文件,只要系统一运行,自动运行这个批处理文件,达到删除这个共亨的效果..接着我们来建立web站点吧，管理工具--Internet 服务管理器--新建一个web站点就可以了，或者就用默认的web站点。好了，建好了一个站点，我们接下来就要为这个站点捆邦一个域名了，通常大家都是会自己的国际顶级域名解析到自己的服务器上，你只要在域名服务商那里将域名解析到这台服务器的ip上就可以了，我们打开己建好的web站点的属性，嘿嘿，那个主机头就填你的顶级域名就OK了，你有几个就填几个。很简单的啊。接下来配置合适的脚本映射。在主目录的执行许可的配置里面。首先我们来删除一些没有什么用的并可能导致服务器被攻击的脚本映射！ 1 *.htr这是一个比较厉害的文件，删掉好了。否则，任何人都可以通过你的web来进行非法操作，甚至格式化掉你的硬盘。2 *.hta 删掉吧。3 *.idc 所以删掉他。4 *.printer这个是打印机文件。去掉他好了5 *.htw , *.ida *.idq这些都是索引文件，可以去掉了。 其实只要将有用的保留,比如asp,asa,php,cgi,给保留着,其它全部删除就行啦!!!:)可执行的文件你可以自由配置啦啊，如果不让支持asp就将asp的脚本映射删除就行了，想让支持cgi,php（己安装了解释器），就配置这些文件的执行程序就可以了。。比如要执行php,你的php安装在c:\php，那你就在主目录的配置里的应用程序配置，添加可执行文件c:\php\php.exe，扩展名为.php就可以了，那么这个站点就可以运行php了，如果你想让他运行php3,重复上面的工作，只是将扩展名改成.php3就行了。呵。cgi也一样啊添加cgi可执行文件，扩展名用.cgi就行了。下面我们要做的就是将默认的站点（您可以选择停止，不让运行）的默认的一些虚拟目录删除，像iisadmin 这些，要不然可能就死得很惨哟！！呵呵很简单啊。。同样你建立一个虚拟目录也很简单啊，点击web站点的右键，新建一个虚拟目录，比如要建一个虚幻神化的江湖，就新建一个jxqy的虚拟目录名，接着就指向你程序所在的位置就可以使用www.*****.com/jxqy来访问你的虚幻神化了。还有，如果你建的这个web站点是送朋友的或者卖给客户的，你想做他的网站作一些限制？？（别太心狠啊，作太多的限制哟），打开web站点的属于，有一个链接，看到没？一个是无限，一个是限制的，我们选择下面的 限制，要限制多少人呢？得了，150人吧，那就填150链接，链接超时？一般150就够啦啊！！下面我们来对网站的性能作一些限制吧。那就在web站点的属性这里的性能这里设置吧，呵呵。你希望这个网站每天的点击量多少啊？？想多少？？自己选择了，下面选择启动宽带限制啊。。一般20kb/s就可以了。。。最大cpu占用资源？？2%就可以了。呵呵，我还要为服务器上的服务站着想呢：） 在web站点的属性看到那个文档没？那个就是设置站点的默认首页的，你的站想使用什么文件作首页就在这里调吧。呵呵。还有web站点属性里面的那个目录安全性，用到的地方可大着呢，呵呵。首先，在这里设置大家匿名访问你的网站。。。管理工具--Internet 服务管理器--打开你所需设置的web站点的属性--目录安全性--匿名访问和验证控制--编辑--匿名访问打上勾--编辑--选择你的用来作匿名访问的帐号--确定--好了可以访了！！呵呵，想不让某些爱搞蛋的家伙不能来访问你的网站？？？那就将他们的IP限制住就行喽，也就在目录安全性这里。不要说你这也不会啊。。 三：我们来讲讲ftp的设置吧。。 这个就很简单啦啊，在Internet信息服务里点右键，新建ftp站点，按下一步，填写这个ftp站点的说明。填写ip地址，就写你的服务器的IP吧，端口？？随便你想一个啊，最好人家不好猜到的，这样的话就算是知道用户名和密码，一时也不好上FTP哟，呵呵。再下一步就是这个FTP链上的时候，指向你服务器上的哪一个目录啊，这个你自己设吧，你建立的哪个目录是用来放网站的就指向哪个目录，好了，一个FTP建成了。。