iis安全设置

Win2003下IIS安全配置整理

一、系统的安装

１、按照Windows2003安装光盘的提示安装，默认情况下2003没有把IIS6.0安装在系统里面。

２、IIS6.0的安装

开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件

应用程序———https://www.wendangku.net/doc/466625809.html,（可选）

|——启用网络 COM+ 访问（必选）

|——Internet 信息服务(IIS)———Internet 信息服务管理器（必选）

|——公用文件（必选）

|——万维网服务———Active Server pages（必选）

|——Internet 数据连接器（可选）

|——WebDAV 发布（可选）

|——万维网服务（必选）

|——在服务器端的包

含文件（可选）

然后点击确定—>下一步安装。（具体见本文附件1）

３、系统补丁的更新

点击开始菜单—>所有程序—>Windows Update

按照提示进行补丁的安装。

４、备份系统

用GHOST备份系统。

５、安装常用的软件

例如：杀毒软件、解压缩软件等；安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份系统。

6、先关闭不需要的端口开启防火墙导入IPSEC策略

在”网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要控制带宽流量服务，额外安装了Qos数据包计划程序。在高级tcp/ip 设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS（S）"。在高级选项里，使用"Internet 连接防火墙"，这是windows 2003 自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec的功能。

修改3389远程连接端口

修改注册表.

开始--运行--regedit

依次展开 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/

TERMINAL SERVER/WDS/RDPWD/TDS/TCP

右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 ) HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/

右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 )

注意：别忘了在WINDOWS2003自带的防火墙给+上10000端口

修改完毕.重新启动服务器.设置生效。

二、用户安全设置

1、禁用Guest账号

在计算机管理的用户里面把Guest账号禁用。为了保险起见，最好给Guest加一个复杂的密码。你可以打开记事本，在里面输入一串包含特殊字符、数字、字母的长字符串，然后把它作为Guest用户的密码拷进去。

2、限制不必要的用户

去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系

统的突破口。

3、把系统Administrator账号改名

大家都知道，Windows 2003 的Administrator用户是不能被停用的，这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户，比如改成Guesycludx。

4、创建一个陷阱用户

什么是陷阱用户?即创建一个名为“Administrator”的本地用户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些 Hacker 们忙上一段时间，借此发现它们的入侵企图。

5、把共享文件的权限从Everyone组改成授权用户

任何时候都不要把共享文件的用户设置成“Everyone”组，包括打印共享，默认的属性就是“Everyone”组的，一定不要忘了改。

6、开启用户策略

使用用户策略，分别设置复位用户锁定计数器时间为20分钟，用户锁定时间为20分钟，用户锁定阈值为3次。（该项为可选）

7、不让系统显示上次登录的用户名

默认情况下，登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名，进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为：打开注册表编辑器并找到注册表“HKLMSoftwareMicrosoftWindows TCurrentVersionWinlogonDont-DisplayLastUserName”，把REG_SZ的键值改成1。

密码安全设置

1、使用安全密码

一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名，然后又把这些用户的密码设置得太简单，比如“welcome”等等。因此，要注意密码的复杂性，还要记住经常改密码。

2、设置屏幕保护密码

这是一个很简单也很有必要的操作。设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。

3、开启密码策略

注意应用密码策略，如启用密码复杂性要求，设置密码长度最小值为6位，设置强制密码历史为5次，时间为42天。

4、考虑使用智能卡来代替密码

对于密码，总是使安全管理员进退两难，密码设置简单容易受到黑客的攻击，密码设置复杂又容易忘记。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。

三、系统权限的设置

三、系统权限的设置

１、磁盘权限

系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限

系统盘Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限

系统盘Documents and SettingsAll Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限

系统盘WindowsSystem32cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe 、 netstat.exe、regedit.exe、at.exe、attrib.exe、https://www.wendangku.net/doc/466625809.html,、del文件只给 Administrators 组和SYSTEM 的完全控制权限

另将System32cmd.exe、https://www.wendangku.net/doc/466625809.html,、ftp.exe转移到其他目录或更名Documents and Settings下所有些目录都设置只给adinistrators权限。并且要一个一个目录查看，包括下面的所有子目录。

删除c:inetpub目录

２、本地安全策略设置

开始菜单—>管理工具—>本地安全策略

A、本地策略——>审核策略

审核策略更改成功失败

审核登录事件成功失败

审核对象访问失败

审核过程跟踪无审核

审核目录服务访问失败

审核特权使用失败

审核系统事件成功失败

审核账户登录事件成功失败

审核账户管理成功失败

B、本地策略——>用户权限分配

关闭系统：只有Administrators组、其它全部删除。

通过终端服务允许登陆：只加入Administrators,Remote Desktop Users组，其他全部删除

C、本地策略——>安全选项

交互式登陆：不显示上次的用户名启用

网络访问：不允许SAM帐户和共享的匿名枚举启用

网络访问：不允许为网络身份验证储存凭证启用

网络访问：可匿名访问的共享全部删除

网络访问：可匿名访问的命全部删除

网络访问：可远程访问的注册表路径全部删除

网络访问：可远程访问的注册表路径和子路径全部删除

帐户：重命名来宾帐户重命名一个帐户

帐户：重命名系统管理员帐户重命名一个帐户

３、禁用不必要的服务开始-运行-services.msc

TCP/IPNetBIOS Helper提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享

文件、打印和登录到网络

Server支持此计算机通过网络的文件、打印、和命名管道共享

Computer Browser 维护网络上计算机的最新列表以及提供这个列表

Task scheduler 允许程序在指定时间运行

Messenger 传输客户端和服务器之间的 NET SEND 和警报器服务消息

Distributed File System: 局域网管理共享文件，不需要可禁用

Distributed linktracking client：用于局域网更新连接信息，不需要可禁用

Error reporting service：禁止发送错误报告

Microsoft Serch：提供快速的单词搜索，不需要可禁用

NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要可禁用PrintSpooler：如果没有打印机可禁用

Remote Registry：禁止远程修改注册表

Remote Desktop Help Session Manager：禁止远程协助

Workstation 关闭的话远程NET命令列不出用户组

以上是在Windows Server 2003 系统上面默认启动的服务中禁用的，默认禁用的服务

如没特别需要的话不要启动。

４、修改注册表

修改注册表，让系统更强壮

1) 隐藏重要文件/目录可以修改注册表实现完全隐藏

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

Current-VersionExplorerAdvancedFolderHi-ddenSHOWALL”，鼠标右击“CheckedValue”，选择修改，把数值由1改为0

