IIS（Internet Information Services）安全部署与安全配置基线是确保IIS服务器稳定运行、保护网站数据安全以及防范潜在安全风险的重要措施。以下是对IIS安全基线配置的详细扩展，涵盖了多个关键的安全实践：

1. 限制目录的执行权限

描述：
在存储上传文件的地方，应严格限制脚本的执行权限。通过限制目录的执行权限，可以防止恶意用户上传包含恶意脚本（如shell文件）的文件，并防止这些文件在服务器上被解析和执行。

实施步骤：

确定哪些目录用于存储上传的文件。
在IIS管理器中，找到这些目录并设置其执行权限为“无”或“仅脚本”。
确保任何文件上传功能都遵循这些限制。

2. 开启日志记录功能

描述：
开启日志记录功能对于监控IIS服务器的活动至关重要。通过记录详细的日志信息，管理员可以跟踪和审计服务器上的所有请求和响应，及时发现潜在的安全威胁。

实施步骤：

在IIS管理器中，启用日志记录功能。
设置日志文件的格式和存储位置。
配置日志文件的权限，确保只有授权的管理员可以访问这些文件。

3. 自定义错误页面

描述：
自定义错误页面可以防止泄露包括网站具体路径在内的敏感信息。当IIS服务器遇到错误时，可以显示一个定制的页面，而不是显示默认的错误页面，这有助于提升用户体验并减少潜在的安全风险。

实施步骤：

在IIS管理器中，为不同的HTTP错误代码配置自定义的错误页面。
确保这些页面不包含任何敏感信息。

4. 关闭目录浏览功能

描述：
关闭目录浏览功能可以防止未经授权的用户浏览服务器上的文件和目录结构。这有助于减少潜在的安全风险，因为攻击者无法轻松发现服务器上的敏感文件。

实施步骤：

在IIS管理器中，找到相关的网站或目录。
在“目录浏览”功能中，将其设置为“禁用”。

5. 停用或删除默认站点

描述：
IIS安装时通常会创建一个默认的网站（Default Web Site）。这个网站如果不使用，应该被停用或删除，以减少潜在的安全风险。

实施步骤：

在IIS管理器中，找到默认的网站。
选择“停止”或“删除”选项。

6. 删除不必要的脚本映射

描述：
脚本映射定义了IIS服务器如何处理不同类型的文件。只保留需要的脚本映射可以减少潜在的安全风险，因为攻击者无法利用未映射的文件类型执行恶意脚本。

实施步骤：

在IIS管理器中，检查现有的脚本映射。
删除任何不必要的脚本映射。

7. 专职低权限用户运行网站

描述：
为了降低安全风险，应该创建一个权限较低的用户账户来运行网站。这样可以减少该账户对系统资源的访问权限，即使该账户被恶意利用，也不会对系统造成太大的影响。

实施步骤：

在Windows操作系统中，创建一个新的用户账户，并为其分配适当的权限。
此类用户包含为站点建立用于匿名访问的用户和为用于应用程序池运行的用户。匿名访问用户属于GUEST组，应用程序池运行用户属于IIS_IUSRS组。
在IIS管理器中，将网站的应用程序池配置为使用该用户账户运行。

8. 在独立的应用程序池中运行网站

描述：
如果同一台IIS服务器上运行多个网站，每个网站都应该运行在单独的应用程序池中。这样可以防止一个网站的安全问题影响到其他网站。

实施步骤：

在IIS管理器中，为每个网站创建一个新的应用程序池。
将每个网站配置为使用其对应的应用程序池运行。