网站WEB服务器安全设置文档1，一台好的服务器到手后首先是给系统打全所有的补丁，推荐使用360safe漏洞修复，下载速度快，自动安装，自动屏蔽微软的黑屏补丁。这里是我从360安全卫士中剥离出来的绿色版（http://www.daokers.cn/article.asp?id=450）。2，网站设置：新建一个webusers用户组，为每一个网站建立独立用户，设置属于webusers组，选择“用户不能更改密码”和“密码永不过期”两个选项。IIS中网站目录设置：（一）在IIS网站根目录“属性”中：“主目录”-“配置”-“选项”-选择“启动父目录”（二）在IIS网站根目录“属性”中：“主目录”-“配置”-“映射”-只保留需要的asp或者php等映射，其余的全部删除（三）在IIS网站根目录“属性”中：“网站”-“高级“-“添加”-“主机头值“中输入网站域名（四）在IIS网站根目录“属性”中：“文档”-添加index.asp，default.asp（五）在IIS网站数据库目录“属性”中：“主目录”-对本地路径的目录全不选择，执行权限设置为“无”，数据库目录在这里可以设置一个花招那就是建立虚拟目录，这样可以避免数据库文件的泄露。比如我的网站的数据库相对路径为../test/test.asp,那么我可以在与wwwroot同一目录下建立一个目录xunidata，同时把数据库文件放在此文件夹中，建立虚拟目录test指向xunidata目录，给予xunidata目录的网站匿名用户读取和写入的权限，同时去掉上级目录的此匿名用户权限，这样的话除非能够猜到xunidata目录名，不然即使中了网马找到数据库也要费一番功夫。（六）在IIS网站上传目录“属性”中：“主目录”-对本地路径的目录只选择“读取”，执行权限设置为“无”（七）在IIS网站根目录“属性”中：“主目录”-对本地路径的目录只选择“读取”，执行权限设置为“纯脚本”（八）在IIS网站根目录“属性”中：“目录安全性”-“身份验证与访问控制”-“启用匿名访问”，查找选择相应的用户，输入先前建立用户时设定的密码。3，文件系统中网站目录安全设置：网站根目录：在“安全”中添加相应独立用户，只给予“读取”权限上传目录：可读取，可写入数据库目录：可读取，可写入4，文件系统目录安全设置：除给系统所在分区设置为不继承父权限外，其它分区都设置为继承父权限，并只赋予Administrators和System完全控制权。（一）C:\DocumentsandSettingsC:\programfiles以上目录只给予Administrators和System完全控制权。（二）C:\windowsC:\WINDOWS\tempC:\WINDOWS\system32\inetsrv这些目录默认安全属性，temp目录需要写入权限，否则用到access的网站可能运行不了。（三）C:\WINDOWS\system32\configC:\WINDOWS\system32\LogFilesC:\WINDOWS\system32\dllcacheC:\WINDOWS\system32\drivers去掉这些目录users组的权限（四）C:\WINDOWS\ServicePackFiles删除此目录5，特殊文件安全属性（一）C:\WINDOWS\regedit.exeC:\WINDOWS\system32\net.exeC:\WINDOWS\system32\net1.exeC:\WINDOWS\system32\cmd.exeC:\WINDOWS\system32\tftp.exeC:\WINDOWS\system32\ftp.exeC:\WINDOWS\system32\netstat.exeC:\WINDOWS\system32\at.exeC:\WINDOWS\system32\attrib.exeC:\WINDOWS\system32\cacls.exeC:\WINDOWS\system32\format.comC:\WINDOWS\system32\wscript.exeC:\WINDOWS\system32\shell.dllC:\WINDOWS\system32\wshext.dllC:\WINDOWS\system32\shell32.dll（Shell.Application）C:\WINDOWS\system32\wshom.ocx（WScript.Shell,WScript.Network）只给以上文件Administrator完全控制权，更彻底的是全部备份并替换成假文件。（二）C:\WINDOWS\explorer.exe去掉此文件的users组的权限，这样即使被添加用户但没有被加入administrators组的话，登陆后无权访问Explorer.exe马上注销。（三）C:\WINDOWS\system32\inetsrv\metabase.xml(IIS配置文件)只给Administrators和System完全控制权6，修改文件（一）C:\WINDOWS\system32\login.cmd：在末尾添加echoThisismyhome,youarenotwelcome!Bye.Exit（二）C:\WINDOWS\system32\inetsrv\metabase.xml：修改网站文件上传和下载限制ASPMaxRequestEntityAllowed（上传默认是200k即204800，建议2048...