2) 防止SYN洪水攻击

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

新建DWORD值，名为SynAttackProtect，值为2

新建EnablePMTUDiscovery REG_DWORD 0

新建NoNameReleaseOnDemand REG_DWORD 1

新建EnableDeadGWDetect REG_DWORD 0

新建KeepAliveTime REG_DWORD 300,000

新建PerformRouterDiscovery REG_DWORD 0

新建EnableICMPRedirects REG_DWORD 0

3) 禁止响应ICMP路由通告报文

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinter face

新建DWORD值，名为PerformRouterDiscovery 值为0

4) 防止ICMP重定向报文的攻击

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

将EnableICMPRedirects 值设为0

5) 不支持IGMP协议

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

新建DWORD值，名为IGMPLevel 值为0

6) 禁止IPC空连接：

cracker可以利用net use命令建立空连接，进而入侵，还有net view，nbtstat这些都是基于空连接的，禁止空连接就好了。

Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 把这个值改成”1”即可。

7) 更改TTL值

cracker可以根据ping回的TTL值来大致判断你的操作系统，如：

TTL=107(WINNT);

TTL=108(win2000);

TTL=127或128(win9x);

TTL=240或241(linux);

TTL=252(solaris);

TTL=240(Irix);

实际上你可以自己改的：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters：DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258，起码让那些小菜鸟晕上半天，就此放弃入侵你也不一定哦

8) 删除默认共享

有人问过我一开机就共享所有盘，改回来以后，重启又变成了共享是怎么回事，这是2K为管理而设置的默认共享，

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters：AutoShareServer类型是REG_DWORD把值改为0即可

9) 禁止建立空连接

默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。我们可以通过修改注册表来禁止建立空连接：

Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成”1”即可。

10) 建立一个记事本，填上以下代码。保存为*.bat并加到启动项目中

net share c$ /del

net share d$ /del

net share e$ /del

net share f$ /del

net share ipc$ /del

net share admin$ /del

5、IIS站点设置：

1) 将IIS目录＆数据与系统磁盘分开，保存在专用磁盘空间内；

2) 启用父级路径；

3) 在IIS管理器中删除必须之外的任何没有用到的映射（保留asp等必要映射即可）；

4) 在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文件；

5) Web站点权限设定（建议）：

读允许

写不允许

脚本源访问不允许

目录浏览建议关闭

日志访问建议关闭

索引资源建议关闭

执行推荐选择“仅限于脚本” 。

6) 建议使用W3C扩充日志文件格式，每天记录客户IP地址，用户名，服务器端口，方法，URI字根，HTTP状态，用户代理，而且每天均要审查日志。（最好不要使用缺省的目录，建议更换一个记日志的路径，同时设置日志的访问权限，只允许管理员和system为Full Control）。

7) 程序安全:

A. 涉及用户名与口令的程序最好封装在服务器端，尽量少的在ASP文件里出现，涉及到与数据库连接地用户名与口令应给予最小的权限;

B. 需要经过验证的ASP页面，可跟踪上一个页面的文件名，只有从上一页面转进来的会话才能读取这个页面;

C. 防止ASP主页.inc文件泄露问题;

D. 防止UE等编辑器生成some.asp.bak文件泄露问题。

6、IIS权限设置的思路

1) 要为每个独立的要保护的个体（比如一个网站或者一个虚拟目录）创建一个系统用户，让这个站点在系统中具有惟一的可以设置权限的身份。

2) 在IIS的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑】填写刚刚创建的那个用户名。

3) 设置所有的分区禁止这个用户访问，而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问（要去掉继承父权限，并且要加上超管组和SYSTEM组）。

7、卸载最不安全的组件

最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT文件，( 以下均以 WIN2000 为例，如果使用2003，则系统文件夹应该是 C:WINDOWS )

regsvr32/u C:WINDOWSSystem32wshom.ocx

del C:WINDOWSSystem32wshom.ocx

regsvr32/u C:WINDOWSsystem32shell32.dll

del C:WINNTWINDOWSshell32.dll

iis错误

IIS状态代码的含义 概要 当用户试图通过HTTP或文件传输协议(FTP)访问一台正在运行Internet信息服务(IIS)的服务器上的内容时，IIS返回一个表示该请求的状态的数字代码。该状态代码记录在IIS日志中，同时也可能在Web浏览器或FTP客户端显示。状态代码可以指明具体请求是否已成功，还可以揭示请求失败的确切原因。 更多信息 日志文件的位置 在默认状态下，IIS把它的日志文件放在%WINDIR\System32\Logfiles文件夹中。每个万维网(WWW)站点和FTP站点在该目录下都有一个单独的目录。在默认状态下，每天都会在这些目录下创建日志文件，并用日期给日志文件命名（例如，exYYMMDD.log）。 HTTP 1xx-信息提示 这些状态代码表示临时的响应。客户端在收到常规响应之前，应准备接收一个或多个1xx 响应。 100-继续。 101-切换协议。 2xx-成功 这类状态代码表明服务器成功地接受了客户端请求。 200-确定。客户端请求已成功。 201-已创建。 202-已接受。 203-非权威性信息。 204-无内容。 205-重置内容。 206-部分内容。 3xx-重定向 客户端浏览器必须采取更多操作来实现请求。例如，浏览器可能不得不请求服务器上的不同的页面，或通过代理服务器重复该请求。 301-对象已永久移走，即永久重定向。 302-对象已临时移动。 304-未修改。 307-临时重定向。 4xx-客户端错误 发生错误，客户端似乎有问题。例如，客户端请求不存在的页面，客户端未提供有效的身份验证信息。400-错误的请求。 401-访问被拒绝。IIS定义了许多不同的401错误，它们指明更为具体的错误原因。这些具体的错误代码在浏览器中显示，但不在IIS日志中显示： 401.1-登录失败。 401.2-服务器配置导致登录失败。 401.3-由于ACL对资源的限制而未获得授权。 401.4-筛选器授权失败。 401.5-ISAPI/CGI应用程序授权失败。 401.7–访问被Web服务器上的URL授权策略拒绝。这个错误代码为IIS6.0所专用。

