1.         操作系统安全

a)        操作系统安装时，系统文件不要装在默认的目录(WINNT)，要选择安装一个新的目录进行安装；Web目录和系统不要放在同一个分区，防止有人通过Web权限漏洞，访问系统文件、文件夹。

b)        安装完操作系统，一定要先更新系统必要的补丁，直到没有补丁可更新。

c)         尽量少安装与Web服务不相关的软件。

2.         创建管理员账号

a)        最好是2个管理预案账号，防止忘记其中一个，密码最好是特殊符号、数字、大小写字母的搭配。不要避免使用单词

b)        禁用 Guest 账号

c)         修改账号登陆组策略

控制面板 — > 性能维护– >管理工具– > 本地安全设置 — > 帐户策略 — > 帐户锁定策略 – > 帐户锁定阈值   设为5次

设置成功后，会在密码错误5次后锁定账号30分钟

3.         创建 IUSR 用户，为iis 分配匿名访问默认用户为 IUSR

IIS 管理器 –> 选自网站右键“属性” –> 目录安全性 –> 设置匿名访问默认用户为 IUSR

4.         设置严格的文件夹访问权限

有用户上传功能的的文件夹给 IUSR 用户增加读写权限，其他文件夹，只有之只读权限

5.         防火墙设置

例外端口

21 – ftp 端口

25 – 邮件发送服务器

110 – 邮件接收服务器

80 – http访问端口 （如果iis apache 同时存在，有可能还要开放 82,8080等端口，要看端口是如何设置的）

3389 – 远程桌面端口

3306-Mysql 远程连接

6.         启用 IIS 日志

在网站属性–网站–启用日志记录属性-属性-新日志计划。

7.         分析IIS日志

如果日志中 404的请求过多，可能就是爬虫正在寻找网站漏洞，如果有成功的文件就要小心了，需要给文件加上只读权限

8.        定期查看windows 日志

我的电脑 –> 右键“管理”–> 事件查看器   –> 安全性     看是不是每个管理登陆的时间都对应，是不是有隐藏的管理员账号。必须把他们删除