知识宝库在此藏，一键关注获宝藏

在装有IIS 中间件的服务器上，我们可以在 控制面板—管理工具—Internet 信息服务(IIS)管理器 找到相应的配置

身份鉴别、访问控制一般是通过本地登录进行管理，这里就主要介绍下安全审计大点（当然IIS也是可以进行远程管理的，文章末尾会简单介绍一下），那么我们就直接进入安全审计。

一、安全审计

a）应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计

1. 确认日志是否开启

在 控制面板—管理工具—Internet 信息服务(IIS)管理器 打开管理界面，找到日志 图标

默认情况下日志为启用状态

当处于禁用状态时，界面是灰色的

2. 查看日志记录的格式

默认存在三种格式

可以看看官方的描述，每种格式分别记录了什么

在不去修改的情况下，默认格式为 W3C

具体记录什么可以点击选择字段查看

b）审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息

1.日志记录的内容

配置查看

具体日志内容：

2. 日志记录时间问题

IIS日志的时间与计算机的系统时间不符，比如在中国时区就会相差8小时，具体原因是什么呢？网 上搜索的结果十有八九让人做如下操作解决：

在IIS日志属性“常 规”标签下，找到“文件命名和创建使用当地时间”，在其前打勾。实际上，这种方法并不能解决时差问题。

真正的原因是因为IIS默认 采用W3C 扩展日志文件格式，而W3C 扩展日志文件定义日志采用GMT时间（即格林尼治标准时间），而中国在GMT +8时区，自然就相差八个小时了。

所以查看日志时间的时候与+8小时与北京时间对应即可

c）应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等

1.  查看日志文件权限

右键 属性→安全 查看对应日志目录与文件权限情况

2.  询问是否进行定期备份

询问或查看有无方式（如备份脚本）将 %SystemDrive%inetpublogsLogFiles 日志文件目录进行定期备份。

3.  查看日志文件的保存周期

若不选择最大文件大小，将不会覆盖之前的日志信息，默认情况下是每天产生一个日志文件。

接着确认是否留存6个月以上的日志信息，直接查看对应日志目录是否留存

d）应对审计进程进行保护，防止未经授权的中断

默认情况下仅管理员组具有该权限

1.  日志启用关闭

2.  日志开关权限

登录后发现无权限管理

具有相应权限

二、IIS的远程管理

1.  开启远程管理

启用远程连接

2.  连接服务端

1） 打开IIS管理器

输入服务器名称

即可进行远程管理

一般远程管理这样来操作的比较少，了解即可

原文始发于微信公众号（等保不好做啊）：等保2.0测评 — IIS 中间件