SEOer如何通过IIS日志来查看百度蜘蛛的爬行痕迹

SEOer如何通过IIS日志来查看百度蜘蛛的爬行痕迹 百度蜘蛛，英文名是“Baiduspider”是百度搜索引擎的一个自动程序。它的作用是访问互联网上的网页、图片、视频等内容，建立索引数据库，使用户能在百度搜索引擎中搜索到您网站的网页、图片、视频等内容。 什么是IIS日志 首先，Internet Information Server的缩写为（IIS）是一个World Wide Web server。Gopher server和FTP server全部包容在里面。IIS意味着你能发布网页，并且有ASP（Active Server Pages）、JA V A、VBscript产生页面，有着一些扩展功能。IIS支持一些有趣的东西，象有编辑环境的界面（FRONTPAGE）、有全文检索功能的（INDEX SERVER）、有多媒体功能的（NET SHOW）其次,IIS是随Windows NT Server 4.0一起提供的文件和应用程序服务器，是在Windows NT Server上建立Internet服务器的基本组件。它与Windows NT Server完全集成，允许使用Windows NT Server内置的安全性以及NTFS文件系统建立强大灵活的Internet／Intranet站点。 很多时候，SEOer在优化的时候，会遇种种的问题，比如，网站的空间是否稳定，网站的内容是否得到蜘蛛的青睐，蜘蛛爬行的频率，网站的排名为什么会下降，这些问题，我们都可以通过IIS日志来分析，有利利于帮助网站的排名。 IIS日志的作用： 通过站点的IIS日志我们可以了解搜索引擎对我们站点的爬行情况，包括搜索引擎的爬行轨迹和爬行量，进而分析出我们建设的外链对爬行的影响，我们把外链形容为搜索引擎蜘蛛进入我们站点的入口，同时IIS记录则会记录下搜索引擎蜘蛛从入口爬入的记录。站点的更新频率与搜索引擎的抓取频率存在着一定的关系，一般来说，更新的频率高则搜索引擎爬行得越勤。我们可以利用IIS日志中的搜索引擎爬行频率进行内容更新的微调。通过IIS日志可以体现出站点的空间存在着某些目前外表所不能识别的错误，而这些错误可以第一时间由IIS日志反映出来。我们可以通过日志及早的发现问题并解决问题。同时通过IIS日志我们可以分析出我们的内容中，有什么是搜索引擎所青睐的，什么是搜索引擎正眼不瞧的。通过这些数据进行内容的微调。通过站点的IIS日志SEOer可以了解搜索引擎对我们网站的爬行情况。 SEOer如何通过IIS日志查看和分析百度蜘蛛的痕迹 日志的在IIS中是很重要的，但是很多人却忽略了，在这里说说，日志格式建议使用W3C扩充日志文件格式，这也是IIS 5.0默认的格式，可以指定每天记录客户IP地址、用户名、服务器端口、方法、URI资源、URI查询、协议状态、用户代理，每天要审查日志。如图1所示。 IIS 5.0的WWW日志文件默认位置为%systemroot%\system32\logfiles\w3svc1\，对于绝大多数系统而言（如果安装系统时定义了系统存放目录则根据实际情况修改）则是C:\winnt\system32\logfiles\w3svcl\，默认每天一个日志。建议不要使用默认的目录，更换一个记录日志的路径，同时设置日志访问权限，只允许管理员和SYSTEM为完全控制的权限。日志文件的名称格式是：ex+年份的末两位数字+月份+日期，如2002年8月10日的WWW 日志文件是ex020810.log。IIS的日志文件都是文本文件，可以使用任何编辑器打开，例如记事本程序。下面列举说明日志文件的部分内容。每个日志文件都有如下的头4行：上面各行分别清楚地记下了远程客户端的IP地址、连接时间、端口、请求动作、返回结果（用数字表示，如页面不存在则以404返回）、所使用的浏览器类型等信息。 IIS的FTP日志文件默认位置为%systemroot%\system32\logfiles\MSFTPSVC1\，对于绝大多数系统而言（如果安装系统时定义了系统存放目录则根据实际情况修改）则是C:\winnt\system32\logfiles\ MSFTPSVC1\，和IIS的WWW日志一样，也是默认每天一个日

玩转“Log Parser”,轻松搞定网站日志安全分析

1 厦门市美亚柏科信息股份有限公司 电话：(86-592)3929988 传真：(86-592)2519335 技术支持热线：400-888-6688 微博：@美亚柏科 网站： 玩转“Log Parser ”，轻松搞定网站日志安全 分析 一、开篇

2 厦门市美亚柏科信息股份有限公司 电话：(86-592)3929988 传真：(86-592)2519335 技术支持热线：400-888-6688 微博：@美亚柏科网站：

二、介绍 web日志分析往往是件令人非常头疼的事情，特别是一些生产环境中的系统，每天产生的日志数量惊人，一但系统被入侵，能够追溯到攻击者的最好途径也只能是查看网站日志了。作为安全从业人员不得不面对的通过海量日志文件找到入侵者的难题，本期我们给大家分享一些应急响应中的web日志分析相关的经验 工欲善其事必先利其器，下面引出我们本期的主角logparser Log Parser 是微软免费且强大的日志分析工具，具备通用的日志分析能力，学会使用此款工具，就能够实现对windows系统日志，iis、apache、tomcat、nginx等web日志进行分析，本期我们只关注web方面的安全分析、系统日志分析等，大家有兴趣可以自己研究 下载地址 https://https://www.wendangku.net/doc/466625809.html,/en-us/download/details.aspx?id=24659 安装过程也特别简单，安装完成后我们可以将工具的路径加入系统环境变量中，这样方便我们在任何地方调用此工具 3 厦门市美亚柏科信息股份有限公司 电话：(86-592)3929988 传真：(86-592)2519335 技术支持热线：400-888-6688 微博：@美亚柏科网站：

IIS日志分析方法及工具

日志的重要性已经越来越受到程序员的重视,IIS的日志更是不言而喻。 www.eshuba.co m E书吧 IIS日志建议使用W3C扩充日志文件格式，这也是IIS 5.0已上默认的格式，可以指定每天记录客户IP地址、用户名、服务器端口、方法、URI资源、UR I查询、协议状态、用户代理，每天要审查日志。如图1所示。 IIS 的WWW日志文件默认位置为%systemroo t%\system32\logfiles\w3svc1\，（例如：我的则是在C:\W IND OW S\system32\LogFiles\W3SVC1\），默认每天一个日志。 建议不要使用默认的目录，更换一个记录日志的路径，同时设置日志访问权限，只允许管理员和SYSTEM为完全控制的权限。如图2所示。