接下来你就因该去管理工具里面的计算机管理，新建一个用户了，是用作链接刚才新建的这个FTP的帐号。帐号建好了，那就去要开刚才新建的FTP的属性，同样有链接的选项，呵呵，同时使用这个FTP的人？三四个就可以了。下面我们看看安全帐号这里，将匿名进行FTP的这个勾去掉，要不然别人就匿名上这个FTP了，呵呵，我最喜欢这样上人家的服务器拷贝资料了，呵呵。再添加一个操作员，也就是你刚才新建的帐号啊。还有旁边还有一个消息的功能，就用来链接FTP，服务器的提示信息，就是在这里填的，还有目录安全性？你不想让某个IP段或某个IP不准使用这个FTP？来这里限制吧。呵。好了，一些设置基本上也只有这么一些，下面我们来讲讲给用户配置空间的大小吧。。四：磁盘分区配额 磁盘配额的启用 大家都知道，我们有时需要限制某些客户的能够使用的磁盘容量，这点，我们也可以做到，并不需要其它的什么软件，WIN2K本身有这个功能。但必须要求你格式化硬盘的时候，是采用ntfs 5.0进行分区的。在NTFS 5.0的分区中，打开“属性”对话框之后，如果当前的用户是系统管理员或是系统管理员组的一个成员，那就会看到“属性”对话框中有“配额”这一项，如果你不是采用NTFS 5.0分区的，那你就没有这项功能。在默认的情况下，碰盘配额是被禁用的，如果要启用碰盘配额，只需选择“启用配额管理”复选框，单击“确定”或“应用”按扭就可以启用磁盘配额了。碰盘配额是由windowns 2000 中的碰盘配额程序管理和控制的，当启用磁盘配额时，磁盘配额程序就被启动。磁盘配额的分配和设置 碰盘配额是基于用户和文件所有者的一种磁盘分配机制。利用磁盘配额机制，系统管理员可以设置每个用户使用NTFS5.0分区磁盘空间的上限.打开配额项,有两个选项:1:不限制磁盘使用:对新用户不限制碰盘使用,任何新用户可以充分使用磁盘空间,直至达到最大的磁盘容量。2将磁盘空间限制为：选择了这个选项之后，可以设置“配额限制（puota limit)”的大小和：配额警告等级(quota warning level)”的大小。“配额限制”指定在当前分区中新用户最大可以使用的磁盘空间，比如我将警告等级设为200MB，警告等级为198MB，如果己使用了达到198M的东西，那系统上就会警告了，如果达到200M了，那该用户就无法再上传东西了。在“配额”对话框中还有以下设置1：拒绝将磁盘空间给超过配额限制的用户：选择了这个选项之后，当用户使用的磁盘空间达到了配额限制之后，用户就不能再往该分区新加什么数据了。如果不选择此选项，则用户使用的磁盘空间超出配额限制，系统可能只是记录下这个事件。2：用户超出磁盘配额时记录事件：选择了该选项之后，当用户使用的磁盘空间超出磁盘配额时，系统会在系统日志中记录这件事。3：用户超出警告等级时记录事件：选择了该选项之后，当用户使用的磁盘空间超出警告等级时，系统会在系统日志中记录这件事。还有服务器的安全，只要有补丁就打，多看看LOG我想没什么问题了。别忘了，微软是补丁大王。好了，就写这么多了，累死我了。这些我都是在WIN2K服务器上，使用的是WIN2K自带的FTP，以前听很多人说IIS自带的没有限制空间大小等这些功能。。现在明白了没有？？作为虚拟主机提供商应将filesystemobject进和dll文件发安装！！在命令提示符这里或运行这里运行Regsvr32 /u scrrun.dll进行反安装！！或者修改注册表！！只要自己知道才可以使用fos，查找注册表中 HKEY_CLASSES_ROOT\Scripting.FileSystemObject 键值,将其更改成为你想要的字符串,比如更改成为HKEY_CLASSES_ROOT\Scripting.FileSystemObject2,这样,在ASP就必须这样引用这个对象了:Set fso = CreateObject("Scripting.FileSystemObject2") 而不能使用:Set fso = CreateObject("Scripting.FileSystemObject") nt型主机分区都要采用ntfs分区，而不要采用fat32分区！！！

