Para elaborar, algumas das coisas que eu fiz em web server de IIS são:
1. URLScan para obstruir a injeção do SQL -
http://technet.microsoft.com/en-us/security/cc242650.aspx2. Remover os módulos desnecessários em IIS como o smtp, o ftp & o NNTP.
3. Assegurar-se de guarda-fogo de Windows esteja ligada, obstruindo tudo com exceção do porto 80 e 443 (se usando o SSL) - mas igualmente certifique-se que o usuário é atrás de um guarda-fogo físico (caso que o guarda-fogo do software falha)
4. Funcionar cada Web site e cada aplicação nela é possuir a associação da aplicação e designar um usuário a cada um, restringido a ela é possuir a associação do app.
5. Incapacitar todos os usuários desnecessários e se possível, manter o usuário fora do domínio ativo do diretório - eu mantenho todos os web server em um grupo de trabalho.
6. Furar todos os web server em um DMZ em um subnet separado a seus SQL e usuários no final do processo.
7. Permitir o exame na política de segurança local e estabelecer uma rotina regular de registros de evento da monitoração.
8. Usar o Parser do registro de Microsoft para conduzir todos os registros da correia fotorreceptora de IIS em um DB do usuário do SQL e para funcionar perguntas do regular sobre a tabela para olhar para fora para a atividade suspeito:
http://www.microsoft.com/downloads/details.aspx?FamilyID=890cd06b-abf8-4c25-91b2-f8d975cf8c07&displaylang=en9. E finalmente - pagar um ó partido para encerrar regularmente o teste seu usuário! Você pode encontrar que um anfitrião de fornecedores baratos para fora lá e dele é sempre worth mandar alguma outra pessoa encerrar o teste como podem encontrar furos que você pode negligenciar. Eu posso altamente recomendar nosso fornecedor de Cisco que encerra testes nós:
http://www.giss-uk.comEu espero que este ajuda!