如果发现IIS日志再也不记录了，解决办法： 看看你有没有启用日志记录：你的网站--> 属性-->“网站”-->“启用日志”是否勾选。 日志文件的名称格式是：ex+年份的末两位数字+月份+日期。 ( 如2002年8月10日的WWW日志文件是ex020810.log） IIS的日志文件都是文本文件，可以使用任何编辑器或相关软件打开，例如记事本程序，AWStats工具。 开头四行都是日志的说明信息 #So ftware生成软件 #Ve rsion 版本 #Da te 日志发生日期

#Fields 字段，显示记录信息的格式，可由IIS自定义。 日志的主体是一条一条的请求信息，请求信息的格式是由#Fields定义的，每个字段都有空格隔开。 字段解释 data 日期 time 时间 cs-me thod 请求方法 cs-uri-stem 请求文件 cs-uri-q uery请求参数 cs-use rname客户端用户名 c-ip 客户端IP cs-versio n 客户端协议版本 cs(User-Age nt) 客户端浏览器 cs(Refe rer) 引用页 下面列举说明日志文件的部分内容（每个日志文件都有如下的头4行）： #So ftware: Microso ft Interne t Info rma tio n Services 6.0 #Ve rsion: 1.0 #Da te: 2007-09-21 02:38:17

IIS发布网站使用教程

IIS 6.0 发布网站使用教程 经常发布网站的朋友都清楚在实际使用过程中我们并不必须在每台服务器上放置唯一的站点，可以通过虚拟目录或者修改发布端口等多种方式实现在同一台服务器上发布多个网站的目的，从而节约了资源也方便我们有效的管理多个站点。但是可能在实际使用过程中不希望通过虚拟目录或端口号的形式来访问站点，那么两个网站能否都用80端口在IIS中启动呢?今天我们就来解决此问题。 一、Windows 2003中IIS 6主机头功能： 实际上我们可以利用Windows 2003中的IIS 6组件实现前面提到的让两个不同的网站都用80端口对外发布，而访问时直接输入地址即可不用加任何虚拟目录路径也不需要修改默认端口号。这就是IIS 6中的主机头功能，下面笔者通过一个案例为大家详细介绍。 二、手把手教你配置主机头发布多个站点： 我们需要实现的功能就是在同一台服务器上发布两个不同的网站，而这两个网站都使用80端口，而且访问时不通过虚拟目录完成。 (1)建立A站点： 我们需要分别建立这两个站点。 第一步：在Windows 2003中启动IIS组件，然后在网站选项上点鼠标右键选择“新建”->“网站”。(如图1) 图1：启动IIS组件（点击看大图）

第二步：在网站描述处填写“softer站点”来区分另一个网站名称，点“下一步”按钮继续。(如图2) 图2：填写网站名称（点击看大图） 第三步：接下来就是主机头设置的关键了，网站IP地址处信息保持默认的“全部未分配”即可，端口是默认的80，最下面的“此网站的主机头”输入一个域名，当然如果真的要对internet发布自己的网站，这个域名是要输入真实的已经注册的。笔者填写https://www.wendangku.net/doc/466625809.html,作为该网站的主机头。(如图3) 图3：填写域名（点击看大图） 第四步：选择网站发布的主目录，通过“浏览”按钮定位站点文件夹。(如图4)

iis日志的查看

如何查看服务器日志 2008-11-30 18:40 一、利用Windows自带的防火墙日志检测入侵 下面是一条防火墙日志记录 2005-01-1300:35:04OPENTCP61.145.129.13364.233.189.104495980 2005-01-1300:35:04：表示记录的日期时间 OPEN：表示打开连接；如果此处为Close表示关闭连接 TCP：表示使用的协议是Tcp 61.145.129.133：表示本地的IP 64.233.189.104：表示远程的IP 4959：表示本地的端口 80：表示远程的端口。注：如果此处的端口为非80、21等常用端口那你就要注意了。 每一条Open表示的记录对应的有一条CLOSE记录，比较两条记录可以计算连接的时间。 注意，要使用该项，需要在Windows自带的防火墙的安全日志选项中勾选“记录成功的连接”选项。 二、通过IIS日志检测入侵攻击 1、认识IIS日志 IIS日志默认存放在System32\LogFiles目录下，使用W3C扩展格式。下面我们通过一条日志记录来认识它的格式 2005-01-0316:44:57218.17.90.60GET/Default.aspx-80 -218.17.90.60Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+.NET+ CLR+1.1.4322)20000 2005-01-0316:44:57：是表示记录的时间； 218.17.90.60：表示主机的IP地址； GET：表示获取网页的方法 /Default.aspx：表示浏览的网页的名称，如果此外的内容不是你网站网页的名称，那就表示可能有人在用注入 式攻击对你的网站进行测试。如：“/msadc/..蜡..蜡.. 蜡../winnt/system32/cmd.exe/c+dir”这段格式的 文字出现在浏览的网页后面就表示有攻击者尝试能否进入到你的系统目录下。-80：表示服务器的端口。 -218.17.90.60：表示客户机的IP地址。如果在某一时间或不同时间都有大量的

Windows7家庭普通版-IIS配置图解与使用

Windows7家庭普通版-IIS配置图解与使用 一、家庭版存在的问题： (1) 二、解决方案：通过安装Internet 信息服务(IIS) 7_5解决 (2) A：IIS 7.5 Express (2) B: 支持工具：Microsoft WebMatrix (3) C:还有一些其它的工具：Web Deploy 2.0 (4) D:支持Microsoft .NET Framework 4（独立安装程序） (5) 三、使用 (5) 四、局域网机器访问 (7) 一、家庭版存在的问题： （1）进入系统IIS设定 点击进入后如下图：