[此贴子已经被作者于2003-9-13 16:02:10编辑过]

哈哈，太棒了，不过我得先看看再说啊，哈哈，谢啦哥们！！！

有点太简单了，呵呵，好多的东西都不知道该怎么配置啊。

一、TCP/IP方面要重点考虑的安全配置信息 Win2K提供了三种方式对进站连接进行访问控制，以下分别介绍。 1、TCP/IP安全配置 Win2K中的TCP/IP安全配置与Windows NT 4.0中的执行方式完全相同，配置方法非常基本也非常简单，根本原则就是“全部允许或只允许”， “全部允许”表示放行来自所有端口的通讯数据，“只允许”表示除了特别列出端口外的通讯数据都拒绝。TCP/IP筛选虽然简单，但过滤总比没有过滤好，建议管理员不要漏掉这个防线。 2、对路由和远程访问服务（Routing and Remote Access Service，RRAS）形式的进站连接设置访问控制列表 路由和远程访问服务(RRAS)能够配置出更加灵活复杂的信息包过滤器，尽管过滤方式是静态的，但它的过滤细节却很多，包括信息包方向、IP地址、各种协议类型。 3、IPSec Policy Filters（IP安全策略过滤器） IPSec Policy Filters由IPSec Policy Agent（IP安全策略代理）强制执行，是Win2K操作系统的新生功能。它弥补了传统TCP/IP设计上的“随意信任”重大安全漏洞，可以实现更仔细更精确的TCP/IP安全。可以说，IPSec是一个基于通讯分析的策略，它将通讯内容与设定好的规则进行比较以判断通讯是否与预期相吻合，然后据此允许或拒绝通讯的传输。这些规则叫做过滤器列表，管理员可以围绕各种不同的安全认证协议来设计它们，协议包括： 1 Internet密钥交换协议(Internet Key Exchange Protocol，IKE): 一种使VPN节点之间达成安全通信的协议，其功能强大、设计灵活。 2 认证IP数据包(Authentication Header,AH)：也就是将数据包中的数据和一个变化的数字签字结合起来，使得接收者能够确认数据发送者的身份以及确认数据在传输过程中没有被纂改过。 3 Encapsulation Security Payload (ESP)：指使用硬件对数据包中的数据进行加密，使象Sniffer类的网络监听软件无法得到任何有用信息。 3.配置安全的IIS 1、单独设置IIS服务器 如果可能，IIS应该安装在一个单独的服务器上。就是说，这个服务器不是任何域中的成员，不必与域控制器建立Netlogon信道，从而降低通过服务器之间连接而建立起来的空用户连接所带来的安全风险。而且，由于系统之间不传递认证通讯信息，也就降低了登录口令被截获的可能。 2、禁止不需要的服务 另外，如果仅仅是单纯的Web 服务器，那么最好禁止掉以下不需要的服务： ALERTER CLIPBOOK SERVER COMPUTER BROWSER DHCP CLIENT MESSENGER NETLOGON NETWORK DDE NET DDE DSDM NETWORK MONITOR AGENT SIMPLE TCP/IP SERVICES SPOOLER NETBIOS INTERFACE TCP/IP NETBIOS HELPER NWLINK NETBIOS 3、合理设置Web根文件夹 同前面论述的将操作系统与应用程序单独存放在不同的分区或磁盘驱动器一样，现在又要使用到隔离技术了。建议将Web根文件夹wwwroot定位在操作系统分区以外的地方甚至是另外的物理磁盘驱动器上。而且，当设置Web站点的虚拟目录或重定向文件夹时，也要保证这些目录不会被重定向到操作系统的启动分区，因为有些攻击能够危及访问文件夹所在分区上的其它文件夹。还有一种安全处理方式就是把Web根文件夹设置到另一个服务器上，使IIS服务器成为一个只缓冲请求、应答请求的系统。而且，经过这样处理后，整个服务器基本上是一个通用型的，其上没有存储任何内容，即使站点遭到攻击而瘫痪，也可以从磁带或其它备份中快速简单地恢复服务器。 4、为重要系统文件改头换面 操作系统中有许多非常重要的文件，它们就象“双刃剑”，既可以让管理员方便地执行维护工作，又可能被攻击者利用进行破坏活动。为此，建议对这些文件进行删除、重命名或者为其设置NTFS权限，目的就是使攻击者再也找不到熟悉的面孔。这些文件包括： XCOPY.EXE at.exe regedit.exe cacls.exe regedt32.exe edlin.exe rsh.exe finger.exe runas.exe ftp.exe net.exe tracert.exe netsh.exe tskill.exe poledit.exe cmd.exe regini.exe cscript.exe regsrv32.exe tftp.exe netstat.exe issync.exe runonce.exe telnet.exe debug.exe rexec.exe wscript.exe 5、删除危险的IIS组件 默认安装后的有些IIS组件可能会造成安全威胁，应该从系统中去掉，所谓“多一个组件，不如少一个组件”。