要保证网站服务器正常提供 Web 服务，首先要保证 Web 服务器系统的安全可靠性。有许多网站遭到入侵，就是由于系统安全设置未做好的缘故。除了及时更新系统补丁程序外，Web 服务系统的安全设置必不可少，这里以最常见的 IIS 为例进行安全设置讲解。

一，删除不必要的 IIS 组件

最少的服务往往带来最大的安全，一般的 Web 服务器只需安装的 IIS 最小组件选择是：Com Files、IIS Snap-In、WWW Server 组件。至于 Indexing Service,FrontPage 2000 Server Extensions,Internet Service Manager(HTML)这几个组件是非常危险的，没有必要的话完全可以不安装。

在实际的网站服务器设置中，可以根据网站功能的需要，将不必要的 IIS 组件删除掉。方法如下：

单击任务栏菜单[开始]-[控制面板]-[添加删除程序]，打开“添加或删除程序”对话框。单击对话框左侧的“添加/删除 Windows 组件”按钮，打开 Windows 组件安装对话框。

在 Windows 组件向导中选择“internet”信息服务(iis)，然后单击[详细信息]按钮，打开详细信息设置对话框。

在 internet 信息服务(iis)窗口中将不必要的组件全部取消,单击[确定]按钮保存设置后，即可开始更新 IIS 信息服务。安装程序将自动删除取消的组件，从而保留最有用的组件部分，确保 IIS 服务器的安全。

二，IIS安全配置

在 IIS 信息服务中，可以对 IIS 进行各种安全设置。

(1) 修改网站物理路径

网站的物理路径隐藏，对于网站的安全非常重要。在前面的入侵技术分析中，常常可以看到通过获得网站物理路径，而进行文件上传、WEBSHELL生成等漏洞攻击事例。

要保证网站物理路径的安全性，需要修改默认的 Inetpub 目录路径。可以删除 C 盘下的默认 IIS 服务发布目录“Inetpub”，然后在 D 盘重建一个名为“inetput”之类的文件夹。然后打开 IIS 信息服务管理器，将主目录指向新建立的 Inetpub路径。

依次双击“控制面板”--“管理工具”--“Internet信息服务”，打开 IIS 信息服务管理器。在“IIS信息服务”管理器中，用鼠标右键单击主机名--“网站”--“默认网站”，在弹出菜单中选择[属性]命令，打开属性设置对话框。

选择“主目录”选项卡，在“本地路径”中，浏览指定刚才新建的 Web 根目录，即可修改默认的网站物理路径了。

(2)删除无用的虚拟目录与 IIS 映射

其次，需要删除默认的 Script、print 等虚拟目录，这些虚拟目录是默认安装的，但本身并没有多大的实用价值。以删除 Prints 虚拟目录为例：

在 IIS 信息服务管理器中，展开“主机名”--“网站”--“默认网站”，在其下可看到默认安装的 Prints 虚拟目录。用鼠标右键单击此虚拟目录，在弹出菜单中选择[删除]命令，即可将虚拟目录删除。

IIS中默认存在很多应用程序映射，除了 ASP 文件，其他的文件映射关系都很少用到，由于 IIS 的一些程序映射存在 安全漏洞，所以建议删除不必要的应用程序映射，减少发生的安全问题的可能。

在 IIS 管理器中删除不必要的映射，如果是 ASP 程序网站的话，一般情况下只保留 ASP 和 html、htm 映射就足够了。否则太多的映射，有可能是前面入侵技术分析中由上传漏洞引发的多余映射攻击事例。

在 IIS 信息服务管理器中，用鼠标右键单机主机名--“网站”--“默认网站”，在弹出菜单中选择[属性]命令，打开属性设置对话框。选择“主目录”选项卡，单击［配置］按钮，在“映射”选项卡中就可以删除不必要的映射了。

另外，在刚才的属性窗口中，选择“网站”选项卡，然后勾选“启用日志记录”,选择使用“w3c扩展日志文件格式”项。单击［属性］按钮，在弹出对话框中选择“扩展属性”选项卡，勾选“扩展属性”项目，启用每天记录客户 IP 地址、用户名、服务器端口、方法、URI字根、HTTP状态、用户代理等信息，而且每天均要审查日志。

三，设置 WEB 站点目录的访问权限

WEB 站点的目录访问权限非常重要，决定着攻击者上传的 Webshell 等是否可以成功执行，以及控制网站服务器后所获得的权限。

一般情况下，不要给目录以写入和允许目录浏览权限，只给 .asp 文件目录以脚本的权限，而不要给其执行权限。

在 IIS 信息服务管理器中展开网站的虚拟目录，然后用鼠标右键单击某个虚拟目录，选择［属性］命令，选择“虚拟目录”选项卡，在“本地路径”下可设置对该目录权限为“读取”或“目录浏览”等。另外也可以通过 NTFS 分区格式，严格地设置用户目录权限。