由于系统的原因Internet信息服务是缺少很多服务项目的，不能通过在这里按照来实现IIS 的；所以需要其它的方式来实现IIS。 二、解决方案：通过安装Internet 信息服务(IIS) 7_5解决 A：IIS 7.5 Express 在这里使用IIS 7.5 Express，关于他的说明如下： IIS 7.5 Express 兼具IIS 7.5 的强大功能与轻型Web 服务器(例如https://www.wendangku.net/doc/466625809.html, 开发服务器，也称为“Cassini”)的便利，可以增强在Windows 上开发和测试Web 应用程序的能力。Microsoft WebMatrix 中包含IIS 7.5 Express，这套集成工具可以让Windows 上的Web 应用程序开发工作变得简单、顺畅。IIS 7.5 Express 也可与Visual Studio 2010 一起使用，功能强大足以代替Cassini。使用IIS 7.5 Express 的好处包括：

在生产服务器上运行的同一Web 服务器现在可以在开发计算机上使用。 在无需管理员特权的情况下，可以完成大多数任务。 IIS 7.5 Express 在Windows XP 和所有更高版本的Windows 上运行。 多位用户可在相同的计算机上独立工作。 此包仅安装IIS 7.5 Express。对于集成的开发体验，还要安装Microsoft WebMatrix 或Visual Studio 2010。 支持的操作系统：Windows 7;Windows Server 2003;Windows Server 2008;Windows Server 2008 R2;Windows Vista;Windows XP .NET Framework 4.0 发布日期：2012/3/1 语言：中文(简体) 连接地址： https://www.wendangku.net/doc/466625809.html,/downloads/zh-cn/details.aspx?FamilyID=ABC59783-89DE-4ADC-B7 70-0A720BB21DEB 下载地址： http://218.249.165.37/download/27002193/34398030/3/msi/57/49/1332906776377_305/iisexpress _1_11_x86_zh-CN.msi B: 支持工具：Microsoft WebMatrix 说明如下： 利用Microsoft WebMatrix 可轻松创建新网站。开始创建网站，您可以使用内置模板或从联机Web 应用程序库中选用一款常见的免费开源Web 应用程序（如WordPress、Joomla!、DotNetuke 或Orchard）。使用HTML、CSS、JavaScript 及其他Web 标准自定义网站。利用WebMatrix，您可以使用https://www.wendangku.net/doc/466625809.html, 网页（包含简单易学的新编程模型“Razor”），也可以使用PHP 或经典ASP。将网站和数据库发布到您的宿主提供程序，或者从宿主提供程序库中选择与您构建的网站兼容的宿主提供程序。 连接地址： https://www.wendangku.net/doc/466625809.html,/downloads/zh-cn/details.aspx?FamilyID=5B9510A1-BC42-4323-90A

IIS攻击与日志

IIS攻击与日志 不管在操作系统上进行了多么精心的配置，不管网络的安全根基打的多么的好，运行其 上的脆弱的应用程序总是能轻松的将它们化为乌有。 INTERNET信息服务（IIS）是WINDOWS 2000服务器上应用最广泛的服务，作为微软的主 流WEB服务器，IIS遍布全球的服务器上，因此，几乎所有 的IIS漏洞都可能成为一次全球性蠕虫袭击的源头，漏洞发现----蠕虫来袭，几乎成了WINDOWS 2000服务器大灾难的一般规律，尽管发现的漏洞 都已经一一提供了补丁，但是还是让很多网管和媒体手忙脚乱一阵，而我们要做好IIS 的安全防范，日志是很重要的安全检查手段之一，下面， 我们有必要首先了解一些IIS攻击的基本知识。 知识点之一：HTTP请求过程简介 浏览器一般是图形界面的，因此我们图形界面后面所发生的详细细节。 实际上，它的请求过程是这样的：首先，你看到的网址通过DNS来转换成的IP地址，你的计算机会同这个IP地址建立TCP连接，连接建立后，就 开始HTTP请求过程了， 以下是一个完整的HTTP请求过程，首先我们点击https://www.wendangku.net/doc/466625809.html,/download/ Tue Aug 12 11:47:28 2003 正在连接https://www.wendangku.net/doc/466625809.html,:80 Tue Aug 12 11:47:28 2003 正在连接https://www.wendangku.net/doc/466625809.html, [IP=66.111.34.91:80] Tue Aug 12 11:47:29 2003 已连接. Tue Aug 12 11:47:29 2003 GET /download/ HTTP/1.1 Tue Aug 12 11:47:29 2003 Host: https://www.wendangku.net/doc/466625809.html, Tue Aug 12 11:47:29 2003 Accept: */* Tue Aug 12 11:47:29 2003 Referer: https://www.wendangku.net/doc/466625809.html,/download/ Tue Aug 12 11:47:29 2003 User-Agent: Mozilla/4.0 (compatible; MSIE 5.00; Windows 98) Tue Aug 12 11:47:30 2003 HTTP/1.1 200 OK Tue Aug 12 11:47:30 2003 Date: Tue, 12 Aug 2003 04:46:42 GMT Tue Aug 12 11:47:30 2003 Server: Apache Tue Aug 12 11:47:30 2003 Last-Modified: Mon, 09 Jun 2003 02:47:17 GMT

什么是IIS应用程序池以及应用程序池详解

什么是应用程序池呢？这是微软的一个全新概念：应用程序池是将一个或多个应用程序链接到一个或多个 工作进程集合的配置。因为应用程序池中的应用程序与其他应用程序被工作进程边界分隔，所以某个应用程序池中的应用程序不会受到其他应用程序池中应用程序所产生的问题的影响。 Windows 2003同时支持两种工作模式，默认为ISS 6.0工作进程隔离模式。工作进程隔离模式防 止一个应用程序或站点停止了而影响另一个应用程序或站点，大大增强了IIS的可靠性。那么如何设置两 种工作模式呢？ 启动IIS管理器，右击网站，选择“属性”，打开属性对话框（图1）。 在IIS 6.0工作进程隔离模式下，所有的应用程序代码都在隔离环境中运行，它们是如何进行隔离的呢？Windows 2003新增了应用程序池，工作进程隔离模式允许客户创建多个应用程序池，每个应用程序池都 可以有不同的配置。因为这些应用程序池直接从内核（而非WWW 服务）接收它们的请求，所以性能和可靠性得到了增强。要隔离运行在同一台计算机上但属于不同网站的Web应用程序，需要为每个网站创建单独的应用程序池。 创建应用程序池 在IIS管理器中，打开本地计算机，右键单击“应用程序池”，选择新建“应用程序池” （必须在工作 进程隔离模式下才能建立应用程序池）。“应用程序池名称”框中，输入新的应用程序池名称。如果在“应 用程序池ID”框中出现的ID （如：AppPool #1）不是您想要的，可进行重命名。如果您单击了“将现有应用程序池作为模板”，请在“应用程序池名称”框中右键单击想要用来作为模板的应用程序池。最后单击[确定]。

