Para elaborar, algunas de las cosas que he hecho en web server de IIS son:
1. URLScan para bloquear la inyección del SQL -
http://technet.microsoft.com/en-us/security/cc242650.aspx2. Quitar los módulos innecesarios en IIS como el smtp, el ftp y el NNTP.
3. Asegurarse cortafuego de Windows esté prendido, bloqueando todos sino el puerto 80 y 443 (si usa el SSL) - pero también se cerciore de que el servidor está detrás de un cortafuego físico (en caso de que el cortafuego del software falla)
4. Funcionar cada Web site y cada uso en él es poseer la piscina del uso y señalar a un usuario a cada uno, restringido a él es poseer la piscina del app.
5. Inhabilitar a todos los usuarios innecesarios y si es posible, guardar el servidor del dominio activo del directorio - mantengo todos los web server un grupo de trabajo.
6. Pegar todos los web server en un DMZ en un subnet separado a su SQL y servidores finales.
7. Permitir la revisión en la política de seguridad local y establecer una rutina regular de los registros de acontecimiento de la supervisión.
8. Utilizar el programa de análisis del registro de Microsoft para instalar tubos todos los registros de la tela de IIS en un DB del servidor del SQL y para funcionar con preguntas del asiduo sobre la tabla para mirar hacia fuera para la actividad sospechosa:
http://www.microsoft.com/downloads/details.aspx?FamilyID=890cd06b-abf8-4c25-91b2-f8d975cf8c07&displaylang=en9. ¡Y finalmente - pagar una tercer persona para encerrar regularmente la prueba su servidor! Usted puede encontrar que un anfitrión de abastecedores baratos hacia fuera allí y de él está siempre digno de tener algún otro encerrar la prueba como pueden encontrar los agujeros que usted puede pasar por alto. Puedo recomendar alto nuestro abastecedor de Cisco que encierra pruebas nosotros:
http://www.giss-uk.com¡Espero que esto ayude!
