今天折腾了一整天win7的iis安全设置，简直像在拆地雷。事情是这样的，早上正喝着咖啡，突然发现服务器日志里一堆奇怪的外国IP在扫描目录，吓得我差点把咖啡泼到键盘上。

准备工作就这幺蛾子

抄起官方文档就开始干，结果第一步就卡壳。安装光盘塞进光驱死活读不出来，这才想起来光驱三年前就坏了。翻箱倒柜找了个老u盘做启动盘，光驱动折腾了俩钟头。

• 坑点1： 装IIS时没勾选"URL鉴权"，结果后期配置时疯狂报错
• 坑点2： 信任平台模块默认没装，被网上的教程带沟里去了

权限设置比迷宫还绕

按着教程给应用池分配账户，系统自带的虚拟账户差点把我整懵圈。新建个叫'IISWorker'的专用账户，结果设置文件夹权限时手抖：

错把Users组权限删光了，整个网站直接403暴毙。只好重启服务器进安全模式，举着手电筒哆哆嗦嗦改回权限。

• 重要发现：磁盘根目录的user权限不能删
• 系统盘里的temp文件夹要单独设权限

最要命的请求过滤

看到教程说能拦截恶意请求还挺兴奋，结果配置完网站直接变白板。急得我薅着头发查半天，原来是拦截规则把.css文件当攻击了。

最绝的是这个操作：

• 把双斜杠//添加进拦截规则 - 安全指数+1
• 禁止.ini文件访问 - 安全指数+1
• 添加自定义后缀名过滤 - 安全指数+1

结果防护指数没升上去，自己访问后台的验证码图片反而被拦截了。改规则改得眼冒金星，发现是大小写敏感问题。

折腾完反而出大事

好不容易把所有安全设置搞完，正要叉腰得意，系统突然弹出个蓝屏。重启后看到磁盘检测画面差点心梗，原来机箱里挂着的备用硬盘被这个破系统当作系统盘了。

现在服务器是安全了，我的血压却不安全了。要不是赶着交这份实践报告，真想砸了这台破win7买台新服务器。