以下是一些“黑名单”参考，请管理员酌情考虑： Internet服务管理器（HTML）：这是基于Web 的IIS服务器管理页面，一般情况下不应通过Web进行管理，建议卸载它。 样本页面和脚本：这些样本中有些是专门为显示IIS的强大功能设计的，但同样可被用来从Internet上执行应用程序和浏览服务器，这不是好事情，建议删除。 Win2K资源工具箱 或IIS资源工具箱：这些由专家编写的软件大概是现在最好的黑客工具了，其中有许多项目可以被攻击者利用从服务器上提取信息、进行破坏。 SMTP和NNTP：如果不打算使用服务器转发邮件和提供新闻组服务，就删除这些项目吧。否则，别因为它们的漏洞带来新的不安全。 @ Internet打印：Internet打印是Win2K中的一个新特性，它提供了通过Internet将打印作业题交给打印机的方式。但是由于网络上的打印机是通过一个Web页面进行访问并管理的，所以也就使系统增加了许多受到利用的可能。 6、改写注册表降低被攻击风险 DDoS攻击现在很流行，例如SYN使用巨量畸形TCP信息包向服务器发出请求，最终导致服务器不能正常工作。改写注册表信息虽然不能完全制止这类攻击，但是可以降低其风险，所以，建议搜索并实施相关攻击的注册表改写对策。降低SYN攻击的注册表改写对策是：将HKLM\System\CurrentControlSet\Services\Tcpip\Parameters下的SynAttackProtect的值修改为2。 7、简化IIS5中的验证方法 Win2K和IIS5紧密结合的一点就体现在它们共享了验证的功能和方法，这包括：匿名访问、基本验证（密码用明文送出）、Windows域服务器的简要验证、集成Windows验证等等。对于大多数Web站点来说，有匿名访问或基本认证就足够了，或者干脆只保留匿名访问形式。在有些地方，最简单的往往是最有效的！ 8、为IIS5中的文件分类设置权限 除了在操作系统级别为IIS5的文件设置必要的权限外，还要在IIS管理器中为它们设置权限，以期做到双保险。一般而言，对一个文件夹永远也不应同时设置写和执行权限，以防止攻击者向站点上传并执行恶意代码。还有目录浏览功能也应禁止，预防攻击者把站点上的文件夹浏览个遍最后找到“不忠的坏分子”。一个好的设置策略是：为Web 站点上不同类型的文件都建立目录，然后给它们分配适当权限。例如： Scripts目录：包含站点的所有脚本文件，如cgi、vbs、asp等等，为这个文件夹设置“纯脚本”执行许可权限。 BIN目录：包含站点上的二禁止执行文件，应该为这个文件夹设置“脚本和可执行程序” 执行许可权限。 Static目录：包括所有静态文件，如HTM 或HTML，为这个文件夹设置“读权限” 9、全力保护IIS metabase IIS Metabase保存着包括口令在内的几乎IIS配置各个方面的内容，而且这些信息都以明文形式存储，因此保护它至关重要。建议采取如下措施： 把HTTP和FTP根文件夹从%systemroot%下移走 慎重考虑重新命名Metabase和移动Metabase位置 安全设置确定Metabase位置的注册表关键字 审核所有试图访问并编辑Metabase的失败日志 删除文件%systemroot%\system32\inetserv\Iissync.exe 为Metabase文件设置以下权限：Administrators/完全控制，System/完全控制完成IIS配置后对Metabase 进行备份，这时会创建文件夹%systemroot%\system32\inetserv\MetaBack，备份文件就存储在其中。对于这个地方，要采取如下措施进行保护： 审核对\MetaBack文件夹的所有失败访问尝试 为\MetaBack文件夹设置如下权限：Administrators/完全控制，System/完全控制最后，要保护能够编辑Metabase的工具，步骤是： 移走文件夹\Inetpub\Adminscripts，这里包含着IIS的所有管理脚本 将"\program file"文件下的Metaedit.exe 和Metautil.dll移到%systemroot%\system32\Inetserv文件夹下，并调整相应的开始菜单快捷方式。 审核对\Adminscripts文件夹的所有失败访问尝试 对执行.VBS文件的%systemroot%\system32\csript.exe设置权限为“Administrators/完全控制”。 对\Adminscripts文件夹设置权限“Administrators/完全控制”。 不要在服务器上面安装FRONPAGE等系列的软件。。。这样也可能是黑客的入侵口！ 关掉自己不需要的服务和映射...[建议最好把不用的映射DEL掉] 还有就是注意建立审核例行程序和备份策略和数据保护对存储在服务器上暴露于Internet的数据进行保护也很重要。除了设置相应权限外，建立一个正式的备份策略，定期进行磁带备份非常必要的。对于以上两点都需要明确目标。可以把备份分两份。1备份在SERVER外“光盘。磁带。或者局域网中的其他COMPUTER硬盘中。 2备份在SERVER其他盘中，把权限设置为adminstrators。

thank you

谢啦，再试下。

好呀！ 其实帮助文件也很全呀！