指派应用程序池 在IIS 管理器中，右键单击您要为其指派应用程序池的应用程序，然后单击“属性”。单击“主目录”选项卡，确认您正在指派的目录或虚拟目录的“应用程序名”是否已被填写。如果“应用程序名”框尚未被填写，请单击“创建”，然后输入名称。 在“应用程序池”列表框中，选择您想要为其指派的应用程序池的名称。最后单击[确定]。 一起来看看有关应用程序池的一些问题。应用程序池的“属性”对话框有四页——回收，性能，运行状况，标识，如图六所示。在这些选项页中，最引人注目的恐怕就是“回收”页，使用该选项页可以管理工作进程 的回收。在工作进程隔离模式中，IIS可以配置成定期重新启动应用程序池中的工作进程，从而更好地管理那些有错误的工作进程。这确保了池中的应用程序运行正常，并且可以恢复丢失的系统资源。为了回收工 作进程，失败工作进程接收请求的能力将被限制，直到它处理完存储在请求队列中的所有剩余请求。为了 排出当前请求，可以给予进程配置限制。同一命名空间组的替换工作进程在旧的工作进程停止前启动，从 而防止服务中断。旧的进程完成其未决的请求，然后正常关闭，或者如果在达到了配置的时间限制、请求数、设置的时间计划，或当达到指定的内存用量限制后仍没有关闭，则明确地终止进程。默认情况下，应 用程序池每隔1740分钟（29小时）回收一次。 W3SVC根据“运行状况”页的选项来判断应用程序池运行是否正常，包括：每隔指定的时间Ping工作 进程，时间按秒计，默认值30秒启动时间限制（工作进程必须在指定的时间内开始）关闭时间限制（工作进程必须在指定的时间内关闭）是否启动快速失败保护（如果在指定的时间段内一定数目的工作进程发生 失败，则禁用应用程序池）。另外，ISAPI应用程序（包括https://www.wendangku.net/doc/466625809.html,和asp.dll）可以声明自己不再适合提供服务，要求回收。 默认情况下，当IIS 6.0回收一个池时，它会使用一种称为overlapped recycle的回收技术。在这种回收模式下，失败的工作进程仍会保持运行状态，同时创建一个新的工作进程。IIS 6.0把新传入的请求传递给新的工作进程，但不拆除老的工作进程，直至老的工作进程处理完它队列中的请求，或者遇到超时错误。在此期间，TCP/IP连接不会丢失，因为有http.sys保持着连接的有效性。当失败的工作进程超时出错时，下一个请求传递给工作进程的请求是新的请求，因此原来保存在进程中的会话信息就会丢失。所有这类回 收操作都自动进行，无需管理员干预，而且在大多数情况下，不会造成明显的服务中断现象。如有必要， 可以将配置数据属性LogEventOnRecycle的值设置为1，指示W3SVC执行回收操作时生成一条事件日志 记录。 对于那些不能以多个实例运行的应用程序，overlapped recycle回收技术可能引起问题。如果遇到这类问题，可以将配置数据属性DissallowOverlappingRotation的值设置成 True（1），关闭某个应用程序池回收操作时的进程“重叠”现象。另外，对于失败的工作进程，有时我们可能不想将它拆除，仍旧保留该进程，以便检测和寻找发生问题的根源，这时可以将配置数据属性OrphanActionExe设置成执行文件的名字，使得工作进程成为“孤儿”时执行文件仍保持运行状态。 另一个与应用程序池有关的特性是，IIS 6.0允许将应用程序池配置成一个Web园（Web Garde n）。要理解Web园的概念，可以设想这样一种情形：假设有一个IIS 5.0服务器和三个Web网站，每一个Web 网站运行着相同的应用程序，如果IIS 5.0能够自动按照圆形循环的模式将请求依次发送给这些功能上等价、实际上分离的Web网站，将负载分离到三个不同的进程，就可以构成一个小型的Web农场（Web Farm）——这就是Web园。

分析IIS日志的最有效方法

分析IIS日志的最有效方法 IIS日志分析方法和技巧： 一、IIS日志的介绍 IIS日志：即服务器日志,记录服务器上的一些访行为和状态. 二、IIS日志的作用 (1)是否有死链接、错误链接 (404状态码，可用robots进行死链接链接） （2）查看服务器是否正常(500,501,502状态码） （3）了解蜘蛛访问网站的频率（查看时间） （4）了解用户访问形为（即用户访问了哪些页面） （5）了解网站的安全信息 例如： 13:46:07 127.0.0.1 GET /scripts/..＼../winnt/system32/cmd".exe 401 13:46:07 127.0.0.1 GET /scripts/..＼../winnt/system32/cmd".exe 200 13:47:37 127.0.0.1 GET /scripts/..＼../winnt/system32/cmd".exe 401 如果出现上述这些命令，则表示有人在扫描你的网站 (6)分析用户喜欢访问哪些栏目 三、怎么下载IIS日志 (1)如果是空间，可以在空间后台下载或找空间商 （2独立服务器或VPS，进入服务器或VPS进行设置即可 四、分析IIS日志 例如：

