NT/2000服务器终极安全设置与效率优化指南（1）

核心提示： sideinclude），实际上90%的主机有了上面两个映射就够了，NT/2000服务器终极安全设置与效率优化指南（1）(4)，其余的映射几乎每个都有一个凄惨的故事：htw,htr,idq,ida……想知道这些故事？去查以前的漏洞列表吧，在IIS管理器中右击主机

sideinclude），实际上90%的主机有了上面两个映射就够了，其余的映射几乎每个都有一个凄惨的故事：htw,htr,idq,

ida……想知道这些故事？去查以前的漏洞列表吧。在IIS管理器中右击主机->属性->WWW服务

编辑->主目录配置->应用程序映射，然后就开始一个个删吧（里面没有全选的，嘿嘿）。接着在刚刚那个窗口的应用程序调试书签内将脚本错误消息改为发送文本（除非你想ASP出错的时候用户知道你的程序/网络/数据库结构）错误文本写什么？随便你喜欢，自己看着办。点击确定退出时别忘了让虚拟站点继承你设定的属性。安装新的Service

Pack后，IIS的应用程序映射应重新设置。（说明：安装新的ServicePack后，某些应用程序映射又会出现，导致出现安全漏洞。这是管理员较易忽视的一点。）

为了对付日益增多的cgi漏洞扫描器，还有一个小技巧可以参考，在IIS中将HTTP404ObjectNot

Found出错页面通过URL重定向到一个定制HTM文件，可以让目前绝大多数CGI漏洞扫描器失灵。其实原因很简单，大多数CGI扫描器在编写时为了方便，都是通过查看返回页面的HTTP代码来判断漏洞是否存在的，例如，著名的IDQ漏洞一般都是通过取1.idq来检验，如果返回HTTP200，就认为是有这个漏洞，反之如果返回HTTP404就认为没有，如果你通过URL将HTTP404出错信息重定向到HTTP404.htm文件，那么所有的扫描无论存不存在漏洞都会返回HTTP200，90%的CGI扫描器会认为你什么漏洞都有，结果反而掩盖了你真正的漏洞，让入侵者茫然无处下手,不过从个人角度来说，我还是认为扎扎实实做好安全设置比这样的小技巧重要的多。

最后，为了保险起见，你可以使用IIS的备份功能，将刚刚的设定全部备份下来，这样就可以随时恢复IIS的安全配置。还有，如果你怕IIS负荷过高导致服务器满负荷死机，也可以在性能中打开CPU限制，例如将IIS的最大CPU使用率限制在70%。