1 检查是否设置上传目录权限

（1）、设置权限：

打开iis服务管理-----双击主页----点击处理程序映射----选择右侧操作的打开功能----选择右侧操作的编辑功能权限------将脚本和执行的√去掉(也可以只去掉执行的√)

2 检查是否删除危险的实例文件

仅供参考：

1. 删除c:\\inetpub\\iissamples

2. 删除c:\\inetpub\\scripts

3. 删除%systemroot%\\system32\\inetsrv\\adminsamples

4. 删除%systemroot%\\system32\\inetsrv\\iisadmpwd

5. 删除%systemroot%\\system32\\inetsrv\\iisadmin

6. 删除c:\\Program Files\\Common Files\\System\\msadc\\Samples

7. 删除c:\\program files\\common files\\system\\msadc

3 检查是否配置SSL加密通信

（1）证书安装：

打开iis服务管理-----双击主页-----双击服务器证书----导入

（2）修改网站绑定类型为https，并启用ssl：

双击网站下的站点----选择右侧操作下的绑定---添加一个https类型-----删除原有的http（如果可以直接将http改为https也行）-----点击ssl设置-----将要求ssl打钩

4 检查'密码长度最小值'是否设置大于等于8

打开 '计算机配置\\策略\\Windows设置\\安全设置\\账户策略\\密码策略\\密码长度最小值'，设置大于等于8的数值

5 检查是否配置日志功能

1、 打开本地策略 -> 审核策略”中配置的 “审核对象访问”，配置成功和失败

2、 打开本地策略 -> 审核策略”中配置的 “审核目录服务器访问”，配置成功和失败

3、 打开本地策略 -> 审核策略”中配置的“审核系统事件”，配置成功和失败

4、 打开本地策略 -> 审核策略”中配置的“审核帐号管理”，配置成功和失败

5、 打开本地策略 -> 审核策略”中配置的“审核过程追踪”，配置成功和失败

6 检查是否使用HTTP 加密协议

参照步骤3

7 检查'超级用户启用IIS'是否被禁止

运行cmd，输入services.msc查看服务，选择WWW服务属性，将服务启动的账号设置为超级用户，看是否被禁止。

8 检查'审核策略更改'是否设置为成功

打开计算机配置\\Windows 设置\\安全设置\\本地策略\\审核策略\\审核策略更改 设置为成功和失败

9 检查'密码必须符合复杂性要求'策略是否启用

打开计算机配置\\策略\\Windows设置\\安全设置\\账户策略\\密码策略\\密码必须符合复杂性要求，设置为Enable

10 检查是否自定义错误信息

将配置文件（applicationHost.config）中

httpErrors节点下的error配置为statusCode="401"

prefixLanguageFilePath="%SystemDrive%\inetpub\custerr" path="401.htm"

11 检查是否配置目录的访问权限

1、打开“域用户管理器”-> “规则”选单下的“审核”选项-> “审核规则”，设置“审核规则”配置状态为enable

2、打开ISM（Internet 服务器管理器） -> 启动 Web 属性页面并选择“目录”选项卡-> 选择 www 目录-> 编辑属性”中的“目录属性”，配置状态为“读取”、“写入”、“记录访问”、“索引资源”

12 检查'密码最大有效时间'是否大于0并且小于等于90

打开计算机配置\\策略\\Windows设置\\安全设置\\账户策略\\密码策略\\密码最大有效时间，设置时间大于0并且小于等于90

13 检查是否禁用非法 HTTP 方法

打开iis服务管理-----网站下的主页-----双击处理程序映射-----选中名称列下的项（每一项都要配置）---点击编辑---

请求限制-----选中谓词----下列谓词之一中不能出现DELETE和PUT

14 检查'强制密码历史'是否大于等于5

打开计算机配置\\策略\\Windows设置\\安全设置\\账户策略\\密码策略\\强制密码历史，设置大于等于5

15 检查是否删除不必要的脚本映射

将配置文件（applicationHost.config）中

configuration/location/system.webServer/handlers/add节点下的path=后面的值中含有*.htr、*.idc、*.stm、*.shtm、*.printer、*.htw、*.ida、*.idq修改为其他值（修改前请先备份好文件）

16 检查'账号锁定阈值'是否大于0并且小于等于6

打开计算机配置\\策略\\Windows设置\\安全设置\\账户策略\\账户锁定策略\\账号锁定阈值，配置大于0并且小于等于6

17 检查是否更改默认安装路径

打开“Internet 信息服务(IIS)管理器”选择站点，更改 IIS 默认安装路径

18 检查是否启用日志功能

将配置文件（applicationHost.config）中

configuration/system.webServer/httpLogging节点下的dontLog配置为dontLog="false"

19 检查是否禁止目录列出

将配置文件（applicationHost.config）中

configuration/system.webServer/directoryBrowse节点下的enabled配置为enabled="false"