例如： #Software: Microsoft Internet Information Services 6.0 #Version: 1.0 #Date: 2012-04-19 16:03:02 #Fields: date time cs-method cs-uri-stem cs-uri-query cs-username c-ip cs-version cs(User-Agent) cs(Referer) sc-status sc-bytes time-taken 2012-04-19 16:03:01 GET /robots.txt - - 123.125.71.81 HTTP/1.1 Mozilla/5.0+(compatible;+Baiduspider/2.0;++https://www.wendangku.net/doc/466625809.html,/searc h/spider.html) - 200 574 15 2012-04-19 16:08:18 GET /index.php - - 222.77.187.33 HTTP/1.1 Mozilla/5.0+(compatible;+MSIE+8.0;+Windows+NT+6.1;+Trident/5.0) - 200 30212 859 2012-04-19 16:14:19 GET /favicon.ico - - 221.11.16.172 HTTP/1.1 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+5.1;+Trident/4.0;+.NET+ CLR+2.0.50727;+360space) - 200 3364 156 2012-04-19 16:16:30 GET /index.php p=246 - 203.208.60.235 HTTP/1.1 Mozilla/5.0+(compatible;+Googlebot/2.1;++https://www.wendangku.net/doc/466625809.html,/bot.ht ml) - 200 14802 2546 2012-04-19 16:17:31 GET /index.php p=401 - 211.154.149.132 HTTP/1.1 Mozilla/4.0+(compatible;+MSIE+8.0;+Windows+NT+6.1;+WOW64;+Trident/4.0 ;+SLCC2;) - 200 18817 937 2012-04-19 16:24:35 GET /index.php paged=3 - 180.153.227.29 HTTP/1.1 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1) https://www.wendangku.net/doc/466625809.html,/s?wd=https://www.wendangku.net/doc/466625809.html, blog&pn=70&rsv_page=1 200 22752 1000 2012-04-19 16:29:46 GET /index.php feed=rss2 - 209.85.238.197 HTTP/1.1 Feedfetcher-Google;+(+https://www.wendangku.net/doc/466625809.html,/feedfetcher.html;+1+subsc ribers;+feed-id=13463723763221171900) - 304 326 1109 2012-04-19 16:31:01 GET /index.php - - 115.238.252.231 HTTP/1.0 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+SV1;+.NET+CLR+1.1. 4322;+.NET+CLR+2.0.50727) - 200 30212 1125 2012-04-19 16:31:04 GET /index.php - - 115.238.252.231 HTTP/1.0 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+SV1;+.NET+CLR+1.1. 4322;+.NET+CLR+2.0.50727) - 200 30212 906 2012-04-19 16:31:04 GET /index.php - - 115.238.252.231 HTTP/1.0 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+SV1;+.NET+CLR+1.1. 4322;+.NET+CLR+2.0.50727) - 200 30212 1000 2012-04-19 16:31:07 GET /index.php - - 115.238.252.231 HTTP/1.0 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+SV1;+.NET+CLR+1.1. 4322;+.NET+CLR+2.0.50727) - 200 30212 1062 2012-04-19 16:33:28 GET /index.php - - 218.5.46.237 HTTP/1.1 Jakarta+Commons-HttpClient/3.1 - 200 16307 119734

win7 使用IIS 搭建ASP 服务器 连接本地ACCESS数据库 发布WEB 应用

WIN7 IIS ASP ACCESS环境搭建 2014-02-25 wanglei 本人一直是XP的坚定支持者，由于微软不支持XP更新，不得已改用WIN7 以前XP的IIS服务到WIN7下，无法使用，各种各样的异常，网上搜罗的教程也是漏洞百出，强烈鄙视那些直接COPY并不验证的人，废话少说直接上图，按本教程完美安装IIS ASP服务器并能支持ACCESS数据库 1、控制面板-程序与功能点击“打开或关闭Windows功能” 2、勾选Internet信息服务默认就可以如要支持ASP 需要勾选ASP选项。 3、控制面板-管理工具点击IIS管理器

在网站选项卡上右键点击，添加网站 4、添加网站网站名称随便写，物理路径选择网站所在目录如果遇到端口冲突，换个端口就可以了

5、添加完毕后点击已添加的网站(mygo) 点击ASP 将启用父路径改为True

点击默认文档 添加index.asp 至此以上步骤可以让WIN7 的IIS 支持ASP 但是如果要连接ACCESS 数据库还需要以下设置6、依次点击应用程序池-你的应用程序(我的是MYGO) –高级设置

将启用32位应用程序选为TRUE 7、一般情况这样就可以了，以下为特殊情况 1、Microsoft.Jet.OLEDB.4.0 错误 win7 不支持Microsoft.Jet.OLEDB.4.0;方式连接ACCESS数据库，用这种方式连接数据库是可以的set conn = Server.CreateObject("ADODB.Connection") Strconn="DRIVER={Microsoft Access Driver (*.mdb)};" Strconn=Strconn & "DBQ=F:\MyDatadictionary\SOFT\wwwroot\article.mdb" conn.open Strconn 2、数据库引擎打不开文件'(未知的)' Microsoft OLE DB Provider for ODBC Drivers ('0x80004005')[Microsoft][ODBC Microsoft Access Driver] Microsoft Jet 数据库引擎打不文件'(未知的)'。它已经被别的用户以独占方式打开，或没有查看数据的权限。 解决方法：C:\Windows\Temp,添加everyone权限! 通过以上配置就可以完美使用WIN7旗舰版的IIS提供的ASP + ACCESS服务了

关于W3SVC(IIS)日志清除

手动清除IIS日志 一、实验目的 ●了解IIS日志文件清除的基本原理。 ●手动清除本机上的IIS日志。 ●掌握针对日志清除攻击的防御方法。 二、实验步骤 1、获取IIS日志文件的存放路径和文件名 通过“控制面板”-“管理工具”-“Internet 信息服务”打开Internet 信息服务管理器，从“Internet 信息服务”依次展开至“网站”-“默认网站”，然后右键单击选择“属性”，打开默认网站属性配置窗口，如图1所示。 图1打开默认网站“属性”配置 查看“W3C扩展日志文件”的保存位置。在网站“属性”配置中，如果没有启用日志记录，则在系统中不会记录IIS的日志，默认是启用日志记录。单击活动日志格式下面的“属性”按钮，在弹出的窗口中可以看到日志记录的保存位置，如图2所示，单击“扩展属性”可以查看日志记录的详细设置选项。

