Используйте многочисленные бесплатные средства, выпущенные Microsoft, перед принятием решения о применении дополнительных продуктов безопасности на сервере IIS.
Подпишитесь на группы новостей и форумы, в которых содержится информация о любых приобретаемых продуктах, чтобы быть в курсе событий и обновлений.
Не устанавливайте образцы и демонстрационные файлы, поставляемые с новым продуктом, на разрабатываемый сервер.
Замените все пароли по умолчанию для установленных продуктов на более мощные пароли.
Сначала обеспечьте защиту самых важных ресурсов и удостоверьтесь в том, что выбранный продукт делает это на должном уровне.
Разработайте политику доступа к сетевым службам, чтобы определить возможности сетевого экрана.
Примените систему обнаружения вторжений для защиты от некорректных программ, а также защиты новых и старых уязвимых мест. Мониторинг системы поможет обнаружить хакера независимо от того, какое слабое место будет использоваться для получения доступа.
Файлы журналов полезны только в том случае, если они регулярно изучаются, поэтому установите анализатор журналов или программу, содержащую этот компонент, для автоматизации аудита и анализа сетевых журналов.
Выберите антивирусную программу, обеспечивающую централизованный контроль и взаимодействие с другими средствами безопасности.
Примените политику контроля за изменениями и резервированием данных и дополните ее программным обеспечением, предназначенным для восстановления после атак из интернета.
Привлеките руководство для реализации программы обучения мерам безопасности сотрудников, для неукоснительного соблюдения всех пунктов, предусмотренных этой программой.
Проверьте сайт на устойчивость и выясните, сможет ли он поддерживать большое число одновременных соединений с высоким уровнем загрузки, рассмотрите возможность применения аппаратного ускорителя SSL для сайта электронной коммерции.
Решите вопрос о надежной аутентификации клиентов и пользователей, которым необходим доступ к важной информации на сервере, при необходимости обеспечьте их соответствующими средствами доступа, такими как маркеры безопасности или смарт-карты.
Осуществите поиск пробелов в системе безопасности, применив сканер уязвимых мест, прежде чем это сделают хакеры.
Загрузите программу CIS Scoring Tool и проверьте, соответствует ли конфигурация IIS рекомендациям в рассматриваемой области.
При отсутствии в организации квалифицированного персонала службы безопасности привлеките внешние службы, занимающиеся мониторингом сайта.
Постоянно обновляйте сведения о сайте. При управлении большой корпоративной сетью используйте сетевой документатор.