服务器托管保护方法，必需应用很多配置设置以减少受攻击的服务器漏洞。但是，怎么知道从哪里入手，又怎么知道什么时候着手呢？最好的方法是将您必需采取的防范措施和必需配置的设置按种别进行组织。使用种别使您能够自顶向下系统化地实施保护过程，也可以选择某个特殊的种别然后完成特定的步骤。

配置种别

本单元中的安全方法已经组织为如图 2 中所示的种别。
种别的基本信息如下所示：

修补程序和更新

很多安全威胁是因为广为发布而且众所周知的漏洞所造成的。在很多情况下，当发现一个新的漏洞时，利用此漏洞的代码将在首次成功攻击后几小时内就张贴到 Internet 公告板上。假如您不修补和更新服务器，就相称于为攻击者和恶意的代码提供机会。修补和更新服务器软件是保护 Web 服务器枢纽的第一步。

服务

对于能够利用服务的特权和能力访问本地 Web 服务器或者其他下游服务器的攻击者而言，服务是主要的漏洞。假如服务对于 Web 服务器的操纵并不必要，就不要在您的服务器上运行它。假如服务是必要的，就对其进行保护和维护。考虑监督任何服务以确保可用性。假如您的服务软件不安全，但是又需要此服务，尝试寻找安全的替换方案。

协议

不要使用内在不安全的协议。假如您无法避免使用这些协议，采取适当的措施提供安全的身份验证和通讯，例如，通过使用 IPSec 策略。不安全的明文协议的例子有 Telnet、邮局协议 (POP3)、简朴邮件传输协议 (SMTP)，和文件传输协议 (FTP)。

帐号

帐号能够为计算机授予身份验证的访问权限，而且这些帐号必需进行审核。用户帐号的目的何在呢？它有多大的访问权限？常见帐号可能成为攻击目标吗？服务帐号是否可能被攻击因此必需包含吗？将账号配置为最低特权有助于防止特权晋升。删除任何不需要的帐号。用强密码策略减慢蛮力和字典攻击，然后审核和警告登录失败。

文件和目录

使用受限的 NTFS 权限保护所有文件和目录，只答应访问必要的 Windows 服务和用户帐号。使用 Windows 审核，在可疑或者未授权的流动泛起时能够检测到。

Shares

假如不需要，删除所有不必要的文件共享（包括默认的治理共享）。用受限的 NTFS 权限保护任何剩下的共享。固然共享可能并不直接向 Internet 公然，但是防范策略（使用受限和受保护的共享）将减少服务器受攻击所带来的风险。

端口

运行在服务器上的服务侦听特定的端口，以响应传入的哀求。按期审核服务器上的端口，以确保 Web 服务器上不存在流动的不安全或者不必要的服务。假如您检测到非治理员打开的一个流动端口，这是未授权访问和安全威胁的可靠标志。

注册表

很多与安全相关的设置存储在注册表中，因此，您必需保护注册表。您可以通过应用受限的 Windows ACL 或者通过梗阻远程注册表治理进行保护。

审核和日志记实

审核是标识入侵者、实施中的攻击和发生攻击的证据最重要的工具。结合使用 Windows 和 IIS 的审核功能，以配置 Web 服务器上的审核。事件和系统日志也有助于解决安全疑难题目。

站点和虚拟目录

站点和虚拟目录直接向 Internet 公然。即使安全的防火墙配置和防备性 ISAPI 筛选器（例如 URLScan，随 IISLockdown 工具发行）能够梗阻对受限配置文件或者程序可执行文件的哀求，仍旧推荐采取一个纵深防范策略。将站点和虚拟目录移到到非系统分区，并使用 IIS Web 权限进一步限制访问。

脚本映射

删除所有可选文件扩展名的不必要的 IIS 脚本映射，以防止攻击者利用处理这些类型文件的 ISAPI 扩展中的任何错误。未用的扩展映射常常会被忽视，并且存在很大的安全漏洞。

ISAPI 筛选器

攻击者已经成功地利用了 ISAPI 筛选器中的漏洞。从 Web 服务器上删除不必要的 ISAPI 筛选器。

IIS 元数据库

IIS 元数据库维护 IIS 配置设置。必需确保与安全相关的设置适当地进行了配置，而且使用加固的 NTFS 权限限制对元数据库文件的访问。

Machine.config

Machine.config 文件存储应用于 Framework 应用程序（包括 ASP Web 应用程序）的机器级配置设置。修改 Machine.config 中的设置以确保安装在服务器上的任何 ASP 应用程序都应用了安全的默认值。