由于不同的 Windows 版本，iis日志路径不一样，所以分别介绍如下：

Windows Server 2003 iis6日志路径：C:\Windows\System32\LogFiles Windows Server 2008 R2、2012、2016、2019 iis7以上日志路径：C:\inetpub\logs\LogFiles

下面是常见的HTTP状态码：

200 - 请求成功 301 - 资源（网页等）被永久转移到其它URL 404 - 请求的资源（网页等）不存在 500 - 内部服务器错误

（一）IIS安全配置 1.删除iis默认站点： 【开始】——【管理工具】——【internet信息服务（IIS）管理器】 选中IIS自带的站点default web site 右击删除。 2.关闭iis目录浏览： 会导致信息泄露，【开始】——【管理工具】——【internet信息服务（IIS）管理器】 找到我们的web站点，点击目录浏览，点击禁用 3.修改默认主页 【右击】——【添加】输入根目录下的起始页 index.html 4.修改网站默认路径 IIS默认路径是非常危险的漏洞，攻击者获得程序发布目录后，便可以利用其他漏洞直接在发布目录中写入木马，访问对应目录即可获得主机权限，应用程序存在于系统盘下的C:\Inetpub\wwwroot下点击基本设置修改物理路径，将我们的网站放到一个自己创建的目录下 5.自定义错误页 默认的iis访问错误页会回显报错信息，有时会发生信息泄露，我们要自定义一个静态的错误页面。 选择站点，在功能视图页面，双击错误页，进入错误页配置页面 6.解决IIS短文件名漏洞 【开始】——【Internet 信息服务(IIS)管理器】选中web站点，双击请求筛选。 在URL添加拒绝序列URL序列设置为【~】 7.卸载不需要的IIS服务 【开始】——【管理工具】－—【服务器管理器】 双击“角色”，在右边最下方可以看见角色服务,点击““删除角色服务”，可对不需要的IIS角色服务进行删除 8.禁用Trace 在一定条件下，攻击者可以利用trace方法进行跨站脚本构造，形成钓鱼网站。Trace在.NET Framework 2.0 应用程序中不显示配置，打开目录C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CONFIG下的web.config文件，添加进行禁用 （二）系统安全配置

1.关闭webdav WebDAV （Web-based Distributed Authoring and Versioning） 一种基于 HTTP 1.1协议的通信协议。它扩展了HTTP 1.1，在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法，使应用程序可对Web Server直接读写，并支持写文件锁定(Locking)及解锁(Unlock)，还可以支持文件的版本控制。

开始->管理工具->Internet 信息服务(IIS)管理器， 选择一个站点，在功能视图中找到WebDAV创作规则，双击 WebDAV创作规则。点击禁用WebDAV 2.禁用wscript.shell 很危险的服务使用wscript.shell可以实现脚本直接执行exe文件，由于IIS权限默认是SYSTEM，攻击者经常利 用此服务提权最终成为administrators账户。 在cmd下运行

3.禁用FSO对象 很危险的服务使用FSO对象，可以实现脚本直接对文件的操作，由于IIS权限默认是SYSTEM，攻击者经常利用 此服务写入一句话木马提权最终成为administrators账户。 在cmd下运行： regsvr32.exe C:\window\System32\scrrun.dll /u 4.添加独立站点账户 在Windows server 2008R2系统下，用IIS架设Web服务器，合理的为每个站点配置独立的Internet来宾账号，这样可以限制Internet 来宾账号的访问权限，只允许其可以读取和执行运行网站所的需要的程序。 【开始】——【管理工具】——【计算机管理】，选择“本地用户和组”，然后点击“用户”，接着“右键”，新建一个用户，如下图，右击刚创建的用户，选中属性，点击隶属于，删除原来的users组，添加一个Guests组。【开始】——【管理工具】——【internet信息服务（IIS）管理器】找到web站点，点击身份验证。右击匿名身份验证，选中编辑，点击设置，输入我们刚刚创建的用户名和密码 5.限制目录执行权限 在IIS中设置需要上传文件的目录，双击处理程序映射，在处理程序映射中，把编辑功能权限中的脚本去掉，这样即使上传了木马文件在此目录，也是无法执行的。

IIS加固完毕！