图2 查看W3C扩展日志文件的保存位置 说明： ①IIS日志文件一般是存放于系统目录的logfiles目录，例如在WindowsXP以及Windows2003操作系统中，默认日志文件存放于“C:\WINDOWS\system32\Logfiles\”目录下，日志文件夹以“W3SVC”进行命名，如果有多个网站目录，则会存在多个“W3SVC”目录。 2. 查看日志文件 如果在IIS配置中启用了日志记录，则用户在访问网站时，系统会自动记录IIS日志，并生成log文件。在本案例中直接打开“C:\WINDOWS\system32\Logfiles\W3SVC1\ex100507.log”日志文件，如图3所示，其中包含了用户访问的IP地址，访问的网站文件等信息 图3 打开日志文件 3．手动删除IIS日志文件 启动DOS窗口，并到C:\WINDOWS\system32\Logfiles\目录下，然后输入dir命令；查看到该目录下的W3SVC目录，如图4所示。

microsoft IIS 6.0使用详解

Microsoft IIS 6.0 使用详解 河北理工大学 07网1 郑佩斌

目录 前言 (3) 第一部分IIS 6.0的概况及基本操作 (4) 一. 默认安装的内容 (4) 二. IIS6.0的管理界面 (5) 三. IIS的基本服务及其操作 (6) 第二部分IIS 6.0进阶应用及安全相关 (26) 一. IIS6.0的进阶应用 (26) 二. IIS6.0安全相关 (32)

前言 本手册是我在对windows2003中IIS系统学习后进行的归纳和总结，所参考资料主要来自视频教程以及图书馆借阅的书籍，手册中的贴图都是我电脑中实际的操作截图，使用vmare 6.5.0英文版虚拟机安装windows 2003和windows XP系统进行试验。下面是本机截图： 手册内容如有不准确地方还望老师批评指正。

第一部分IIS 6.0的概况及基本操作 IIS一直以来是微软服务器操作系统的一个内置软件，从windows NT 4.0开始集成到微软的系统中。在windows 2003中集成IIS 6.0版本。 一．默认安装的内容。 当在windows 2003或windows XP中安装完成IIS 6.0后，默认安装的内容包括三个部分： 1.IIS的文件目录。 IIS安装之后默认在系统中创建以下三个文件夹 其中InetPub文件夹是用来存放用户自己文件的地方，如自己的网站或ftp服务器等，在System32下面的那个inetSrv文件夹里存放着iis的程序文件，第三个文件从名称上就可以看出是iis的帮助文件。 2.用户账号 （1）Iuser_“计算机名” 这个是在客户端匿名访问windows 2003服务器时，用来表示匿名客户端的通用账号，也就是说系统认为所有匿名访问的客户端就是一个人，即Iuser。 注意最好不要删掉这个帐号或修改密码，否则发布出来的网站不支持匿名访问。

IIS日志分析

二、通过IIS日志检测入侵攻击 1、认识IIS日志IIS日志默认存放在System32\LogFiles目录下，使用W3C扩展格式。下面我们通过一条日志记录来认识它的格式2005-01-0316:44:57218.17.90.60GET/Default.aspx-80 -218.17.90.60Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT +5.2;+.NET+CLR+1.1.4322)20000 2005-01-0316:44:57：是表示记录的时间； 218.17.90.60：表示主机的IP地址； GET：表示获取网页的方法/Default.aspx：表示浏览的网页的名称，如果此外的内容不是你网站网页的名称，那就表示可能有人在用注入式攻击对你的网站进行测试。如：“/msadc/..蜡..蜡..蜡../winnt/system32/cmd.exe/c+dir”这段格式的文字出现在浏览的网页后面就表示有攻击者尝试能否进入到你的系统目录下。 -80：表示服务器的端口。 -218.17.90.60：表示客户机的IP地址。如果在某一时间或不同时间都有大量的同一IP对网站的连接那你就要注意了。 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.2;+.NE T+CLR+1.1.4322)：表示用户的浏览器的版本操作系统的版本信息 200:表示浏览成功，如果此处为304表示重定向。如果此处为404则表示客户端错误未找到网页,如果服务器没有问题但出

现大量的404错误也表示可能有人在用注入式攻击对你的网站 进行测试。 2、检测IIS日志的方法明白了IIS日志的格式，就可以去寻找攻击者的行踪了。但是人工检查每一条数据几乎是不可能的，所以我们可以利用Windows本身提供了一个命令findstr。下面以寻找05年1月1日日志中包含CMD字段为例演示一下它的用法。IIS日志路径已设为D\w3c Cmd提示符下输入：findstr"cmd"d\w3c\ex050101.log回车。怎么同一个IP出现了很多，那你可要注意了！下面是我写的几个敏感字符，仅供参考，你可以根据自己系统、网页定制自己的敏感字符，当然如果你根据这些字符作一个批处理命令就更方便了。cmd、'、\\、..、;、and、webconfig、global、 如果你感觉findstr功能不够直观强大，你可以AutoScanIISLogFilesV1.4工具。它使用图形化界面一次可以检测多个文件。下载地址： https://www.wendangku.net/doc/466625809.html,/Software/View-Software-1585.html 如果你感觉这些IIS日志中的信息记录还不够多，那么你可以做一个隐藏网页，凡是登陆到网站上都会先定向到该网页，然后你可以在该网页中添加代码，获取用户的IP、操作系统、计算机名等信息。并将其输入到数据库中，这样即使一个攻击者使用动态的IP只要他不换系统，即使删除了IIS日志，你也可以把他找出来。

Windows_Server_2008上使用IIS搭建WEB服务器、CA数字证书应用图解(全)

Windows Server 2008上使用IIS搭建WEB服务器、客户端的数字证书应用（一）一、什么是数字证书及作用？ 数字证书就是互联网通讯中标志（证明）通讯各方身份信息的一系列数据，提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构-----CA 机构，又称为证书授权（Certificate Authority）中心发行的，人们可以在网上用它来识别对方的身份。 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。常用的密钥包括一个公开的密钥和一个私有的密钥即一组密钥对，当信息使用公钥加密并通过网络传输到目标主机后，目标主机必需使用对应的私钥才能解密使用。使用它主要是为了提高IT系统在敏感数据应用领域的安全性，为用户业务提供更高安全保障； 注：数字证书，下面均简称证书； 二、如何搭建证书服务器？ 搭建证书服务器步骤如下： 1、登陆Windows Server 2008服务器； 2、打开【服务器管理器】； （图2） 3、点击【添加角色】，之后点击【下一步】；

（图3） 4、找到【Active Directory证书服务】勾选此选项，之后点击【下一步】；

（图4） 5、进入证书服务简介界面，点击【下一步】； （图5） 6、将证书颁发机构、证书颁发机构WEB注册勾选上，然后点击【下一步】；

（图6） 7、勾选【独立】选项，点击【下一步】；（由于不在域管理中创建，直接默认为：“独立”） (图7) 8、首次创建，勾选【根CA】，之后点击【下一步】；