海运的博客

申请StartSSL免费SSL证书见：https://www.haiyun.me/archives/startssl-free-ssl.html，获取到证书私钥及公钥，然后生成IIS可导入的PFX证书。
1.使用StartSSL网页提供的PFX生成工具：

2.使用OpenSSL转为PFX证书。
然后在IIS管理器中导入生成的PFX证书并绑定到相应域名。

首先在客户端IE配置显示友好的错误信息，工具——选项——高级。
IIS6配置：网站——属性——主目录——调试，开启向客户端发送详细的ASP错误信息。

IIS7配置显示错误详细信息：错误页——编辑功能配置——详细错误。

IIS7配置ASP将错误发送到浏览器。

1.计算机安全策略设置（gpedit.msc）
Windows设置——>安全设置——>账户策略——>账户锁定策略：

账户锁定阀值：3次无效登录
账户锁定时间：30分钟
复位账户锁定计时器：30分钟之后

本地策略——>安全选项：

交互式登陆：不显示上次的用户名　　　　　　　   启用
帐户：重命名来宾帐户　　　　　　　　　　　　重命名
帐户：重命名系统管理员帐户　　　　　　　　　重命名

本地策略——>审核策略：

审核策略更改　　　成功　失败　　
审核登录事件　　　成功　失败
审核对象访问　　　　　　失败
审核过程跟踪　　　无审核
审核目录服务访问　　　　失败
审核特权使用　　　　　　失败
审核系统事件　　　成功　失败
审核账户登录事件　成功　失败
审核账户管理　　　成功　失败

本地策略——>用户权限分配：

从网络访问此计算机：保留Guest组、IIS-WPG组。
关闭系统：只有Administrators组、其它全部删除。
通过终端服务拒绝登陆：加入Guests、User组
通过终端服务允许登陆：只加入Administrators组，其他全部删除

2.禁用不必要的服务：

#https://www.haiyun.me
Computer Browser
DHCP Client
Error reporting service
PrintSpooler
Remote Registry
Remote Desktop Help Session Manager
TCP/IP NetBIOS Helper
Help and Support
Windows Audio
Server
Workstation

3.开启防火墙或TCP/IP筛选：


4.修改3389远程桌面端口：

REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp" /v PortNumber /t 
REG_DWORD /d $newport /f
REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t 
REG_DWORD /d $newport /f
#然后关闭并重新启动远程桌面，远程连接操作请重新启动系统生效。
REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t 
REG_DWORD /d 1 /f
REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t 
REG_DWORD /d 0 /f

5.IIS新建网站时尽量新建不同的用户，并权限最小化：

网站匿名访问用户属于Guest群组
应用程序池标记用户属于IIS_WPG群组
网站目录仅保留系统管理员网站用户权限

6.系统目录权限：

C:\administrators/system全部权限，继承到下级目录。
C:\Program Files\Common Files 开放Everyone，默认的读取及运行，列出文件目录，读取三个权限。
C:\Windows\ 开放USERS默认的读取及运行，列出文件目录，读取三个权限。
C:\Windows\Temp 开放Everyone 修改，读取及运行，列出文件目录，读取，写入权限。

7.禁用不安全的组件、调整ASP.NET安全级别防WebShell木马。
8.使用UrlScan应用防火墙过滤链接。
9.SQL2000数据库服务器安全设置。

1.ASP环境禁用Webshell危险的组件：

regsvr32 /u wshom.ocx
#卸载WScript.Shell 组件 
regsvr32 /u shell32.dll
#卸载Shell.application 组件
regsvr32 /u scrrun.dll
#卸载FSO对象
regsvr32 /u msado15.dll
#卸载stream对象

2.ASPX环境调整ASP.NET信任级别，ASPX运行ASPXspy之类的木马会出现错误信息：
编辑Framework配置文件：

C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CONFIG\web.config

修改为：

    <location allowOverride="false"> #禁止用户自定义级别
        <system.web>
            <securityPolicy>
                <trustLevel name="Full" policyFile="internal"/>
                <trustLevel name="High" policyFile="web_hightrust.config"/>
                <trustLevel name="Medium" policyFile="web_mediumtrust.config"/>
                <trustLevel name="Low" policyFile="web_lowtrust.config"/>
                <trustLevel name="Minimal" policyFile="web_minimaltrust.config"/>
            </securityPolicy>
            <trust level="High" originUrl=""/> #级别为高，默认为完全
            <identity impersonate="true" />
        </system.web>
    </location>

ASP.NET各信任级别权限如下：

完全：无限制的权限。应用程序可访问任何属于操作系统安全范围的资源。支持所有的特权操作；
高：不能调用未托管代码、不能调用服务组件、写入事件日志、访问 Microsoft 消息队列、访问 OLE DB 数据源；
中：除上述限制外，还限制访问当前应用程序目录中的文件，不允许访问注册表；
低：除上述限制外，应用程序不能与 SQL Server 连接，代码不能调用 CodeAccessPermission.Assert（无断言安全权限）；
最低：仅有执行权限。

高级别禁止读取注册表，编辑高级别配置文件：

C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CONFIG\web_hightrust.config

删除注册表权限：

#https://www.haiyun.me
<SecurityClass Name="RegistryPermission" Description="System.Security.Permissions.RegistryPermission, 
mscorlib, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089"/>

然后配置IIS为net为2.0版本，重启IIS。

cd C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727 
aspnet_regiis -i

单一禁止IISSPY还可修改以下文件权限：

/windows/system32/activeds.tlb
#去除文件Users组和Power Users组读取权限

现在浏览器都支持gzip压缩，网站开启gzip压缩可提高用户访问速度并节省服务器带宽，IIS6自带gzip压缩支持，不过设置有点麻烦。
1.打开IIS管理器——网站——属性——服务，选择动态或静态压缩支持。

2.新建web服务器扩展，文件为C:\WINDOWS\system32\inetsrv\gzip.dll。

3.停止IIS服务：

iisreset.exe /stop

4.编辑IIS配置文件C:\Windows\System32\inetsrv\MetaBase.xml，找到以下并修改：

<IIsCompressionScheme    Location ="/LM/W3SVC/Filters/Compression/gzip"
        HcCompressionDll="%windir%\system32\inetsrv\gzip.dll"
        HcCreateFlags="0"
        HcDoDynamicCompression="TRUE" #开启动态文件压缩
        HcDoOnDemandCompression="TRUE"
        HcDoStaticCompression="TRUE" #开启静态文件压缩
        HcDynamicCompressionLevel="9" #动态文件压缩级别，可选0-10，0为不压缩，数值越大压缩超高，越占用CPU。
        HcFileExtensions="htm #静态文件压缩扩展名
            html
            css
            js
            txt"
        HcOnDemandCompLevel="9" #静态文件压缩级别
        HcPriority="1"
        HcScriptFileExtensions="asp #动态态文件压缩扩展名
            dll
            exe"
    >
</IIsCompressionScheme>

5.重新启动IIS服务：

iisreset.exe /start

6.测试压缩：