那天网站被黑之后气的我直跺脚

一大早想更新篇文章，好家伙，登录后台一看，满屏都是赌场的广告链接！血压噌就上来了，知道是被黑进去了。搞网站的嘛安全这事儿真不能靠运气，尤其是咱这种用Windows服务器跑网站的，IIS这大门要是没锁谁都能溜进来捣乱。新手上路头件事，真得把这篱笆扎紧喽。

抄家伙开整！准备工作不能少

想动手加固，总不能瞎摸对？直接登录我那台Windows服务器，甭管是开远程桌面连进去，还是直接坐在服务器跟前，路数都一样。打开服务器管理器，一眼瞅见那个叫“IIS管理器”的图标，双击点开，这就好比进到了控制心脏的总闸门。

第一步：密码必须杠杠硬！

进门头一脚，先捏软柿子——密码安全。点开服务器名字，右手边有个“配置编辑器”的大图标，猛戳一下。左边这栏一层层钻下去，钻进*/security/authentication/basicAuthentication这个犄角旮旯。看见那个enabled没？默认是False（关着的）。千万！千万！别手欠去打开它！这Basic认证密码传得跟裸奔似的，黑客最爱！就让它死在那儿挺

接着往上溜达一层，找到WindowsAuthentication，这个家伙的enabled属性，我给它撸成True打开。这个相对安全点，但用的时候也得多长点心眼儿。

最解气的来了！找到*/authentication/forms。这里面有个叫credentials的东西，专门管着后台登录密码。那个明文写的密码，我看着就来气，鼠标点上去，手指头狠狠戳着键盘Delete键，彻底删光光！删干净！谁也别想从这偷瞄！改完麻溜点右边操作栏的“应用”，让它生效。

第二步：堵死“父路径”这个后门

挨个点开网站底下的应用程序池，我主要就一个网站在跑。瞄到右边操作栏，点开那个“高级设置...”。在一堆选项里扒拉，找到个叫启用父路径的属性。好家伙，这玩意儿默认竟然是True！黑客最会利用这个钻空子访问不该碰的文件了。我手起刀落，直接改成False，跟这个隐患说拜拜！改了记得应用哈。

第三步：门锁钥匙看紧了！权限要抠门儿

回到IIS管理器主界面，点中我的网站名字，右边操作栏找那个“编辑权限...”，蹦出个文件属性窗口。点“安全”标签页，这里可热闹了，一堆用户组。重中之重！看看Users组或者IIS_IUSRS组有啥权限？要是这俩居然有“修改”或者“完全控制”这种吓死人的权利，赶紧！把它们权限咔嚓到只剩下“读取”、“执行”这种最基本、最无害的勾勾！咱的原则是：能少给绝对不多给！

还有一个惯犯叫NETWORK SERVICE用户，给它权限也得像防贼一样。默认它可能有点小特权？不行！该去掉的权限绝不含糊，按死！

第四步：错误信息？藏起来！别露富

还在网站名字那一级，点进去“错误页”选项。双击打开“403”或者“500”这类常见的错误类型。我直接选了整个网站的“编辑功能设置...”。在蹦出来的界面里，找到错误响应这一块。看到那个“本地详细错误”？这是给开发者看的，对外必须屏蔽！我果断选了下面的“详细错误仅对本地请求显示”，或者狠一点选“关闭错误”。不让黑客从错误提示里偷窥我服务器内部啥样。

第五步：再加一把新式锁！

在网站名字底下有个“请求筛选”，点进去瞧瞧。默认有些基础规则，但还不够硬！我直接点右边操作栏的“添加拒绝规则...”，然后选“拒绝字符串”。在“字符串”那栏，把那些黑客特别爱用来使坏的玩意儿敲进去，比如 （这是路径回溯，危险！），还有这种敏感命令。把它们全挡在门外！添加完一条就点确定，接着搞下一条。

捣鼓一上午，这心里才算踏实点

上面这一套组合拳打下来，总算感觉这服务器不是谁都能捏的软柿子了。安全是个持久战，还得靠勤打补丁、装个靠谱的防火墙、管理员的密码别整得跟123456似的。但起码新手上路这一层窗户纸，咱是给狠狠糊严实了！至少再碰到那波拿现成工具瞎扫的小毛贼，想5分钟搞挂我的站？门都没有！有本事跟我耗上一个礼拜试试？反正现在站点挂在那快一个月了，稳如老狗，睡觉都香了。

记住，搞IIS安全，核心就仨字：抠！严！藏！ 权限要抠门儿，配置要严丝合缝，报错信息要藏得严严实实。老话说防君子不防小人，咱这波操作，那也得让小人脱层皮才行！行了，希望对刚接触服务器的小伙伴有点帮助，回头见！