Pour élaborer, certaines des choses que j'ai faites sur des web server d'IIS sont :
1. URLScan pour bloquer l'injection de SQL -
http://technet.microsoft.com/en-us/security/cc242650.aspx2. Enlever les modules inutiles sur IIS comme le smtp, le ftp et le NNTP.
3. Assurer mur à l'épreuve du feu de Windows est allumé, bloquant tout sauf le port 80 et 443 (si en utilisant le SSL) - mais s'assure également que le serveur est derrière un mur à l'épreuve du feu physique (au cas où le mur à l'épreuve du feu de logiciel échouerait)
4. Courir chaque site Web et chaque application dans elle est de posséder la piscine d'application et indiquer un utilisateur à chacun, limité à elle est de posséder la piscine de $$etAPP.
5. Désactiver tous les utilisateurs inutiles et si possible, garder le serveur outre du domaine actif d'annuaire - je maintiens tous les web server dans une équipe de travail.
6. Coller tous les web server dans un DMZ sur un filet inférieur séparé à votre SQL et serveurs principaux.
7. Permettre auditer dans la politique de sécurité locale et établir une routine régulière des journaux d'événement de surveillance.
8. Employer l'analyseur de notation de Microsoft pour siffler toutes les notations de Web d'IIS dans un DB de serveur de SQL et pour courir des questions de militaire de carrière au-dessus de la table pour regarder dehors pour l'activité soupçonneuse :
http://www.microsoft.com/downloads/details.aspx?FamilyID=890cd06b-abf8-4c25-91b2-f8d975cf8c07&displaylang=en9. Et finalement - payer un tiers pour parquer régulièrement l'essai votre serveur ! Vous pouvez trouver qu'un centre serveur des fournisseurs bon marché dehors là et de lui est toujours intéressant faire parquer à quelqu'un d'autre l'essai comme ils peuvent trouver des trous que vous pouvez donner sur. Je peux fortement recommander notre fournisseur de Cisco qui parquent des essais nous :
http://www.giss-uk.comJ'espère que ceci aide !
