今天我讲更深入一些，谈谈网站安全性和稳定性。对于很多接触过Linux和Windows的朋友，对比Linux的apache来说，应该很清楚IIS是很不稳定了。什么死循环、堆栈溢出等问题一出现IIS就挂掉了，其他网站就受影响了。那我为什么还要讲IIS的安全性和稳定性呢?还是那句话，针对目前的市场来写文章做分享。

　　以下是使用IIS 部署网站的建议

　　1、将IIS目录&数据与系统磁盘分开放，如C盘放系统，D盘放数据，E盘只放网页文件。

　　2、网站目录只Administrators/SYSTEM/WEB用户/FTP用户权限，特殊目录除外。

　　3、启用父级路径

　　4、在IIS管理器中删除必须之外的任何没有用到的映射(保留asp、aspx等必要映射即可)，如果不懂不要删除。

　　5、在IIS中将HTTP404等出错页面通过URL重定向到一个定制HTML文件

　　6、建议使用W3C扩充日志文件格式，每小时记录客户IP地址，用户名等所有记录分类，而且每天均要审查日志,可用日记工具阅读。(IIS日志不要存放在默认的C盘，建议更换一个非系统盘日志的路径，同时设置日志的访问权限，只允许管理员和system为Full Control)。

　　7、程序安全:

　　1) 涉及用户名与口令的程序最好封装在服务器端，尽量少的在ASP文件里出现，涉及到与数据库连接地用户名与口令应给予最小的权限;

　　2) 需要经过验证的ASP页面，可跟踪上一个页面的文件名，只有从上一页面转进来的会话才能读取这个页面。

　　3) 防止ASP主页.inc文件泄露问题;

　　4) 防止UE等编辑器生成conn.asp.bak文件泄露问题。

　　8、设置IIS的服务恢复，减少IIS出问题时，自动重启服务。

　　1)将IIS Admin Service的恢复 第一次失败 设置为 重新启动服务，第二次失败和后续失败 设置为 运行一个程序，重置失败计数为 1天以后，重新服务启动服务为0分钟，然后在运行程序中复制以下地址 C:/WINDOWS/system32/iisreset.exe 命令行参数 /start

　　2)将World Wide Web Publishing Services 第一次失败、第二次失败、后续失败 设置为 重新启动服务，重置失败计数为 1天以后，重新服务启动服务为0分钟

　　9、删除C:/WINDOWS/system32/inetsrv目录下的adsiis.dll的user权限，可以禁止遍历IIS。

　　10、Web站点权限设定(建议)

　　读 允许

　　写 不允许

　　脚本源访问 不允许

　　目录浏览 建议关闭

　　日志访问 建议关闭

　　索引资源 建议关闭

　　11、控制网站目录的权限，以下详细介绍。

　　一、新建Web访问用户

　　0、右击 我的电脑--计算机管理--本地用户和组/用户--右击 新建用户

　　1、如 用户名web001、密码:123abc!@# (如果是真实运行尽量使用32位 复杂密码，另外用记事本保存好)

　　2、将 用户不能更改密码 和 密码永不过期 打勾。

　　二、修改Web用户权限

　　1、右击 web001 属性--隶属于--将Users删除，添加IIS_WPG (www.111cn.net)

　　2、切换到 环境 页面，将客户端设备的三个打勾 取消掉

　　3、切换到 远程控制 页面，将启用远程控制 取消打勾。

　　三、新建 应用程序池并设置权限

　　1、打开 Internet 信息服务(IIS)管理器 右击 应用程序池 新建--应用程序池

　　2、填写新应用程序池的名称，如web001 或者默认AppPool #1(关于网站独立使用应用程序池会比较好，一出现问题其他网站不会受它影响，也建议不同类型的网站不要使用同一个应用程序池)

　　3、右击 AppPool #1 属性--标识--应用程序池标识/配置--填写刚才新建的WEB用户：web001和密码：123abc!@# 应用--再一次密码输入：123abc!@# --确定。(建议关于服务器相关的账号和密码用记事本保存好)

　　四、设置网站的应用程序池和目录安全性权限

　　1、右击 www.paipat.com网站的属性--主目录--应用程序池--选择刚才新建的AppPool #1

　　2、切换到 目录安全性--身份验证和访问控制/编辑--输入刚才新建的用户和密码，点击确定时再输入一次密码

　　3、进入网站目录，如D:/wwwroot/web001，右击web001属性--安全--添加web001用户--权限只留下读取和写入，点击 高级--选择Web001--编辑--添加 删除权限。