一、安装与基本配置规范
建议将IIS安装在独立分区,避免与系统盘混合使用。通过控制面板的「启用或关闭Windows功能」安装IIS时,仅勾选必要的模块(如静态内容、默认文档)。安装完成后立即删除默认虚拟目录(IISHelp、IISAdmin等)并停止默认站点。
新建网站时应遵循以下流程:
- 在非系统分区创建独立物理路径
- 通过IIS管理器右键「添加网站」配置主机头
- 设置独立应用程序池并限制资源占用
二、权限设置最佳实践
权限控制需结合NTFS文件系统与IIS管理面板双重配置:
- NTFS权限:基础目录仅授予Administrators完全控制,Web根目录设置IUSR和IIS_WPG组读取/执行权限,上传目录禁用脚本执行
- IIS面板:禁用「写入」「浏览」功能,ASP.NET程序设置「纯脚本」执行权限,PHP目录限制User组写入权限
C:\Websites ├─ App_Data (IUSR: 写入) ├─ Uploads (IUSR: 写入, 禁止执行) └─ Bin (IIS_WPG: 读取/执行)
三、安全加固措施
提升安全性的关键步骤包括:
- 删除危险脚本映射(.htr、.idc等)
- 启用请求过滤,限制文件扩展名上传
- 配置独立服务账户运行SQL Server和应用程序池
- 定期审查日志中的异常请求
四、常见问题解决方案
- 访问被拒绝错误:检查NTFS权限继承状态,确认IUSR账户具有读取权限
- 脚本执行失败:验证执行权限设置与应用程序池标识匹配
- 写入功能异常:确保目标目录同时开启IIS面板写入权限和NTFS写入权限
通过严格的权限分层设计、最小化服务原则和定期安全审计,可有效构建高安全性的IIS服务环境。建议每次配置变更后使用安全扫描工具进行验证。
